2023年5月14日应AIGC社区以及PowerPlatform邀请,在苏州微软进行了主题为《安全管控 Power Platform及Open AI》的分享。现在会务组已经将视频上传到bilibili.com,大家可以前往访问并查看:安全管控 Power Platform及Open AI
关于我分享的内容,我将分为《安全管控 Power Platform》和《安全管Open AI》两个系列文章为大家详细介绍下。
企业数字化转型是当今时代的必然趋势,它可以帮助企业提高效率、降低成本、增强竞争力和创新能力。但是,数字化转型也带来了一些安全风险,比如数据泄露、身份盗用、恶意攻击等。因此,企业在进行数字化转型的过程中,需要有一套完善的安全管控机制,以保护企业的数据、应用和资源免受威胁。
微软 Power Platform 是一款低代码应用开发平台,它可以让企业快速构建和部署基于云计算、大数据和人工智能等新技术的应用软件,实现数据分析、流程自动化、虚拟代理等功能。Power Platform 包括四个核心组件:Power BI、Power Apps、Power Automate 和 Power Virtual Agents,以及底层的数据连接器 Data Connector、人工智能构建器 AI Builder 和通用数据服务 Common Data Services。
Power Platform 不仅提供了强大的应用开发能力,还提供了多层次的安全管控功能,让企业可以根据自己的需求和标准,灵活地管理和保护自己的数据、应用和资源。以下是 Power Platform 的一些安全管控功能介绍:Power Platform 不仅提供了强大的应用开发能力,还提供了多层次的安全管控功能,让企业可以根据自己的需求和标准,灵活地管理和保护自己的数据、应用和资源。
Environment 是 Power Platform 中的一个重要概念,它是一个容器,用于存储和管理 Power Platform 的资源,如应用程序、数据连接器、数据实体、流程等。Environment 可以按照不同的用途、部门或地理位置进行划分,以实现资源的隔离和组织。
Environment 的角色及资源管理是 Power Platform 的安全管控核心功能之一,它可以帮助企业实现以下目标:
-
控制用户对 Environment 的访问权限:Power Platform 提供了多种角色,如管理员、制作人、用户等,用于控制用户对 Environment 的访问权限。管理员可以为不同的用户或用户组分配不同的角色,以实现最小权限原则。例如,管理员可以为开发人员分配制作人角色,让他们可以在 Environment 中创建和编辑应用程序和流程;而为普通员工分配用户角色,让他们只能在 Environment 中使用应用程序和流程。
-
控制用户对资源的访问权限:除了控制用户对 Environment 的访问权限外,Power Platform 还可以控制用户对资源的访问权限。例如,管理员可以为不同的应用程序或数据实体设置不同的共享级别,如私有、组织或公共等,以实现资源的细粒度控制。
-
监控和审计 Environment 的活动:Power Platform 还提供了监控和审计功能,让管理员可以查看 Environment 中的操作日志、错误日志、性能指标等信息,以便及时发现和处理异常情况。
Environment 角色管理是指为不同的 Environment 分配不同的角色和权限,以实现对 Environment 中资源的访问和操作控制。Environment 角色管理主要有以下特点:
-
基于 Azure AD:Environment 角色管理是基于 Azure Active Directory (Azure AD) 来实施的。Azure AD 是微软提供的云身份和访问管理服务,可以为 Power Platform 中的用户和组提供身份验证和授权。
-
基于角色:Environment 角色管理是基于角色(role)来分配权限(permission)的。角色是一组权限(permission)的集合,表示可以在 Environment 中执行的操作。权限(permission)是表示可以访问或操作某种资源(如应用、流程、连接器等)的能力。
-
基于策略:Environment 角色管理是基于策略(policy)来执行的。策略是定义哪些用户或组可以拥有哪些角色的规则集合。策略可以包含赋予(grant)或拒绝(deny)两种类型的规则。赋予规则表示给予用户或组某种角色;拒绝规则表示禁止用户或组拥有某种角色。
要管理environment中的用户和权限,您需要具有环境管理员或环境制作人的角色。环境管理员可以管理environment中的所有设置和资源,包括添加或删除用户、分配角色、配置数据保护策略等。环境制作人可以在environment中创建和管理应用程序、连接器、流程等资源,但不能管理environment本身的设置。
您可以根据您的组织结构和业务需求来分配不同的用户和角色到不同的environment中。例如,您可以为开发人员分配环境制作人的角色到开发environment中;为测试人员分配环境制作人的角色到测试environment中;为业务所有者分配环境管理员的角色到生产environment中等。
资源是指 Power Platform 中使用或创建的任何对象,比如应用、流程、连接器、实体等。资源权限管理是指对资源进行访问控制和共享设置的功能。Power Platform 提供了资源权限管理功能,让企业可以根据自己的需求和标准,为每个资源定义不同的权限,并为每个用户或组织分配不同的权限。例如,企业可以为某个应用设置只有所有者才能修改或删除该应用;或者为某个流程设置只有特定用户或组织才能运行或编辑该流程。
要配置资源级别的权限,您需要具有相应资源类型的创建或编辑权限。例如,要配置应用程序级别的权限,您需要具有创建或编辑应用程序的权限。要配置连接器级别的权限,您需要具有创建或编辑连接器的权限。不同类型的资源可能有不同的方式来设置权限。例如,要配置应用程序级别的权限,您可以在Power Apps Studio中打开应用程序,并选择共享按钮;要配置连接器级别的权限,您可以在Power Apps门户中打开连接器,并选择编辑按钮。一般来说,您可以为资源分配以下几种类型的权限:
- 共享者:可以共享资源给其他用户或团队,并修改共享设置。
- 使用者:可以使用资源,但不能修改或共享它。
- 制作人:可以修改资源,并将其发布到其他environment中。
- 所有者:拥有对资源的完全控制权,并且是默认的共享者。
下面我们来看虚拟案例,展示Power Platform如何帮助企业实现数字化转型的安全管控。某金融机构想要利用Power Platform构建一个贷款审批系统,该系统需要满足以下需求:
-
贷款申请人可以通过移动端或网页端填写并提交贷款申请表单;
-
贷款审批人可以通过移动端或网页端查看并处理贷款申请;
-
贷款审批过程需要遵循一定的规则和流程;
-
贷款申请和审批的数据需要存储在安全的数据库中,并且只有授权的人员才能访问;
-
贷款申请和审批的活动需要记录在审计日志中,并且可以进行数据分析和可视化。
为了实现这个需求,该金融机构可以采用以下步骤:
-
在 Power Platform 管理中心中创建一个名为 365vCloudApproval 的 Environment,并为该 Environment 分配一个数据库。
-
在该 Environment 中创建一个名为 365vCloudApp 的画布式应用程序,并使用 Power Apps Studio 设计应用程序的界面和逻辑。
-
在该 Environment 中创建一个名为 365vCloudApproval 的数据实体,并定义数据实体的字段和关系。
-
在该 Environment 中创建一个名为 365vCloudApproval 的流程,并使用 Power Automate 设计器设计流程的触发器和操作。
-
在该 Environment 中为贷款申请人分配用户角色,并给予他们对 365vCloudApp 应用程序和 365vCloudApproval 数据实体的读写权限。
-
在该 Environment 中为贷款审批人分配制作人角色,并给予他们对 365vCloudApp 应用程序和 365vCloudApproval 数据实体的读写权限。
-
在 Power BI 中连接到 365vCloudApproval 数据实体,并创建一个名为 365vCloudReport 的报表,用于展示贷款申请和审批的数据分析和可视化。
-
在 Power Platform 管理中心中查看 365vCloudApproval Environment 的操作日志、错误日志、性能指标等信息,并进行监控和审计。
通过以上步骤,该金融机构就可以利用 Power Platform 快速构建并部署一个贷款审批系统,并且实现了对该系统的安全管控。通过使用 Environment 角色管理,可以实现以下几点:
-
防止未经授权的访问:通过定义不同角色的权限,并设置赋予或拒绝规则,企业可以控制哪些用户或组可以访问或操作 Environment 中的资源,从而防止未经授权或不合法的访问。
-
提高数据安全性:通过为不同类型或敏感性级别的数据分配不同 Environment,并为每个 Environment 设置合适的角色和策略,企业可以保护数据在 Power Platform 中被安全地存储和使用,并避免因为数据泄露或破坏而造成损失。
-
提高应用质量:通过为测试和生产版本的应用分配不同 Environment,并为每个 Environment 设置合适的角色和策略,企业可以保证应用在 Power Platform 中被有效地开发和部署,并避免因为错误或冲突而影响应用质量。