Filtratge d'extrems del connector (versió preliminar)
[Aquest article forma part de la documentació preliminar i està subjecte a canvis.]
El filtratge de punts finals del connector permet als administradors controlar a quins punts finals específics es poden connectar els creadors quan creen aplicacions, fluxos o chatbots. Està configurat dins d'una norma de prevenció de pèrdua de dades (DLP) i està disponible exclusivament per a sis connectors:
- HTTP
- HTTP amb Microsoft Entra ID (AD)
- HTTP Webhook
- SQL Server (inclou l'ús de SQL Server Connector per accedir Azure Synapse al magatzem de dades)
- Azure Blob Storage
- SMTP
Quan un creador intenta connectar la seva aplicació, flux o chatbot a un punt final bloquejat, trobarà un missatge d'error DLP.
Advertiment
Les regles de filtratge de punts finals no s'apliquen a les variables d'entorn, a les entrades personalitzades ni a cap punt final que es creï dinàmicament en temps d'execució. Només s'avaluen els punts finals estàtics als dissenyadors d'aplicacions, fluxos o chatbots. Per obtenir més informació, vegeu Limitacions conegudes.
Important
Les característiques de visualització prèvia no estan dissenyades per a un entorn de producció i poden tenir una funcionalitat restringida. Aquestes característiques estan disponibles abans d’un llançament oficial de producte per tal que els clients el puguin utilitzar abans i enviar-nos els seus comentaris.
Afegir regles de filtratge de punts finals a les normes DLP
La columna Punt final configurable , a la pàgina Connectors predefinits de Polítiques de dades, indica si la capacitat de filtratge de punts finalsés compatible amb el connector.
Si el valor de la columna configurable de l'extrem és Sí, podeu utilitzar aquesta capacitat fent clic amb el botó dret del ratolí i després seleccionant Configura el connector>Extrems del connector.
S'obre una subfinestra lateral on podeu especificar una llista ordenada de patrons d'adreça URL Permet o Denega. L'última fila de la llista sempre serà una regla per al caràcter comodí (*
), que s'aplica a tots els punts finals d'aquest connector. Per defecte, el patró *
es configura com a Permet per a les noves polítiques de DLP, però podeu etiquetar-ho com a Permet o Denega.
Afegir regles noves
Per afegir regles noves, seleccioneu Afegeix un extrem. Les regles noves s'afegeixen al final de la llista de patrons com a penúltima regla. Això es deu al fet que *
sempre serà l'última entrada de la llista. Tanmateix, podeu actualitzar l'ordre dels patrons mitjançant la llista desplegable Ordre o seleccionant Desplaça cap amunt o Mou cap avall .
Després d'afegir un patró, el podeu editar o suprimir seleccionant una fila específica i, a continuació, seleccionant Suprimeix.
Després de desar les regles de filtratge del punt final del connector i la política DLP en què es defineixen, s'apliquen instantàniament als entorns de destinació. A continuació es mostra un exemple en què un fabricant va intentar connectar el seu flux de núvol a un punt final HTTP que no està permès.
Limitacions conegudes
Les regles de filtratge de punts finals no s'apliquen a les variables d'entorn, les entrades personalitzades i els punts finals vinculats dinàmicament durant el temps d'execució. Només es coneixen i se seleccionen els extrems estàtics quan es building una aplicació, un flux o un bot de xat durant el temps de disseny. Això implica que les regles de filtratge de punts finals del connector per a SQL Server i Azure Blob Storage no s'apliquen si les connexions s'autenticen amb Microsoft Entra ID. A les dues captures de pantalla següents, un creador ha creat un flux de núvol que defineix l'SQL Server i la base de dades dins de les variables, i després utilitza aquestes variables com a entrada a la definició de connexió. Per tant, les regles de filtratge de punts finals no s'avaluen i el flux de núvol es pot executar correctament.
Alguns Power Apps publicats abans de l'1 d'octubre de 2020 s'han de tornar a publicar perquè s'apliquin les regles d'acció del connector DLP i les regles de punt final. El següent script permet als administradors i creadors identificar aplicacions que s'han de tornar a publicar per respectar aquestes noves regles de control DLP granular:
Add-PowerAppsAccount $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z" ForEach ($app in Get-AdminPowerApp){ $versionAsDate = [datetime]::Parse($app.LastModifiedTime) $olderApp = $versionAsDate -lt $GranularDLPDate $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) If($($olderApp -and !$wasBackfilled)){ Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " " $app.Internal.properties.displayName " " $app.Internal.properties.owner.email } Else{ Write-Host "App is already Granular DLP compliant: " $app.AppName } }
Formats d'entrada i exemples de l'extrem
Cada connector té una noció diferent del que significa un extrem. A més, alguns extrems es poden definir en diversos formats. Per aquest motiu, s'han d'introduir extrems en tots els formats possibles per tal d'evitar que els creadors en facin ús mentre creen aplicacions i fluxos. Els administradors poden introduir el nom complet de l'extrem o utilitzar la coincidència de patrons amb el caràcter comodí (*
) quan creen una regla de filtratge d'extrems. Aquestes regles s'introdueixen i es presenten en una llista ordenada de patrons de l'extrem, la qual cosa vol dir que s'avaluaran en ordre ascendent per nombre. Tingueu en compte que l'última regla per a qualsevol connector donat és sempre *
Permetre o *
Denegar. Permetre és el valor predeterminat, que es pot canviar a Denegar.
L'orientació següent descriu com s'introdueixen extrems del connector mentre es creen regles per permetre-les o denegar-les.
SQL Server
Els extrems de connexió de l'SQL Server s'han d'enumerar en el format <Server_name, database_name>
. Algunes coses que cal tenir en compte:
Els creadors poden introduir el nom del servidor en diversos formats. Per tant, per dirigir un extrem del tot, s'ha d'introduir en tots els formats possibles. Per exemple, les instàncies locals poden tenir el format
<machine_name\named_instance, database_name>
o<IP address, custom port, database_name>
. En aquest cas, haureu d'aplicar regles de permís o bloqueig en tots dos formats per a un extrem. Per exemple:- Bloquejar
WS12875676\Servername1,MktingDB
- Bloquejar
11.22.33.444,1401,MktingDB
- Bloquejar
No hi ha cap lògica especial per gestionar adreces relatives, com ara
localhost
. Per tant, si bloqueu*localhost*
, privarà els creadors de fer servir els extrems utilitzantlocalhost
com a part de l'extrem de l'SQL Server. Tanmateix, no impedirà que accedeixin a l'extrem per mitjà de l'adreça absoluta, tret que l'administrador hagi bloquejat també l'adreça absoluta.
Els següents són exemples:
Permet només les instàncies de l'Azure SQL Server:
- Permet
*.database.windows.net*
- Denega
*
- Permet
Permetre només un interval d'IP específic: (Tingueu en compte que el fabricant encara pot introduir les adreces IP que no estan permeses en
<machine_name\named_instance>
format).- Permet
11.22.33*
- Denega
*
- Permet
Dataverse
Dataverse els punts finals es representen mitjançant l'ID de l'organització , com ara,. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 Tingueu en compte que només el connector habitual del Dataverse està actualment cobert per al filtratge d'extrems. Els connectors dinàmics del Dataverse i els actuals del Dataverse no estan coberts. A més, la instància local del Dataverse (també anomenada entorn actual) no es pot bloquejar per utilitzar-se en un entorn. Això vol dir que en qualsevol entorn determinat, els creadors sempre poden accedir a l'entorn actual del Dataverse.
Per tant, una regla que digui el següent:
- Permet
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Denega
*
En realitat, significa:
- Permet
Dataverse current environment
- Permet
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Denega
*
Permet Dataverse current environment
és sempre la primera regla implícita de la llista de filtres d'extrems del Dataverse per a qualsevol entorn.
Azure Blob Storage
El nom del compte d'emmagatzematge de l'Azure representa els extrems de l'Azure Blob Storage.
SMTP
Els extrems SMTP estan representats en el format <SMTP server address, port number>
.
A continuació hi ha una situació d'exemple:
- Denega
smtp.gmail.com,587
- Permet
*
HTTP amb Microsoft Entra ID, webhook HTTP i connectors HTTP
Els extrems de tots els connectors HTTP estan representats per un patró URL. L'acció Obtén el recurs web del connector HTTP with Microsoft Entra està fora de l'abast.
A continuació hi ha una situació d'exemple:
Permet l'accés només a la pàgina de subscripcions de l'Azure dins de https://management.azure.com/
.
- Permet
https://management.azure.com/subscriptions*
- Denega
https://management.azure.com/*
- Denega
*
Compatibilitat del PowerShell per al filtratge d'extrems
Configurar les regles de filtratge d'extrems per a una norma
L'objecte que conté les regles de filtratge d'extrems per a una norma a continuació s'anomena configuracions del connector.
L'objecte de configuracions del connector té l'estructura següent:
$ConnectorConfigurations = @{
connectorActionConfigurations = @() # used for connector action rules
endpointConfigurations = @( # array – one entry per
@{
connectorId # string
endpointRules = @( # array – one entry per rule
@{
order # number
endpoint # string
behavior # supported values: Allow/Deny
}
)
}
)
}
Notes
- L'última regla de cada connector sempre s'ha d'aplicar a l'URL,
*
per garantir que tots els URL estiguin coberts per les regles. - La propietat order de les regles per a cada connector s'ha d'emplenar amb números de l'1 a N, on N és el nombre de regles per a aquest connector.
Recuperar les configuracions de connector existents per a una norma DLP
Get-PowerAppDlpPolicyConnectorConfigurations
Crear configuracions de connector per a una norma DLP
New-PowerAppDlpPolicyConnectorConfigurations
Actualitzar les configuracions del connector per a una norma DLP
Set-PowerAppDlpPolicyConnectorConfigurations
Exemple
Objectiu:
Per al connector d'SQL Server:
- Denega la base de dades "testdatabase" del servidor "myservername.database.windows.net"
- Permet totes les altres bases de dades del servidor "myservername.database.windows.net"
- Denega la resta de servidors
Per al connector SMTP:
- Permet Gmail (adreça del servidor: smtp.gmail.com; port: 587)
- Denega la resta d'adreces
Per al connector HTTP:
- Permetre punts finals
https://mywebsite.com/allowedPath1
ihttps://mywebsite.com/allowedPath2
- Denega la resta d'adreces URL
Nota
Al cmdlet següent, PolicyName fa referència a l'únic GUID. Podeu recuperar el GUID de D CLICA executant el cmdlet Get-DIpPolicy.
$ConnectorConfigurations = @{
endpointConfigurations = @(
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql"
endpointRules = @(
@{
order = 1
endpoint = "myservername.database.windows.net,testdatabase"
behavior = "Deny"
},
@{
order = 2
endpoint = "myservername.database.windows.net,*"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp"
endpointRules = @(
@{
order = 1
endpoint = "smtp.gmail.com,587"
behavior = "Allow"
},
@{
order = 2
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "http"
endpointRules = @(
@{
order = 1
endpoint = "https://mywebsite.com/allowedPath1"
behavior = "Allow"
},
@{
order = 2
endpoint = "https://mywebsite.com/allowedPath2"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
}
)
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations