שתף באמצעות

אבטחה של סביבת ברירת המחדל

  • מאמר

לכל עובד בארגון שלך יש גישה לסביבת Power Platform של ברירת המחדל. כמנהל מערכת של Power Platform, עליך לשקול דרכים לאבטחת סביבה זו תוך שמירה על נגישות לשימושי הפרודוקטיביות האישיים של יוצרים. מאמר זה מספק הצעות.

הקצאת תפקידי מנהל מערכת באופן מושכל

שקול אם משתמשי מנהל המערכת שלך צריכים לקבל את תפקיד מנהל המערכת של Power Platform. האם תפקיד מנהל הסביבה או מנהל המערכת יתאים יותר? בכל מקרה, הגבל את תפקיד מנהל המערכת של Power Platform העוצמתי יותר למספר משתמשים בלבד. למידע נוסף על ניהול Power Platform סביבות.

תקשור כוונה

אחד האתגרים המרכזיים של צוות מרכז המצוינות (CoE) של Power Platform הוא לתקשר את השימושים המיועדים של סביבת ברירת המחדל. להלן כמה המלצות.

שינוי שם לסביבת ברירת המחדל

סביבת ברירת המחדל נוצרת עם השם TenantName (ברירת מחדל). באפשרותך לשנות את שם הסביבה לשם תיאורי יותר, כגון סביבת פרודוקטיביות אישית כדי להבהיר את הכוונה.

שימוש במרכז Power Platform

מרכז Microsoft Power Platform הוא תבנית אתר תקשורת של SharePoint. הוא מספק נקודת התחלה עבור מקור מידע מרכזי ליוצרים לגבי השימוש של הארגון שלך ב- Power Platform. תוכן למתחילים ותבניות דפים מאפשרים להציע ליוצרים בקלות מידע כגון:

  • מקרי שימוש בפרודוקטיביות אישית
  • אופן הבנייה של אפליקציות וזרימות
  • היכן לבנות אפליקציות וזרימות
  • כיצד ליצור קשר עם צוות התמיכה של מרכז המצוינות
  • כללים הנוגעים לשילוב עם שירותים חיצוניים

הוסף קישורים לכל משאב פנימי אחר שעשוי להיות שימושי עבור היוצרים שלך.

הגבלת השיתוף עם כולם

יוצרים יכולים לשתף את האפליקציות שלהם עם משתמשים בודדים וקבוצות אבטחה אחרות. כברירת מחדל, השיתוף עם כל הארגון שלך, או עם כולם, מושבת. שקול להשתמש בתהליך סגור סביב אפליקציות בשימוש נרחב כדי לאכוף מדיניות ודרישות כמו אלה:

  • מדיניות סקירת אבטחה
  • מדיניות סקירה עסקית
  • דרישות של ניהול מחזור חיים של אפליקציה (ALM)
  • דרישות חוויית משתמש ומיתוג

התכונה שתף עם כולם מושבתת כברירת מחדל ב Power Platform. אנו ממליצים להשאיר הגדרה זו מושבתת כדי להגביל את חשיפת היתר של אפליקציות קנבס עם משתמשים לא מכוונים. קבוצת כולם עבור הארגון שלך מכילה את כל המשתמשים שאי פעם התחברו לדייר שלך, הכוללת אורחים וחברים פנימיים. זה לא רק כל העובדים הפנימיים בתוך הדייר שלך. בנוסף, לא ניתן לערוך או לצפות בחברות בקבוצת כולם . למידע נוסף על קבוצת כולם , עבור אל /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

אם תרצה לשתף עם כל העובדים הפנימיים או קבוצה גדולה של אנשים, שקול לשתף עם קבוצת אבטחה קיימת של אותם חברים או ליצור קבוצת אבטחה ולשתף את האפליקציה שלך עם קבוצת אבטחה זו.

כאשר שתף עם כולם מושבת, רק קבוצה קטנה של מנהלי מערכת יכולה לשתף אפליקציה עם כל מי שנמצא בסביבה. אם אתה מנהל מערכת, אתה יכול להפעיל את הפקודה הבאה PowerShell אם אתה צריך לאפשר שיתוף עם כולם.

  1. ראשית, פתח את PowerShell כ-מנהל מערכת והיכנס לחשבון Power Apps על ידי הפעלת הפקודה הזו.

    Add-PowerAppsAccount

  2. הפעל את ה- cmdlet Get-TenantSettings כדי לקבל את רשימת הגדרות הדיירים של הארגון שלך כאובייקט.

    האובייקט powerPlatform.PowerApps כולל שלושה דגלים:

    צילום מסך של שלושה דגלים באובייקט $settings.powerPlatform.PowerApps.

  3. הפעל את הפקודות הבאות של PowerShell כדי לקבל את אובייקט ההגדרות ולהגדיר את המשתנה disableShareWithEveryone ל-$false.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. הפעל את Set-TenantSettings cmdlet עם אובייקט ההגדרות כדי לאפשר ליצרנים לשתף את האפליקציות שלהם עם כל מי שנמצא בדייר.

      Set-TenantSettings $settings

    כדי להשבית את השיתוף עם כולם, בצע את אותם השלבים אך הגדר $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

יצירת מדיניות של מניעת אובדן נתונים

דרך נוספת לאבטחת סביבת ברירת המחדל היא יצירת מדיניות למניעת אובדן נתונים (DLP) עבורה. מדיניות DLP בתוקף היא קריטית במיוחד עבור סביבת ברירת המחדל מכיוון שלכל העובדים בארגון שלך יש גישה אליה. הנה מספר המלצות שיעזרו לך לאכוף את המדיניות.

התאמה אישית של הודעת הפיקוח של DLP

התאמה אישית של הודעת השגיאה שמוצגת אם יוצר יוצר אפליקציה שמפרה את מדיניות ה- DLP של הארגון שלך. הפנה את היוצר למרכז Power Platform של הארגון שלך וספק את כתובת הדוא"ל של צוות מרכז המצוינות שלך.

מכיוון שצוות מרכז המצוינות משכלל את מדיניות ה- DLP לאורך זמן, אתה עלול לנתק בטעות מספר אפליקציות קיימות. ודא שהודעת הפרת המדיניות של DLP מכילה פרטי יצירת קשר או קישור למידע נוסף כדי לספק כיוון התקדמות עבור יוצרים.

השתמש ברכיבי ה- cmdlet הבאים של PowerShell כדי להתאים אישית את הודעת מדיניות הפיקוח:

פקודה תיאור‬‏‫‬
Set-PowerAppDlpErrorSettings הגדר הודעת פיקוח
Set-PowerAppDlpErrorSettings עדכן הודעת פיקוח

חסום מחברים חדשים בסביבת ברירת המחדל

כברירת מחדל, כל המחברים החדשים ממוקמים בקבוצה Nonbusiness של מדיניות ה-DLP שלך. תמיד אפשר לשנות את קבוצת ברירת המחדל שתהיה 'עסק' או 'חסום'. עבור מדיניות DLP המוחלת על סביבת ברירת המחדל, אנו ממליצים להגדיר את הקבוצה 'חסומה' כברירת מחדל כדי לוודא שמחברים חדשים יישארו בלתי שמישים עד שהם ייבדקו על ידי אחד ממנהלי המערכת.

הגבלת היוצרים למחברים שנבנו מראש

הגבל את היוצרים רק למחברים בסיסיים שאינם ניתנים לחסימה כדי למנוע גישה לכל השאר.

  1. העבר את כל המחברים שאי אפשר לחסום לקבוצת הנתונים העסקיים.

  2. העבר את כל המחברים שניתן לחסום לקבוצת הנתונים החסומים.

הגבלת מחברים מותאמים אישית

מחברים מותאמים אישית משלבים אפליקציה או זרימה עם שירות תוצרת בית. שירותים אלה מיועדים למשתמשים טכניים כמו מפתחים. מומלץ לצמצם את טביעת הרגל של ממשקי API שנבנו על-ידי הארגון שלך שאפשר להפעיל מאפליקציות או מזרימות בסביבת ברירת המחדל. כדי למנוע מיוצרים ליצור ולהשתמש במחברים מותאמים אישית עבור ממשקי API בסביבת ברירת המחדל, צור כלל לחסימת כל תבניות כתובת ה- URL.

כדי לאפשר ליוצרים לגשת לממשקי API מסוימים (לדוגמה, שירות שמחזיר רשימה של חגים בחברה), הגדר כללים מרובים המסווגים תבניות שונות של כתובות URL לקבוצות הנתונים העסקיות והלא-עסקיות. ודא שחיבורים משתמשים תמיד בפרוטוקול HTTPS. למידע נוסף על מדיניות DLP עבור מחברים מותאמים אישית.

שילוב מאובטח עם Exchange

מחבר Outlook Office 365 הוא אחד מהמחברים הסטנדרטיים שלא ניתן לחסום. הוא מאפשר ליוצרים לשלוח, למחוק ולהשיב להודעות דואר אלקטרוני בתיבות הדואר שיש לו גישה אליהן. הסיכון עם מחבר זה הוא גם אחת היכולות החזקות ביותר שלו - היכולת לשלוח דואר אלקטרוני. לדוגמה, יוצר עשוי ליצור זרימה ששולחת דוא"ל בכמות גדולה.

מנהל המערכת של Exchange בארגון שלך יכול להגדיר כללים ב- Exchange Server כדי למנוע שליחת דוא"ל מאפליקציות. אפשר גם לא לכלול זרימות ספציפיות או אפליקציות מהכללים שהוגדרו לחסימת דוא"ל יוצא. אפשר לשלב כללים אלה עם רשימה מותרת של כתובות דוא"ל כדי לוודא שדוא"ל מאפליקציות וזרימות יישלח רק מקבוצה קטנה של תיבות דואר.

כאשר אפליקציה או זרימה שולחת דואר אלקטרוני דרך מחבר Office 365 Outlook, היא מכניסה כותרות SMTP להודעה. באפשרותך להשתמש בביטויים שמורים בכותרות כדי לזהות אם דוא"ל הגיע מזרימה או מאפליקציה.

כותרת ה- SMTP שהוכנסה לדוא"ל שנשלח מזרימה נראית כמו הדוגמה שלהלן:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

פרטי כותרת

הטבלה הבאה מתארת את הערכים שיכולים להופיע בכותרת x-ms-mail-application בהתאם לשירות בשימוש:

Service ערך
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (זרימת עבודה <GUID>; גירסה <מספר גירסה>) microsoft-flow/1.0
Power Apps Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <שם האפליקציה>)

הטבלה הבאה מתארת את הערכים שיכולים להופיע בכותרת x-ms-mail-operation-type בהתאם לפעולה המתבצעת:

ערך תיאור‬‏‫‬
תשובה לפעולות דוא"ל תשובה
העבר לפעולות העברת דוא"ל
שליחה לפעולות שליחת דוא"ל כולל, SendEmailWithOptions ו- SendApprovalEmail

הכותרת x-ms-mail-environment-id מכילה את ערך מזהה הסביבה. הנוכחות של כותרת זו תלויה במוצר שבו אתה משתמש:

  • ב- Power Apps, היא תמיד נוכחת.
  • ב- Power Automate, היא קיימת רק בחיבורים שנוצרו לאחר יולי 2020.
  • ב- Logic Apps, היא לעולם לא נוכחת.

כללי Exchange פוטנציאליים עבור סביבת ברירת המחדל

הנה כמה פעולות דוא"ל שאולי תרצה לחסום באמצעות כללי Exchange.

  • חסום הודעות דוא"ל יוצאות לנמענים חיצוניים: חסום את כל הודעות הדוא"ל היוצאות שנשלחות לנמענים חיצוניים מ- Power Automate ו- Power Apps. כלל זה מונע מיוצרים לשלוח הודעות דוא"ל לשותפים, ספקים או לקוחות מהאפליקציות או מהזרימות שלהם.

  • חסום העברת דוא"ל יוצא: חסום את כל הודעות הדוא"ל היוצא המועברות לנמענים חיצוניים מ- Power Automate ו- Power Apps כאשר השולח לא נכלל ברשימה מותרת של תיבות דואר. כלל זה מונע מהיוצרים ליצור זרימה שמעבירה אוטומטית הודעות דוא"ל נכנסות לנמען חיצוני.

חריגים שיש לקחת בחשבון עם כללי חסימת דואר אלקטרוני

הנה כמה חריגות אפשריות בכללי Exchange לחסימת דוא"ל כדי להוסיף גמישות:

  • פטור אפליקציות וזרימות ספציפיות: הוסף רשימת פטורים לכללים שהוצעו לעיל כדי שאפליקציות או זרימות מאושרות יוכלו לשלוח דוא"ל לנמענים חיצוניים.

  • רשימת היתרים ברמת הארגון: בתרחיש זה הגיוני להעביר את הפתרון לסביבה ייעודית. אם כמה זרימות בסביבה צריכות לשלוח הודעות דוא"ל יוצא, אפשר ליצור כלל החרגה כללי כדי לאפשר הודעות דוא"ל יוצא מאותה סביבה. הרשאת היוצר והמנהל בסביבה זו חייבת להיות בשליטה הדוקה ומוגבלת.

למידע נוסף על איך להגדיר את כללי ההרחקה המתאימים ל Power Platform תעבורת דואר אלקטרוני הקשורה, עבור אל בקרות הסרת דוא"ל עבור מחברים.

יישום בידוד בין דיירים

ל- Power Platform יש מערכת מחברים המבוססת על Microsoft Entra המאפשרת למשתמשים מורשים של Microsoft Entra לחבר אפליקציות וזרימות למאגרי נתונים. בידוד דייר מפקח על העברת נתונים ממקורות נתונים מורשים של Microsoft Entra לדייר שלהם וממנו.

בידוד הדיירים מיושם ברמת הדייר ומשפיע על כל הסביבות בדייר, כולל סביבת ברירת המחדל. מכיוון שכל העובדים הם יוצרים בסביבת ברירת המחדל, הגדרת מדיניות בידוד דיירים חזקה היא קריטית לאבטחה של הסביבה. מומלץ שתגדיר במפורש את הדיירים שאליהם העובדים שלך יכולים להתחבר. כל שאר הדיירים צריכים להיות מכוסים על ידי כללי ברירת מחדל שחוסמים זרימה נכנסת ויוצאת של נתונים.

בידוד דייר ב- Power Platform שונה מהגבלת דייר כוללת ב- Microsoft Entra ID. אין פגיעה בגישה מבוססת Microsoft Entra ID מחוץ ל- Power Platform. הוא פועל רק עבור מחברים באמצעות אימות מבוסס Microsoft Entra IDכגון מחברי Office 365,‏ Outlook או SharePoint.

למידע נוסף‬

הגבל גישה נכנסת ויוצאת חוצה דיירים (Preview)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)