Comparteix a través de


Filtratge d'extrems del connector (versió preliminar)

[Aquest article forma part de la documentació preliminar i està subjecte a canvis.]

El filtratge de punts finals del connector permet als administradors controlar a quins punts finals específics es poden connectar els creadors quan creen aplicacions, fluxos o chatbots. Està configurat dins d'una norma de prevenció de pèrdua de dades (DLP) i està disponible exclusivament per a sis connectors:

  • HTTP
  • HTTP amb Microsoft Entra ID (AD)
  • HTTP Webhook
  • SQL Server (inclou l'ús de SQL Server Connector per accedir Azure Synapse al magatzem de dades)
  • Azure Blob Storage
  • SMTP

Quan un creador intenta connectar la seva aplicació, flux o chatbot a un punt final bloquejat, trobarà un missatge d'error DLP.

Advertiment

Les regles de filtratge de punts finals no s'apliquen a les variables d'entorn, a les entrades personalitzades ni a cap punt final que es creï dinàmicament en temps d'execució. Només s'avaluen els punts finals estàtics als dissenyadors d'aplicacions, fluxos o chatbots. Per obtenir més informació, vegeu Limitacions conegudes.

Important

Les característiques de visualització prèvia no estan dissenyades per a un entorn de producció i poden tenir una funcionalitat restringida. Aquestes característiques estan disponibles abans d’un llançament oficial de producte per tal que els clients el puguin utilitzar abans i enviar-nos els seus comentaris.

Afegir regles de filtratge de punts finals a les normes DLP

La columna Punt final configurable , a la pàgina Connectors predefinits de Polítiques de dades, indica si la capacitat de filtratge de punts finalsés compatible amb el connector.

Punt final configurable a la pàgina Connectors predefinits.

Si el valor de la columna configurable de l'extrem és , podeu utilitzar aquesta capacitat fent clic amb el botó dret del ratolí i després seleccionant Configura el connector>Extrems del connector.

Configureu els punts finals del connector del connector > .

S'obre una subfinestra lateral on podeu especificar una llista ordenada de patrons d'adreça URL Permet o Denega. L'última fila de la llista sempre serà una regla per al caràcter comodí (*), que s'aplica a tots els punts finals d'aquest connector. Per defecte, el patró * es configura com a Permet per a les noves polítiques de DLP, però podeu etiquetar-ho com a Permet o Denega.

Especifiqueu una llista ordenada de patrons d'URL de permís i denegació per als connectors personalitzats.

Afegir regles noves

Per afegir regles noves, seleccioneu Afegeix un extrem. Les regles noves s'afegeixen al final de la llista de patrons com a penúltima regla. Això es deu al fet que * sempre serà l'última entrada de la llista. Tanmateix, podeu actualitzar l'ordre dels patrons mitjançant la llista desplegable Ordre o seleccionant Desplaça cap amunt o Mou cap avall .

Seleccioneu Afegeix un punt final per afegir regles noves.

Després d'afegir un patró, el podeu editar o suprimir seleccionant una fila específica i, a continuació, seleccionant Suprimeix.

Suprimeix un patró.

Després de desar les regles de filtratge del punt final del connector i la política DLP en què es defineixen, s'apliquen instantàniament als entorns de destinació. A continuació es mostra un exemple en què un fabricant va intentar connectar el seu flux de núvol a un punt final HTTP que no està permès.

Error DLP a causa de les regles de filtratge de punts finals.

Limitacions conegudes

  • Les regles de filtratge de punts finals no s'apliquen a les variables d'entorn, les entrades personalitzades i els punts finals vinculats dinàmicament durant el temps d'execució. Només es coneixen i se seleccionen els extrems estàtics quan es building una aplicació, un flux o un bot de xat durant el temps de disseny. Això implica que les regles de filtratge de punts finals del connector per a SQL Server i Azure Blob Storage no s'apliquen si les connexions s'autenticen amb Microsoft Entra ID. A les dues captures de pantalla següents, un creador ha creat un flux de núvol que defineix l'SQL Server i la base de dades dins de les variables, i després utilitza aquestes variables com a entrada a la definició de connexió. Per tant, les regles de filtratge de punts finals no s'avaluen i el flux de núvol es pot executar correctament.

    El flux de núvol utilitza variables per connectar-se a SQL.El flux de núvol s'executa correctament.

  • Alguns Power Apps publicats abans de l'1 d'octubre de 2020 s'han de tornar a publicar perquè s'apliquin les regles d'acció del connector DLP i les regles de punt final. El següent script permet als administradors i creadors identificar aplicacions que s'han de tornar a publicar per respectar aquestes noves regles de control DLP granular:

    Add-PowerAppsAccount
    
    $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"
    
    ForEach ($app in Get-AdminPowerApp){
    
        $versionAsDate = [datetime]::Parse($app.LastModifiedTime)
    
        $olderApp = $versionAsDate -lt $GranularDLPDate
    
        $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 
    
        If($($olderApp -and !$wasBackfilled)){
            Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
        } 
        Else{ 
            Write-Host "App is already Granular DLP compliant: " $app.AppName 
        }
    }
    

Formats d'entrada i exemples de l'extrem

Cada connector té una noció diferent del que significa un extrem. A més, alguns extrems es poden definir en diversos formats. Per aquest motiu, s'han d'introduir extrems en tots els formats possibles per tal d'evitar que els creadors en facin ús mentre creen aplicacions i fluxos. Els administradors poden introduir el nom complet de l'extrem o utilitzar la coincidència de patrons amb el caràcter comodí (*) quan creen una regla de filtratge d'extrems. Aquestes regles s'introdueixen i es presenten en una llista ordenada de patrons de l'extrem, la qual cosa vol dir que s'avaluaran en ordre ascendent per nombre. Tingueu en compte que l'última regla per a qualsevol connector donat és sempre * Permetre o * Denegar. Permetre és el valor predeterminat, que es pot canviar a Denegar.

L'orientació següent descriu com s'introdueixen extrems del connector mentre es creen regles per permetre-les o denegar-les.

SQL Server

Els extrems de connexió de l'SQL Server s'han d'enumerar en el format <Server_name, database_name>. Algunes coses que cal tenir en compte:

  • Els creadors poden introduir el nom del servidor en diversos formats. Per tant, per dirigir un extrem del tot, s'ha d'introduir en tots els formats possibles. Per exemple, les instàncies locals poden tenir el format <machine_name\named_instance, database_name> o <IP address, custom port, database_name>. En aquest cas, haureu d'aplicar regles de permís o bloqueig en tots dos formats per a un extrem. Per exemple:

    • Bloquejar WS12875676\Servername1,MktingDB
    • Bloquejar 11.22.33.444,1401,MktingDB
  • No hi ha cap lògica especial per gestionar adreces relatives, com ara localhost. Per tant, si bloqueu *localhost*, privarà els creadors de fer servir els extrems utilitzant localhost com a part de l'extrem de l'SQL Server. Tanmateix, no impedirà que accedeixin a l'extrem per mitjà de l'adreça absoluta, tret que l'administrador hagi bloquejat també l'adreça absoluta.

Els següents són exemples:

  • Permet només les instàncies de l'Azure SQL Server:

    1. Permet *.database.windows.net*
    2. Denega *
  • Permetre només un interval d'IP específic: (Tingueu en compte que el fabricant encara pot introduir les adreces IP que no estan permeses en <machine_name\named_instance> format).

    1. Permet 11.22.33*
    2. Denega *

Dataverse

Dataverse els punts finals es representen mitjançant l'ID de l'organització , com ara,. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 Tingueu en compte que només el connector habitual del Dataverse està actualment cobert per al filtratge d'extrems. Els connectors dinàmics del Dataverse i els actuals del Dataverse no estan coberts. A més, la instància local del Dataverse (també anomenada entorn actual) no es pot bloquejar per utilitzar-se en un entorn. Això vol dir que en qualsevol entorn determinat, els creadors sempre poden accedir a l'entorn actual del Dataverse.

Per tant, una regla que digui el següent:

  1. Permet 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Denega *

En realitat, significa:

  1. Permet Dataverse current environment
  2. Permet 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Denega *

Permet Dataverse current environment és sempre la primera regla implícita de la llista de filtres d'extrems del Dataverse per a qualsevol entorn.

Azure Blob Storage

El nom del compte d'emmagatzematge de l'Azure representa els extrems de l'Azure Blob Storage.

SMTP

Els extrems SMTP estan representats en el format <SMTP server address, port number>.

A continuació hi ha una situació d'exemple:

  1. Denega smtp.gmail.com,587
  2. Permet *

HTTP amb Microsoft Entra ID, webhook HTTP i connectors HTTP

Els extrems de tots els connectors HTTP estan representats per un patró URL. L'acció Obtén el recurs web del connector HTTP with Microsoft Entra està fora de l'abast.

A continuació hi ha una situació d'exemple:

Permet l'accés només a la pàgina de subscripcions de l'Azure dins de https://management.azure.com/.

  1. Permet https://management.azure.com/subscriptions*
  2. Denega https://management.azure.com/*
  3. Denega *

Compatibilitat del PowerShell per al filtratge d'extrems

Configurar les regles de filtratge d'extrems per a una norma

L'objecte que conté les regles de filtratge d'extrems per a una norma a continuació s'anomena configuracions del connector.

L'objecte de configuracions del connector té l'estructura següent:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Notes

  • L'última regla de cada connector sempre s'ha d'aplicar a l'URL, * per garantir que tots els URL estiguin coberts per les regles.
  • La propietat order de les regles per a cada connector s'ha d'emplenar amb números de l'1 a N, on N és el nombre de regles per a aquest connector.

Recuperar les configuracions de connector existents per a una norma DLP

Get-PowerAppDlpPolicyConnectorConfigurations 

Crear configuracions de connector per a una norma DLP

New-PowerAppDlpPolicyConnectorConfigurations

Actualitzar les configuracions del connector per a una norma DLP

Set-PowerAppDlpPolicyConnectorConfigurations

Exemple

Objectiu:

Per al connector d'SQL Server:

  • Denega la base de dades "testdatabase" del servidor "myservername.database.windows.net"
  • Permet totes les altres bases de dades del servidor "myservername.database.windows.net"
  • Denega la resta de servidors

Per al connector SMTP:

  • Permet Gmail (adreça del servidor: smtp.gmail.com; port: 587)
  • Denega la resta d'adreces

Per al connector HTTP:

  • Permetre punts finals https://mywebsite.com/allowedPath1 i https://mywebsite.com/allowedPath2
  • Denega la resta d'adreces URL

Nota

Al cmdlet següent, PolicyName fa referència a l'únic GUID. Podeu recuperar el GUID de D CLICA executant el cmdlet Get-DIpPolicy.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations