Filtratge d'extrems del connector (versió preliminar)

[Aquest article forma part de la documentació preliminar i està subjecte a canvis.]

El filtratge de punts finals del connector permet als administradors controlar a quins punts finals específics es poden connectar els creadors quan creen aplicacions, fluxos o chatbots. Està configurat dins d'una norma de dades i està disponible exclusivament per als connectors següents:

• HTTP
• HTTP amb Microsoft Entra ID (AD)
• HTTP Webhook
• SQL Server (inclou l'ús de SQL Server Connector per accedir Azure Synapse al magatzem de dades)
• Azure Blob Storage
• SMTP
• Automatització del navegador
• Automatització de la interfície d'usuari

Quan un creador connecta la seva aplicació, flux o chatbot a un punt final bloquejat, veu un missatge d'error de política de dades.

Advertiment

Les regles de filtratge de punts finals no s'apliquen a variables d'entorn, entrades personalitzades ni a cap punt final creat dinàmicament en temps d'execució. Només s'avaluen els punts finals estàtics als dissenyadors d'aplicacions, fluxos o chatbots. Per obtenir més informació, vegeu Limitacions conegudes.

Important

• Aquesta és una característica de visualització prèvia.
• Les característiques en versió preliminar no estan dissenyades per a un entorn de producció i poden tenir una funcionalitat restringida. Aquestes funcions estan subjectes a condicions d'ús addicionals i estan disponibles abans d'un llançament oficial perquè els clients puguin obtenir accés anticipat i proporcionar comentaris.

Afegir regles de filtratge de punts finals a les normes de dades

La columna Punt final configurable de la pàgina Connectors preconstruïts de les normes de dades indica si la capacitat de filtratge del punt final és compatible amb el connector.

Si el valor de la columna configurable de l'extrem és Sí, podeu utilitzar aquesta capacitat fent clic amb el botó dret del ratolí i després seleccionant Configura el connector>Extrems del connector.

S'obre un tauler lateral on especifiqueu una llista ordenada de patrons d'URL Permet o Denega. L'última fila de la llista és una regla per al caràcter comodí (*) que s'aplica a tots els extrems d'aquest connector. Per defecte, el * patró es configura com a Permet per a polítiques de dades noves, però podeu etiquetar-lo com a Permet o Denega.

Afegir regles noves

Per afegir regles noves, seleccioneu Afegeix un extrem. S'afegeixen regles noves al final de la llista de patrons com a penúltima regla. Això es deu al fet que * és l'última entrada de la llista. Tanmateix, podeu actualitzar l'ordre dels patrons mitjançant la llista desplegable Ordre o seleccionant Desplaça cap amunt o Mou cap avall .

Després d'afegir un patró, podeu editar-lo o suprimir-lo seleccionant una fila específica i després seleccionant Suprimeix.

Després de desar les regles de filtratge del punt final del connector i la norma de dades on estan definides, s'apliquen instantàniament als entorns de destinació. La imatge següent mostra un exemple en què un creador intenta connectar el seu flux de núvol a un punt final HTTP que no està permès.

Limitacions conegudes

• Les regles de filtratge de punts finals no s'apliquen a les variables d'entorn, les entrades personalitzades i els punts finals vinculats dinàmicament durant el temps d'execució. Només s'apliquen els extrems estàtics que es coneixen i seleccionen quan es crea una aplicació, un flux o un chatbot durant el temps de disseny. Això vol dir que les regles de filtratge d'extrems de connector per a l'SQL Server i l'Azure Blob Storage no s'apliquen si les connexions s'autentiquen amb l'identificador de Microsoft Entra. A les dues captures de pantalla següents, un creador crea un flux de núvol que defineix l'SQL Server i la base de dades dins de les variables i, a continuació, utilitza aquestes variables com a entrada per a la definició de connexió. Com a resultat, les regles de filtratge de punts finals no s'avaluen i el flux al núvol s'executa correctament.

  

  

• El Power Apps publicat abans de l'1 d'octubre de 2020 s'ha de tornar a publicar perquè s'apliquin les regles d'acció del connector de política de dades i les regles d'extrem. L'script següent permet als administradors i creadors identificar les aplicacions que s'han de tornar a publicar per complir aquestes noves regles de control granular de la política de dades:

  Add-PowerAppsAccount
  
  $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"
  
  ForEach ($app in Get-AdminPowerApp){
  
      $versionAsDate = [datetime]::Parse($app.LastModifiedTime)
  
      $olderApp = $versionAsDate -lt $GranularDLPDate
  
      $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 
  
      If($($olderApp -and !$wasBackfilled)){
          Write-Host "App must be republished to comply with granular data policy: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
      } 
      Else{ 
          Write-Host "App is already Granular data policy compliant: " $app.AppName 
      }
  }
  

Formats d'entrada i exemples de l'extrem

Cada connector defineix un punt final de manera diferent i alguns extrems poden estar en diversos formats. Per tant, heu d'introduir punts finals en tots els formats possibles per impedir que els creadors els utilitzin quan creeu aplicacions i fluxos. Els administradors poden introduir el nom complet del punt final o utilitzar la coincidència de patrons amb el caràcter comodí (*) per crear una regla de filtratge del punt final. Aquestes regles s'introdueixen i es presenten en una llista ordenada de patrons de punt final, és a dir, s'avaluen en ordre ascendent per número. L'última regla per a qualsevol connector és sempre * Permetre o * Denegar. Permetre és el valor predeterminat, que es pot canviar a Denegar.

L'orientació següent descriu com s'introdueixen extrems del connector mentre es creen regles per permetre-les o denegar-les.

SQL Server

Llista dels extrems de connexió de l'SQL Server en <Server_name, database_name> format. Algunes coses que cal tenir en compte:

• Els fabricants poden introduir el nom del servidor en diversos formats. Per adreçar-se a un punt final, introduïu-lo en tots els formats possibles. Per exemple, les instàncies locals poden tenir el format <machine_name\named_instance, database_name> o <IP address, custom port, database_name>. En aquest cas, heu d'aplicar regles de permís o bloqueig en ambdós formats per a un punt final. Per exemple:

  • Bloquejar WS12875676\Servername1,MktingDB
  • Bloquejar 11.22.33.444,1401,MktingDB

• Cap lògica especial gestiona adreces relatives com localhost. Per tant, si bloquegeu *localhost*, bloqueja els creadors d'utilitzar qualsevol punt final utilitzant-lo localhost com a part del punt final de l'SQL Server. Tanmateix, no els impedeix accedir al punt final mitjançant l'adreça absoluta, tret que l'administrador també hagi bloquejat l'adreça absoluta.

A continuació trobareu alguns exemples:

• Permet només les instàncies de l'Azure SQL Server:

  1. Permet *.database.windows.net*
  2. Denega *

• Permetre només un interval d'IP específic: (el creador encara pot introduir les adreces IP que no estan permeses en <machine_name\named_instance> format).

  1. Permet 11.22.33*
  2. Denega *

Dataverse

Els extrems del Dataverse es representen amb l'identificador de l'organització, com ara 00aa00aa-bb11-cc22-dd33-44ee44ee44ee. Tingueu en compte que actualment només el connector normal Dataverse està en l'àmbit del filtratge de punts finals. Dataverse Els connectors dinàmics i Dataverse actuals no estan dins de l'abast. A més, la instància local del Dataverse (també anomenada entorn actual) no es pot bloquejar per utilitzar-se en un entorn. Això vol dir que els creadors sempre poden accedir a l'entorn actual del Dataverse dins de qualsevol entorn.

Per tant, una regla que diu:

1. Permet 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
2. Denega *

En realitat, significa:

1. Permet Dataverse current environment
2. Permet 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
3. Denega *

Permet Dataverse current environment és sempre la primera regla implícita de la llista de filtres d'extrems del Dataverse per a qualsevol entorn.

Azure Blob Storage

Els punts finals de l'Azure Blob Storage utilitzen el nom del compte d'emmagatzematge de l'Azure.

SMTP

Els extrems SMTP estan representats en el format <SMTP server address, port number>.

Aquí teniu un escenari d'exemple:

1. Denega smtp.gmail.com,587
2. Permet *

HTTP amb Microsoft Entra ID, webhook HTTP i connectors HTTP

Els punts finals del connector HTTP utilitzen un patró d'URL. L'acció Obtén el recurs web del connector HTTP with Microsoft Entra està fora de l'abast.

Aquí teniu un exemple d'escenari:

Permet l'accés només a la pàgina de subscripcions de l'Azure dins de https://management.azure.com/.

1. Permet https://management.azure.com/subscriptions*
2. Denega https://management.azure.com/*
3. Denega *

Automatització del navegador

Aquesta característica us permet controlar les pàgines web a les quals accedeix un flux d'escriptori al Power Automate per a l'escriptori. Els punts finals es representen en format d'URL o de nom de pàgina web i podeu utilitzar comodins per a la coincidència dinàmica d'URL o de noms de pàgina. La validació es produeix durant les accions "Inicia el navegador web" o "Vés a la pàgina web" abans que un flux d'escriptori continuï amb les interaccions del navegador.

Nota

El filtratge de punts finals no es valida quan les accions "Inicia el navegador web" estan configurades per adjuntar-se a la finestra en primer pla. En aquests casos, l'acció no es bloqueja tret que es denega l'accés a totes les pàgines web.

Aquí teniu un escenari d'exemple:

Permet l'accés a totes les pàgines web excepte l'URL https://www.microsoft.com/ i qualsevol URL o pàgina web que contingui la cadena powerplatform.

1. Denega https://www.microsoft.com/
2. Denega *powerplatform*
3. Permet *

Automatització de la interfície d'usuari

Aquesta característica us permet definir amb quines aplicacions i pantalles pot interactuar un flux d'escriptori al Power Automate per a l'escriptori. Els punts finals s'especifiquen mitjançant el nom del procés de l'aplicació. Quan el nom del procés és ApplicationFrameHost, Java o Javaw, que indica una Plataforma universal del Windows (UWP) o una aplicació Java on diverses instàncies poden compartir el mateix nom, el Power Automate per a l'escriptori utilitza tant el nom del procés com el nom de visualització de la finestra per identificar amb precisió la destinació. Els comodins s'admeten per a la coincidència flexible.

La validació es produeix en qualsevol acció del grup d'automatització de la interfície d'usuari. Comprova l'atribut Procés (indicat pel número 1 de la imatge) o l'atribut Nom (indicat pel número 2 de la imatge) al selector de la pantalla de destinació (com es mostra a la fletxa de la imatge). Normalment, el pare dels elements de la interfície d'usuari relacionats s'utilitza per determinar si la interacció està permesa.

Les regles de filtratge de punts finals no s'apliquen a variables ni a punts finals enllaçats dinàmicament. Si una expressió inclou alguna cosa que no sigui una cadena literal, el filtratge s'obvia, permetent l'accés a arguments de connector restringits. El comportament de la política per defecte és que totes les polítiques de filtratge de punts finals inclouen una regla bàsica (Permet * o Denega *), per defecte Permet * (Permet-ho tot).

• Quan s'utilitza Permet * : els valors dinàmics no es filtren. Qualsevol expressió dinàmica evita el filtratge de punts finals, fins i tot si les aplicacions específiques estan restringides.
• Quan s'utilitza Denegar * : tots els valors dinàmics estan bloquejats per defecte, garantint una aplicació més estricta.

Nota

• El filtratge de punts finals no s'aplica si els atributs rellevants (Procés o Nom) no formen part del selector.
• El filtratge de punts finals no és compatible amb determinats elements de la interfície d'usuari del sistema operatiu Windows, incloses les icones de l'escriptori, els botons de la barra de tasques i els components del menú Inici.

Aquí teniu un escenari d'exemple. Per permetre l'accés a totes les aplicacions i pantalles, excepte aquelles en què l'atribut Procés o Nom sigui exactament Calculadora o contingui la cadena Java, hauríeu de configurar les regles següents:

1. Denega Calculator
2. Denega *Java*
3. Permet *

Compatibilitat del PowerShell per al filtratge d'extrems

Configurar les regles de filtratge d'extrems per a una norma

L'objecte que conté regles de filtratge de punts finals per a una norma s'anomena configuracions del connector.

L'objecte de configuracions del connector té l'estructura següent:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Notes

• L'última regla de cada connector sempre s'ha d'aplicar a l'adreça URL * per garantir que totes les adreces URL estiguin cobertes per les regles.
• La propietat order de les regles per a cada connector ha d'utilitzar els números de l'1 a N, on N és el nombre de regles per a aquest connector.

Recupera les configuracions de connector existents per a una norma de dades

Get-PowerAppDlpPolicyConnectorConfigurations 

Crear configuracions de connector per a una norma de dades

New-PowerAppDlpPolicyConnectorConfigurations

Actualitzar les configuracions del connector per a una norma de dades

Set-PowerAppDlpPolicyConnectorConfigurations

Exemple

Objectiu:

Per al connector d'SQL Server:

• Denegar la base de dades "testdatabase" del servidor "myservername.database.windows.net"
• Permet totes les altres bases de dades del servidor "myservername.database.windows.net"
• Denega la resta de servidors

Per al connector SMTP:

• Permet Gmail (adreça del servidor: smtp.gmail.com; port: 587)
• Denega la resta d'adreces

Per al connector HTTP:

• Permetre punts finals https://mywebsite.com/allowedPath1 i https://mywebsite.com/allowedPath2
• Denega la resta d'adreces URL

Nota

Al cmdlet següent, PolicyName fa referència a l'únic GUID. Recupereu el GUID de la política de dades executant el cmdlet Get-DlpPolicy .

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations