Jagamisviis:

Konnektori lõpp-punkti filtreerimine (eelversioon)

  • Artikkel

[See artikkel on väljalaske-eelne dokumentatsioon ja seda võidakse muuta.]

Konnektori lõpp-punktide filtreerimine võimaldab administraatoritel rakenduste, voogude või vestlusrobotite loomisel reguleerida, milliste konkreetsete lõpp-punktide koostajatega saab ühenduse luua. See on konfigureeritud andmelekketõkestuse (DLP) poliitikas ja see on saadaval ainult kuue konnektori jaoks.

  • HTTP
  • HTTP koos ID-ga Microsoft Entra (AD)
  • HTTP Webhook
  • SQL Server (sisaldab SQL Server Connectori kasutamist andmelaole juurdepääsuks Azure Synapse )
  • Azure Blob Storage
  • SMTP

Kui tegija proovib ühendada oma rakenduse, voo või vestlusroboti blokeeritud lõpp-punktiga, kuvatakse talle DLP tõrketeade.

Hoiatus

Lõpp-punktide filtreerimise reegleid ei jõustata keskkonnamuutujatele, kohandatud sisenditele ega ühelegi käitusajal dünaamiliselt loodud lõpp-punktile. Rakenduse, voo või vestlusroboti kujundajates hinnatakse ainult staatilisi lõpp-punkte. Lisateavet vaadake jaotisest Teadaolevad piirangud.

Oluline

Eelvaatefunktsioonid ei ole mõeldud kasutamiseks tootmises ja nende funktsioonid võivad olla piiratud. Need funktsioonid on saadaval enne ametlikku väljastamist, et kliendid saaksid sellele varakult juurdepääsu ja võiksid tagasisidet anda.

Lõpp-punktide filtreerimisreeglite lisamine DLP poliitikatele

Veerg Lõpp-punkti konfigureeritav andmepoliitikate lehel Valmiskonnektoridnäitab, kas lõpp-punkti filtreerimise võimalus on konnektori puhul toetatud.

Lõpp-punkt konfigureeritav lehel Valmiskonnektorid.

Kui veeru Lõpp-punkt konfigureeritav väärtus on Jah, saate seda võimalust kasutada tehes paremklõpsu ja valides siis Konnektori konfigureerimine>Konnektori lõpp-punktid.

Konnektori > lõpp-punktide konfigureerimine.

See avab külgpaneeli, kus saate määrata lubatud või keelatud URL-i mustrite järjestatud loendi. Loendi viimane rida on alati metamärgi (*) reegel, mis rakendub kõigile selle konnektori lõpp-punktidele. Vaikimisi on * muster seadistatud lubama uusi DLP-poliitikaid, kuid võite selle sildistada kui Luba või Keela.

Määrake URL-i lubamise ja keelamise mustrite järjestatud loend kohandatud konnektorite jaoks.

Uute reeglite lisamine

Uute reeglite lisamiseks valige Lisa lõpp-punkt. Uued reeglid lisatakse etaloniloendi lõppu eelviimase reeglina. Seda seetõttu, et * see on alati loendi viimane kirje. Siiski saate mustrite järjestust värskendada, kasutades ripploendit Järjestus või valides Nihuta üles või Nihuta alla.

Uute reeglite lisamiseks valige Lisa lõpp-punkt.

Pärast mustri lisamist saate neid mustreid redigeerida või kustutada, valides mõne kindla rea ja valides suvandi Kustuta.

Mustri kustutamine.

Pärast konnektori lõpp-punkti filtreerimisreeglite ja DLP-poliitika salvestamist, milles need on määratletud, jõustatakse need sihitud keskkondades koheselt. Allpool on näide, kus tegija proovis ühendada oma pilvevoo HTTP-lõpp-punktiga, mis pole lubatud.

DLP tõrge lõpp-punkti filtreerimisreeglite tõttu.

Teadaolevad piirangud

  • Lõpp-punktide filtreerimise reegleid ei jõustata käitusajal keskkonnamuutujatele, kohandatud sisenditele ja dünaamiliselt seotud lõpp-punktidele. Jõustatakse ainult staatilised lõpp-punktid, mis on teada ja valitud rakenduse, voo või vestluse teadaolev aja jooksul. See tähendab, et SQL Serveri ja Azure’i bloobimälu konnektori lõpp-punkti filtreerimisreegleid ei jõustata, kui ühendused on autenditud ID-ga Microsoft Entra . Kahel alloleval ekraanipildil on tegija ehitanud pilvevoo, mis määratleb SQL Serveri ja andmebaasi muutujate sees ning kasutab seejärel neid muutujaid ühenduse määratluse sisendina. Seetõttu lõpp-punktide filtreerimise reegleid ei hinnata ja pilvevoog saab edukalt käivituda.

    Pilvevoog kasutab SQL-iga ühenduse loomiseks muutujaid.Pilvevoog töötab edukalt.

  • Mõned Power Apps enne 1. oktoobrit 2020 avaldatud andmed tuleb DLP-konnektori tegevusreeglite ja lõpp-punkti reeglite jõustamiseks uuesti avaldada. Järgmine skript võimaldab administraatoritel ja tegijatel tuvastada rakendusi, mis tuleb uuesti avaldada, et neid uusi DLP granulaarse juhtelemendi reegleid järgida.

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Lõpp-punkti sisestusvormingud ja näited

Iga konnektor defineerib lõpp-punkti erinevalt. Teatud lõpp-punkte saab määratleda mitmes vormingus. Niisiis, tuleb lõpp-punktid sisestada kõigis võimalikes vormingutes, et blokeerida tegijatel nende kasutamist rakenduste ja voogude loomisel. Administraatorid saavad lõpp-punkti filtreerimisreegli loomisel sisestada täieliku lõpp-punkti nime või kasutada metamärgiga (*) sobitatud mustrit. Need reeglid sisestatakse ja esitatakse lõpp-punkti mustrite tellitud loendis, s.t neid hinnataks kasvavas järjekorras arvu alusel. Pange tähele, et iga konnektori viimane reegel on alati * Luba või * Keela. Luba on vaikimisi, mida saab muuta keelamiseks.

Järgmised juhised kirjeldavad, kuidas sisestada konnektori lõpp-punktid, luues reeglid nende lubamiseks või keelamiseks.

SQL Server

SQL Serveri ühenduse lõpp-punktid tuleb loetleda <Server_name, database_name> vormingus. Mõnda asja tuleb meeles pidada:

  • Serveri nime saavad tegijad sisestada erinevates vormingutes. Seetõttu tuleb lõpp-punkti aadressi lahendamiseks see sisestada kõigis võimalikes vormingutes. Näiteks asutusesisene eksemplarid võivad olla <machine_name\named_instance, database_name> või <IP address, custom port, database_name> vormingus. Sel juhul peate lõpp-punkti jaoks mõlemas vormingus rakendama lubamis- või blokeerimisreeglid. Näiteks:

    • Blokeeri WS12875676\Servername1,MktingDB
    • Blokeeri 11.22.33.444,1401,MktingDB

  • Selliste suhteliste aadresside nagu localhost käsitlemiseks pole erilist loogikat. Seetõttu, kui blokeerite *localhost*, blokeerib see tegijad mis tahes lõpp-punktide kasutamise, kasutades localhost-i SQL Serveri lõpp-punkti osana. Kuid see ei takista neil juurdepääsu lõpp-punktile absoluutse aadressi abil, välja arvatud juhul, kui ka administraator on blokeerinud absoluutse aadressi.

Järgmised on näited:

  • Luba ainult Azure SQL Serveri eksemplarid:

    1. Luba *.database.windows.net*
    2. Keela *

  • Luba ainult kindel IP-vahemik: (Pange tähele, et lubamatu IP-aadressi saab tegija siiski vormingus sisestada <machine_name\named_instance> .)

    1. Luba 11.22.33*
    2. Keela *

Dataverse

Dataverse lõpp-punkte tähistab organisatsiooni ID, näiteks. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 Pange tähele, et lõpp-punkti filtreerimise jaoks on praegu saadaval ainult tavaline Dataverse konnektor. Dataverse Dynamics ja Dataverse praegused konnektorid ei kuulu skoopi. Samuti ei saa kohalikku Dataverse eksemplari (nimetatakse ka praeguseks keskkonnaks) mitte kunagi keskkonnas kasutamiseks blokeerida. See tähendab, et igas keskkonnas on tegijatel alati juurdepääs Dataverse praegusele keskkonnale.

Seetõttu kehtib reegel, mis ütleb järgmist.

  1. Luba 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Keela *

Tegelikult tähendab see:

  1. Luba Dataverse current environment
  2. Luba 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Keela *

Luba Dataverse current environment on alati vaikimisi esimene reegel mis tahes keskkonna Dataverse lõpp-punkti filtreerimise loendis.

Azure Blob Storage

Azure Blob Storage'i lõpp-punkti tähistab Azure'i salvestusruumi konto nimi.

SMTP

SMTP-lõpp-punktid on esitatud <SMTP server address, port number> vormingus.

Järgnev on näidisstsenaarium:

  1. Keela smtp.gmail.com,587
  2. Luba *

HTTP koos Microsoft Entra ID, HTTP Webhooki ja HTTP-konnektoritega

Kõigi HTTP-konnektorite lõpp-punkte tähistab URL-i muster. Konnektoriga HTTP veebiressursi Microsoft Entra hankimise toiming ei kuulu reguleerimisalasse.

Järgnev on näidisstsenaarium:

Lubage juurdepääs ainult Azure'i kordustellimuste lehele asukohas https://management.azure.com/.

  1. Luba https://management.azure.com/subscriptions*
  2. Keela https://management.azure.com/*
  3. Keela *

PowerShelli tugi lõpp-punkti filtreerimiseks

Lõpp-punkti filtreerimisreeglite seadistamine poliitika jaoks

Objekti, mis sisaldab poliitika jaoks lõpp-punkti filtreerimisreegleid, nimetatakse allpool konnektori konfiguratsiooniks.

Konnektori konfiguratsioonide objektil on järgmine struktuur:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Märkmed

  • Iga konnektori viimast reeglit tuleks alati rakendada URL-ile *, tagamaks, et reeglid hõlmavad kõiki URL-e.
  • Iga konnektori reeglite järjekorraatribuut tuleks täita numbritega 1 kuni N, kus N on selle konnektori reeglite arv.

Otsi olemasolevad konnektorikonfiguratsioonid DLP-poliitika jaoks

Get-PowerAppDlpPolicyConnectorConfigurations

Ühenduskonfiguratsioonide loomine DLP-poliitika jaoks

New-PowerAppDlpPolicyConnectorConfigurations

Ühenduskonfiguratsioonide värskendamine DLP-poliitika jaoks

Set-PowerAppDlpPolicyConnectorConfigurations

Näide

Eesmärk:

SQL Serveriga ühenduse loomiseks tehke järgmist.

  • Keela serveri "myservername.database.windows.net" andmebaas "testandmebaas"
  • Luba kõik muud serveri "myservername.database.windows.net" andmebaasid
  • Keela kõik muud serverid

SMTP-konnektori jaoks tehke järgmist.

  • Luba Gmail (serveri aadress: smtp.gmail.com, port: 587)
  • Keela kõik muud aadressid

HTTP-konnektori jaoks tehke järgmist.

  • Luba lõpp-punktid https://mywebsite.com/allowedPath1 ja https://mywebsite.com/allowedPath2
  • Keela kõik muud URL-id

Märkus.

Järgmises cmdlet-käsus viitab PolicyName kordumatule GUID-le. DLP GUID saate kätte käivitades cmdlet-käsu Get-DlPPolicy.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations