Διασφάλιση του προεπιλεγμένου περιβάλλοντος
Κάθε εργαζόμενος στον οργανισμό σας έχει πρόσβαση στο προεπιλεγμένο περιβάλλον του Power Platform. Ως διαχειριστής Power Platform , θα πρέπει να εξετάσετε τρόπους για την προστασία του περιβάλλοντος, ενώ παράλληλα να το διατηρείτε προσβάσιμο για τις προσωπικές χρήσεις παραγωγικότητας των δημιουργών. Αυτό το άρθρο παρέχει προτάσεις.
Ανάθεση ρόλων διαχειριστή με σύνεση
Λάβετε υπόψη σας εάν οι χρήστες του διαχειριστή σας πρέπει να έχουν ρόλο διαχειριστή του Power Platform. Θα ήταν πιο κατάλληλος ο ρόλο διαχειριστή περιβάλλοντος ή διαχειριστή συστήματος; Σε κάθε περίπτωση, περιορίστε τον πιο ισχυρό ρόλο διαχειριστή Power Platform σε λίγους χρήστες. Μάθετε περισσότερα για τη διαχείριση περιβαλλόντων Power Platform.
Επικοινωνία πρόθεσης
Μία από τις κύριες προκλήσεις για την ομάδα του Κέντρου Αριστείας (CoE) του Power Platform είναι η επικοινωνία των προοριζόμενων χρήσεων του προεπιλεγμένου περιβάλλοντος. Ακολουθούν ορισμένες προτάσεις.
Μετονομάστε το προεπιλεγμένο περιβάλλον
Το προεπιλεγμένο περιβάλλον δημιουργείται με το όνομα: TenantName (προεπιλογή). Μπορείτε να αλλάξετε το όνομα περιβάλλοντος σε κάτι πιο περιγραφικό όπως Περιβάλλον προσωπικής παραγωγικότητας, για να καλέσετε καθαρά την πρόθεση.
Χρησιμοποιήστε το κέντρο Power Platform
Το κέντρο Microsoft Power Platform είναι ένα πρότυπο τοποθεσίας επικοινωνίας του SharePoint. Αποτελεί σημείο εκκίνησης για μια κεντρική πηγή πληροφοριών για δημιουργούς σχετικά με τη χρήση από τον οργανισμό σας του Power Platform. Το περιεχόμενο εκκίνησης και τα πρότυπα σελίδων διευκολύνει την προσφορά στους δημιουργούς πληροφορίες, όπως:
- Υποθέσεις χρήσης προσωπικής παραγωγικότητας
- Τρόπος δημιουργίας εφαρμογών και ροών
- Πού να δημιουργηθούν εφαρμογές και ροές
- Πώς να επικοινωνήσετε με την ομάδα υποστήριξης του CoE
- Κανόνες σχετικά με την ενοποίηση με εξωτερικές υπηρεσίες
Προσθέστε συνδέσεις σε οποιουσδήποτε άλλους εσωτερικούς πόρους που μπορεί να θεωρούν χρήσιμους οι δημιουργοί.
Περιορισμός κοινής χρήσης με όλους
Οι δημιουργοί μπορούν να μοιραστούν τις εφαρμογές τους με άλλους μεμονωμένους χρήστες, ομάδες ασφαλείας και, από προεπιλογή, με όλα τα άτομα στον οργανισμό. Θα πρέπει να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε μια κεντρική διεργασία γύρω από τις εφαρμογές που χρησιμοποιούνται ευρέως για την εφαρμογή πολιτικών και απαιτήσεων όπως αυτές:
- Πολιτική εξέτασης ασφάλειας
- Πολιτική εξέτασης επιχείρισης
- Απαιτήσεις Διαχείρισης κύκλου ζωής εφαρμογής (ALM)
- Απαιτήσεις εμπειρίας και εμπορικής επωνυμίας χρήστη
Εξετάστε επίσης το ενδεχόμενο απενεργοποίησης της δυνατότητας Κοινή χρήση με όλους στο Power Platform. Με εφαρμοσμένο αυτόν τον περιορισμό, μόνο μια μικρή ομάδα διαχειριστών μπορεί να κάνει κοινή χρήση μιας εφαρμογής με όλους στο περιβάλλον. Ορίστε πώς να το κάνετε.
Εκτελέστε το cmdlet Get-TenantSettings για να λάβετε τη λίστα των ρυθμίσεων μισθωτή του οργανισμού σας ως αντικείμενο.
Το αντικείμενο
powerPlatform.PowerAppsπεριλαμβάνει τρεις σημαίες:
Εκτελέστε τις παρακάτω εντολές PowerShell για να λάβετε το αντικείμενο ρυθμίσεων και ορίστε τη μεταβλητή ώστε να χρησιμοποιείται από κοινού με όλους σε false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$trueΕκτελέσετε το cmdlet
Set-TenantSettingsμε το οντικείμενο ρυθμίσεων, ώστε να αποτρέψετε τους δημιουργούς να μοιράζονται τις εφαρμογές τους με όλους τους μισθωτές.Set-TenantSettings $settings
Καθιερώστε μια πολιτικής αποτροπής απώλειας δεδομένων
Άλλος ένας τρόπος για να προστατέψετε το προεπιλεγμένο περιβάλλον είναι να δημιουργήσετε μια πολιτική αποτροπής απώλειας δεδομένων (DLP) για αυτό το περιβάλλον. Το να έχετε εφαρμόσει μια πολιτική DLP είναι ιδιαίτερα σημαντικό για το προεπιλεγμένο περιβάλλον, επειδή όλοι οι υπάλληλοι στον οργανισμό σας έχουν πρόσβαση σε αυτό. Ακολουθούν ορισμένες συστάσεις που θα σας βοηθήσουν να επιβάλλετε την πολιτική.
Προσαρμογή του μηνύματος διαχείρισης DLP
Προσαρμόστε το μήνυμα σφάλματος που εμφανίζεται εάν ένας δημιουργός δημιουργήσει μια εφαρμογή που παραβιάζει την πολιτική DLP του οργανισμού σας. Κατευθύνετε τον δημιουργό στο Κέντρο Power Platform του οργανισμού σας και δώστε τη διεύθυνση ηλεκτρονικού ταχυδρομείου της ομάδας του CoE.
Καθώς η ομάδα του CoE βελτιώνει την πολιτική DLP με την πάροδο του χρόνου, ενδέχεται να διακόψετε ακούσια ορισμένες εφαρμογές. Βεβαιωθείτε ότι το μήνυμα παραβίασης της πολιτικής DLP περιέχει στοιχεία επικοινωνίας ή μια σύνδεση σε περισσότερες πληροφορίες για να παρέχετε μια πρόοδο στους δημιουργούς.
Χρησιμοποιήστε τα παρακάτω cmdlet PowerShell για να προσαρμόσετε το μήνυμα πολιτικής διαχείρισης:
| Command | Περιγραφή |
|---|---|
| Set-PowerAppDlpErrorSettings | Ορισμός μηνύματος διαχείρισης |
| Set-PowerAppDlpErrorSettings | Ενημέρωση μηνύματος διαχείρισης |
Αποκλεισμός νέων συνδέσεων στο προεπιλεγμένο περιβάλλον
Από προεπιλογή όλες οι νέες συνδέσεις τοποθετούνται στη μη επιχειρηματική ομάδα της πολιτικής DLP. Μπορείτε πάντα να αλλάξετε την προεπιλεγμένη ομάδα σε Επιχείρηση ή Αποκλείσθηκε. Για μια πολιτική DLP που εφαρμόζεται στο προεπιλεγμένο περιβάλλον, συνιστούμε να ρυθμίσετε τις παραμέτρους της ομάδας Αποκλείστηκε ως προεπιλεγμένη για να βεβαιωθείτε ότι οι νέες συνδέσεις παραμένουν μη χρησιμοποιούμενες μέχρι να αναθεωρηθούν από έναν από τους διαχειριστές σας.
Περιορίστε τους δημιουργούς σε προκατασκευασμένες συνδέσεις
Περιορίστε τους δημιουργούς μόνο σε βασικές συνδέσεις χωρίς δυνατότητα αποκλεισμού, ώστε να εμποδίσετε την πρόσβαση στους υπόλοιπους.
Μετακινήστε όλες τις συνδέσεις που δεν μπορούν να αποκλειστούν στην ομάδα επιχειρηματικών δεδομένων.
Μετακινήστε όλες τις συνδέσεις με δυνατότητα αποκλεισμού στην ομάδα αποκλεισμένων δεδομένων.
Περιορίστε τις προσαρμοσμένες συνδέσεις
Οι προσαρμοσμένες συνδέσεις ενοποιούν μια εφαρμογή ή μια ροή με μια υπηρεσία που καλλιεργείται στο σπίτι. Οι υπηρεσίες αυτές προορίζονται για τεχνικούς χρήστες, όπως προγραμματιστές. Είναι καλή ιδέα να μειώσετε το αποτύπωμα των API που έχουν δημιουργηθεί από τον οργανισμό σας που μπορούν να επικαλεστούν εφαρμογές ή ροές στο προεπιλεγμένο περιβάλλον. Για να αποτρέψετε τους δημιουργούς να δημιουργούν και να χρησιμοποιούν προσαρμοσμένες συνδέσεις για API στο προεπιλεγμένο περιβάλλον, δημιουργήστε έναν κανόνα που να εμποδίζει όλα τα μοτίβα διευθύνσεων URL.
Για να μπορούν οι δημιουργοί να έχουν πρόσβαση σε ορισμένα API (για παράδειγμα, μια υπηρεσία που επιστρέφει μια λίστα αργιών της εταιρείας), ρυθμίστε τις παραμέτρους πολλών κανόνων που ταξινομούν διαφορετικά μοτίβα διευθύνσεων URL στις επιχειρηματικές και μη επιχειρηματικές ομάδες δεδομένων. Βεβαιωθείτε ότι οι συνδέσεις χρησιμοποιούν πάντα το πρωτόκολλο HTTPS. Μάθετε περισσότερα σχετικά με την πολιτική DLP για προσαρμοσμένες συνδέσεις.
Ασφαλής ενοποίηση με το Exchange
Η σύνδεση Office 365 Outlook είναι μία από τις τυπικές συνδέσεις που δεν μπορούν να αποκλειστούν. Επιτρέπει στους δημιουργούς την αποστολή, τη διαγραφή και την απάντηση σε μηνύματα ηλεκτρονικού ταχυδρομείου στα γραμματοκιβώτια στα οποία έχει πρόσβαση. Ο κίνδυνος με αυτήν τη σύνδεση είναι επίσης μία από τις πιο ισχυρές δυνατότητες της, η δυνατότητα αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου. Για παράδειγμα, ένας δημιουργός ενδέχεται να δημιουργήσει μια ροή που στέλνει πολύ γρήγορα ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Ο διαχειριστής Exchange του οργανισμού σας μπορεί να ρυθμίσει κανόνες στο Exchange Server ώστε να αποτρέπει την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που στέλνονται από εφαρμογές. Επίσης, είναι δυνατό να αποκλείσετε συγκεκριμένες ροές ή εφαρμογές από τους κανόνες που έχουν ρυθμιστεί για τον αποκλεισμό εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μπορείτε να συνδυάσετε αυτούς τους κανόνες με μια λίστα επιτρεπόμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου, για να εξασφαλίσετε ότι το μήνυμα ηλεκτρονικού ταχυδρομείου από εφαρμογές και ροές μπορεί να αποσταλεί μόνο από μια μικρή ομάδα γραμματοκιβωτίων.
Όταν μια εφαρμογή ή μια ροή στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας τη σύνδεση Office 365 Outlook, εισάγει συγκεκριμένες κεφαλίδες SMTP στο μήνυμα. Μπορείτε να χρησιμοποιήσετε δεσμευμένες φράσεις στις κεφαλίδες για να προσδιορίσετε εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου προήλθε από μια ροή ή εφαρμογή.
Η κεφαλίδα SMTP που εισάγεται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο έχει αποσταλεί από μια ροή μοιάζει με το παρακάτω παράδειγμα:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Λεπτομέρειες κεφαλίδας
Ο παρακάτω πίνακας περιγράφει τις τιμές που μπορούν να εμφανιστούν στην κεφαλίδα της εφαρμογής x-ms-mail ανάλογα με την υπηρεσία που χρησιμοποιείται:
| Υπηρεσια | Τιμή |
|---|---|
| Power Automate | Microsoft Power Automate; Χρήστης-Εκπρόσωπος: azure-logic-apps/1.0 (workflow <GUID>; version <αριθμός έκδοσης>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; Χρήστης-Εκπρόσωπος: PowerApps/ (; AppName= <όνομα εφαρμογής>) |
Ο παρακάτω πίνακας περιγράφει τις τιμές που μπορούν να εμφανιστούν στην κεφαλίδα της εφαρμογής x-ms-mail-operation-type ανάλογα με την ενέργεια που εκτελείται:
| Τιμή | Περιγραφή |
|---|---|
| Απάντηση | Για λειτουργίες απάντησης ηλεκτρονικού ταχυδρομείου |
| Εμπρός | Για λειτουργίες προώθησης ηλεκτρονικού ταχυδρομείου |
| Αποστολή | Για λειτουργίες αποστολής ηλεκτρονικού ταχυδρομείου συμπεριλαμβανομένων των SendEmailMailMailOptions και SendApprovalEmail |
Η κεφαλίδα x-ms-mail-environment-id περιέχει την τιμή του αναγνωριστικού περιβάλλοντος. Η παρουσία αυτής της κεφαλίδας εξαρτάται από το προϊόν που χρησιμοποιείτε:
- Στο Power Apps, είναι πάντα παρόν.
- Στο Power Automate, υπάρχει μόνο σε συνδέσεις που έχουν δημιουργηθεί μετά τον Ιούλιο του 2020.
- Στο Logic Apps, δεν υπάρχει ποτέ.
Πιθανοί κανόνες Exchange για το προεπιλεγμένο περιβάλλον
Ακολουθούν ορισμένες ενέργειες ηλεκτρονικού ταχυδρομείου που ενδέχεται να θέλετε να αποκλείσετε χρησιμοποιώντας κανόνες του Exchange.
Αποκλεισμός των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου σε εξωτερικούς παραλήπτες: Αποκλεισμός όλων των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε εξωτερικούς παραλήπτες από το Power Automate και το Power Apps. Αυτός ο κανόνας αποτρέπει τους δημιουργούς από την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε συνεργάτες, προμηθευτές ή πελάτες από τις εφαρμογές ή τις ροές τους.
Αποκλεισμός εξερχόμενης προώθησης: Αποκλεισμός όλων των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου που προωθούνται σε εξωτερικούς παραλήπτες από το Power Automate και το Power Apps όπου ο αποστολέας δεν προέρχεται από μια επιτρεπόμενη λίστα γραμματοκιβωτίων. Αυτός ο κανόνας αποτρέπει τους δημιουργούς να δημιουργήσουν μια ροή που προωθεί αυτόματα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου σε έναν εξωτερικό παραλήπτη.
Εξαιρέσεις που πρέπει να εξετάσετε με τους κανόνες αποκλεισμού μηνυμάτων ηλεκτρονικού ταχυδρομείου
Ακολουθούν ορισμένες πιθανές εξαιρέσεις στους κανόνες του Exchange για αποκλεισμό του ηλεκτρονικού ταχυδρομείου για προσθήκη ευελιξίας:
Εξαίρεση συγκεκριμένων εφαρμογών και ροών: Προσθέστε μια λίστα εξαιρέσεων στους κανόνες που προτάθηκαν νωρίτερα, ώστε οι εγκεκριμένες εφαρμογές ή ροές να μπορούν να στέλνουν μήνυμα ηλεκτρονικού ταχυδρομείου σε εξωτερικούς παραλήπτες.
Λίστα επιτρεπομένων σε επίπεδο οργανισμού: Σε αυτό το σενάριο, είναι λογικό να μεταφέρετε τη λύση σε ένα αποκλειστικό περιβάλλον. Εάν διάφορες ροές στο περιβάλλον πρέπει να στείλουν εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου, μπορείτε να δημιουργήσετε έναν γενικό κανόνα εξαίρεσης για να επιτρέπονται εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου από το εν λόγω περιβάλλον. Η άδεια του δημιουργού και του διαχειριστή σε αυτό το περιβάλλον πρέπει να ελέγχονται και να περιορίζονται με αποτελεσματικό τρόπο.
Εφαρμογή απομόνωσης μεταξύ μισθωτών
Το Power Platform έχει ένα σύστημα συνδέσεων που βασίζεται στο Microsoft Entra που επιτρέπει σε εξουσιοδοτημένους χρήστες του Microsoft Entra να συνδέουν εφαρμογές και ροές σε χώρους αποθήκευσης δεδομένων. Η απομόνωση μισθωτή διέπει την κυκλοφορία δεδομένων από εξουσιοδοτημένες προελεύσεις δεδομένων Microsoft Entra προς και από τον μισθωτή τους.
Η απομόνωση μισθωτή εφαρμόζεται σε επίπεδο μισθωτή και επηρεάζει όλα τα περιβάλλοντα του μισθωτή, συμπεριλαμβανομένου του προεπιλεγμένου περιβάλλοντος. Καθώς όλοι οι υπάλληλοι είναι δημιουργοί στο προεπιλεγμένο περιβάλλον, η ρύθμιση των παραμέτρων μιας ισχυρής πολιτικής απομόνωσης μισθωτή είναι πολύ σημαντική για την προστασία του περιβάλλοντος. Συνιστούμε να ρυθμίσετε ρητά τις παραμέτρους των μισθωτών στους οποίους μπορούν να συνδεθούν οι υπάλληλοί σας. Όλοι οι άλλοι μισθωτές πρέπει να καλύπτονται από προεπιλεγμένους κανόνες που αποκλείουν τόσο την εισερχόμενη όσο και την εξερχόμενη ροή δεδομένων.
Η Power Platform απομόνωση μισθωτή είναι διαφορετική από τον περιορισμό Microsoft Entra ID μισθωτή για όλα τα δεδομένα. Δεν επηρεάζει την πρόσβαση που βασίζεται στο Microsoft Entra ID εκτός του Power Platform. Λειτουργεί μόνο για συνδέσεις με χρήση του ελέγχου ταυτότητας με βάση το Microsoft Entra ID, όπως οι συνδέσεις Office 365 Outlook και SharePoint.
Δείτε επίσης
Περιορισμός πρόσβασης εξερχόμενων και εισερχόμενων μεταξύ μισθωτών (έκδοση προεπισκόπησης)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)