2023年5月14日应AIGC社区以及PowerPlatform邀请,在苏州微软进行了主题为《安全管控 Power Platform及Open AI》的分享。现在会务组已经将视频上传到bilibili.com,大家可以前往访问并查看:安全管控 Power Platform及Open AI
关于我分享的内容,我将分为《安全管控 Power Platform》和《安全管Open AI》两个系列文章为大家详细介绍下。
企业数字化转型是当今时代的必然趋势,它可以帮助企业提高效率、降低成本、增强竞争力和创新能力。但是,数字化转型也带来了一些安全风险,比如数据泄露、身份盗用、恶意攻击等。因此,企业在进行数字化转型的过程中,需要有一套完善的安全管控机制,以保护企业的数据、应用和资源免受威胁。
微软 Power Platform 是一款低代码应用开发平台,它可以让企业快速构建和部署基于云计算、大数据和人工智能等新技术的应用软件,实现数据分析、流程自动化、虚拟代理等功能。Power Platform 包括四个核心组件:Power BI、Power Apps、Power Automate 和 Power Virtual Agents,以及底层的数据连接器 Data Connector、人工智能构建器 AI Builder 和通用数据服务 Common Data Services。
Power Platform 不仅提供了强大的应用开发能力,还提供了多层次的安全管控功能,让企业可以根据自己的需求和标准,灵活地管理和保护自己的数据、应用和资源。以下是 Power Platform 的一些安全管控功能介绍:Power Platform 不仅提供了强大的应用开发能力,还提供了多层次的安全管控功能,让企业可以根据自己的需求和标准,灵活地管理和保护自己的数据、应用和资源。
Azure AD条件访问是 Azure Active Directory (Azure AD) 提供的一种功能,它可以让企业根据各种信号(例如用户、设备和位置)来自动做出访问决策,并强制执行组织的资源访问策略。条件访问策略可以包含多个条件和控制措施,例如阻止访问、要求多重身份验证、要求合规设备等。
Power Platform 可以利用 Azure AD条件访问来限制或允许用户访问 Power Platform 中的数据、应用和资源。例如:
-
企业可以创建一个条件访问策略,只允许在受信任位置(如办公室网络)或使用受信任设备(如公司分配的电脑)的用户访问 Power Platform 中的敏感数据或应用。
-
企业可以创建一个条件访问策略,要求使用旧式身份验证协议(如 SMTP 或 POP3)或不支持新式身份验证(如基本身份验证)的客户端进行多重身份验证或阻止其访问 Power Platform 中的数据或应用。
-
企业可以创建一个条件访问策略,根据用户或设备的风险水平(如登录风险或用户风险),动态地调整对 Power Platform 中的数据或应用的访问权限或要求。
要配置Azure AD条件访问策略,您需要具有Azure AD全局管理员或安全管理员的角色。您可以在Azure门户中创建和管理条件访问策略。具体步骤如下:
- 登录到Azure门户,选择Azure Active Directory。
- 在左侧菜单中,选择安全>条件访问。
- 选择新建策略。
- 输入策略名称,并选择适用于此策略的用户和组、云应用或操作、条件和访问控制。
- 保存并启用策略。
可以根据您的组织需求和风险评估来创建不同的条件访问策略。例如,您可以创建一个策略,要求所有用户使用MFA登录Power Platform环境;或者创建一个策略,只允许特定的用户组或角色访问特定的Power Platform环境;或者创建一个策略,限制从特定的国家/地区或IP地址范围访问Power Platform服务等
通过使用 Azure AD条件访问,企业可以实现以下几点:
-
提高数据安全性:通过根据用户、设备和位置等信号来控制对 Power Platform 中数据的访问权限,企业可以防止数据泄露、身份盗用、恶意攻击等风险。
-
提高应用合规性:通过根据用户、设备和位置等信号来控制对 Power Platform 中应用的访问权限,企业可以确保应用符合相关法规和标准,并遵循最佳实践。
-
提高资源效率:通过根据用户、设备和位置等信号来动态地调整对 Power Platform 中资源的访问权限或要求,企业可以节省资源消耗,并提高用户体验。
以下是我虚拟的一些用Azure AD条件访问来保护Power Platform服务的案例分析:
-
案例一:某个组织想要限制只有内部员工才能使用Power Apps和Power Automate来构建和运行应用程序和流程。他们不想允许外部合作伙伴或客户使用这些服务。为了实现这个目标,他们创建了一个条件访问策略,将用户和组设置为”所有用户”,将云应用或操作设置为”Microsoft Power Apps”和”Microsoft Power Automate”,将条件设置为”位置”,并选择”排除”选项,并勾选”所有受信任的位置”。这样,只有在组织内部网络中的用户才能访问这些服务,而在外部网络中的用户则会被阻止。
-
案例二:某个组织想要提高对Power BI数据仪表板的安全性,要求用户在使用移动设备或桌面客户端查看数据时进行多重身份验证。他们创建了一个条件访问策略,将用户和组设置为”所有用户”,将云应用或操作设置为”Microsoft Power BI”,将客户端应用设置为”移动应用和桌面客户端”,将访问控制设置为”授予”选项,并勾选”要求多重身份验证”。这样,无论用户使用哪种设备平台,都需要通过MFA才能查看Power BI数据仪表板。
-
案例三:某个组织想要防止有风险的登录行为影响其Power Platform服务。他们拥有Azure AD Premium P2许可证,并启用了Azure AD标识保护功能。他们创建了一个条件访问策略,将用户和组设置为”所有用户”,将云应用或操作设置为”Microsoft Power Apps”、”Microsoft Power Automate”、”Microsoft Power BI”和”Microsoft Power Virtual Agents”,将登录风险设置为”高”或”中”,将访问控制设置为”阻止”选项。这样,如果检测到任何异常或可疑的登录行为,如不寻常的位置、IP地址、设备等,则会阻止该用户访问任何Power Platform服务。