कनेक्टर समाप्ति बिंदु फ़िल्टरिंग (पूर्वावलोकन)

[यह आलेख रिलीज़-पूर्व दस्तावेज़ है और परिवर्तन के अधीन है.]

कनेक्टर एंडपॉइंट फ़िल्टरिंग व्यवस्थापकों को यह नियंत्रित करने की अनुमति देता है कि ऐप्स, प्रवाह या चैटबॉट बनाते समय निर्माता किन विशिष्ट एंडपॉइंट से कनेक्ट हो सकते हैं। इसे डेटा हानि रोकथाम (DLP) नीति के अंतर्गत कॉन्फ़िगर किया गया है, और यह विशेष रूप से छह कनेक्टरों के लिए उपलब्ध है:

• HTTP
• HTTP Microsoft Entra आईडी (AD) के साथ
• HTTP वेबहुक
• SQL सर्वर (डेटा वेयरहाउस तक पहुँचने के लिए SQL सर्वर कनेक्टर का उपयोग करना शामिल है) Azure Synapse
• Azure Blob Storage
• SMTP

जब कोई निर्माता अपने ऐप, प्रवाह या चैटबॉट को किसी अवरुद्ध एंडपॉइंट से कनेक्ट करने का प्रयास करता है, तो उन्हें एक DLP त्रुटि संदेश दिखाई देगा।

चेतावनी

एंडपॉइंट फ़िल्टरिंग नियम पर्यावरण चर, कस्टम इनपुट या किसी भी एंडपॉइंट पर लागू नहीं होते हैं जो रन-टाइम पर गतिशील रूप से बनाए जाते हैं। ऐप, प्रवाह या चैटबॉट डिज़ाइनरों में केवल स्थिर समापन बिंदुओं का मूल्यांकन किया जाता है। अधिक जानकारी के लिए, देखें ज्ञात सीमाएँ.

महत्त्वपूर्ण

पूर्वावलोकन सुविधाएँ उत्पादन में उपयोग के लिए नहीं होती हैं और इनकी कार्यक्षमता प्रतिबंधित हो सकती हैं. यह सुविधाएँ आधिकारिक रिलीज़ से पहले उपलब्ध होती हैं ताकि ग्राहक शीघ्र पहुँच प्राप्त कर सकें और प्रतिक्रिया प्रदान कर सकें.

अपनी DLP नीतियों में एंडपॉइंट फ़िल्टरिंग नियम जोड़ें

एंडपॉइंट कॉन्फ़िगर करने योग्य कॉलम, प्रीबिल्ट कनेक्टर्स पृष्ठ पर डेटा नीतियां में, यह इंगित करता है कि क्या एंडपॉइंट फ़िल्टरिंग क्षमता कनेक्टर के लिए समर्थित है।

यदि एंडपॉइंट कॉन्फ़िगर करने योग्य कॉलम का मान हां है, तो आप इस क्षमता को राइट-क्लिक करके और फिर कनेक्टर कॉन्फ़िगर करें> कनेक्टर एंडपॉइंट का चयन करके इस्तेमाल कर सकते हैं.

यह एक साइड पैनल खोलता है जहां आप कस्टम कनेक्टर के लिए अनुमत या अस्वीकृत URL पैटर्न की क्रमित सूची निर्दिष्ट कर सकते हैं. सूची में अंतिम पंक्ति हमेशा वाइल्डकार्ड वर्ण (*) के लिए एक नियम होगी, जो उस कनेक्टर में सभी समापन बिंदुओं पर लागू होती है। डिफ़ॉल्ट रूप से, * पैटर्न को नई DLP नीतियों के लिए अनुमति दें के रूप में सेट किया जाता है, लेकिन आप इसे अनुमत या अस्वीकृत के रूप में टैग कर सकते हैं.

नये नियम जोड़ें

आप एंडपॉइंट जोड़ें चुनकर नए नियम जोड़ सकते हैं. नये नियमों को पैटर्न सूची के अंत में दूसरे-से-अंतिम नियम के रूप में जोड़ा जाता है। ऐसा इसलिए है क्योंकि * हमेशा सूची में अंतिम प्रविष्टि होगी। हालाँकि, आप ऑर्डर ड्रॉप-डाउन सूची का उपयोग करके या ऊपर ले जाएँ या नीचे ले जाएँ का चयन करके पैटर्न के क्रम को अपडेट कर सकते हैं।

एक पैटर्न जोड़े जाने के बाद, आप एक विशिष्ट पंक्ति का चयन करके और फिर हटाएँ का चयन करके इन पैटर्न को संपादित कर या हटा सकते हैं.

आपके कनेक्टर एंडपॉइंट फ़िल्टरिंग नियमों और DLP नीति को सहेजने के बाद, वे लक्षित वातावरण पर तुरंत लागू हो जाते हैं। नीचे एक उदाहरण दिया गया है जहां एक निर्माता ने अपने क्लाउड फ़्लो को एक HTTP एंडपॉइंट से जोड़ने का प्रयास किया, जिसकी अनुमति नहीं है।

ज्ञात सीमाएँ

• एंडपॉइंट फ़िल्टरिंग नियम रनटाइम के दौरान पर्यावरण चर, कस्टम इनपुट और गतिशील रूप से बाध्य अंतबिंदुओं पर लागू नहीं होते हैं। डिज़ाइन समय के दौरान ऐप, फ़्लो या चैटबॉट बनाते समय केवल ज्ञात और चयनित स्थिर समापन बिंदुओं को ही लागू किया जाता है. इसका तात्पर्य यह है कि यदि कनेक्शन Microsoft Entra ID के साथ प्रमाणीकृत हैं, तो SQL सर्वर और Azure Blob Storage के लिए कनेक्टर एंडपॉइंट फ़िल्टरिंग नियम लागू नहीं किए जाते हैं। नीचे दिए गए दो स्क्रीनशॉट में, एक निर्माता ने क्लाउड फ़्लो बनाया है जो SQL सर्वर और डेटाबेस को चर के अंदर परिभाषित करता है, और फिर उन चरों को कनेक्शन परिभाषा में इनपुट के रूप में उपयोग करता है। इसलिए, एंडपॉइंट फ़िल्टरिंग नियमों का मूल्यांकन नहीं किया जाता है और क्लाउड फ़्लो सफलतापूर्वक निष्पादित हो सकता है।

  

• 1 अक्टूबर, 2020 से पहले प्रकाशित कुछ सामग्री को DLP कनेक्टर कार्रवाई नियमों और एंडपॉइंट नियमों को लागू करने के लिए पुनः प्रकाशित करने की आवश्यकता है। Power Apps निम्न स्क्रिप्ट व्यवस्थापकों और निर्माताओं को उन ऐप्स की पहचान करने में सक्षम बनाती है जिन्हें इन नए DLP विस्तृत नियंत्रण नियमों का सम्मान करने के लिए पुनः प्रकाशित किया जाना चाहिए:

  Add-PowerAppsAccount
  
  $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"
  
  ForEach ($app in Get-AdminPowerApp){
  
      $versionAsDate = [datetime]::Parse($app.LastModifiedTime)
  
      $olderApp = $versionAsDate -lt $GranularDLPDate
  
      $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 
  
      If($($olderApp -and !$wasBackfilled)){
          Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
      } 
      Else{ 
          Write-Host "App is already Granular DLP compliant: " $app.AppName 
      }
  }
  

एंडपॉइंट इनपुट के प्रारूप और उदाहरण

प्रत्येक कनेक्टर की एक अलग धारणा है कि एंडपॉइंट का क्या अर्थ है. इसके अलावा, कुछ एंडपॉइंट्स को कई स्वरूपों में परिभाषित किया जा सकता है. इसलिए, ऐप और प्रवाह बनाते समय निर्माताओं को उनका उपयोग करने से रोकने के लिए सभी संभावित प्रारूपों में एंडपॉइंट दर्ज किए जाने चाहिए. एंडपॉइंट फ़िल्टरिंग नियम बनाते समय व्यवस्थापक या तो पूर्ण एंडपॉइंट नाम दर्ज कर सकते हैं या वाइल्डकार्ड वर्ण (*) से मेल खाने वाले पैटर्न का उपयोग कर सकते हैं. इन नियमों को एंडपॉइंट पैटर्न की एक क्रमबद्ध सूची में दर्ज और प्रस्तुत किया जाता है, जिसका मतलब है कि उनका मूल्यांकन संख्या के आरोही क्रम में किया जाएगा. ध्यान दें कि किसी भी कनेक्टर के लिए अंतिम नियम हमेशा * अनुमति दें या * अस्वीकार करें होता है। अनुमति डिफ़ॉल्ट है, जिसे अस्वीकार में बदला जा सकता है।

निम्नलिखित मार्गदर्शन बताता है कि उन्हें अनुमति देने या इनकार करने के लिए नियम बनाते समय कनेक्टर एंडपॉइंट कैसे दर्ज करें.

SQL Server

SQL सर्वर कनेक्शन एंडपॉइंट को <Server_name, database_name> प्रारूप में सूचीबद्ध करना होगा. ध्यान रखने योग्य कुछ बातें:

• सर्वर नाम निर्माताओं द्वारा विभिन्न स्वरूपों में दर्ज किया जा सकता है. इसलिए, एक एंडपॉइंट को सही मायने में संबोधित करने के लिए, इसे सभी संभावित प्रारूपों में दर्ज करना होगा. उदाहरण के लिए, ऑन-प्रिमाइसेस इंस्टेंस <machine_name\named_instance, database_name> या <IP address, custom port, database_name> प्रारूप में हो सकते हैं. इस मामले में, आपको एंडपॉइंट के लिए दोनों स्वरूपों में अनुमति दे या अवरोधित करें नियम लागू करने होंगे. उदाहरण के लिए:

  • ब्लॉक WS12875676\Servername1,MktingDB
  • ब्लॉक 11.22.33.444,1401,MktingDB

• सापेक्ष पतों जैसे localhost को संभालने के लिए कोई विशेष तर्क नहीं है. इसलिए, यदि आप *localhost*` को ब्लॉक करते हैं, तो यह निर्माताओं को SQL सर्वर एंडपॉइंट के हिस्से के रूप में localhost का उपयोग करके किसी भी एंडपॉइंट का उपयोग करने से रोक देगा. हालाँकि, यह उन्हें पूर्ण पते का उपयोग करके एंडपॉइंट तक पहुँचने से नहीं रोकेगा, जब तक कि पूर्ण पते को भी व्यवस्थापक द्वारा अवरुद्ध नहीं किया गया हो.

इसके उदाहरण निम्नलिखित हैं:

• केवल Azure SQL सर्वर इंस्टेंस की अनुमति दें:

  1. अनुमति देना *.database.windows.net*
  2. अस्वीकार करें *

• केवल एक विशिष्ट IP श्रेणी की अनुमति दें: (ध्यान दें कि जिन IP पतों की अनुमति नहीं है, उन्हें निर्माता द्वारा अभी भी <machine_name\named_instance> प्रारूप में दर्ज किया जा सकता है।)

  1. अनुमति देना 11.22.33*
  2. अस्वीकार करें *

Dataverse

Dataverse समापन बिंदुओं को संगठन आईडी द्वारा दर्शाया जाता है, जैसे, 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. कृपया ध्यान दें कि फिलहाल केवल नियमित Dataverse कनेक्टर एंडपॉइंट फ़िल्टरिंग के कार्यक्षेत्र में है. Dataverse डायनेमिक्स और Dataverse के मौजूदा कनेक्टर कार्यक्षेत्र में नहीं हैं. साथ ही, Dataverse के स्थानीय इंस्टेंस (जिसे वर्तमान परिवेश के रूप में भी जाना जाता है) को किसी परिवेश में उपयोग के लिए कभी भी अवरोधित नहीं किया जा सकता है. इसका मतलब यह है कि किसी भी दिए गए परिवेश में, निर्माता हमेशा Dataverse के मौजूदा परिवेश तक पहुँच प्राप्त कर सकते हैं.

इसलिए, एक नियम जो निम्नलिखित कहता है:

1. अनुमति देना 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
2. अस्वीकार करें *

असल में इसका मतलब है:

1. अनुमति देना Dataverse current environment
2. अनुमति देना 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
3. अस्वीकार करें *

Dataverse current environment को अनुमति दें हमेशा किसी दिए गए परिवेश के लिए Dataverse एंडपॉइंट फ़िल्टरिंग सूची में पहला नियम है.

Azure Blob Storage

Azure ब्लॉब संग्रहण एंडपॉइंट Azure संग्रहण खाता नाम द्वारा दर्शाए जाते हैं.

SMTP

SMTP एंडपॉइंट <SMTP server address, port number> प्रारूप में दर्शाए जाते हैं.

निम्नलिखित एक उदाहरण परिदृश्य है:

1. अस्वीकार करें smtp.gmail.com,587
2. अनुमति देना *

Microsoft Entra आईडी, HTTP वेबहुक और HTTP कनेक्टर के साथ HTTP

सभी HTTP कनेक्टर्स के लिए एंडपॉइंट एक URL पैटर्न द्वारा दर्शाए जाते हैं. HTTP with कनेक्टर की वेब संसाधन प्राप्त करें Microsoft Entra क्रिया कार्यक्षेत्र से बाहर है।

निम्नलिखित एक उदाहरण परिदृश्य है:

https://management.azure.com/ के अंदर केवल Azure सदस्यता पृष्ठ तक पहुँच की अनुमति दें.

1. अनुमति देना https://management.azure.com/subscriptions*
2. अस्वीकार करें https://management.azure.com/*
3. अस्वीकार करें *

एंडपॉइंट फ़िल्टरिंग के लिए PowerShell समर्थन

नीति के लिए एंडपॉइंट फ़िल्टरिंग नियम कॉन्फ़िगर करें

जिस ऑब्जेक्ट में नीति के लिए एंडपॉइंट फ़िल्टरिंग नियम शामिल हैं, उसे नीचे कनेक्टर कॉन्फ़िगरेशन के रूप में संदर्भित किया जाता है.

कनेक्टर कॉन्फ़िगरेशन ऑब्जेक्ट में निम्न संरचना है:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

नोट्स

• प्रत्येक कनेक्टर के लिए अंतिम नियम हमेशा URL * पर लागू किया जाना चाहिए, ताकि यह सुनिश्चित किया जा सके कि सभी URL नियमों के अंतर्गत आते हैं।
• प्रत्येक कनेक्टर के लिए नियमों के ऑर्डर गुण को 1 से N तक की संख्याओं से भरा जाना चाहिए, जहां N उस कनेक्टर के लिए नियमों की संख्या है।

DLP नीति के लिए मौजूदा कनेक्टर कॉन्फ़िगरेशन पुनर्प्राप्त करें

Get-PowerAppDlpPolicyConnectorConfigurations 

DLP नीति के लिए कनेक्टर कॉन्फ़िगरेशन बनाएँ

New-PowerAppDlpPolicyConnectorConfigurations

DLP नीति के लिए कनेक्टर कॉन्फ़िगरेशन अपडेट करें

Set-PowerAppDlpPolicyConnectorConfigurations

उदाहरण

लक्ष्य:

SQL सर्वर कनेक्टर के लिए:

• सर्वर “myservername.database.windows.net” के डेटाबेस “testdatabase” को अस्वीकार करें
• सर्वर के अन्य सभी डेटाबेस को अनुमति दें “myservername.database.windows.net”
• अन्य सभी सर्वरों को अस्वीकार करें

SMTP कनेक्टर के लिए:

• Gmail को अनुमति दें (सर्वर पता: smtp.gmail.com, port: 587)
• अन्य सभी पतों को अस्वीकार करें

HTTP कनेक्टर के लिए:

• समापन बिंदुओं की अनुमति दें https://mywebsite.com/allowedPath1 और https://mywebsite.com/allowedPath2
• अन्य सभी URL को अस्वीकार करें

नोट

निम्नलिखित cmdlet में, PolicyName अद्वितीय GUID को संदर्भित करता है. आप Get-DlpPolicy cmdlet चलाकर DLP GUID को पुनः प्राप्त कर सकते हैं.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations