备注
全新改进的 Power Platform 管理中心现已进入公开预览阶段! 我们将新的管理中心设计为更易于使用,具有面向任务的导航功能,可帮助你更快地实现特定结果。 随着新的 Power Platform 管理中心进入正式发布阶段,我们将发布新的更新文档。
Power Platform 管理中心中的安全性页面旨在增强组织的安全性并简化管理。 它提供了一个集中位置,您可以在其中查看和管理安全建议、评估安全分数以及实施主动策略来保护组织。
管理员可以完成以下任务:
- 评估您的安全得分:使用安全得分了解并改进组织的安全策略。 安全分数以定性量表显示(低、中或高)。 它可帮助您衡量组织在 Microsoft Power Platform 和 Dynamics 365 工作负载方面的安全状况。
- 根据建议采取行动:确定并实施系统生成的有影响力的建议。 这些建议基于提高租户安全分数的最佳做法。
- 管理前瞻性策略:管理用于治理和安全的前瞻性策略。
先决条件
要查看安全得分,您必须打开租户范围分析。 您可以在如何启用租户级分析中找到相关说明。
备注
打开租户分析后,安全页面可能需要 24 小时才能填充数据。 在此之前,页面的大多数部分都显示消息“正在计算安全分数”。
访问安全性页面
要访问安全性页面,必须拥有 Microsoft Entra ID 角色,如 Power Platform 管理员或 Dynamics 365 管理员。 有关这些角色的更多信息,请参阅使用服务管理员角色管理租户。 环境管理员可以通过打开安全页面来管理自有环境的安全性和合规性功能,具体步骤如下。
- 登录 Power Platform 管理中心。
- 在导航窗格中,选择安全性。
- 在安全窗格中,选择要打开的页面。 您可以打开数据保护和隐私、身份和访问管理和合规页面。
备注
只有租户管理员才能访问概述页面上的记分卡和建议(安全>概述)。
只有租户管理员才能将环境转换为托管类型。
在每个安全页面上,适用于托管环境的功能都标有以下计量符号:
主要功能
安全扫描(预览)
[此部分为预发布文档,可能会更改。]
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
安全评分是根据环境中开启的安全功能计算得出的。 它可以衡量贵组织在 Microsoft Power Platform 和 Dynamics 365 工作负载方面的安全状况。
定性评分:安全分数以定性标度显示,使用三个评估标签:
- 低:分数范围 0 到 50 分
- 中:分数范围 51 到 80 分
- 高:分数范围 81 到 100 分
环境中开启的安全功能越多,安全分数越高。 中和高评估标签表示采取了更多的建议措施,从而改善了租户的安全状况。
功能影响:每个安全功能都会根据该功能的范围以及打开或关闭该功能所影响的资源数量分配一个分数。 随着新安全功能的添加,可能的总分可能会发生变化。 因此,即使您的设置保持不变,您的总分也可能会受到影响。
分数计算公式:安全得分以百分比表示,计算公式如下:
(您的得分 ÷ 可能的总得分)× 100
例如,您的租户有 10 个环境、5 个托管环境和 5 个非托管环境。 已配置以下功能:
- IP 防火墙:在 10 个环境中两个环境开启(2 分)。
- 租户隔离:在所有 10 个环境中均已开启(10 分)。
- 环境安全组:在 10 个环境中 5 个环境开启(5 分)。
在这种情况下,您的总分是 2 + 10 + 5 = 17,可能的总分是 30。 因此,您的安全分数为(17 ÷ 30)× 100 = 56.66%。
重要提示
- 安全评分每 24 小时更新一次。 因此,,执行的任何操作最多可能需要 24 小时才能反映更新的分数。
- 分数计算考虑了所有环境,包括托管环境和非托管环境。
- 如果建议面板中没有要执行操作的托管环境,您将不会看到任何列出的环境。
通过建议进行反应式治理
系统会根据可提高租户安全分数的常见最佳做法生成各种建议。 建议是指管理员可以采取的行动或措施,以增强其整体安全状态。
- 管理员将通过直观的体验得到指导,对环境采取相关操作,以获得特定建议。
- 每个建议都显示了总体安全分数的潜在提高。
虽然建议涵盖所有环境,但您只能在受管环境中对其采取行动。 在非托管环境中,您可以打开设置页面,找到所需的功能,然后为这些环境打开建议功能。
触发功能建议的条件
下表概述了触发特定功能建议的条件。
| 特性 | 作用域 | 触发建议的条件 |
|---|---|---|
| 管理员特权 | Environment | 管理员超过 10 个的环境 |
| 审核 | Environment | 关闭审核的环境 |
| 客户密码箱 | 租户 | 启用了客户密码箱但没有托管环境的租户 |
| 客户端应用程序访问控制 | Environment | 启用审核且未配置客户端应用程序访问控制的环境 |
| 数据策略 | 租户 | 未设置租户级别策略。 |
| Azure 虚拟网络环境 | Environment | 没有虚拟网络策略的环境 |
| 环境安全组 | Environment | 没有安全组的环境 |
| 来宾访问 | Environment | 关闭了受限来宾访问的环境 |
| IP 防火墙 | Environment | 未配置 IP 防火墙的环境 |
| 基于 IP 地址的 Cookie 绑定 | Environment | 未配置基于 IP 地址的 Cookie 绑定的环境 |
| 共享 | Environment | 没有共享限制的环境 |
| 租户隔离 | 租户 | 租户隔离设置处于关闭状态。 |
管理主动治理和安全策略
有多种安全功能可用于帮助保护租户。 对于其中一些功能,托管环境是先决条件。 因此,在配置此类功能之前,系统会要求您将环境转换为托管类型(如果环境不是托管类型)。
使用以下链接可查看和管理用于治理和安全的主动策略:
- 数据保护和隐私:通过客户管理密钥、数据策略和 Azure 虚拟网络等功能,确保个人信息得到安全处理、存储和保护;防止未经授权访问数据;保护应用程序和云工作负载免受基于网络的网络攻击。
- 身份和访问管理:通过 IP 防火墙、基于 IP 地址的 cookie 绑定、租户隔离、环境安全组、共享控制和访客访问等功能,确保只有授权用户才能访问整个租户项目中的敏感数据。
- 合规性:利用客户密码箱和审核等功能,实施强大的合规措施,保护组织数据并确保遵守行业法规。
提供反馈
每个安全页面的右下角都有一个反馈按钮。 选择该按钮可打开 Microsoft 表单,您可以在此提交有关安全页面和相关功能的反馈和建议。
常见问题 (FAQ)
如何计算安全分数?
安全评分是根据环境中开启的安全功能计算得出的。 系统会根据功能的范围以及打开或关闭安全功能所影响的资源数量,为每个安全功能分配一个分数。 请务必注意,随着新安全功能的添加,可能的总分可能会发生变化。 因此,即使您的设置保持不变,您的整体安全分数也可能会受到影响。
为什么推荐操作中没有显示所有环境?
虽然建议涵盖所有环境,但您只能在受管环境中对其采取行动。 在非托管环境中,您可以打开设置页面,找到所需的功能,然后为这些环境打开建议功能。
客户可以根据自己的需求修改建议吗?
不支持。 这些建议由系统生成,并基于 Microsoft 最佳实践和指南。
在我采取建议作后,何时可以更新安全分数?
采取措施打开该功能后,最多可能需要 24 小时才能反映总体安全分数。 安全评分不是实时更新的。
为什么管理员权限不适用于环境管理员,例如系统管理员角色?
这个问题是一个已知限制。 只有租户管理员才能管理管理员权限。