इसके माध्यम से साझा किया गया

डिफ़ॉल्ट परिवेश सुरक्षित करें

  • आलेख

आपके संगठन के प्रत्येक कर्मचारी के पास डिफ़ॉल्ट Power Platform पर्यावरण तक पहुंच है। एक व्यवस्थापक के रूप में, आपको उस वातावरण को सुरक्षित करने के तरीकों पर विचार करना होगा, जबकि इसे निर्माताओं के व्यक्तिगत उत्पादकता उपयोगों के लिए सुलभ रखना होगा। Power Platform यह आलेख सुझाव प्रदान करता है।

प्रशासक की भूमिकाएँ विवेकपूर्ण ढंग से सौंपें

विचार करें कि क्या आपके व्यवस्थापक उपयोगकर्ताओं के लिए व्यवस्थापक भूमिका आवश्यक है। Power Platform क्या परिवेश व्यवस्थापक या सिस्टम प्रशासक की भूमिका अधिक उपयुक्त होगी? किसी भी स्थिति में, अधिक शक्तिशाली व्यवस्थापक भूमिका को केवल कुछ उपयोगकर्ताओं तक सीमित रखें। Power Platform प्रशासन वातावरण के बारे में अधिक जानें Power Platform .

इरादा बताएं

उत्कृष्टता केंद्र (सीओई) टीम के लिए प्रमुख चुनौतियों में से एक डिफ़ॉल्ट वातावरण के इच्छित उपयोगों को संप्रेषित करना है। Power Platform यहां कुछ सिफारिशें दी गई हैं।

डिफ़ॉल्ट वातावरण का नाम बदलें

डिफ़ॉल्ट वातावरण नाम TenantName (डिफ़ॉल्ट) के साथ बनाया गया है. आप पर्यावरण का नाम कुछ अधिक वर्णनात्मक में बदल सकते हैं, जैसे व्यक्तिगत उत्पादकता वातावरण, ताकि इरादे को स्पष्ट रूप से बताया जा सके।

Power Platform हब का उपयोग करें

Microsoft Power Platform हब एक SharePoint संचार साइट टेम्पलेट है। यह आपके संगठन द्वारा Power Platform के उपयोग के बारे में निर्माताओं के लिए सूचना के केंद्रीय स्रोत के लिए एक प्रारंभिक बिंदु प्रदान करता है। प्रारंभिक सामग्री और पृष्ठ टेम्पलेट्स निर्माताओं को निम्नलिखित जानकारी प्रदान करना आसान बनाते हैं:

  • व्यक्तिगत उत्पादकता उपयोग के मामले
  • ऐप्स और फ़्लो कैसे बनाएं
  • ऐप्स और फ़्लो कहां बनाएं
  • CoE सहायता टीम से संपर्क कैसे करें
  • बाहरी सेवाओं के साथ एकीकरण के नियम

ऐसे अन्य आंतरिक संसाधनों के लिंक जोड़ें जो आपके निर्माताओं को उपयोगी लगें।

सभी के साथ साझाकरण सीमित करें

निर्माता अपने ऐप्स को अन्य व्यक्तिगत उपयोगकर्ताओं और सुरक्षा समूहों के साथ साझा कर सकते हैं। डिफ़ॉल्ट रूप से, आपके संपूर्ण संगठन, या सभी के साथ साझाकरण अक्षम होता है. इन जैसी नीतियों और आवश्यकताओं को लागू करने के लिए व्यापक रूप से उपयोग किए जाने वाले ऐप्स के आसपास एक गेटेड प्रक्रिया का उपयोग करने पर विचार करें:

  • सुरक्षा समीक्षा नीति
  • व्यवसाय समीक्षा नीति
  • एप्लिकेशन जीवनचक्र प्रबंधन (ALM) आवश्यकताएँ
  • उपयोगकर्ता अनुभव और ब्रांडिंग आवश्यकताएँ

सभी के साथ साझा करें सुविधा Power Platform में डिफ़ॉल्ट रूप से अक्षम है। हम अनुशंसा करते हैं कि आप अनपेक्षित उपयोगकर्ताओं के साथ कैनवास ऐप्स के ओवरएक्सपोज़र को सीमित करने के लिए इस सेटिंग को अक्षम रखें। आपके संगठन के लिए सभी समूह में वे सभी उपयोगकर्ता शामिल होते हैं, जिन्होंने कभी आपके टेनेंट में लॉग इन किया है, जिसमें अतिथि और आंतरिक सदस्य शामिल हैं। यह सिर्फ आपके किरायेदार के सभी आंतरिक कर्मचारियों की बात नहीं है। इसके अतिरिक्त, सभी समूह की सदस्यता को न तो संपादित किया जा सकता है और न ही देखा जा सकता है। सभी समूह के बारे में अधिक जानने के लिए, /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone पर जाएँ।

यदि आप सभी आंतरिक कर्मचारियों या लोगों के एक बड़े समूह के साथ साझा करना चाहते हैं, तो उन सदस्यों के मौजूदा सुरक्षा समूह के साथ साझा करने या एक सुरक्षा समूह बनाकर उस सुरक्षा समूह के साथ अपना ऐप साझा करने पर विचार करें।

जब सभी के साथ साझा करें अक्षम किया जाता है, तो केवल प्रशासकों का एक छोटा समूह ही परिवेश में सभी के साथ अनुप्रयोग साझा कर सकता है। यदि आप व्यवस्थापक हैं, तो यदि आपको सभी के साथ साझाकरण सक्षम करने की आवश्यकता है, तो आप निम्न PowerShell कमांड चला सकते हैं।

  1. सबसे पहले, PowerShell को व्यवस्थापक के रूप में खोलें और इस आदेश को चलाकर अपने खाते में लॉग इन करें। Power Apps 

    Add-PowerAppsAccount

  2. अपने संगठन की टेनेंट सेटिंग की सूची ऑब्जेक्ट के रूप में प्राप्त करने के लिए Get-TenantSettings cmdlet चलाएँ.

    powerPlatform.PowerApps ऑब्जेक्ट में तीन झंडे शामिल हैं:

    $settings.powerPlatform.PowerApps ऑब्जेक्ट में तीन झंडों का स्क्रीनशॉट.

  3. सेटिंग्स ऑब्जेक्ट प्राप्त करने के लिए निम्नलिखित PowerShell कमांड चलाएँ और वेरिएबल disableShareWithEveryone को $false पर सेट करें।

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. निर्माताओं को अपने ऐप्स को टेनेंट में सभी के साथ साझा करने की अनुमति देने के लिए सेटिंग्स ऑब्जेक्ट के साथ cmdlet चलाएँ. Set-TenantSettings 

      Set-TenantSettings $settings

    सभी के साथ साझाकरण अक्षम करने के लिए, समान चरणों का पालन करें लेकिन $settings.powerPlatform.powerApps.disableShareWithEveryone = $true सेट करें।

डेटा हानि रोकथाम नीति स्थापित करें

डिफ़ॉल्ट वातावरण को सुरक्षित करने का दूसरा तरीका इसके लिए डेटा हानि रोकथाम (DLP) नीति बनाना है। डिफ़ॉल्ट परिवेश के लिए DLP नीति का होना विशेष रूप से महत्वपूर्ण है, क्योंकि आपके संगठन के सभी कर्मचारियों की उस तक पहुंच होती है। नीति को लागू करने में आपकी सहायता के लिए यहां कुछ सिफारिशें दी गई हैं।

DLP गवर्नेंस संदेश को अनुकूलित करें

यदि कोई निर्माता आपके संगठन की DLP नीति का उल्लंघन करने वाला ऐप बनाता है, तो प्रदर्शित होने वाले त्रुटि संदेश को अनुकूलित करें. निर्माता को अपने संगठन के हब पर निर्देशित करें और अपनी CoE टीम का ईमेल पता प्रदान करें। Power Platform

जैसे-जैसे CoE टीम समय के साथ DLP नीति को परिष्कृत करती है, आप अनजाने में कुछ ऐप्स को तोड़ सकते हैं। सुनिश्चित करें कि DLP नीति उल्लंघन संदेश में संपर्क विवरण या अधिक जानकारी के लिए लिंक शामिल हो, ताकि निर्माताओं को आगे बढ़ने का रास्ता मिल सके।

शासन नीति संदेश को अनुकूलित करने के लिए निम्न PowerShell cmdlets का उपयोग करें:

Command विवरण
Set-PowerAppDlpErrorSettings शासन संदेश सेट करें
Set-PowerAppDlpErrorSettings शासन संदेश अद्यतन करें

डिफ़ॉल्ट वातावरण में नए कनेक्टर ब्लॉक करें

डिफ़ॉल्ट रूप से, सभी नए कनेक्टर आपकी DLP नीति के गैर-व्यवसाय समूह में रखे जाते हैं. आप हमेशा डिफ़ॉल्ट समूह को व्यवसाय या अवरुद्ध में बदल सकते हैं. डिफ़ॉल्ट परिवेश पर लागू की जाने वाली DLP नीति के लिए, हम अनुशंसा करते हैं कि आप अवरोधित समूह को डिफ़ॉल्ट के रूप में कॉन्फ़िगर करें ताकि यह सुनिश्चित किया जा सके कि नए कनेक्टर तब तक अनुपयोगी रहें जब तक कि आपके किसी व्यवस्थापक द्वारा उनकी समीक्षा न कर ली जाए.

निर्माताओं को पूर्वनिर्मित कनेक्टरों तक सीमित रखें

बाकी तक पहुंच को रोकने के लिए निर्माताओं को केवल बुनियादी, गैर-अवरुद्ध कनेक्टरों तक ही सीमित रखें।

  1. उन सभी कनेक्टरों को व्यवसाय डेटा समूह में ले जाएं जिन्हें ब्लॉक नहीं किया जा सकता.

  2. उन सभी कनेक्टरों को, जिन्हें अवरुद्ध किया जा सकता है, अवरुद्ध डेटा समूह में ले जाएं।

कस्टम कनेक्टर सीमित करें

कस्टम कनेक्टर किसी ऐप या प्रवाह को घरेलू सेवा के साथ एकीकृत करते हैं। ये सेवाएँ डेवलपर्स जैसे तकनीकी उपयोगकर्ताओं के लिए हैं। यह आपके संगठन द्वारा निर्मित API के पदचिह्न को कम करने के लिए एक अच्छा आइडिया है जिसे डिफ़ॉल्ट वातावरण में ऐप्स या प्रवाह से लागू किया जा सकता है। निर्माताओं को डिफ़ॉल्ट परिवेश में API के लिए कस्टम कनेक्टर बनाने और उनका उपयोग करने से रोकने के लिए, सभी URL पैटर्न को ब्लॉक करने के लिए एक नियम बनाएं.

निर्माताओं को कुछ API (उदाहरण के लिए, कंपनी की छुट्टियों की सूची लौटाने वाली सेवा) तक पहुंच प्रदान करने के लिए, ऐसे अनेक नियम कॉन्फ़िगर करें जो विभिन्न URL पैटर्न को व्यवसाय और गैर-व्यवसाय डेटा समूहों में वर्गीकृत करते हैं। सुनिश्चित करें कि कनेक्शन हमेशा HTTPS प्रोटोकॉल का उपयोग करें. कस्टम कनेक्टर्स के लिए DLP नीति के बारे में अधिक जानें.

एक्सचेंज के साथ सुरक्षित एकीकरण

Office 365 आउटलुक कनेक्टर मानक कनेक्टरों में से एक है जिसे अवरुद्ध नहीं किया जा सकता । यह निर्माताओं को उन मेलबॉक्सों में ईमेल संदेश भेजने, हटाने और उनका उत्तर देने की अनुमति देता है, जिन तक उनकी पहुंच है। इस कनेक्टर के साथ जोखिम भी इसकी सबसे शक्तिशाली क्षमताओं में से एक है - ईमेल भेजने की क्षमता। उदाहरण के लिए, एक निर्माता एक प्रवाह बना सकता है जो ईमेल ब्लास्ट भेजता है।

आपके संगठन का Exchange व्यवस्थापक, ऐप्स से ईमेल भेजे जाने से रोकने के लिए Exchange सर्वर पर नियम सेट कर सकता है. आउटगोइंग ईमेल को ब्लॉक करने के लिए निर्धारित नियमों से विशिष्ट प्रवाहों या ऐप्स को बाहर करना भी संभव है। आप इन नियमों को ईमेल पतों की अनुमत सूची के साथ संयोजित कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि ऐप्स और प्रवाहों से ईमेल केवल मेलबॉक्सों के एक छोटे समूह से ही भेजे जा सकें।

जब कोई ऐप या प्रवाह Outlook कनेक्टर का उपयोग करके कोई ईमेल भेजता है, तो वह संदेश में विशिष्ट SMTP हेडर सम्मिलित करता है. Office 365 आप हेडर में आरक्षित वाक्यांशों का उपयोग यह पहचानने के लिए कर सकते हैं कि कोई ईमेल किसी प्रवाह या ऐप से उत्पन्न हुआ है या नहीं.

किसी प्रवाह से भेजे गए ईमेल में डाला गया SMTP हेडर निम्न उदाहरण की तरह दिखता है:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

हेडर विवरण

निम्न तालिका उन मानों का वर्णन करती है जो प्रयुक्त सेवा के आधार पर x-ms-mail-application हेडर में प्रदर्शित हो सकते हैं:

Service मान
Power Automate Microsoft Power Automate; उपयोगकर्ता-एजेंट: azure-logic-apps/1.0 (वर्कफ़्लो <GUID>; संस्करण <संस्करण संख्या>) Microsoft-flow/1.0
Power Apps Microsoft Power Apps; उपयोगकर्ता-एजेंट: PowerApps/ (; AppName= <ऐप का नाम>)

निम्न तालिका उन मानों का वर्णन करती है जो निष्पादित की जा रही कार्रवाई के आधार पर x-ms-mail-operation-type शीर्षलेख में प्रदर्शित हो सकते हैं:

मान विवरण
उत्तर दें उत्तर ईमेल संचालन के लिए
आगे जाएँ ईमेल अग्रेषित करने के लिए
भेजें ईमेल भेजने के कार्यों के लिए, जिसमें SendEmailWithOptions और SendApprovalEmail शामिल हैं

x-ms-mail-environment-id हेडर में पर्यावरण आईडी मान होता है। इस हेडर की उपस्थिति आपके द्वारा उपयोग किए जा रहे उत्पाद पर निर्भर करती है:

  • Power Appsमें, यह हमेशा मौजूद रहता है।
  • Power Automateमें, यह केवल जुलाई 2020 के बाद बनाए गए कनेक्शनों में मौजूद है।
  • Logic Apps में यह कभी मौजूद नहीं होता।

डिफ़ॉल्ट वातावरण के लिए संभावित Exchange नियम

यहां कुछ ईमेल क्रियाएं दी गई हैं जिन्हें आप एक्सचेंज नियमों का उपयोग करके ब्लॉक करना चाह सकते हैं।

  • बाह्य प्राप्तकर्ताओं को भेजे जाने वाले आउटबाउंड ईमेल को ब्लॉक करें: Power Automate और Power Apps से बाह्य प्राप्तकर्ताओं को भेजे जाने वाले सभी आउटबाउंड ईमेल को ब्लॉक करें। यह नियम निर्माताओं को अपने ऐप्स या प्रवाह से भागीदारों, विक्रेताओं या ग्राहकों को ईमेल भेजने से रोकता है।

  • आउटबाउंड अग्रेषण को ब्लॉक करें: Power Automate और Power Apps से बाहरी प्राप्तकर्ताओं को अग्रेषित सभी आउटबाउंड ईमेल को ब्लॉक करें, जहां प्रेषक मेलबॉक्सों की अनुमत सूची से नहीं है। यह नियम निर्माताओं को ऐसा प्रवाह बनाने से रोकता है जो इनबाउंड ईमेल को स्वचालित रूप से किसी बाहरी प्राप्तकर्ता को अग्रेषित करता है।

ईमेल ब्लॉक नियमों के साथ विचार करने योग्य अपवाद

लचीलापन जोड़ने के लिए ईमेल को ब्लॉक करने के लिए एक्सचेंज नियमों में कुछ संभावित अपवाद इस प्रकार हैं:

  • विशिष्ट ऐप्स और प्रवाहों को छूट दें: पहले सुझाए गए नियमों में छूट सूची जोड़ें ताकि स्वीकृत ऐप्स या प्रवाह बाहरी प्राप्तकर्ताओं को ईमेल भेज सकें।

  • संगठन-स्तरीय अनुमति सूची: इस परिदृश्य में, समाधान को समर्पित परिवेश में ले जाना उचित है। यदि परिवेश में कई प्रवाहों को आउटबाउंड ईमेल भेजना है, तो आप उस परिवेश से आउटबाउंड ईमेल की अनुमति देने के लिए एक व्यापक अपवाद नियम बना सकते हैं। उस वातावरण पर निर्माता और व्यवस्थापक की अनुमति को कड़ाई से नियंत्रित और सीमित किया जाना चाहिए।

Power Platform संबंधित ईमेल ट्रैफ़िक के लिए उपयुक्त एक्सफ़िल्टरेशन नियम सेट अप करने के तरीके के बारे में अधिक जानकारी के लिए, कनेक्टर्स के लिए ईमेल एक्सफ़िल्टरेशन नियंत्रण पर जाएँ।

क्रॉस-टेनेंट आइसोलेशन लागू करें

Power Platform इसमें कनेक्टर्स की एक प्रणाली है जो अधिकृत उपयोगकर्ताओं को ऐप्स और प्रवाहों को डेटा स्टोर से कनेक्ट करने में सक्षम बनाती है। Microsoft Entra Microsoft Entra टैनेंट आइसोलेशन अधिकृत डेटा स्रोतों से उनके टेनेंट तक और उनके बीच डेटा के आवागमन को नियंत्रित करता है। Microsoft Entra

टैनेंट आइसोलेशन को टेनेंट स्तर पर लागू किया जाता है और यह डिफ़ॉल्ट वातावरण सहित टेनेंट के सभी वातावरणों को प्रभावित करता है। चूंकि सभी कर्मचारी डिफ़ॉल्ट वातावरण में निर्माता होते हैं, इसलिए वातावरण को सुरक्षित करने के लिए एक मजबूत टैनेंट आइसोलेशन नीति को कॉन्फ़िगर करना महत्वपूर्ण है। हम अनुशंसा करते हैं कि आप उन टेनेन्ट को स्पष्ट रूप से कॉन्फ़िगर करें जिनसे आपके कर्मचारी कनेक्ट हो सकें। अन्य सभी टेनेन्टों को डिफ़ॉल्ट नियमों के अंतर्गत शामिल किया जाना चाहिए जो डेटा के इनबाउंड और आउटबाउंड प्रवाह दोनों को अवरुद्ध करते हैं।

Power Platform टैनेंट आइसोलेशन Microsoft Entra आईडी-व्यापी टेनेंट प्रतिबंध से भिन्न है। यह Microsoft Entra बाहर आईडी-आधारित पहुंच को प्रभावित नहीं करता है। Power Platform यह केवल Microsoft Entra आईडी-आधारित प्रमाणीकरण का उपयोग करने वाले कनेक्टर्स के लिए काम करता है, जैसे Office 365 आउटलुक और SharePoint कनेक्टर।

भी देखें

क्रॉस-टेनेंट इनबाउंड और आउटबाउंड एक्सेस को प्रतिबंधित करें (पूर्वावलोकन)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)