Megosztás a következőn keresztül:

Összekötő végpontszűrése (előzetes verzió)

  • Cikk

[Ez a cikk egy előzetes kiadási dokumentáció, amely a későbbiekben változhat.]

Az összekötők végpont szűrése lehetővé teszi a rendszergazdák számára annak szabályozását, hogy a készítők mely végpontokhoz csatlakozhatnak alkalmazások, folyamatok vagy csevegőrobotok létrehozásakor. Adatveszteség-megelőzési (DLP) szabályzaton belül van konfigurálva, és kizárólag hat összekötőhöz érhető el:

  • HTTP
  • HTTP azonosítóval Microsoft Entra (AD)
  • HTTP Webhook
  • SQL Server (beleértve az SQL Server-összekötő használatát az adattárház eléréséhez Azure Synapse )
  • Azure Blob Storage
  • SMTP

Amikor egy készítő megpróbálja csatlakoztatni alkalmazását, folyamatát vagy csevegőrobotját egy blokkolt végpont, DLP-hibaüzenet jelenik meg.

Figyelmeztetés:

Végpont szűrési szabályok nem kényszerítve vannak a környezeti változókra, az egyéni bemenetekre vagy a futásidőben dinamikusan létrehozott végpont. A rendszer csak statikus végpontokat értékel ki az alkalmazás-, folyamat- vagy csevegőrobot-tervezőkben. További információ: Ismert korlátozások.

Fontos

Az előzetes funkciókat nem célszerű termelési környezetben használni, és előfordulhat, hogy korlátozott funkcionalitással rendelkeznek. Ezek a funkciók a hivatalos kiadás előtt érhetők el, hogy az ügyfelek korán megismerkedhessenek velük, és visszajelzést adhassanak róluk.

Végpont szűrési szabályok hozzáadása a DLP-házirendekhez

Az Adatszabályzatok Előre összeállított összekötők lapján található végpont konfigurálhatóoszlop azt jelzi, hogy az összekötő támogatja-e a végpont szűrési képességet.

Végpont Előre összeállított összekötők lapon konfigurálható.

Ha a Konfigurálható végpont oszlop értéke Igen, akkor a jobb gombbal kattintással, majd az Összekötő konfigurálása>Összekötő végpontok lehetőséget választva használhatja ezt a lehetőséget.

Összekötő > összekötő végpontjainak konfigurálása.

Ezzel megnyit egy oldalsó panelt, ahol megadhatja az URL-minták engedélyezésének és tiltásának rendezett listáját. A lista utolsó sora mindig a helyettesítő karakter (*) szabálya lesz, amely az összekötő összes végpontjára vonatkozik. Alapértelmezés szerint a * minta van beállítva új DLP-házirendek engedélyezésére, de ezt címkézheti Engedélyezés vagy Tiltás értékkel is.

Adja meg az egyéni összekötők engedélyezési és megtagadási URL-mintáinak rendezett listáját.

Új szabályok hozzáadása

Új szabályok hozzáadásához válassza a Végpont hozzáadása lehetőséget. Az új szabályok az utolsó előtti szabályként kerülnek a mintalista végére. Ez azért van, mert * mindig az utolsó bejegyzés lesz a listában. A minták sorrendjét azonban frissítheti a Sorrend legördülő lista használatával, vagy a Mozgatás felfelé vagy a Mozgatás lefelé lehetőség kiválasztásával.

Válassza a végpont hozzáadása lehetőséget új szabályok hozzáadásához.

Egy minta hozzáadása után ezeket a mintákat módosíthatja vagy törölheti, ha kiválaszt egy adott sort, majd kiválasztja a Törlés parancsot.

Minta törlése.

Az összekötő végpont szűrési szabályainak és a DLP-házirendnek a mentése után, amelyben definiálva vannak, a rendszer azonnal kényszeríti őket a megcélzott környezetekben. Az alábbi példa egy olyan esetet mutat be, amelyben egy készítő megpróbálta csatlakoztatni a felhőfolyamatát egy nem engedélyezett HTTP-végpont.

DLP-hiba a végpont szűrési szabályok miatt.

Ismert korlátozások

  • Végpont szűrési szabályok futásidőben nem kényszerítve vannak a környezeti változókra, az egyéni bemenetekre és a dinamikusan kötött végpontokra. Csak azok az alkalmazások, folyamok és csevegőrobotok vannak kényszerítve a tervezési idő során, amelyek buildelés során statikus végpontként ismertek és vannak kiválasztva. Ez azt jelenti, hogy az összekötők végpont szűrési szabályai SQL Server és Azure Blob Storage nem lesznek kényszerítve, ha a kapcsolatok azonosítóval Microsoft Entra vannak hitelesítve. Az alábbi két képernyőképen egy készítő létrehozott egy felhőfolyamatot, amely meghatározza az SQL Server és az adatbázis változóit, majd ezeket a változókat használja a kapcsolatdefiníció bemeneteként. Ezért a rendszer nem értékeli ki a végpont szűrési szabályokat, és a felhőfolyamat sikeresen végrehajtható.

    A felhőfolyamat változókat használ az SQL-hez való csatlakozáshoz.A felhőfolyamat sikeresen fut.

  • A Power Apps DLP-összekötő műveleti szabályainak és végpont szabályainak érvényesítéséhez néhányat 2020. október 1. előtt újra közzé kell tenni. A következő parancsfájl segítségével a rendszergazdák és a készítők azonosíthatják azokat az alkalmazásokat, amelyeket újra közzé kell tenni, hogy megfeleljenek az új DLP granuláris vezérlőszabályoknak.

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Végpont bemeneti formátumok és példák

Mindegyik csatlakozónak más fogalma van a végpont jelentéséről. Továbbá néhány végpont többféle formátumban is definiálható. Ezért a végpontokat minden lehetséges formátumban meg kell adni, hogy a készítők ne használhassák őket az alkalmazások és folyamatok létrehozásakor. A rendszergazdák a teljes végpontnevet megadhatják, vagy a szűrési szabályt is használhatnak egy helyettesítő karakterrel (*), amikor létrehozzák a végpont szűrési szabályát. Ezek a szabályok egy rendezett listában vannak megadva és jelennek meg, amely végpontmintákat tartalmaz, ami azt jelenti, hogy szám szerint növekvő sorrendben lesznek kiértékelve. Vegye figyelembe, hogy az adott összekötők utolsó szabálya mindig * Engedélyezés vagy * Megtagadás. Az Engedélyezés az alapértelmezett beállítás, amely Megtagadás értékre módosítható.

A következő útmutató ismerteti, hogyan lehet összekötővégpontokat megadni az azokat engedélyező vagy tiltó szabályok létrehozásakor.

SQL-kiszolgáló

Az SQL Server kapcsolatvégpontokat <Server_name, database_name> formátumban kell felsorolni. Ügyeljen az alábbiakra:

  • A kiszolgáló nevét a készítők többféle formátumban is megadhatják. Éppen ezért a végpont tényleges célzásához meg kell adni minden lehetséges formátumban. A helyszíni példányok például lehetnek <machine_name\named_instance, database_name> vagy <IP address, custom port, database_name> formátumban is. Ebben az esetben mindkét formátumban engedélyezni vagy tiltani kell a szabályokat a végponthoz. Például:

    • Blokkolás WS12875676\Servername1,MktingDB
    • Blokkolás 11.22.33.444,1401,MktingDB

  • Nincs különleges logika a relatív címek, például a localhost kezeléshez. Ezért a *localhost* letiltás esetén a döntéshozók nem tudnak végpontokat használni, ha a localhost része az SQL Server-végpontnak. Ez azonban nem akadályozhatja meg őket az végpont teljes cím használatával való elérésében, kivéve ha a rendszergazda ezt a teljes címet is letiltotta.

Íme néhány példa:

  • Csak Azure SQL kiszolgálópéldányok engedélyezése:

    1. Engedélyezés *.database.windows.net*
    2. Letiltás *

  • Csak egy adott IP-címtartomány engedélyezése: (Vegye figyelembe, hogy a nem engedélyezett IP-címeket a készítő <machine_name\named_instance> továbbra is formátumban adhatja meg.)

    1. Engedélyezés 11.22.33*
    2. Letiltás *

Dataverse

Dataverse A végpontokat a szervezet azonosítója jelöli, például, 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Ne feledje, hogy jelenleg csak a normál Dataverse-összekötőre terjed ki a végpontok szűrése. A Dataverse dinamikus és Dataverse aktuális összekötők nincsenek a hatókörben. Emellett a Dataverse helyi példánya (más néven az aktuális környezet) soha nem tiltható le környezetben való használatra. Ez azt jelenti, hogy bármelyik környezeten belül a döntéshozók bármikor elérhetik az aktuális Dataverse környezetet.

Ezért egy szabály a következőt határozza meg:

  1. Engedélyezés 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Letiltás *

Azt jelenti, hogy:

  1. Engedélyezés Dataverse current environment
  2. Engedélyezés 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Letiltás *

A Dataverse current environment engedélyezése mindig implicit módon az első szabály a Dataverse végpont szűrési listában egy adott környezetben.

Azure Blob Storage

Az Azure Blob Storage végpontokat az Azure tárfiók neve képviseli.

SMTP

Az SMTP-végpontok <SMTP server address, port number> formátumban vannak jelölve.

Lásd a következő esetpéldát:

  1. Letiltás smtp.gmail.com,587
  2. Engedélyezés *

HTTP azonosítóval Microsoft Entra , HTTP-webhook és HTTP-összekötőkkel

Az összes HTTP-összekötő végpontját egy URL-minta képviseli. A HTTP with connector webes erőforrás Microsoft Entra lekérése művelete kívül esik a hatókörön.

Lásd a következő esetpéldát:

Csak az Azure előfizetések oldalának engedélyezése a https://management.azure.com/ helyen.

  1. Engedélyezés https://management.azure.com/subscriptions*
  2. Letiltás https://management.azure.com/*
  3. Letiltás *

A PowerShell-támogatás végpontszűréshez

Az végpontszűrési-szabályok konfigurálása egy házirendhez

Az objektum, amely tartalmazza egy házirend végpontszűrési-szabályait, amelyet alább összekötőkonfigurációnak nevezünk.

Az összekötőkonfigurációs objektum a következő felépítésű:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Jegyzetek

  • Az egyes összekötők utolsó szabályát mindig az URL-címre * kell alkalmazni, hogy a szabályok minden URL-címre vonatkozzanak.
  • Az egyes összekötők szabályainak order tulajdonságát 1-től N-ig terjedő számokkal kell feltölteni, ahol N az adott összekötőre vonatkozó szabályok száma.

A DLP-házirend meglévő összekötőkonfigurációinak lekérdezése

Get-PowerAppDlpPolicyConnectorConfigurations

Összekötőkonfigurációk létrehozása DLP-házirendhez

New-PowerAppDlpPolicyConnectorConfigurations

Összekötőkonfigurációk frissítése DLP-házirendhez

Set-PowerAppDlpPolicyConnectorConfigurations

Példa

Cél:

Az SQL Server connector összekötőhöz:

  • Tiltsa le a “testdatabase” adatbázist a “myservername.database.windows.net” szervertől
  • Engedélyezzen minden adatbázist a “myservername.database.windows.net” szervertől
  • Az összes többi kiszolgálót tiltsa le

Az SMTP-összekötőhöz:

  • Gmail engedélyezése (kiszolgálócím: smtp.gmail.com, port: 587)
  • Az összes többi címet tiltsa le

Az HTTP-összekötőhöz:

  • Végpontok https://mywebsite.com/allowedPath1 engedélyezése és https://mywebsite.com/allowedPath2
  • Az összes többi URL-t tiltsa le

Feljegyzés

A következő parancsmagban a PolicyName az egyedi GUID-ra hivatkozik. A DLP GUID-ja a Get-DlpPolicy parancsmag futtatásával kérhető le.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations