访问控制以及身份和访问管理策略
在受监管的行业中,保持对访问的完全控制是关键。 建议使用最小权限原则 (PoLP)。 PoLP 是一个信息安全概念,它指出用户应仅被授予对完成所需任务所需的特定数据、资源或应用程序的访问权限。
要配置身份和访问管理 (IAM) 并维护对 Dynamics 365 Guides 内容的完全访问控制,建议您定义角色、功能和环境。 如果您的组织已按照实施和推出 的先决条件中的建议促进了利益干系人研讨会,则您已经拥有定义这些角色所需的大部分信息。
定义角色
要设置 IAM,请考虑指南从创建到存档的整个流程中涉及哪些角色。 在符合受监管行业要求的流程中,有两个角色是强制性的:作者和质量保证 (QA)。 每个指南都必须经过创作,并且必须经过验证。
考虑流程所有者是否将参与 Guides 用户旅程的初始步骤。 例如,流程所有者可以根据生产中确定的需求请求创建指南。 如果要将 Guides 流程与现有流程(如质量管理体系 (QMS) 或学习管理系统 (LMS))集成,请考虑一个负责处理集成流程并确保系统同步的角色。
QA 可能需要技术审阅者的支持,该审阅者使用 HoloLens 设备对指南进行深入验证。 有一个操作员角色可以打开指南并按照其中的说明进行操作。
指南流程中的角色完全取决于您的组织、流程和需求。 在初步实施阶段确定这些作用是关键。
定义功能
定义必要角色后,确定每个角色需要哪些技术功能。
作者角色创建和开发指南,并需要访问 Guides PC 应用、Guides Mobile 应用和 Guides HoloLens。 若要在流程中进一步传输指南(由 QA 审核),作者角色可能还需要访问在其中创建的应用 Power Apps。 作者必须具有此访问权限,以便可以创建、配置和测试指南。 但是,在他们完成这些任务后,他们可能不需要进一步参与。
QA 角色与创建指南无关,但它必须能够查看指南、相关内容和元数据才能批准或拒绝指南。 这些功能与作者角色的功能不同。 Although 其他审阅者也可能参与该过程,他们不应有权编辑指南。
若要限制可以编辑指南的用户数,请分配一个角色,该角色负责在整个指南流中跨角色提供反馈。 如果您同时 Microsoft Power Platform 使用两者以及没有自动集成的 QMS,则此角色特别有用。 在本例中,角色是两个平台之间的绑定链接。 它确保在 QMS 中对拒绝特定指南的任何评论都传达给作者。 然后,作者相应地调整了指南。 如果引入此链接角色,则作者角色的访问权限只能限制为 Microsoft Power Platform ,QA 角色的访问权限只能限制为 QMS。 通过这种方式,您可以确保每个角色中的用户都具有有限的访问权限,从而使他们保持其定义的角色、定义的功能和专业领域。 如果系统集成是点对点的或通过中间层集成平台进行的,则可以进一步支持此过程。
创建访问控制结构
定义角色和功能后,确定它们所属的环境。 通过将特定角色分配给特定环境,可以确保内容保持合规并由正确的角色控制。 下图显示了组合角色、功能和环境的示例。
每个环境都代表内容生命周期的不同阶段。 当您将每个角色置于其适当的环境中时,请遵守 PoLP,并牢记定义的角色和所需的功能。 如上图所示,作者角色已被授予对创作环境的访问权限,但未授予对其他环境的访问权限。 此决策基于角色和相关功能的定义,这些功能将用于创建、配置和测试指南。 因此,此角色不需要访问内容生命周期的任何其他部分。
通过定义 Active Directory 安全组 ,其中特定访问和安全元素与每个角色相关,可以将配置的角色、功能和环境全部链接到组织的现有 I am 系统。 此设置的好处是,当用户被授予特定角色时,他们会自动获得执行该角色分配所需的访问权限。 此外,此 I am 设置可确保通过受控和自动化流程进行访问的更改和终止,并与组织中员工的入职和离职同步。
