Del via

Strategi for sikkerhet og skille mellom miljøtilgang

  • Artikkel

Obs!

Azure Active Directory er nå Microsoft Entra ID. Finn ut mer.

Tilgang til miljøer og innhold bør begrenses og følger vanligvis prinsippet om minste rettigheter (PoLP). I Microsoft Power Platform kan denne tilgangen håndteres på ulike nivåer.

Som nevnt i Styr veiledninger gjennom Microsoft Power Platform-miljøer og Power Apps kan du bruke ulike Microsoft Power Platform-miljøer og brukerroller som har begrenset tilgang til å drive samsvar i livssyklusen til en veiledning. Når du skal implementere denne tilnærmingen, må du bare gi brukere tilgang til nødvendige miljøer og bare tildele relevante sikkerhetsroller i disse miljøene. Hvis du vil finne ut mer om sikkerhetsroller, kan du gå til Sikkerhetsroller og rettigheter.

Når du planlegger oppsettet, må du avgjøre omfanget av automatisk tildelt tilgang. Avgjør hvordan prosessen skal integreres med firmaets eksisterende praksis for å kontrollere tildeling av tilgangsrettigheter og for eksempel integrering med systemet for identitets- og tilgangsstyring.

Vi anbefaler at du oppretter Microsoft Entra-sikkerhetsgrupper for hvert miljø og tildeler dem til det aktuelle miljøet. Fordelen med denne tilnærmingen er at du kan begrense tilgang til et miljø basert på medlemskapet i en bestemt sikkerhetsgruppe. Denne medlemskapsbaserte tilgangen er definert i administrasjonssenteret for Power Platform. Hvis du vil ha mer informasjon, kan du gå til Begrens tilgang til et miljø i Dynamics 365 Guides ved hjelp av sikkerhetsgrupper.

Etter tildeling kan bare brukere som er medlemmer av Microsoft Entra-sikkerhetsgruppene, opprettes i de tilsvarende Microsoft Power Platform-miljøene. Hvis du vil ha mer informasjon om hvordan du tildeler Microsoft Entra-sikkerhetsgrupper, kan du gå til Kontroller brukertilgang til miljøer. Pass på å skille både test- og produksjonsmiljøer og opprette separate sikkerhetsgrupper for alle miljøer for å kontrollere tilgangen spesifikt.

Hvis du vil administrere tildelingen av sikkerhetsroller på en effektiv måte, anbefaler vi at du oppretter eiergrupper som samsvarer med identitetene/rollene som er relevante for systemet. Hvis du vil ha informasjon om hvordan du administrerer grupper, kan du gå til Microsoft Dataverse-gruppeadministrasjon.

Bruken av eiergrupper har to hovedfordeler:

  • Den tildeler sikkerhetsroller ved å dra nytte av Microsoft Entra-sikkerhetsgrupper og koble til eksisterende prosesser for identitets- og tilgangsstyring.
  • Den forenkler tildelingsprosessen. En forfatter trenger for eksempel både forfatterrollen og den grunnleggende brukerrollen for å få tilgang til den nødvendige funksjonaliteten. Ved å tildele sikkerhetsrollene til en forfattergruppe kan du gi nye forfattere de nødvendige rollene bare ved å legge dem til i eiergruppen.

Diagram som viser et eksempel på en eiergruppe og sikkerhetsroller.

Hvis organisasjonen bruker plattformen som har forretningsenheter, opprettes det automatisk en eiergruppe for hver forretningsenhet. Hvis en forretningsenhet inneholder brukere bare for én rolle (f.eks. forfatter), kan eiergruppen brukes til å tildele de riktige sikkerhetsrollene. I mange tilfeller inneholder imidlertid én enkelt forretningsenhet brukere for flere roller. Derfor må det opprettes og tildeles ytterligere eiergrupper til relevante sikkerhetsroller. Som standard tildeles hver bruker til én forretningsenhet i løpet av brukeropprettingen. Tilgang til andre forretningsenheter kan imidlertid gis ved tildeling til en bestemt eiergruppe.

For effektiv administrasjon trenger du et skalerbart oppsett. Vi anbefaler at du automatiserer administrasjon av tillatelser så mye som mulig. Prosessen bør helst være koblet til systemet for identitets- og tilgangsstyring. Her er et eksempel på en prosess på høyt nivå for oppretting av en ny forfatter (der brukeren har en eksisterende brukerkonto):

  1. Det startes en forespørsel om å opprette en forfatter via systemet for identitets- og tilgangsstyring.

  2. Forespørselen rutes gjennom en godkjenningskjede.

  3. Brukeren tildeles relevante Microsoft Entra-grupper:

    • en gruppe som gir brukeren de riktige lisensene (f.eks. en Dynamics 365 Guides-lisens)
    • grupper som gir brukeren tilgang til relevante Microsoft Power Platform-miljøer
    • grupper som gir brukeren medlemskap i relevante Microsoft Power Platform-grupper, som gir brukeren de nødvendige sikkerhetsrollene

  4. Brukeren er tildelt til riktig forretningsenhet. Tildelingen er vanligvis en manuell prosess, men den kan automatiseres gjennom Power Apps eller Power Automate for å sikre konsekvent tildeling og for å koble til identitets- og tilgangsstyring.

For oppsett som har flere forretningsenheter, må du opprette Microsoft Entra-sikkerhetsgrupper for hver rolle i hver forretningsenhet for å legge til brukeren i de riktige gruppene. Du kan også tildele grupper direkte i Microsoft Power Platform.

Hvis trinnene fullføres direkte i Microsoft Power Platform, anbefaler vi at du oppretter en støtteprosess for å tilrettelegge og eliminere feil. Du kan for eksempel implementere en lerretsapp som hjelper administratoren med å tildele medlemskap til grupper og tildele brukeren til riktig forretningsenhet.

Neste trinn