Összekötő végpontszűrése (előzetes verzió)
[Ez a cikk egy előzetes kiadási dokumentáció, amely a későbbiekben változhat.]
Az összekötők végpont szűrése lehetővé teszi a rendszergazdák számára annak szabályozását, hogy a készítők mely végpontokhoz csatlakozhatnak alkalmazások, folyamatok vagy csevegőrobotok létrehozásakor. Adatveszteség-megelőzési (DLP) szabályzaton belül van konfigurálva, és kizárólag hat összekötőhöz érhető el:
- HTTP
- HTTP azonosítóval Microsoft Entra (AD)
- HTTP Webhook
- SQL Server (beleértve az SQL Server-összekötő használatát az adattárház eléréséhez Azure Synapse )
- Azure Blob Storage
- SMTP
Amikor egy készítő megpróbálja csatlakoztatni alkalmazását, folyamatát vagy csevegőrobotját egy blokkolt végpont, DLP-hibaüzenet jelenik meg.
Figyelmeztetés:
Végpont szűrési szabályok nem kényszerítve vannak a környezeti változókra, az egyéni bemenetekre vagy a futásidőben dinamikusan létrehozott végpont. A rendszer csak statikus végpontokat értékel ki az alkalmazás-, folyamat- vagy csevegőrobot-tervezőkben. További információ: Ismert korlátozások.
Fontos
Az előzetes funkciókat nem célszerű termelési környezetben használni, és előfordulhat, hogy korlátozott funkcionalitással rendelkeznek. Ezek a funkciók a hivatalos kiadás előtt érhetők el, hogy az ügyfelek korán megismerkedhessenek velük, és visszajelzést adhassanak róluk.
Végpont szűrési szabályok hozzáadása a DLP-házirendekhez
Az Adatszabályzatok Előre összeállított összekötők lapján található végpont konfigurálhatóoszlop azt jelzi, hogy az összekötő támogatja-e a végpont szűrési képességet.
Ha a Konfigurálható végpont oszlop értéke Igen, akkor a jobb gombbal kattintással, majd az Összekötő konfigurálása>Összekötő végpontok lehetőséget választva használhatja ezt a lehetőséget.
Ezzel megnyit egy oldalsó panelt, ahol megadhatja az URL-minták engedélyezésének és tiltásának rendezett listáját. A lista utolsó sora mindig a helyettesítő karakter (*
) szabálya lesz, amely az összekötő összes végpontjára vonatkozik. Alapértelmezés szerint a *
minta van beállítva új DLP-házirendek engedélyezésére, de ezt címkézheti Engedélyezés vagy Tiltás értékkel is.
Új szabályok hozzáadása
Új szabályok hozzáadásához válassza a Végpont hozzáadása lehetőséget. Az új szabályok az utolsó előtti szabályként kerülnek a mintalista végére. Ez azért van, mert *
mindig az utolsó bejegyzés lesz a listában. A minták sorrendjét azonban frissítheti a Sorrend legördülő lista használatával, vagy a Mozgatás felfelé vagy a Mozgatás lefelé lehetőség kiválasztásával.
Egy minta hozzáadása után ezeket a mintákat módosíthatja vagy törölheti, ha kiválaszt egy adott sort, majd kiválasztja a Törlés parancsot.
Az összekötő végpont szűrési szabályainak és a DLP-házirendnek a mentése után, amelyben definiálva vannak, a rendszer azonnal kényszeríti őket a megcélzott környezetekben. Az alábbi példa egy olyan esetet mutat be, amelyben egy készítő megpróbálta csatlakoztatni a felhőfolyamatát egy nem engedélyezett HTTP-végpont.
Ismert korlátozások
Végpont szűrési szabályok futásidőben nem kényszerítve vannak a környezeti változókra, az egyéni bemenetekre és a dinamikusan kötött végpontokra. Csak azok az alkalmazások, folyamok és csevegőrobotok vannak kényszerítve a tervezési idő során, amelyek buildelés során statikus végpontként ismertek és vannak kiválasztva. Ez azt jelenti, hogy az összekötők végpont szűrési szabályai SQL Server és Azure Blob Storage nem lesznek kényszerítve, ha a kapcsolatok azonosítóval Microsoft Entra vannak hitelesítve. Az alábbi két képernyőképen egy készítő létrehozott egy felhőfolyamatot, amely meghatározza az SQL Server és az adatbázis változóit, majd ezeket a változókat használja a kapcsolatdefiníció bemeneteként. Ezért a rendszer nem értékeli ki a végpont szűrési szabályokat, és a felhőfolyamat sikeresen végrehajtható.
A Power Apps DLP-összekötő műveleti szabályainak és végpont szabályainak érvényesítéséhez néhányat 2020. október 1. előtt újra közzé kell tenni. A következő parancsfájl segítségével a rendszergazdák és a készítők azonosíthatják azokat az alkalmazásokat, amelyeket újra közzé kell tenni, hogy megfeleljenek az új DLP granuláris vezérlőszabályoknak.
Add-PowerAppsAccount $GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z" ForEach ($app in Get-AdminPowerApp){ $versionAsDate = [datetime]::Parse($app.LastModifiedTime) $olderApp = $versionAsDate -lt $GranularDLPDate $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) If($($olderApp -and !$wasBackfilled)){ Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " " $app.Internal.properties.displayName " " $app.Internal.properties.owner.email } Else{ Write-Host "App is already Granular DLP compliant: " $app.AppName } }
Végpont bemeneti formátumok és példák
Mindegyik csatlakozónak más fogalma van a végpont jelentéséről. Továbbá néhány végpont többféle formátumban is definiálható. Ezért a végpontokat minden lehetséges formátumban meg kell adni, hogy a készítők ne használhassák őket az alkalmazások és folyamatok létrehozásakor. A rendszergazdák a teljes végpontnevet megadhatják, vagy a szűrési szabályt is használhatnak egy helyettesítő karakterrel (*
), amikor létrehozzák a végpont szűrési szabályát. Ezek a szabályok egy rendezett listában vannak megadva és jelennek meg, amely végpontmintákat tartalmaz, ami azt jelenti, hogy szám szerint növekvő sorrendben lesznek kiértékelve. Vegye figyelembe, hogy az adott összekötők utolsó szabálya mindig *
Engedélyezés vagy *
Megtagadás. Az Engedélyezés az alapértelmezett beállítás, amely Megtagadás értékre módosítható.
A következő útmutató ismerteti, hogyan lehet összekötővégpontokat megadni az azokat engedélyező vagy tiltó szabályok létrehozásakor.
SQL-kiszolgáló
Az SQL Server kapcsolatvégpontokat <Server_name, database_name>
formátumban kell felsorolni. Ügyeljen az alábbiakra:
A kiszolgáló nevét a készítők többféle formátumban is megadhatják. Éppen ezért a végpont tényleges célzásához meg kell adni minden lehetséges formátumban. A helyszíni példányok például lehetnek
<machine_name\named_instance, database_name>
vagy<IP address, custom port, database_name>
formátumban is. Ebben az esetben mindkét formátumban engedélyezni vagy tiltani kell a szabályokat a végponthoz. Például:- Blokkolás
WS12875676\Servername1,MktingDB
- Blokkolás
11.22.33.444,1401,MktingDB
- Blokkolás
Nincs különleges logika a relatív címek, például a
localhost
kezeléshez. Ezért a*localhost*
letiltás esetén a döntéshozók nem tudnak végpontokat használni, ha alocalhost
része az SQL Server-végpontnak. Ez azonban nem akadályozhatja meg őket az végpont teljes cím használatával való elérésében, kivéve ha a rendszergazda ezt a teljes címet is letiltotta.
Íme néhány példa:
Csak Azure SQL kiszolgálópéldányok engedélyezése:
- Engedélyezés
*.database.windows.net*
- Letiltás
*
- Engedélyezés
Csak egy adott IP-címtartomány engedélyezése: (Vegye figyelembe, hogy a nem engedélyezett IP-címeket a készítő
<machine_name\named_instance>
továbbra is formátumban adhatja meg.)- Engedélyezés
11.22.33*
- Letiltás
*
- Engedélyezés
Dataverse
Dataverse A végpontokat a szervezet azonosítója jelöli, például, 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Ne feledje, hogy jelenleg csak a normál Dataverse-összekötőre terjed ki a végpontok szűrése. A Dataverse dinamikus és Dataverse aktuális összekötők nincsenek a hatókörben. Emellett a Dataverse helyi példánya (más néven az aktuális környezet) soha nem tiltható le környezetben való használatra. Ez azt jelenti, hogy bármelyik környezeten belül a döntéshozók bármikor elérhetik az aktuális Dataverse környezetet.
Ezért egy szabály a következőt határozza meg:
- Engedélyezés
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Letiltás
*
Azt jelenti, hogy:
- Engedélyezés
Dataverse current environment
- Engedélyezés
7b97cd5c-ce38-4930-9497-eec2a95bf5f7
- Letiltás
*
A Dataverse current environment
engedélyezése mindig implicit módon az első szabály a Dataverse végpont szűrési listában egy adott környezetben.
Azure Blob Storage
Az Azure Blob Storage végpontokat az Azure tárfiók neve képviseli.
SMTP
Az SMTP-végpontok <SMTP server address, port number>
formátumban vannak jelölve.
Lásd a következő esetpéldát:
- Letiltás
smtp.gmail.com,587
- Engedélyezés
*
HTTP azonosítóval Microsoft Entra , HTTP-webhook és HTTP-összekötőkkel
Az összes HTTP-összekötő végpontját egy URL-minta képviseli. A HTTP with connector webes erőforrás Microsoft Entra lekérése művelete kívül esik a hatókörön.
Lásd a következő esetpéldát:
Csak az Azure előfizetések oldalának engedélyezése a https://management.azure.com/
helyen.
- Engedélyezés
https://management.azure.com/subscriptions*
- Letiltás
https://management.azure.com/*
- Letiltás
*
A PowerShell-támogatás végpontszűréshez
Az végpontszűrési-szabályok konfigurálása egy házirendhez
Az objektum, amely tartalmazza egy házirend végpontszűrési-szabályait, amelyet alább összekötőkonfigurációnak nevezünk.
Az összekötőkonfigurációs objektum a következő felépítésű:
$ConnectorConfigurations = @{
connectorActionConfigurations = @() # used for connector action rules
endpointConfigurations = @( # array – one entry per
@{
connectorId # string
endpointRules = @( # array – one entry per rule
@{
order # number
endpoint # string
behavior # supported values: Allow/Deny
}
)
}
)
}
Jegyzetek
- Az egyes összekötők utolsó szabályát mindig az URL-címre
*
kell alkalmazni, hogy a szabályok minden URL-címre vonatkozzanak. - Az egyes összekötők szabályainak order tulajdonságát 1-től N-ig terjedő számokkal kell feltölteni, ahol N az adott összekötőre vonatkozó szabályok száma.
A DLP-házirend meglévő összekötőkonfigurációinak lekérdezése
Get-PowerAppDlpPolicyConnectorConfigurations
Összekötőkonfigurációk létrehozása DLP-házirendhez
New-PowerAppDlpPolicyConnectorConfigurations
Összekötőkonfigurációk frissítése DLP-házirendhez
Set-PowerAppDlpPolicyConnectorConfigurations
Példa
Cél:
Az SQL Server connector összekötőhöz:
- Tiltsa le a “testdatabase” adatbázist a “myservername.database.windows.net” szervertől
- Engedélyezzen minden adatbázist a “myservername.database.windows.net” szervertől
- Az összes többi kiszolgálót tiltsa le
Az SMTP-összekötőhöz:
- Gmail engedélyezése (kiszolgálócím: smtp.gmail.com, port: 587)
- Az összes többi címet tiltsa le
Az HTTP-összekötőhöz:
- Végpontok
https://mywebsite.com/allowedPath1
engedélyezése éshttps://mywebsite.com/allowedPath2
- Az összes többi URL-t tiltsa le
Feljegyzés
A következő parancsmagban a PolicyName az egyedi GUID-ra hivatkozik. A DLP GUID-ja a Get-DlpPolicy parancsmag futtatásával kérhető le.
$ConnectorConfigurations = @{
endpointConfigurations = @(
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql"
endpointRules = @(
@{
order = 1
endpoint = "myservername.database.windows.net,testdatabase"
behavior = "Deny"
},
@{
order = 2
endpoint = "myservername.database.windows.net,*"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp"
endpointRules = @(
@{
order = 1
endpoint = "smtp.gmail.com,587"
behavior = "Allow"
},
@{
order = 2
endpoint = "*"
behavior = "Deny"
}
)
},
@{
connectorId = "http"
endpointRules = @(
@{
order = 1
endpoint = "https://mywebsite.com/allowedPath1"
behavior = "Allow"
},
@{
order = 2
endpoint = "https://mywebsite.com/allowedPath2"
behavior = "Allow"
},
@{
order = 3
endpoint = "*"
behavior = "Deny"
}
)
}
)
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations