Osigurajte zadano okruženje
Svaki zaposlenik u vašoj tvrtki ili ustanovi ima pristup zadanom Power Platform okruženju. Kao Power Platform administrator, morate razmotriti načine kako osigurati to okruženje, a istovremeno ga držati dostupnim za osobnu produktivnost proizvođača. Ovaj članak daje prijedloge.
Razborito dodjeljivanje administratorskih uloga
Razmislite trebaju li vaši administratorski korisnici imati administratorsku ulogu Power Platform . Bi li uloga administratora okruženja ili administratora sustava bila prikladnija? U svakom slučaju, ograničite moćniju Power Platform administratorsku ulogu na samo nekoliko korisnika. Saznajte više o administriranju Power Platform okruženja.
Komuniciranje namjere
Jedan od ključnih izazova za Power Platform tim Centra izvrsnosti (CoE) je komuniciranje namjeravane upotrebe zadanog okruženja. Evo nekoliko preporuka.
Preimenovanje zadanog okruženja
Zadano okruženje stvara se s nazivom TenantName (default). Možete promijeniti naziv okruženja u nešto opisnije, kao što je Okruženje osobne produktivnosti, kako biste jasno ukazali na namjeru.
Koristite Power Platform čvorište
Središte Microsoft Power Platform je predložak komunikacijskog SharePoint web-mjesta. Pruža početnu točku za središnji izvor informacija za autore o korištenju vaše tvrtke ili ustanove Power Platform. Početni sadržaj i predlošci stranica olakšavaju pružanje informacija autorima kao što su:
- Slučajevi upotrebe osobne produktivnosti
- Kako izraditi aplikacije i tijekove
- Gdje izraditi aplikacije i tijekove
- Kako kontaktirati tim za podršku izvrsnosti izvrsnosti
- Pravila o integraciji s vanjskim službama
Dodajte veze na sve druge interne resurse koji bi vašim autorima mogli biti korisni.
Ograničite dijeljenje sa svima
Autori mogu dijeliti svoje aplikacije s drugim pojedinačnim korisnicima i sigurnosnim grupama. Prema zadanim postavkama onemogućeno je zajedničko korištenje s cijelom tvrtkom ili ustanovom ili sa svima. Razmislite o korištenju zatvorenog postupka oko aplikacija koje se često koriste da biste proveli pravila i zahtjeve kao što su ovi:
- Politika sigurnosnog pregleda
- Pravila o pregledu poslovanja
- Zahtjevi za upravljanje životnim ciklusom aplikacije (ALM)
- Korisničko iskustvo i zahtjevi za brendiranje
Značajka Dijeli sa svima onemogućena je prema zadanim postavkama Power Platform. Preporučujemo da ovu postavku ostavite onemogućenom kako biste ograničili prekomjernu izloženost aplikacija radnog područja s neželjenim korisnicima. Grupa Svi za vašu tvrtku ili ustanovu sadrži sve korisnike koji su se ikada prijavili na vašeg klijenta, što uključuje goste i interne članove. Nisu samo svi interni zaposlenici unutar vašeg stanara. Osim toga, članstvo u grupi Svi ne može se uređivati niti pregledavati. Da biste saznali više o grupi Svi , idite na /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.
Ako želite zajednički koristiti sa svim internim zaposlenicima ili velikom grupom osoba, razmislite o zajedničkom korištenju s postojećom sigurnosnom grupom tih članova ili o stvaranju sigurnosne grupe i zajedničkom korištenju aplikacije s tom sigurnosnom grupom.
Kada je Zajedničko korištenje sa svima onemogućeno, samo mala grupa administratora može dijeliti aplikaciju sa svima u okruženju. Ako ste administrator, možete pokrenuti sljedeću naredbu PowerShell ako trebate omogućiti zajedničko korištenje sa svima.
Prvo otvorite PowerShell kao administrator i prijavite se na svoj Power Apps račun pokretanjem ove naredbe.
Add-PowerAppsAccount
Pokrenite cmdlet Get-TenantSettings da biste dobili popis postavki klijenta vaše tvrtke ili ustanove kao objekt.
Objekt
powerPlatform.PowerApps
uključuje tri zastavice:Pokrenite sljedeće naredbe PowerShell da biste dobili objekt postavki i postavite varijablu disableShareWithEveryone na $false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$false
Pokrenite
Set-TenantSettings
cmdlet s objektom settings da biste autorima omogućili zajedničko korištenje aplikacija sa svima u klijentu.Set-TenantSettings $settings
Da biste onemogućili dijeljenje sa svima, slijedite iste korake, ali podesite
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true
.
Uspostavite politiku sprječavanja gubitka podataka
Drugi način za zaštitu zadanog okruženja je stvaranje politike sprječavanja gubitka podataka (DLP) za njega. Uspostavljanje pravila DLP-a posebno je važno za zadano okruženje jer mu svi zaposlenici u vašoj tvrtki ili ustanovi imaju pristup. Evo nekoliko preporuka koje će vam pomoći u provedbi pravila.
Prilagodba poruke o upravljanju DLP-om
Prilagodite poruku o pogrešci koja se prikazuje ako proizvođač stvori aplikaciju koja krši pravila DLP-a vaše tvrtke ili ustanove. Uputite autora u središte svoje tvrtke ili ustanove Power Platform i navedite adresu e-pošte tima izvrsnosti izvrsnosti.
Kako tim Vijeća izvrsnosti s vremenom usavršava DLP politiku, mogli biste nenamjerno pokvariti neke aplikacije. Provjerite sadrži li poruka o kršenju pravila DLP-a podatke za kontakt ili vezu na dodatne informacije kako biste proizvođačima pružili daljnje korake.
Upotrijebite sljedeće PowerShell cmdlete da biste prilagodili poruku pravilnikao upravljanju:
Naredba | Opis |
---|---|
Set-PowerAppDlpErrorSettings | Postavljanje poruke o upravljanju |
Set-PowerAppDlpErrorSettings | Ažuriranje poruke o upravljanju |
Blokiranje novih poveznika u zadanom okruženju
Prema zadanim postavkama, svi novi poveznici smješteni su u grupu Neposlovno vašeg pravila DLP-a. Zadanu grupu uvijek možete promijeniti u Poslovno ili Blokirano. Za pravila DLP-a koja se primjenjuju na zadano okruženje, preporučujemo da konfigurirate grupu Blokirano kao zadanu kako biste bili sigurni da novi poveznici ostanu neupotrebljivi dok ih ne pregleda jedan od administratora.
Ograničavanje na unaprijed izgrađene konektore
Ograničite proizvođače samo na osnovne poveznike koji se ne mogu blokirati kako biste spriječili pristup ostalima.
Premjestite sve poveznike koji se ne mogu blokirati u grupu poslovnih podataka.
Premjestite sve poveznike koji se mogu blokirati u blokiranu grupu podataka.
Ograničavanje prilagođenih poveznika
Prilagođeni poveznici integriraju aplikaciju ili tijek s domaćom uslugom. Ove su usluge namijenjene tehničkim korisnicima poput programera. Dobra je ideja smanjiti otisak API-ja koje je izgradila vaša tvrtka ili ustanova, a koji se mogu pozvati iz aplikacija ili tijekova u zadanom okruženju. Da biste spriječili autore da stvaraju i koriste prilagođene poveznike za API-je u zadanom okruženju, izradite pravilo za blokiranje svih uzoraka URL-a.
Da biste autorima omogućili pristup nekim API-jima (na primjer, servisu koji vraća popis praznika tvrtke), konfigurirajte više pravila koja klasificiraju različite uzorke URL-ova u grupe poslovnih i neposlovnih podataka. Provjerite koriste li veze uvijek HTTPS protokol. Saznajte više o pravilima DLP-a za prilagođene poveznike.
Sigurna integracija sa sustavom Exchange
Poveznik Office 365 programa Outlook jedan je od standardnih poveznika koji se ne može blokirati. Omogućuje proizvođačima slanje, brisanje i odgovaranje na poruke e-pošte u poštanskim sandučićima kojima imaju pristup. Rizik s ovim poveznikom također je jedna od njegovih najmoćnijih mogućnosti – mogućnost slanja e-pošte. Na primjer, proizvođač može stvoriti tijek koji šalje eksploziju e-pošte.
Administrator sustava Exchange u vašoj tvrtki ili ustanovi može postaviti pravila na poslužitelju sustava Exchange kako bi spriječio slanje e-pošte iz aplikacija. Također je moguće izuzeti određene tijekove ili aplikacije iz pravila postavljenih za blokiranje odlaznih e-poruka. Ta pravila možete kombinirati s dopuštenim popisom adresa e-pošte da biste bili sigurni da se e-pošta iz aplikacija i tijekova može slati samo iz male grupe poštanskih sandučića.
Kada aplikacija ili tijek pošalje e-poštu pomoću Office 365 poveznika programa Outlook, u poruku umeće određena SMTP zaglavlja. Možete koristiti rezervirane fraze u zaglavljima da biste utvrdili je li e-poruka potjecala iz tijeka ili aplikacije.
SMTP zaglavlje umetnuto u poruku e-pošte poslanu iz tijeka izgleda kao u sljedećem primjeru:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Pojedinosti zaglavlja
U sljedećoj tablici opisane su vrijednosti koje se mogu pojaviti u zaglavlju x-ms-mail-application ovisno o korištenoj usluzi:
Service | Vrijednost |
---|---|
Power Automate | Microsoft Power Automate; Korisnički agent: azure-logic-apps/1.0 (GUID tijeka rada <; broj> verzije verzije <) Microsoft-flow/1.0> |
Power Apps | Microsoft Power Apps; Korisnički agent: PowerApps/ (; AppName= <naziv> aplikacije) |
U sljedećoj tablici opisane su vrijednosti koje se mogu pojaviti u zaglavlju x-ms-mail-operation-type, ovisno o akciji koja se izvodi:
Vrijednost | Opis |
---|---|
Odgovori | Za operacije odgovora e-poštom |
Naprijed | Za prosljeđivanje operacija e-pošte |
Pošalji | Za operacije slanja e-pošte, uključujući SendEmailWithOptions i SendApprovalEmail |
Zaglavlje x-ms-mail-environment-id sadrži vrijednost ID-a okruženja. Prisutnost ovog zaglavlja ovisi o proizvodu koji koristite:
- Unutra Power Apps je uvijek prisutan.
- U Power Automate, prisutan je samo u vezama stvorenim nakon srpnja 2020.
- U logičkim aplikacijama ga nikad nema.
Potencijalna pravila sustava Exchange za zadano okruženje
Evo nekih akcija e-pošte koje biste mogli blokirati pomoću pravila sustava Exchange.
Blokiraj odlazne e-poruke vanjskim primateljima: Blokiraj sve odlazne e-poruke poslane vanjskim primateljima od Power Automate i Power Apps. Ovo pravilo sprječava autore da šalju e-poštu partnerima, dobavljačima ili klijentima iz svojih aplikacija ili tijekova.
Blokiraj odlazno prosljeđivanje: Blokiraj sve odlazne e-poruke proslijeđene vanjskim primateljima s Power Automate dopuštenog popisa poštanskih sandučića i Power Apps gdje pošiljatelj nije s dopuštenog popisa poštanskih sandučića. Ovo pravilo sprječava autore da stvore tijek koji automatski prosljeđuje dolaznu e-poštu vanjskom primatelju.
Iznimke koje treba uzeti u obzir kod pravila blokiranja e-pošte
Evo nekih potencijalnih iznimaka od pravila sustava Exchange za blokiranje e-pošte radi povećanja fleksibilnosti:
Izuzimanje određenih aplikacija i tijekova: dodajte popis izuzeća u ranije predložena pravila kako bi odobrene aplikacije ili tijekovi mogli slati e-poštu vanjskim primateljima.
Popis dopuštenih na razini tvrtke ili ustanove: u ovom scenariju ima smisla premjestiti rješenje u namjensko okruženje. Ako nekoliko tijekova u okruženju mora slati odlazne poruke e-pošte, možete stvoriti opće pravilo iznimke kako biste dopustili odlaznu e-poštu iz tog okruženja. Dozvola proizvođača i administratora za to okruženje mora biti strogo kontrolirana i ograničena.
Dodatne informacije o postavljanju odgovarajućih pravila eksfiltracije za Power Platform povezani promet e-pošte potražite u članku Kontrole eksfiltracije e-pošte za poveznike.
Primjena izolacije između klijenata
Power Platform ima sustav poveznika koji omogućuju Microsoft Entra Microsoft Entra ovlaštenim korisnicima povezivanje aplikacija i tijekova s spremištima podataka. Izolacija klijenta upravlja premještanjem podataka iz Microsoft Entra ovlaštenih izvora podataka u i od klijenta.
Izolacija klijenta primjenjuje se na razini klijenta i utječe na sva okruženja u klijentu, uključujući zadano okruženje. Budući da su svi zaposlenici proizvođači u zadanom okruženju, konfiguriranje robusnog pravilnika o izolacija klijenta ključno je za zaštitu okruženja. Preporučujemo da izričito konfigurirate klijente s kojima se vaši zaposlenici mogu povezati. Svi ostali klijenti trebali bi biti pokriveni zadanim pravilima koja blokiraju i dolazni i odlazni protok podataka.
Power Platform izolacija klijenta razlikuje se od Microsoft Entra Ograničenje klijenta na razini ID-a. Ne utječe na Microsoft Entra pristup temeljen na ID-u izvan Power Platform. Funkcionira samo za poveznike koji koriste Microsoft Entra provjeru autentičnosti temeljenu na ID-u, kao što Office 365 su Outlook i SharePoint poveznici.
Pogledajte
Ograničavanje dolaznog i odlaznog pristupa između klijenata (pretpregled)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Administration.PowerShell)