Yhdistimen päätepisteen suodatus (esiversio)
[Tämä artikkeli sisältää julkaisua edeltävää materiaalia ja voi muuttua.]
Yhdistimen päätepisteen suodatuksen avulla järjestelmänvalvojat voivat hallita, mihin tiettyihin päätepisteisiin tekijät voivat muodostaa yhteyden luodessaan sovelluksia, työnkulkuja tai keskustelubotteja. Se on määritetty tietojen menetyksen estämisen (DLP) käytännön mukaisesti, ja se on käytettävissä vain kuudelle yhdistimelle:
- HTTP
- HTTP, jossa on Microsoft Entra ID (AD)
- HTTP Webhook
- SQL Server (sisältää Azure Synapse -tietovaraston käyttämisen SQL Server Connectorin avulla)
- Azure Blob Storage
- SMTP
Kun tekijä yrittää yhdistää sovelluksensa, työnkulkunsa tai keskustelubottinsa estettyyn päätepisteeseen, hän saa DLP-virhesanoman.
Varoitus
Päätepistesuodatuksen sääntöjä ei pakoteta ympäristömuuttujille, mukautetuille syötteille tai dynaamisesti suorituksen aikana luoduille päätepisteille. Vain staattisia päätepisteitä arvioidaan sovelluksen, työnkulun tai keskustelubotin suunnitteluohjelmassa. Katso lisätietoja kohdasta Tunnetut rajoitukset.
Tärkeää
Esiversiotoimintoja ei ole tarkoitettu tuotantokäyttöön, ja niiden toiminnot voivat olla rajoitettuja. Nämä toiminnot ovat käytettävissä ennen virallista julkaisua, jotta asiakkaat voivat käyttää niiden ennakkojulkaisua ja antaa palautetta.
Päätepisteen suodatussääntöjen lisääminen DLP-käytäntöihin
Tietokäytäntöjen Päätepiste määritettävä -sarake Esimääritetyt yhdistimet-sivulla osoittaa, tukeeko yhdistin päätepisteen suodatusominaisuutta.
Jos Päätepiste määritettävä -sarakkeen arvo on Kyllä, voit käyttää tätä ominaisuutta napsauttamalla hiiren kakkospainikkeella ja valitsemalla sitten Määritä yhdistin>Yhdistimen päätepisteet.
Tämä avaa sivupaneelin, jossa voit määrittää Tilauksen salliminen- tai Estä URL-kaavat -luettelon. Luettelon viimeinen rivi on aina yleismerkin (*
) sääntö, joka koskee kaikkia kyseisen yhdistimen päätepisteitä. Oletusarvon mukaan mallin *
asetuksena on Salli uusille DLP-käytännöille, mutta tämän voi merkitä Salli- tai Estä-tunnisteella.
Lisää uusia sääntöjä
Voit lisätä uusia sääntöjä valitsemalla Lisää päätepiste. Uudet säännöt lisätään malliluettelon loppuun toiseksi viimeiseksi. Tämä johtuu siitä, että *
on aina luettelon viimeinen merkintä. Voit kuitenkin päivittää kaavojen järjestyksen käyttämällä avattavaa Järjestys-luetteloa tai valitsemalla Siirrä ylöspäin tai Siirrä alaspäin.
Kun malli on lisätty, voit muokata tai poistaa näitä kaavoja valitsemalla tietyn rivin ja valitsemalla sitten Poista.
Kun yhdistimen päätepistesuodatinsäännöt ja ne sisältävä DLP-käytäntö on tallennettu, ne tulevat heti pakotetusti käyttöön kohdeympäristöissä. Alla on esimerkki siitä, miten tekijä on yrittänyt yhdistää pilvityönkulkunsa HTTP-päätepisteeseen, joka ei ole sallittu.
Tunnetut rajoitukset
Päätepistesuodatuksen sääntöjä ei pakoteta ympäristömuuttujille, mukautetuille syötteille ja dynaamisesti sidotuille päätepisteille suorituksen aikana. Vain staattiset päätepisteet, jotka ovat tiedossa ja valittuja sovelluksen, työnkulun tai keskustelupalstan rakentamisessa suunnitteluajan aikana, pakotetaan. Tämän mukaan SQL Serverin ja Azure Blob Storagen yhdistinpäätepisteiden suodatussääntöjä ei pakoteta, jos yhteydet on todennettu Microsoft Entra ID:n avulla. Alla olevassa kahdessa näyttökuvassa tekijä on rakentanut pilvityönkulun, joka määrittää SQL Serverin ja tietokannan muuttujien sisällä, ja käyttää sitten näitä muuttujia yhteysmäärityksen syötteenä. Siksi päätepisteen suodatussääntöjä ei arvioida ja pilvityönkulku suoritetaan onnistuneesti.
Jotkut Power Apps -sovellukset, jotka on julkaistu ennen 1. lokakuuta 2020, on julkaistava uudelleen, jotta yhdistimien tietojen menetyksen estämisen toimintasäännöt ja päätepistesäännöt voidaan panna täytäntöön. Seuraavan komentosarjan avulla järjestelmänvalvojat ja päättäjät voivat tunnistaa sovellukset, jotka on julkaistava uudelleen näiden uusien DLP-rakeisten hallintasääntöjen mukaisesti:
Add-PowerAppsAccount $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z" ForEach ($app in Get-AdminPowerApp){ $versionAsDate = [datetime]::Parse($app.LastModifiedTime) $olderApp = $versionAsDate -lt $GranularDLPDate $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) If($($olderApp -and !$wasBackfilled)){ Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " " $app.Internal.properties.displayName " " $app.Internal.properties.owner.email } Else{ Write-Host "App is already Granular DLP compliant: " $app.AppName } }
Päätepisteiden syötemuodot ja esimerkkejä
Jokaisella liittimellä on erilainen käsitys siitä, mitä päätepiste tarkoittaa. Lisäksi jotkin päätepisteet voidaan määrittää useissa muodoissa. Siksi päätepisteet on syötettävä kaikissa mahdollisissa muodoissa, jotta tekijät eivät voi käyttää niitä luodessaan sovelluksia ja työnkulkuja. Järjestelmänvalvojat voivat joko kirjoittaa koko päätepisteen nimen tai käyttää kuviota, joka vastaa yleismerkkiä (*
) luodessaan päätepisteen suodatussääntöä. Nämä säännöt syötetään ja esitetään järjestetyssä päätepisteluettelossa, mikä tarkoittaa, että ne arvioidaan nousevassa järjestyksessä numeron mukaan. Huomaa, että minkä tahansa yhdistimen viimeinen sääntö on aina *
Salli tai *
Estä. Salli on oletusasetus, jonka voi muuttaa Estä-asetukseksi.
Seuraavissa ohjeissa kuvataan, miten yhdistimen päätepisteet syötetään, kun luodaan sääntöjä niiden sallimiseksi tai kieltämiseksi.
SQL-palvelin
SQL Server -yhteyden päätepisteet on lueteltava <Server_name, database_name>
-muodossa. Huomioitavia seikkoja:
Tekijät voivat syöttää palvelimen nimen eri muodoissa. Siksi, jotta voidaan todella osoittaa päätepisteeseen, se on syötettävä kaikissa mahdollisissa muodoissa. Esimerkiksi paikalliset esiintymät voivat olla
<machine_name\named_instance, database_name>
- tai<IP address, custom port, database_name>
-muodossa. Tässä tapauksessa sinun on sovellettava salli- tai estosääntöjä molemmissa muodoissa päätepisteelle. Esimerkki:- Estä
WS12875676\Servername1,MktingDB
- Estä
11.22.33.444,1401,MktingDB
- Estä
Ei ole mitään erityistä logiikkaa käsitellä suhteellisia osoitteita, kuten
localhost
. Jos siis estät*localhost*
, se estää tekijöitä käyttämästä päätepisteitä, jossa osana SQL Server -päätepistettä onlocalhost
. Se ei kuitenkaan estä niitä käyttämästä päätepistettä absoluuttisen osoitteen avulla, ellei järjestelmänvalvoja ole myös estänyt absoluuttista osoitetta.
Seuraavassa on esimerkkejä:
Salli vain Azure SQL Server -esiintymät:
- Salli
*.database.windows.net*
- Estä
*
- Salli
Salli vain tietty IP-alue: (Huomaa, että tekijä voi edelleen syöttää IP-osoitteet, joita ei sallita,
<machine_name\named_instance>
-muodossa.)- Salli
11.22.33*
- Estä
*
- Salli
Dataverse
Dataverse-päätepisteitä edustaa organisaation tunnus, esimerkiksi 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Huomaa, että vain tavallinen Dataverse-yhdistin on tällä hetkellä päätepistesuodatuksen vaikutusalueessa. Dataverse Dynamics- ja Dataverse current -yhdistimet eivät ole vaikutusalueella. Myöskään paikallista Dataverse-esiintymää (jota kutsutaan myös nykyiseksi ympäristöksi) ei voida koskaan estää käytöltä ympäristössä. Tämä tarkoittaa, että missä tahansa ympäristössä tekijät voivat aina käyttää Dataverse current -ympäristöä.
Siksi sääntö, jossa sanotaan seuraavaa:
- Salli
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Estä
*
Itse asiassa tarkoittaa:
- Salli
Dataverse current environment
- Salli
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Estä
*
Salli Dataverse current environment
on aina implisiittisesti Dataverse-päätepisteiden suodatusluettelon ensimmäinen sääntö missä tahansa ympäristössä.
Azure Blob Storage
Azure Blob Storage -päätepisteitä edustaa Azure-tallennustilatilin nimi.
SMTP
SMTP-päätepisteet esitetään <SMTP server address, port number>
-muodossa.
Seuraavassa on esimerkkiskenaario:
- Estä
smtp.gmail.com,587
- Salli
*
HTTP ja Microsoft Entra ID-, HTTP Webhook- ja HTTP-yhdistimet
Kaikkien HTTP-yhdistimien päätepisteitä edustaa URL-malli. HTTP ja Microsoft Entra -yhdistimen Hae verkkoresurssi -toiminto ei kuulu vaikutusalueeseen.
Seuraavassa on esimerkkiskenaario:
Salli käyttää vain Azure-tilausten sivua kohteessa https://management.azure.com/
.
- Salli
https://management.azure.com/subscriptions*
- Estä
https://management.azure.com/*
- Estä
*
PowerShell-tuki päätepisteen suodatukselle
Päätepisteen suodatussääntöjen määrittäminen käytännölle
Käytännölle päätepisteen suodatussääntöjä sisältävää objektia kutsutaan alla yhdistimen määrityksiksi.
Yhdistinmääritysobjektin rakenne on seuraava:
$ConnectorConfigurations = @{
connectorActionConfigurations = @() # used for connector action rules
endpointConfigurations = @( # array – one entry per
@{
connectorId # string
endpointRules = @( # array – one entry per rule
@{
order # number
endpoint # string
behavior # supported values: Allow/Deny
}
)
}
)
}
Muistiinpanot
- Viimeistä kunkin yhdistimen sääntöä käytetään aina URL-osoitteelle
*
, jotta varmistetaan, että säännöt kattavat kaikki URL-osoitteet. - Kunkin yhdistimen sääntöjen järjestysominaisuudessa on oltava numerot 1–N, jossa N on yhdistimen sääntöjen määrä.
DLP-käytännön aiemmin luotujen yhdistinmääritysten noutaminen
Get-PowerAppDlpPolicyConnectorConfigurations
Yhdistinmääritysten luominen DLP-käytännölle
New-PowerAppDlpPolicyConnectorConfigurations
DLP-käytännön yhdistinmääritysten päivittäminen
Set-PowerAppDlpPolicyConnectorConfigurations
Esimerkki
Tavoite:
SQL Server -yhdistimelle:
- Estä tietokanta “testdatabase” palvelimelta “myservername.database.windows.net”
- Salli kaikki muuta tietokannat palvelimelta “myservername.database.windows.net”
- Estä kaikki muut palvelimet
SMTP-yhdistimelle:
- Salli Gmail (palvelimen osoite: smtp.gmail.com, portti: 587)
- Estä kaikki muut osoitteet
HTTP-yhdistimelle:
- Salli päätepisteet
https://mywebsite.com/allowedPath1
jahttps://mywebsite.com/allowedPath2
- Estä kaikki muut URL-osoitteet
Muistiinpano
Seuraavassa cmdlet-komennossa PolicyName viittaa yksilöivään GUID-tunnukseen. Voit hakea DLP GUID -tunnuksen suorittamalla Get-DlpPolicy-cmdlet-komennon.
$ConnectorConfigurations = @{
endpointConfigurations = @(
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql"
endpointRules = @(
@{
order = 1
endpoint = "myservername.database.windows.net,testdatabase"
behavior = "Deny"
},
@{
order = 2
endpoint = "myservername.database.windows.net,*"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp"
endpointRules = @(
@{
order = 1
endpoint = "smtp.gmail.com,587"
behavior = "Allow"
},
@{
order = 2
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "http"
endpointRules = @(
@{
order = 1
endpoint = "https://mywebsite.com/allowedPath1"
behavior = "Allow"
},
@{
order = 2
endpoint = "https://mywebsite.com/allowedPath2"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
}
)
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations