Jagamisviis:

Vaikekeskkonna turvaliseks muutmine

  • Artikkel

Igal teie organisatsiooni töötajal on juurdepääs vaikekeskkonnale Power Platform . Administraatorina Power Platform peate kaaluma viise, kuidas seda keskkonda kaitsta, hoides seda samal ajal kättesaadavana tegijate isiklikuks tööviljakuseks. See artikkel annab soovitusi.

Administraatorirollide mõistlik määramine

Mõelge, kas teie administraatori kasutajatel peab olema Power Platform administraatori roll. Kas keskkonnaadministraatori või süsteemiadministraatori roll oleks sobivam? Igal juhul piirake võimsamat Power Platform administraatorirolli vaid mõne kasutajaga. Lisateave keskkondade Power Platform haldamise kohta.

Kommunikeerige kavatsus

Tippkeskuse (CoE) meeskonna üks peamisi väljakutseid Power Platform on vaikekeskkonna kavandatud kasutusviiside edastamine. Siin on mõned soovitused.

Vaikekeskkonna ümbernimetamine

Vaikekeskkond luuakse nimega TenantName (vaikesäte). Saate muuta keskkonna nimeks midagi kirjeldavamat (nt Isiklik tööviljakuskeskkond), et kavatsus selgelt välja tuua.

Jaoturi kasutamine Power Platform

Jaotur Microsoft Power Platform on SharePoint suhtlussaidi mall. See annab lähtepunkti kesksele teabeallikale tegijatele selle kohta, kuidas teie organisatsioon seda Power Platform kasutab. Alustussisu ja lehemallide abil on lihtne pakkuda tegijatele järgmist teavet:

  • Isikliku tööviljakuse kasutamise juhtumid
  • Rakenduste ja voogude loomine
  • Rakenduste ja voogude loomine
  • Kuidas tippkeskuste tugirühmaga ühendust võtta?
  • Reeglid väliste teenustega integreerimise kohta

Lisage linke muudele sisemistele ressurssidele, millest teie tegijad võivad abi leida.

Piirake kõigiga jagamist

Tegijad saavad jagada oma rakendusi teiste üksikkasutajate ja turberühmadega. Vaikimisi on ühiskasutus kogu organisatsiooniga või kõigiga keelatud. Kaaluge võimalust kasutada laialdaselt kasutatavate rakenduste puhul kõikehõlmavat protsessi, et jõustada selliseid eeskirju ja nõudeid:

  • Turvalisuse läbivaatamise põhimõtted
  • Ettevõtte ülevaatuse poliitika
  • Rakenduse elutsükli halduse (ALM) nõuded
  • Kasutajakogemuse ja brändingu nõuded

Funktsioon Anna kõigiga ühiskasutusse on vaikimisi keelatud Power Platform. Soovitame hoida selle sätte keelatud, et piirata soovimatute kasutajatega lõuendirakenduste üleekspositsiooni. Teie organisatsiooni rühm Kõik sisaldab kõiki kasutajaid, kes on kunagi teie rentnikusse sisse loginud (sh külalised ja ettevõttesisesed liikmed). See ei ole ainult kõik teie üürniku sisetöötajad. Lisaks ei saa rühma Kõik liikmesust muuta ega vaadata. Lisateavet rühma Kõik kohta leiate aadressilt /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Kui soovite faile jagada kõigi ettevõttesiseste töötajate või suure hulga inimestega, kaaluge ühiskasutust nende liikmete olemasoleva turberühmaga või looge turberühm ja jagage oma rakendust selle turberühmaga.

Kui kõigiga ühiskasutus on keelatud, saab ainult väike rühm administraatoreid rakendust kõigi keskkonnas olevate inimestega jagada. Kui olete administraator, saate käivitada järgmise PowerShelli käsu, kui teil on vaja lubada ühiskasutus kõigiga .

  1. Esmalt avage administraatorina PowerShell ja logige oma Power Apps kontole sisse, käivitades selle käsu.

    Add-PowerAppsAccount

  2. Käivitage cmdlet-käsk Get-TenantSettings, et kuvada oma organisatsiooni rentnikusätete loend objektina.

    Objektil powerPlatform.PowerApps on kolm lippu:

    Kuvatõmmis $settings.powerPlatformi kolmest lipust.PowerApps ese.

  3. Käivitage järgmised PowerShelli käsud, et saada sätete objekt ja seadke muutuja, mida kõigiga jagada, valeks.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Käivitage Set-TenantSettings cmdlet-käsk sätete objektiga, et tegijad saaksid oma rakendusi kõigi rentniku liikmetega jagada.

      Set-TenantSettings $settings

    Kõigiga ühiskasutuse keelamiseks toimige samade juhistena, kuid set $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Andmete kaotsimineku vältimise poliitika loomine

Teine võimalus vaikekeskkonna kaitsmiseks on luua selle jaoks andmelekketõkestuse (DLP) poliitika . DLP-poliitika olemasolu on vaikekeskkonna jaoks eriti oluline, kuna sellele on juurdepääs kõigil teie organisatsiooni töötajatel. Siin on mõned soovitused, mis aitavad teil eeskirju jõustada.

DLP juhtimise sõnumi kohandamine

Kohandage kuvatavat tõrketeadet, kui tegija loob rakenduse, mis rikub teie organisatsiooni DLP-poliitikat. Suunake tegija oma organisatsiooni Power Platform keskusesse ja sisestage tippkeskuse meeskonna meiliaadress.

Kui tippkeskuste meeskond aja jooksul DLP-eeskirju täiustab, võite mõne rakenduse kogemata katkestada. Veenduge, et DLP eeskirjade rikkumise sõnum sisaldaks kontaktandmeid või linki lisateabe juurde, et pakkuda tegijatele edasisi samme.

Kasutage juhtimispoliitika sõnumi kohandamiseksjärgmisi PowerShelli cmdlet-käske.

Käsk Kirjeldus
Set-PowerAppDlpErrorSettings Juhtimissõnumi määramine
Set-PowerAppDlpErrorSettings Juhtimissõnumi värskendamine

Uute konnektorite blokeerimine vaikekeskkonnas

Vaikimisi paigutatakse kõik uued konnektorid teie DLP-poliitika mitteärilisse rühma. Saate alati muuta vaikerühmaks ettevõtte või blokeeritud. Vaikekeskkonnale rakendatud DLP-poliitika puhul soovitame konfigureerida vaikerühma Blokeeritud, veendumaks, et uued konnektorid jäävad kasutuskõlbmatuks seni, kuni mõni teie administraatoritest on need üle vaadanud.

Piirake tegijaid valmiskonnektoritega

Piirake tegijaid ainult põhiliste, mitteblokeeritavate konnektoritega, et vältida juurdepääsu ülejäänutele.

  1. Teisaldage kõik konnektorid, mida ei saa blokeerida, äriandmete rühma.

  2. Teisaldage kõik konnektorid, mida saab blokeerida, blokeeritud andmerühma.

Kohandatud konnektorite piiramine

Kohandatud konnektorid integreerivad rakenduse või voo omakasvatatud teenusega. Need teenused on mõeldud tehnilistele kasutajatele, näiteks arendajatele. Hea mõte on vähendada oma organisatsiooni loodud API-de jalajälge, mida saab vaikekeskkonnas rakendustest või voogudest käivitada. Selleks et tegijad ei saaks vaikekeskkonnas API-de jaoks kohandatud konnektoreid luua ja kasutada, looge reegel kõigi URL-i mustrite blokeerimiseks.

Selleks et loojad pääseksid juurde mõnele API-le (nt teenus, mis tagastab ettevõtte pühade loendi), konfigureerige mitu reeglit, mis liigitavad erinevad URL-i mustrid äri- ja mitteärilistesse andmerühmadesse. Veenduge, et ühendused kasutaksid alati HTTPS-protokolli. Lugege lisateavet kohandatud konnektorite DLP-poliitika kohta.

Turvaline integratsioon Exchange’iga

Outlooki Office 365 konnektor on üks standardsetest konnektoritest, mida ei saa blokeerida. See võimaldab tegijatel meilisõnumeid saata, kustutada ja neile vastata postkastides, millele neil on juurdepääs. Selle konnektoriga seotud risk on ka üks selle võimsamaid võimalusi – võimalus saata meilisõnumeid. Näiteks võib tegija luua voo, mis saadab e-kirja.

Teie asutuse Exchange’i administraator saab Exchange’i serveris häälestada reeglid, mis takistavad meilisõnumite saatmist rakendustest. Samuti on võimalik väljaminevate meilide blokeerimiseks seadistatud reeglitest välja jätta konkreetsed vood või rakendused. Saate neid reegleid kombineerida lubatud meiliaadresside loendiga tagamaks, et rakendustest ja voogudest tulevaid meilisõnumeid saab saata ainult väikesest postkastide rühmast.

Kui rakendus või voog saadab meilisõnumi Outlooki konnektori abil Office 365 , lisab see sõnumisse konkreetsed SMTP-päised. Päistes saate kasutada reserveeritud fraase, et tuvastada, kas meilisõnum pärineb voost või rakendusest.

Voost saadetud meilisõnumisse lisatud SMTP-päis näeb välja nagu järgmine näide:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Päise üksikasjad

Järgmises tabelis kirjeldatakse väärtusi, mis võivad olenevalt kasutatavast teenusest ilmuda x-ms-mail-applicationi päises.

Hooldus Väärtus
Power Automate Microsoft Power Automate; Kasutajaagent: azure-logic-apps/1.0 (töövoo <GUID;> versiooni <number>) Microsoft-flow/1.0
Power Apps Microsoft Power Apps; Kasutajaagent: PowerApps/ (; AppName= <rakenduse nimi>)

Järgmises tabelis kirjeldatakse väärtusi, mis võivad olenevalt tehtavast toimingust ilmuda x-ms-mail-operation-type päises.

Väärtus Kirjeldus
Vasta Meilisõnumitele vastamise toimingud
Edasi Meilisõnumite edasisaatmiseks
Saatke Meilitoimingute (sh SendEmailWithOptions ja SendApprovalEmail) saatmiseks

Päis x-ms-mail-environment-id sisaldab keskkonna ID väärtust. Selle päise olemasolu sõltub kasutatavast tootest.

  • In Power Apps, see on alati olemas.
  • In Power Automate, see on olemas ainult ühendustes, mis on loodud pärast 2020. aasta juulit.
  • Loogikarakendustes pole seda kunagi olemas.

Potentsiaalsed Exchange’i reeglid vaikekeskkonna jaoks

Siin on mõned meilitoimingud, mida võiksite Exchange’i reeglite abil blokeerida.

  • Blokeeri väljaminevad meilid välistele adressaatidele: blokeerige kõik väljaminevad meilid, mis saadetakse välistele adressaatidele ja Power Automate Power Apps. See reegel takistab tegijatel saata partneritele, hankijatele või klientidele meilisõnumeid oma rakendustest või voogudest.

  • Blokeeri väljaminev edasisaatmine: blokeerige kõik väljaminevad meilisõnumid, mis on edastatud välistele adressaatidele Power Automate ja Power Apps kust saatja pole lubatud postkastide loendist. See reegel takistab koostajatel luua voogu, mis edastab sissetulevad meilid automaatselt välisele adressaadile.

Erandid, mida e-posti blokeerimise reeglite puhul arvestada

Siin on mõned võimalikud erandid Exchange’i reeglitest meilide blokeerimiseks paindlikkuse lisamiseks.

  • Konkreetsete rakenduste ja voogude vabastamine: lisage varem soovitatud reeglitele erandite loend, et kinnitatud rakendused või vood saaksid välistele adressaatidele meilisõnumeid saata.

  • Organisatsioonitaseme lubatud loend: selle stsenaariumi korral on mõistlik teisaldada lahendus spetsiaalsesse keskkonda. Kui mitu keskkonnavoogu peavad saatma väljaminevaid meile, saate luua üldise erandireegli, et lubada sellest keskkonnast väljaminevaid meile. Selle keskkonna tegija ja administraatori õigused peavad olema rangelt kontrollitud ja piiratud.

Rentnikuülese isolatsiooni rakendamine

Power Platform Sellel on konnektorite Microsoft Entra süsteem, mis võimaldab volitatud Microsoft Entra kasutajatel ühendada rakendusi ja vooge andmepoodidega. Rentniku isoleerimine reguleerib andmete Microsoft Entra liikumist volitatud andmeallikatest rentnikusse ja rentnikust.

Rentniku eraldamine rakendatakse rentniku tasemel ja see mõjutab kõiki rentniku keskkondi, sh vaikekeskkonda. Kuna kõik töötajad on vaikekeskkonna tegijad, on tugeva rentniku isolatsioonipoliitika konfigureerimine keskkonna turvalisuse tagamiseks ülioluline. Soovitame teil selgesõnaliselt konfigureerida rentnikud, kellega teie töötajad saavad ühenduse luua. Kõigile teistele rentnikele peaksid kehtima vaikereeglid, mis blokeerivad nii sissetuleva kui ka väljamineva andmevoo.

Power Platform Üürniku isolatsioon erineb ID-ülesest rentnikupiirangust Microsoft Entra . See ei mõjuta Microsoft Entra ID-põhist juurdepääsu väljaspool Power Platform. See töötab ainult ID-põhist autentimist kasutavate Microsoft Entra konnektorite puhul, nagu Office 365 Outlook ja SharePoint konnektorid.

Vaata ka

Rentnikevahelise sissetuleva ja väljamineva juurdepääsu piiramine (eelvaade)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Administratsioon.PowerShell)