Partekatu honen bidez:

Konektorearen amaiera-puntuak iragaztea (aurreargitalpena)

  • Artikulua

[Aurre-argitaratutako dokumentazioaren parte da artikulu hau, eta baliteke aldaketak jasatea.]

Konektoreen amaierako puntuen iragazketari esker, administratzaileek aplikazioak, fluxuak edo txat-botak eraikitzean zein puntu zehatzetara konekta daitezkeen gobernatzen dute. Datu-galera prebenitzeko (DLP) politika baten barruan konfiguratuta dago, eta sei konektoretarako soilik dago erabilgarri:

  • HTTP
  • HTTP Microsoft Entra IDarekin (AD)
  • HTTP Webhook
  • SQL Server (SQL Server Connector erabiltzea barne Azure Synapse datu biltegira sartzeko)
  • Azure Blob Storage
  • SMTP

Ekoizle bat bere aplikazioa, fluxua edo chatbot blokeatutako amaiera-puntu batera konektatzen saiatzen denean, DLP errore-mezu bat aurkituko du.

Abisua

Amaiera-puntuak iragazteko arauak ez dira ezartzen ingurune-aldagaietan, sarrera pertsonalizatuetan edo exekuzioan dinamikoki sortzen den edozein puntutan. Amaiera-puntu estatikoak soilik ebaluatzen dira aplikazio, flux edo chatbot diseinatzaileetan. Informazio gehiago lortzeko, ikus Muga ezagunak.

Garrantzitsua da

Aurrebista-eginbideak ez daude ekoizpenerako diseinatuta, eta funtzionalitate murriztua izan dezakete. Eginbide horiek kaleratze ofiziala baino lehen dauden erabilgarri, bezeroek atzitu eta beren oharrak eman ditzaten.

Gehitu amaierako puntuak iragazteko arauak zure DLP gidalerroetan

Amaiera-puntua konfiguragarria zutabea, Aldez aurretik eraikitako konektoreak orrian, Datu-politikak, amaierako puntuak iragazteko gaitasuna konektorearentzat onartzen den adierazten du.

Amaiera-puntua aurrez eraikitako konektoreak orrian konfigura daiteke.

Amaiera puntu konfiguragarria zutabearen balioa Bai bada, gaitasun hau erabil dezakezu eskuineko botoiarekin klik eginez eta gero Konfiguratu konektorea>Konektoreen amaierako puntuak.

Konfiguratu konektorea > Konektorearen amaiera-puntuak.

Honek alboko panela irekitzen du, URL baimendu edo ukatu ereduen zerrenda ordenatua zehazteko. Zerrendako azken errenkada beti izango da komodinaren (*) arau bat, konektore horretako amaiera-puntu guztietan aplikatzen dena. Lehenespenez, * eredua baimendu gisa konfiguratuta dago DLP politika berrietarako, baina hau baimendu edo ukatu gisa etiketa dezakezu.

Zehaztu konektore pertsonalizatuetarako Baimendu eta Ukatu URL ereduen zerrenda ordenatua.

Gehitu arau berriak

Arau berriak gehi ditzakezu hautatuta Gehitu amaiera. Arau berriak eredu-zerrendaren amaieran gehitzen dira azken-azkeneko arau gisa. Hau da, * beti izango da zerrendako azken sarrera. Dena den, ereduen ordena egunera dezakezu Ordena gotibeherako zerrenda erabiliz edo Gora hautatuta. edo Jaitsi behera.

Hautatu Gehitu amaierako puntua arau berriak gehitzeko.

Eredu bat gehitu ondoren, eredu horiek editatu edo ezabatu ditzakezu errenkada zehatz bat hautatuta eta gero Ezabatu hautatuta.

Ezabatu eredu bat.

Zure konektorearen amaierako iragazte-arauak eta definitzen diren DLP politika gorde ondoren, berehala ezarriko dira xede-inguruneetan. Jarraian, egileak bere hodeiko fluxu onartzen ez den HTTP amaierako puntu batera konektatzen saiatu den adibide bat dago.

DLP errorea amaierako puntuen iragazketa-arauengatik.

Muga ezagunak

  • Amaiera-puntuak iragazteko arauak ez dira ezartzen ingurune-aldagaietan, sarrera pertsonalizatuetan eta dinamikoki lotuta dauden amaiera-puntuetan exekuzioan zehar. Diseinu garaian aplikazioa, fluxua edo txat-bot bat eraikitzean ezagutzen eta hautatzen diren amaiera-puntu estatikoak soilik ezartzen dira. Horrek esan nahi du SQL Server eta Azure Blob biltegirako konektoreen amaierako iragazketa-arauak ez direla beteko konexioak Microsoft Entra IDarekin autentifikatuta badaude. Beheko bi pantaila-argazkietan, sortzaile batek hodeiko fluxu bat eraiki du, aldagaien barruan SQL Server eta datu-basea definitzen dituena, eta, ondoren, aldagai horiek konexioaren definiziorako sarrera gisa erabiltzen ditu. Hori dela eta, amaierako puntuak iragazteko arauak ez dira ebaluatzen eta hodeiko fluxu behar bezala exekutatu daiteke.

    Hodeiko fluxu aldagaiak erabiltzen ditu SQLra konektatzeko.Hodeiko fluxu arrakastaz exekutatzen da.

  • 2020ko urriaren 1a baino lehen argitaratutako Power Apps batzuk berriro argitaratu behar dira DLP konektoreen ekintza-arauak eta amaiera-puntuaren arauak bete daitezen. Ondorengo script-ek administratzaileek eta arduradunek DLP kontrol xehe-arau berri hauek errespetatzeko berriro argitaratu behar diren aplikazioak identifikatzea ahalbidetzen dute:

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Amaiera puntu sarrera formatuak eta adibideak

Konektore bakoitzak amaiera puntu batek zer esan nahi duen adierazten du. Gainera, zenbait puntu formatu anitzetan defini daitezke. Hori dela eta, amaierako puntuak formatu posible guztietan sartu behar dira, egileek aplikazioak eta fluxuak sortzerakoan erabiltzea eragozteko. Administratzaileek amaierako puntuaren izen osoa sar dezakete edo komodinarekin (*) ereduarekin bat etortzea erabil dezakete amaierako puntuak iragazteko araua sortzerakoan. Arau hauek amaierako puntu ereduen zerrenda ordenatuan sartu eta aurkezten dira, hau da, zenbakiaren arabera goranzko ordenan ebaluatuko dira. Kontuan izan edozein konektoreren azken araua beti dela * Baimendu edo * Ukatu. Baimendu da lehenetsia, eta ukatu gisa alda daiteke.

Ondorengo gidalerroak konektoreen amaierako puntuak nola sartu deskribatzen ditu haiek baimentzeko edo ukatzeko arauak sortzean.

SQL Server

SQL Server konexioaren amaierako puntuak zerrendatu behar dira <Server_name, database_name> formatuan. Kontuan hartu beharreko zenbait gauza:

  • Zerbitzariaren izena hainbat formatutan sar dezakete arduradunek. Hori dela eta, amaiera puntu bati benetan aurre egiteko, formatu posible guztietan sartu behar da. Adibidez, instantzia lokaletan <machine_name\named_instance, database_name> edo <IP address, custom port, database_name> formatuan egon daitezke. Kasu honetan, baimendu edo blokeatu arauak aplikatu beharko dituzu bi formatuetan amaierako puntu baterako. Adibidez:

    • WS12875676\Servername1,MktingDB blokeatu
    • 11.22.33.444,1401,MktingDB blokeatu

  • Ez dago logika berezirik localhost bezalako helbide erlatiboak kudeatzeko. Hori dela eta, *localhost* blokeatzen baduzu, arduradunek edozein puntu erabiltzea blokeatuko du localhost erabiliz SQL Server amaierako puntuaren zati gisa. Hala ere, ez die helbide absolutua erabiliz amaierako puntura sartzea eragotziko, administratzaileek ere helbide absolutua blokeatu ez badute.

Honako hauek dira adibideak:

  • Baimendu Azure SQL Server zerbitzariaren instantziak soilik:

    1. Baimendu *.database.windows.net*
    2. Ukatu *

  • Baimendu IP barruti zehatz bat soilik: (Kontuan izan baimenduta ez dauden IP helbideak egileak <machine_name\named_instance> formatuan sar ditzakeela oraindik).

    1. Baimendu 11.22.33*
    2. Ukatu *

Dataverse

Dataverse amaierako puntuak erakundearen IDrekin adierazten dira, adibidez, 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Kontuan izan Dataverse konektore arrunta soilik dagoela une honetan amaierako puntuak iragazteko. Dataverse dinamika eta Dataverse uneko konektoreak ez daude esparruan. Halaber, Dataverse-ren instantzia lokala (uneko ingurune gisa ere ezaguna) ezin da inoiz blokeatu ingurune batean erabiltzeko. Horrek esan nahi du ingurune jakin baten barruan, egileek beti sar dezaketela Dataverse uneko ingurunea.

Hori dela eta, honako hau dioen araua:

  1. Baimendu 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Ukatu *

Benetan esan nahi du:

  1. Baimendu Dataverse current environment
  2. Baimendu 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Ukatu *

Baimendu Dataverse current environment da beti inplizituki Dataverse amaiera puntuak iragazteko zerrendako edozein ingurunetarako.

Azure Blob Storage

Azure Blob Storage amaierako puntuak Azure biltegiratze kontuaren izenaren bidez irudikatzen dira.

SMTP

SMTP amaiera puntuak irudikatzen dira <SMTP server address, port number> formatuan.

Honako hau eszenatoki adibide bat da:

  1. Ukatu smtp.gmail.com,587
  2. Baimendu *

HTTP Microsoft Entra ID, HTTP Webhook eta HTTP konektoreekin

HTTP konektore guztien amaierako puntuak URL eredu baten bidez adierazten dira. Lortu web-baliabidea Microsoft Entra konektorea duen HTTPren ekintza esparrutik kanpo dago.

Honako hau eszenatoki adibide bat da:

Baimendu Azure harpidetzen orrialdera sartzea soilik https://management.azure.com/-en.

  1. Baimendu https://management.azure.com/subscriptions*
  2. Ukatu https://management.azure.com/*
  3. Ukatu *

PowerShell laguntza amaierako puntuak iragazteko

Konfiguratu amaierako puntuak iragazteko arauak gidalerro baterako

Politika baten amaierako puntuak iragazteko arauak dituen objektuari konektoreen konfigurazio gisa aipatuko da jarraian.

Konektoreen konfigurazioen objektuak egitura hau du:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Oharrak

  • Konektore bakoitzaren azken araua URL *ri aplikatu behar zaio beti, URL guztiak arauek estalita daudela ziurtatzeko.
  • Konektore bakoitzaren arauen ordenaren propietatea 1etik N bitarteko zenbakiekin bete behar da, non N konektore horren arau kopurua den.

Berreskuratu lehendik dauden konektoreen konfigurazioak DLP politika baterako

Get-PowerAppDlpPolicyConnectorConfigurations

Sortu konektoreen konfigurazioak DLP politika baterako

New-PowerAppDlpPolicyConnectorConfigurations

Eguneratu konektoreen konfigurazioak DLP politika baterako

Set-PowerAppDlpPolicyConnectorConfigurations

Adibidea

Helburua:

SQL Server konektorerako:

  • Ukatu "myservername.database.windows.net" zerbitzariaren "testdatabase" datu basea
  • Baimendu "myservername.database.windows.net" zerbitzariaren beste datu base guztiak
  • Ukatu gainerako zerbitzari guztiak

SMTP konektorearentzako:

  • Baimendu Gmail (zerbitzariaren helbidea: smtp.gmail.com, ataka: 587)
  • Ukatu gainerako helbide guztiak

HTTP konektorearentzako:

  • Onartu amaierako puntuak https://mywebsite.com/allowedPath1 eta https://mywebsite.com/allowedPath2
  • Ukatu gainerako URL guztiak

Oharra

Hurrengo cmdlet-ean, PolicyName GUID esklusiboari egiten dio erreferentzia. DLP GUID berreskura dezakezu Get-DlpPolicy cmdlet-a exekutatuz.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations