存取控制和身分和存取管理策略
在受規管產業中,保持對存取的完全控制至關重要。 我們建議您使用最小權限原則 (PoLP)。 PoLP 是一個資訊安全概念,指出使用者只應被授予完成所需任務所需的特定資料、資源或應用程式的存取權限。
若要設定身分和存取管理 (IAM) 並保持對 Dynamics 365 Guides 內容的完全存取控制,我們建議您定義角色、功能和環境。 如果您的組織已根據實施和推出的先決條件建議進行利害關係人研討會,那麼您已經擁有大部分定義這些角色所需的資訊。
定義角色
若要設定 IAM,請考慮在指南從建立到存檔的程序流程中涉及哪些角色。 在符合受規管產業要求的程序流程中,有兩個角色是必要的:作者和品質保證 (QA)。 每個指南都必須由作者編寫並進行驗證。
考慮是否需要在 Guides 使用者旅程圖的初始步驟中涉及流程負責人。 例如,程序負責人可以根據在生產中確定的需求,要求建立指南。 如果您希望將 Guides 程序流程與現有程序 (如品質管理系統 (QMS) 或學習管理系統 (LMS)) 整合,請考慮一個負責處理整合程序並確保系統同步的角色。
QA 可能需要來自技術審查人員的支援,後者使用 HoloLens 裝置對指南進行深入驗證。 還有一個操作員角色,該角色打開指南並按照其中的指示進行操作。
您在 Guides 流程中使用的角色完全取決於您的組織、程序和需求。 在初步實施階段找出這些角色十分關鍵。
定義功能
當必要的角色已經定義時,確定每個角色需要哪些技術功能。
作者角色負責建立和開發指南,需要存取 Guides PC 應用程式、Guides Mobile 應用程式和 HoloLens 上的 Guides。 若要將指南在程序流程中進一步傳遞 (由 QA 進行審查),作者角色可能還需要存取在 Power Apps 中建立的應用程式。 作者必須具有此存取權限,以便可以建立、設定和測試指南。 然而,在完成這些任務之後,他們可能不再需要進一步參與。
QA 角色與建立指南無關,但必須能夠查看指南、相關內容和中繼資料以核准或拒絕指南。 這些功能與作者角色不同。 儘管其他審查人員可能也參與該程序,但他們不應具有編輯指南的權限。
若要限制可以編輯指南的使用者數量,指派一個負責在整個 Guides 流程中跨角色傳遞意見反應的角色。 如果同時使用 Microsoft Power Platform 和 QMS,並且沒有自動整合,那麼這個角色尤其有用。 在這種情況下,該角色是兩個平台之間的繫結連結。 它確保了在 QMS 中對特定指南的拒絕進行的任何評論都能夠傳遞給作者。 然後作者相應調整指南。 如果引入這個連結角色,可以將作者角色的存取權限限制為僅限於 Microsoft Power Platform,將 QA 角色的存取權限限制為僅限於 QMS。 這樣,您確保每個角色的使用者僅內含有限的存取權限,使他們保持在其定義的角色、定義的功能和專業領域中。 如果系統整合是點對點或透過中間層整合平台實現,可以進一步支援這個過程。
建立存取控制結構
當角色和功能已經定義時,確定它們所屬的環境。 透過將特定角色指派給特定環境,您可以確保內容一律符合要求並由正確的角色進行控制。 下圖顯示了結合角色、功能和環境的範例。
每個環境代表內容生命週期的不同階段。 在將每個角色放置在適當的環境中時,遵守最小權限原則 (PoLP),並牢記定義的角色和所需的功能。 如前面的圖所示,作者角色已被授予進入作者環境的存取權限,但沒有其他環境的存取權限。 這個決策是基於該角色的定義和相關功能,即建立、設定和測試指南。 因此,該角色不需要存取內容生命週期的任何其他部分。
透過定義 Active Directory 安全性群組,可以將設定好的角色、功能和環境與貴組織現有的 IAM 系統相關聯,其中特定的存取和安全元素與每個角色連結。 這種設定的好處是,當使用者被授予特定角色時,他們自動獲得執行該角色任務所需的存取權限。 此外,這種 IAM 設定確保存取權限的更改和終止透過受控和自動化的程序進行,並與組織中員工的入職和離職同步。
