管理安全性(预览版)
[本文为预发布文档,可能会发生变化。]
管理中心的 “安全 Power Platform ”页可帮助你以最安全的方式使用最佳做法和一组全面的安全功能来管理组织中的安全性。 您可以使用此页面:
- 评估您的安全状态:了解并改进特定于您的需求的组织安全策略。
- 根据建议采取行动:确定最重要、最有影响力的建议并采取行动,以改进评估。
- 设置主动策略:使用丰富的工具和安全功能集来获得深入的可见性、检测威胁并主动设置策略,以帮助保护组织免受漏洞和风险的影响。
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
先决条件
若要了解租户的安全评估和建议,请启用租户级别的分析。 有关说明,请参阅 如何启用租户级分析。
备注
启用租户级分析后,可能需要长达 48 小时才能用数据填充 Security(安全)页面。 在此之前,页面上的大多数部分都显示“不可用”。
要访问 Security(安全)页面:
从左侧菜单中,选择安全。
如果未启用租户级别的分析,则页面上不会显示任何数据。
租户的安全评估
安全评估采用具有标准、增强或高级的标签的定性度量表。 评估是根据系统建议、用户和制作者活动以及您应用的安全配置计算的。 这是对 Power Platform 工作负载的组织安全状况的衡量。 “增强 ”和 “高级 ”评估标签指示已采取更多建议的操作,并且租户的安全状况已得到改善。
您的安全评估的计算方式是实现的总影响与可能的总影响之比。
公式:实现的总影响/可能的总影响
根据功能范围(租户或环境)以及启用或关闭功能影响的资源数,为每个功能分派一个影响状态。
| 特性 | 影响 |
|---|---|
| IP 防火墙 | 每个环境 1 个 |
| IP Cookie 绑定 | 每个环境 1 个 |
| 环境安全组 | 每个环境 1 个 |
| 租户数据策略 | 环境总数 |
| 租户隔离 | 环境总数 |
| 客户密码箱 | 如果打开,则为托管环境的总数。 如果未打开,则为零。 如果未打开且没有托管环境,则为零。 |
示例:具有 10 个环境(五个托管环境和五个非托管环境)的租户
| 特性 | 影响 | 最大影响 |
|---|---|---|
| IP 防火墙 | 每个环境 1 个 | 10 个环境x 1 或 10 |
| IP Cookie 绑定 | 每个环境 1 个 | 10 个环境x 1 或 10 |
| 环境安全组 | 每个环境 1 个 | 10 个环境x 1 或 10 |
| 租户数据策略 | 环境总数 | 10 个环境 |
| 租户隔离 | 环境总数 | 10 个环境 |
| 客户密码箱 | 如果打开,则为托管环境的总数。 0(如果未打开)。 如果未打开并且没有托管环境,则为 0。 |
五大环境 |
可能的最大影响为 55。
假定有关环境的以下信息:
- 使用租户隔离 (10)
- 在租户 (10) 上配置至少一个数据策略
- 在 10 个环境中,5 个有安全组
- 在 10 个环境中,2 个有 IP 防火墙
- 在 10 个环境中,3 个具有 IP cookie 绑定
- 客户密码箱关闭
根据概述的示例,实现的状态为:10 + 10 + 5 + 2 + 3 或 30。 根据公式:实现的总影响/可能的总影响,评估值为 30/55,标签为增强。
备注
该顾问可以具有比租户中环境数量更多的建议,因为环境可以有多个建议。 可以有一对多关系。 例如,环境可以具有启用 IP 防火墙和 IP Cookie 绑定的建议。
通过建议进行反应式治理
系统根据可改进租户安全性评估的常见最佳实践生成各种建议。 建议是指管理员可以采取的行动或措施,以增强其整体安全状态。
- 通过选择该功能的建议操作下的链接,可以对系统生成的建议进行操作。
- 要配置建议之外的功能,请选择管理按钮。
管理主动治理和安全策略
多项安全功能可以帮助您保护租户,其中包括:
租户隔离:此功能适用于租户级别的托管和非托管环境。 租户隔离允许全局管理员和 Power Platform 管理员管理租户数据从授权数据源进 Microsoft Entra出其租户的移动。 有关更多信息,请参阅 跨租户入站和出站限制
客户密码箱:此功能仅适用于托管环境。 借助客户密码箱,我们为客户提供一个界面,可在极少数需要访问客户数据的情况下查看和批准(或拒绝)数据访问请求。 它用于 Microsoft 工程师需要访问客户数据、回复客户发起的支持票证或发现 Microsoft的问题的情况。 有关详细信息,请参阅 在 Dynamics 365 中使用 Power Platform 客户密码箱安全访问客户数据
IP 防火墙:此功能仅适用于具有的 Dataverse托管环境。 IP 防火墙通过限制用户只能从允许的 IP 位置访问 Dataverse 来帮助保护您的组织数据。 IP 防火墙实时分析每个请求的 IP 地址。 有关更多信息,请参阅 环境中的 Power Platform IP 防火墙
基于 IP 地址的 Cookie 绑定:此功能仅适用于具有 Dataverse 的托管环境。 使用基于 IP 地址的 Cookie 绑定在 Dataverse 中阻止会话劫持攻击。 有关更多信息,请参阅 使用 IP Cookie 绑定保护 Dataverse 会话
数据策略:此功能在租户级别和环境级别均适用于托管环境和非托管环境。 在环境或租户级别设置数据策略就像是防护措施,有助于降低用户无意中暴露组织数据的风险。 有关更多信息,请参阅 数据策略
备注
未定义租户级别的策略时,会触发数据策略建议。 目前,在针对租户执行安全评估时,不会考虑任何环境范围的数据策略。
环境安全组:此功能适用于托管环境和非托管环境。 设置安全组有助于控制哪些许可用户可以访问环境。 有关详细信息,请参阅 控制用户对环境的访问:安全组和许可证
Azure 虚拟网络: 此功能仅适用于托管环境。 设置 Azure 虚拟网络有助于您将 Power Platform 与虚拟网络内的资源集成,而无需在公共互联网上将其公开。 有关详细信息,请参阅 虚拟网络支持概述 Power Platform
备注
Azure 虚拟网络的建议在当前版本中不可用,但计划在未来的更新中提供。
审核: 此功能仅适用于托管环境和非托管环境 Dataverse。 在具有 Dataverse 数据库的环境中对客户记录进行审核日志更改。 Dataverse 审核还记录用户通过应用或通过环境中的 SDK 进行的访问。 有关详细信息,请参阅 管理 Dataverse 审核
备注
当前版本中未提供审核建议,但已针对未来的更新规划。
常见问题 (FAQ)
政府社区云 (GCC) 的安全性页面何时可用?
安全性页面计划在正式发布后在 GCC 中提供。
客户是否可基于其需要修改建议或参数?
不包括。 这些建议是系统生成的,并基于 Microsoft的最佳实践和指导。