Jaa


Yhdistimen päätepisteen suodatus (esiversio)

[Tämä artikkeli sisältää julkaisua edeltävää materiaalia ja voi muuttua.]

Yhdistimen päätepisteen suodatuksen avulla järjestelmänvalvojat voivat hallita, mihin tiettyihin päätepisteisiin tekijät voivat muodostaa yhteyden luodessaan sovelluksia, työnkulkuja tai keskustelubotteja. Se on määritetty tietojen menetyksen estämisen (DLP) käytännön mukaisesti, ja se on käytettävissä vain kuudelle yhdistimelle:

  • HTTP
  • HTTP, jossa on Microsoft Entra ID (AD)
  • HTTP Webhook
  • SQL Server (sisältää Azure Synapse -tietovaraston käyttämisen SQL Server Connectorin avulla)
  • Azure Blob Storage
  • SMTP

Kun tekijä yrittää yhdistää sovelluksensa, työnkulkunsa tai keskustelubottinsa estettyyn päätepisteeseen, hän saa DLP-virhesanoman.

Varoitus

Päätepistesuodatuksen sääntöjä ei pakoteta ympäristömuuttujille, mukautetuille syötteille tai dynaamisesti suorituksen aikana luoduille päätepisteille. Vain staattisia päätepisteitä arvioidaan sovelluksen, työnkulun tai keskustelubotin suunnitteluohjelmassa. Katso lisätietoja kohdasta Tunnetut rajoitukset.

Tärkeää

Esiversiotoimintoja ei ole tarkoitettu tuotantokäyttöön, ja niiden toiminnot voivat olla rajoitettuja. Nämä toiminnot ovat käytettävissä ennen virallista julkaisua, jotta asiakkaat voivat käyttää niiden ennakkojulkaisua ja antaa palautetta.

Päätepisteen suodatussääntöjen lisääminen DLP-käytäntöihin

Tietokäytäntöjen Päätepiste määritettävä -sarake Esimääritetyt yhdistimet-sivulla osoittaa, tukeeko yhdistin päätepisteen suodatusominaisuutta.

Päätepiste määritettävissä Esimääritetyt yhdistimet -sivulla.

Jos Päätepiste määritettävä -sarakkeen arvo on Kyllä, voit käyttää tätä ominaisuutta napsauttamalla hiiren kakkospainikkeella ja valitsemalla sitten Määritä yhdistin>Yhdistimen päätepisteet.

Määritä yhdistin > Yhdistimen päätepisteet.

Tämä avaa sivupaneelin, jossa voit määrittää Tilauksen salliminen- tai Estä URL-kaavat -luettelon. Luettelon viimeinen rivi on aina yleismerkin (*) sääntö, joka koskee kaikkia kyseisen yhdistimen päätepisteitä. Oletusarvon mukaan mallin * asetuksena on Salli uusille DLP-käytännöille, mutta tämän voi merkitä Salli- tai Estä-tunnisteella.

Määritä mukautettujen yhdistinten Salli- ja Estä-URL-kaavojen järjestetty luettelo.

Lisää uusia sääntöjä

Voit lisätä uusia sääntöjä valitsemalla Lisää päätepiste. Uudet säännöt lisätään malliluettelon loppuun toiseksi viimeiseksi. Tämä johtuu siitä, että * on aina luettelon viimeinen merkintä. Voit kuitenkin päivittää kaavojen järjestyksen käyttämällä avattavaa Järjestys-luetteloa tai valitsemalla Siirrä ylöspäin tai Siirrä alaspäin.

Valitse Lisää päätepiste, jos haluat lisätä uusia sääntöjä.

Kun malli on lisätty, voit muokata tai poistaa näitä kaavoja valitsemalla tietyn rivin ja valitsemalla sitten Poista.

Poista kaava.

Kun yhdistimen päätepistesuodatinsäännöt ja ne sisältävä DLP-käytäntö on tallennettu, ne tulevat heti pakotetusti käyttöön kohdeympäristöissä. Alla on esimerkki siitä, miten tekijä on yrittänyt yhdistää pilvityönkulkunsa HTTP-päätepisteeseen, joka ei ole sallittu.

DLP-virhe päätepisteen suodatussääntöjen vuoksi.

Tunnetut rajoitukset

  • Päätepistesuodatuksen sääntöjä ei pakoteta ympäristömuuttujille, mukautetuille syötteille ja dynaamisesti sidotuille päätepisteille suorituksen aikana. Vain staattiset päätepisteet, jotka ovat tiedossa ja valittuja sovelluksen, työnkulun tai keskustelupalstan rakentamisessa suunnitteluajan aikana, pakotetaan. Tämän mukaan SQL Serverin ja Azure Blob Storagen yhdistinpäätepisteiden suodatussääntöjä ei pakoteta, jos yhteydet on todennettu Microsoft Entra ID:n avulla. Alla olevassa kahdessa näyttökuvassa tekijä on rakentanut pilvityönkulun, joka määrittää SQL Serverin ja tietokannan muuttujien sisällä, ja käyttää sitten näitä muuttujia yhteysmäärityksen syötteenä. Siksi päätepisteen suodatussääntöjä ei arvioida ja pilvityönkulku suoritetaan onnistuneesti.

    Pilvityönkulku muodostaa yhteyden SQL:ään muuttujien avulla.Pilvityönkulku suoritetaan onnistuneesti.

  • Jotkut Power Apps -sovellukset, jotka on julkaistu ennen 1. lokakuuta 2020, on julkaistava uudelleen, jotta yhdistimien tietojen menetyksen estämisen toimintasäännöt ja päätepistesäännöt voidaan panna täytäntöön. Seuraavan komentosarjan avulla järjestelmänvalvojat ja päättäjät voivat tunnistaa sovellukset, jotka on julkaistava uudelleen näiden uusien DLP-rakeisten hallintasääntöjen mukaisesti:

    Add-PowerAppsAccount
    
    $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"
    
    ForEach ($app in Get-AdminPowerApp){
    
        $versionAsDate = [datetime]::Parse($app.LastModifiedTime)
    
        $olderApp = $versionAsDate -lt $GranularDLPDate
    
        $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 
    
        If($($olderApp -and !$wasBackfilled)){
            Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
        } 
        Else{ 
            Write-Host "App is already Granular DLP compliant: " $app.AppName 
        }
    }
    

Päätepisteiden syötemuodot ja esimerkkejä

Jokaisella liittimellä on erilainen käsitys siitä, mitä päätepiste tarkoittaa. Lisäksi jotkin päätepisteet voidaan määrittää useissa muodoissa. Siksi päätepisteet on syötettävä kaikissa mahdollisissa muodoissa, jotta tekijät eivät voi käyttää niitä luodessaan sovelluksia ja työnkulkuja. Järjestelmänvalvojat voivat joko kirjoittaa koko päätepisteen nimen tai käyttää kuviota, joka vastaa yleismerkkiä (*) luodessaan päätepisteen suodatussääntöä. Nämä säännöt syötetään ja esitetään järjestetyssä päätepisteluettelossa, mikä tarkoittaa, että ne arvioidaan nousevassa järjestyksessä numeron mukaan. Huomaa, että minkä tahansa yhdistimen viimeinen sääntö on aina * Salli tai * Estä. Salli on oletusasetus, jonka voi muuttaa Estä-asetukseksi.

Seuraavissa ohjeissa kuvataan, miten yhdistimen päätepisteet syötetään, kun luodaan sääntöjä niiden sallimiseksi tai kieltämiseksi.

SQL-palvelin

SQL Server -yhteyden päätepisteet on lueteltava <Server_name, database_name> -muodossa. Huomioitavia seikkoja:

  • Tekijät voivat syöttää palvelimen nimen eri muodoissa. Siksi, jotta voidaan todella osoittaa päätepisteeseen, se on syötettävä kaikissa mahdollisissa muodoissa. Esimerkiksi paikalliset esiintymät voivat olla <machine_name\named_instance, database_name>- tai <IP address, custom port, database_name>-muodossa. Tässä tapauksessa sinun on sovellettava salli- tai estosääntöjä molemmissa muodoissa päätepisteelle. Esimerkki:

    • Estä WS12875676\Servername1,MktingDB
    • Estä 11.22.33.444,1401,MktingDB
  • Ei ole mitään erityistä logiikkaa käsitellä suhteellisia osoitteita, kuten localhost. Jos siis estät *localhost*, se estää tekijöitä käyttämästä päätepisteitä, jossa osana SQL Server -päätepistettä on localhost. Se ei kuitenkaan estä niitä käyttämästä päätepistettä absoluuttisen osoitteen avulla, ellei järjestelmänvalvoja ole myös estänyt absoluuttista osoitetta.

Seuraavassa on esimerkkejä:

  • Salli vain Azure SQL Server -esiintymät:

    1. Salli *.database.windows.net*
    2. Estä *
  • Salli vain tietty IP-alue: (Huomaa, että tekijä voi edelleen syöttää IP-osoitteet, joita ei sallita, <machine_name\named_instance>-muodossa.)

    1. Salli 11.22.33*
    2. Estä *

Dataverse

Dataverse-päätepisteitä edustaa organisaation tunnus, esimerkiksi 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Huomaa, että vain tavallinen Dataverse-yhdistin on tällä hetkellä päätepistesuodatuksen vaikutusalueessa. Dataverse Dynamics- ja Dataverse current -yhdistimet eivät ole vaikutusalueella. Myöskään paikallista Dataverse-esiintymää (jota kutsutaan myös nykyiseksi ympäristöksi) ei voida koskaan estää käytöltä ympäristössä. Tämä tarkoittaa, että missä tahansa ympäristössä tekijät voivat aina käyttää Dataverse current -ympäristöä.

Siksi sääntö, jossa sanotaan seuraavaa:

  1. Salli 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Estä *

Itse asiassa tarkoittaa:

  1. Salli Dataverse current environment
  2. Salli 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Estä *

Salli Dataverse current environment on aina implisiittisesti Dataverse-päätepisteiden suodatusluettelon ensimmäinen sääntö missä tahansa ympäristössä.

Azure Blob Storage

Azure Blob Storage -päätepisteitä edustaa Azure-tallennustilatilin nimi.

SMTP

SMTP-päätepisteet esitetään <SMTP server address, port number>-muodossa.

Seuraavassa on esimerkkiskenaario:

  1. Estä smtp.gmail.com,587
  2. Salli *

HTTP ja Microsoft Entra ID-, HTTP Webhook- ja HTTP-yhdistimet

Kaikkien HTTP-yhdistimien päätepisteitä edustaa URL-malli. HTTP ja Microsoft Entra -yhdistimen Hae verkkoresurssi -toiminto ei kuulu vaikutusalueeseen.

Seuraavassa on esimerkkiskenaario:

Salli käyttää vain Azure-tilausten sivua kohteessa https://management.azure.com/.

  1. Salli https://management.azure.com/subscriptions*
  2. Estä https://management.azure.com/*
  3. Estä *

PowerShell-tuki päätepisteen suodatukselle

Päätepisteen suodatussääntöjen määrittäminen käytännölle

Käytännölle päätepisteen suodatussääntöjä sisältävää objektia kutsutaan alla yhdistimen määrityksiksi.

Yhdistinmääritysobjektin rakenne on seuraava:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Muistiinpanot

  • Viimeistä kunkin yhdistimen sääntöä käytetään aina URL-osoitteelle *, jotta varmistetaan, että säännöt kattavat kaikki URL-osoitteet.
  • Kunkin yhdistimen sääntöjen järjestysominaisuudessa on oltava numerot 1–N, jossa N on yhdistimen sääntöjen määrä.

DLP-käytännön aiemmin luotujen yhdistinmääritysten noutaminen

Get-PowerAppDlpPolicyConnectorConfigurations 

Yhdistinmääritysten luominen DLP-käytännölle

New-PowerAppDlpPolicyConnectorConfigurations

DLP-käytännön yhdistinmääritysten päivittäminen

Set-PowerAppDlpPolicyConnectorConfigurations

Esimerkki

Tavoite:

SQL Server -yhdistimelle:

  • Estä tietokanta “testdatabase” palvelimelta “myservername.database.windows.net”
  • Salli kaikki muuta tietokannat palvelimelta “myservername.database.windows.net”
  • Estä kaikki muut palvelimet

SMTP-yhdistimelle:

  • Salli Gmail (palvelimen osoite: smtp.gmail.com, portti: 587)
  • Estä kaikki muut osoitteet

HTTP-yhdistimelle:

  • Salli päätepisteet https://mywebsite.com/allowedPath1 ja https://mywebsite.com/allowedPath2
  • Estä kaikki muut URL-osoitteet

Muistiinpano

Seuraavassa cmdlet-komennossa PolicyName viittaa yksilöivään GUID-tunnukseen. Voit hakea DLP GUID -tunnuksen suorittamalla Get-DlpPolicy-cmdlet-komennon.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations