Megosztás a következőn keresztül:

Az alapértelmezett környezet biztonságossá tétele

  • Cikk

A szervezet minden alkalmazottja hozzáfér az alapértelmezett Power Platform környezethez. Rendszergazdaként Power Platform meg kell fontolnia, hogyan biztosíthatja ezt a környezetet, miközben elérhetővé teszi azt a készítők személyes hatékonyságnövelő felhasználásai számára. Ez a cikk javaslatokat tartalmaz.

Rendszergazdai szerepkörök megfontolt hozzárendelése

Gondolja át, hogy a rendszergazdai felhasználóknak rendszergazdai szerepkörrel kell-e rendelkezniük Power Platform . A környezeti rendszergazda vagy a rendszergazda szerepkör megfelelőbb lenne? Mindenesetre korlátozza a hatékonyabb Power Platform rendszergazdai szerepkört néhány felhasználóra. További információ a környezetek Power Platform felügyeletéről.

Szándék közlése

A Kiválósági Központ (CoE) csapatának egyik legfontosabb kihívása Power Platform az alapértelmezett környezet tervezett felhasználásának kommunikálása. Íme néhány ajánlás.

Az alapértelmezett környezet átnevezése

Az alapértelmezett környezet TenantName (default) névveljön létre. Módosíthatja a környezet nevét valami leíróbbra, például Személyes termelékenységi környezetre, hogy egyértelműen felhívja a figyelmet a szándékra.

Power Platform A központ használata

A Microsoft Power Platform központ egy SharePoint kommunikációs webhelysablon. Kiindulópontot biztosít a döntéshozók számára a szervezet használatával Power Platform kapcsolatos központi információforráshoz. A kezdő tartalom és oldalsablonok megkönnyítik a készítők számára olyan információk nyújtását, mint például:

  • Személyes termelékenységi használati esetek
  • Alkalmazások és folyamatok létrehozása
  • Hol lehet alkalmazásokat és folyamatokat létrehozni?
  • Hogyan lehet kapcsolatba lépni a kiválósági központok támogató csoportjával?
  • A külső szolgáltatásokkal való integráció szabályai

Adjon hozzá linkeket bármely más belső forráshoz, amelyet a készítők hasznosnak találhatnak.

A megosztás korlátozása mindenkivel

A készítők megoszthatják alkalmazásaikat más egyéni felhasználókkal és biztonsági csoportokkal. Alapértelmezés szerint a teljes szervezettel vagy a Mindenkivel való megosztás le van tiltva. Érdemes lehet egy zárt folyamatot használni a széles körben használt alkalmazások körül az alábbihoz hasonló szabályzatok és követelmények betartatásához:

  • Biztonsági felülvizsgálati szabályzat
  • Üzleti véleményekre vonatkozó irányelvek
  • Az alkalmazás életciklus-kezelési (ALM) követelményei
  • Felhasználói élményre és márkaépítésre vonatkozó követelmények

A Megosztás mindenkivel funkció alapértelmezés szerint Power Platform le van tiltva. Javasoljuk, hogy hagyja letiltva ezt a beállítást, hogy korlátozza a vászonalapú alkalmazások túlexponálását a nem kívánt felhasználók számára. A szervezet Mindenki csoportja tartalmazza az összes olyan felhasználót, aki valaha bejelentkezett a bérlőbe, beleértve a vendégeket és a belső tagokat is. Nem csak a bérlő összes belső alkalmazottja. Ezenkívül a Mindenki csoport tagsága nem szerkeszthető és nem tekinthető meg. További információ a Mindenki csoportról: /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Ha az összes belső alkalmazottal vagy személyek nagy csoportjával szeretné megosztani a tartalmat, fontolja meg a megosztást ezen tagok meglévő biztonsági csoportjával, vagy hozzon létre egy biztonsági csoportot, és ossza meg alkalmazását ezzel a biztonsági csoporttal.

Ha a Megosztás mindenkivel le van tiltva, a rendszergazdáknak csak egy kis csoportja oszthat meg egy alkalmazást a környezet minden tagjával. Ha Ön rendszergazda, futtathatja a következő PowerShell-parancsot, ha engedélyeznie kell a megosztást mindenkivel .

  1. Először nyissa meg a PowerShellt rendszergazdaként, és jelentkezzen be fiókjába Power Apps a parancs futtatásával.

    Add-PowerAppsAccount

  2. Futtassa a Get-TenantSettings parancsmagot a szervezet bérlői beállításainak objektumként való lekéréséhez.

    Az powerPlatform.PowerApps objektum három jelzőt tartalmaz:

    Képernyőkép három zászlóról az $settings.powerPlatform platformon.PowerApps tárgy.

  3. Futtassa a következő PowerShell-parancsokat a settings objektum lekéréséhez, és állítsa a disableShareWithEveryone változót $false értékre.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Futtassa a Set-TenantSettings parancsmagot a settings objektummal, hogy a készítők megoszthassák alkalmazásaikat a bérlő minden tagjával.

      Set-TenantSettings $settings

    A Mindenkivel valómegosztás letiltásához kövesse ugyanezeket a lépéseket, de állítsa be $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Adatveszteség-megelőzési házirend létrehozása

Az alapértelmezett környezet biztonságossá tételének másik módja egy adatveszteség-megelőzési (DLP) házirend létrehozása. A DLP-házirend használata különösen kritikus fontosságú az alapértelmezett környezetben, mivel a szervezet minden alkalmazottja hozzáfér hozzá. Íme néhány javaslat a szabályzat betartatásához.

A DLP irányítási üzenetének testreszabása

Szabja testre azt a hibaüzenetet, amely akkor jelenik meg, ha egy készítő olyan alkalmazást hoz létre, amely sérti a szervezet DLP-szabályzatát. Irányítsa a készítőt a szervezet központjába, Power Platform és adja meg a CoE-csapat e-mail-címét.

Mivel a CoE csapata idővel finomítja a DLP-szabályzatot, véletlenül megszakíthat néhány alkalmazást. Győződjön meg arról, hogy a DLP-házirend megsértéséről szóló üzenet tartalmazza az elérhetőségeket vagy a további információkra mutató hivatkozást, hogy a készítők számára előrelépést nyújtson.

Az irányítási szabályzat üzenetének testreszabásáhozhasználja a következő PowerShell-parancsmagokat:

Command Description
Set-PowerAppDlpErrorSettings Cégirányítási üzenet beállítása
Set-PowerAppDlpErrorSettings Cégirányítási üzenet frissítése

Új összekötők blokkolása az alapértelmezett környezetben

Alapértelmezés szerint az összes új összekötő a DLP-házirend Nem üzleti csoportjába kerül. Az alapértelmezett csoportot bármikor módosíthatja Üzleti vagy Letiltott értékre. Az alapértelmezett környezetre alkalmazott DLP-házirend esetében javasoljuk, hogy konfigurálja alapértelmezettként a Blokkolt csoportot, hogy az új összekötők használhatatlanok maradjanak, amíg az egyik rendszergazda át nem vizsgálja őket.

A készítők korlátozása előre elkészített összekötőkre

Korlátozza a készítőket csak az alapszintű, nem blokkolható összekötőkre, hogy megakadályozza a többihez való hozzáférést.

  1. Helyezze át az összes olyan összekötőt, amely nem blokkolható az üzleti adatcsoportba.

  2. Helyezze át az összes blokkolható összekötőt a letiltott adatcsoportba.

Egyéni összekötők korlátozása

Az egyéni összekötők integrálnak egy alkalmazást vagy folyamatot egy saját fejlesztésű szolgáltatással. Ezek a szolgáltatások technikai felhasználóknak, például fejlesztőknek szólnak. Jó ötlet csökkenteni a szervezet által létrehozott API-k lábnyomát, amelyek meghívhatók az alapértelmezett környezetben lévő alkalmazásokból vagy folyamatokból. Ha meg szeretné akadályozni, hogy a készítők egyéni összekötőket hozzanak létre és használjanak API-khoz az alapértelmezett környezetben, hozzon létre egy szabályt az összes URL-minta blokkolásához.

Annak érdekében, hogy a készítők hozzáférhessenek egyes API-khoz (például egy olyan szolgáltatáshoz, amely a vállalati ünnepnapok listáját adja vissza), konfiguráljon több szabályt, amelyek különböző URL-mintákat osztályoznak az üzleti és nem üzleti adatcsoportokba. Győződjön meg arról, hogy a kapcsolatok mindig a HTTPS protokollt használják. További információ az egyéni összekötők DLP-szabályzatáról.

Biztonságos integráció az Exchange szolgáltatással

Az Office 365 Outlook-összekötő az egyik szabványos összekötő, amely nem blokkolható. Lehetővé teszi a készítők számára, hogy e-mail üzeneteket küldjenek, töröljenek és válaszoljanak azokra a postafiókokban, amelyekhez hozzáférnek. Ennek az összekötőnek a kockázata egyben az egyik leghatékonyabb képessége is – az e-mail küldésének képessége. Előfordulhat például, hogy egy készítő létrehoz egy folyamatot, amely e-mail-robbanást küld.

A szervezet Exchange-rendszergazdája szabályokat állíthat be az Exchange-kiszolgálón, hogy megakadályozza az alkalmazásokból érkező e-mailek küldését. Lehetőség van arra is, hogy kizárjon bizonyos folyamatokat vagy alkalmazásokat a kimenő e-mailek blokkolására beállított szabályokból. Ezeket a szabályokat kombinálhatja az e-mail-címek engedélyezett listájával, így biztosíthatja, hogy az alkalmazásokból és folyamatokból származó e-maileket csak postafiókok kis csoportjából lehessen küldeni.

Amikor egy alkalmazás vagy folyamat e-mailt küld az Office 365 Outlook-összekötő használatával, meghatározott SMTP-fejléceket szúr be az üzenetbe. A fejlécekben fenntartott kifejezésekkel azonosíthatja, hogy egy e-mail folyamatból vagy alkalmazásból származik-e.

A folyamatból küldött e-mailbe beszúrt SMTP-fejléc az alábbi példához hasonlít:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Fejléc részletei

Az alábbi táblázat ismerteti azokat az értékeket, amelyek a használt szolgáltatástól függően megjelenhetnek az x-ms-mail-application fejlécben:

Service Érték
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (munkafolyamat <GUID>; verziószám <>) Microsoft-flow/1.0
Power Apps Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <alkalmazásnév>)

Az alábbi táblázat ismerteti azokat az értékeket, amelyek a végrehajtott művelettől függően megjelenhetnek az x-ms-mail-operation-type fejlécben:

Érték Description
Válasz Válasz e-mail műveletekhez
Előre E-mail továbbítási műveletekhez
Küldés E-mail-küldési műveletekhez, például a SendEmailWithOptions és a SendApprovalEmail műveletekhez

Az x-ms-mail-environment-id fejléc tartalmazza a környezetazonosító értékét. A fejléc jelenléte a használt terméktől függ:

  • Bent Power Apps mindig jelen van.
  • Csak Power Automate a 2020 júliusa után létrehozott kapcsolatokban van jelen.
  • Logic Apps soha nincs jelen.

Lehetséges Exchange-szabályok az alapértelmezett környezethez

Íme néhány e-mail-művelet, amelyet esetleg le szeretne tiltani az Exchange-szabályok használatával.

  • Külső címzetteknek küldött kimenő e-mailek blokkolása: Blokkolja a külső címzetteknek küldött összes kimenő e-mailt az és-től Power Automate Power Apps. Ez a szabály megakadályozza, hogy a készítők e-maileket küldjenek partnereknek, szállítóknak vagy ügyfeleknek az alkalmazásaikból vagy folyamataikból.

  • Kimenő átirányítás blokkolása: Letilthatja a külső címzetteknek Power Automate Power Apps továbbított összes kimenő e-mailt, és ahol a feladó nem szerepel a postaládák engedélyezett listáján. Ez a szabály megakadályozza, hogy a készítők olyan folyamatot hozzanak létre, amely automatikusan továbbítja a bejövő e-maileket egy külső címzettnek.

Az e-mail-blokkolási szabályokkal figyelembe veendő kivételek

Íme néhány lehetséges kivétel az Exchange-szabályok alól az e-mailek blokkolásához a rugalmasság növelése érdekében:

  • Adott alkalmazások és folyamatok kivétele: Adjon hozzá egy kivétellistát a korábban javasolt szabályokhoz, hogy a jóváhagyott alkalmazások vagy folyamatok e-mailt küldhessenek külső címzetteknek.

  • Szervezeti szintű engedélyezési lista: Ebben a forgatókönyvben érdemes áthelyezni a megoldást egy dedikált környezetbe. Ha a környezetben több folyamatnak kell kimenő e-maileket küldenie, létrehozhat egy általános kivételszabályt, amely engedélyezi az adott környezetből kimenő e-maileket. A környezet készítői és rendszergazdai engedélyét szigorúan ellenőrizni és korlátozni kell.

A kapcsolódó e-mail-forgalom megfelelő kiszivárgási szabályainak Power Platform beállításával kapcsolatos további információkért lásd: E-mail-kiszivárgási vezérlők összekötőkhöz.

Bérlők közötti elkülönítés alkalmazása

Power Platform Olyan összekötőrendszerrel Microsoft Entra rendelkezik, amely lehetővé teszi a jogosult Microsoft Entra felhasználók számára, hogy alkalmazásokat és folyamatokat csatlakoztassanak adattárakhoz. Bérlő elszigetelése szabályozza az adatok Microsoft Entra engedélyezett adatforrásokból a bérlőbe és a bérlőből való áthelyezését.

Bérlő elszigetelése bérlői szinten van alkalmazva, és a bérlő összes környezetére hatással van, beleértve az alapértelmezett környezetet is. Mivel minden alkalmazott az alapértelmezett környezet készítője, a robusztus bérlő elszigetelése házirend konfigurálása kritikus fontosságú a környezet védelme szempontjából. Javasoljuk, hogy explicit módon konfigurálja azokat a bérlőket, amelyekhez az alkalmazottak csatlakozhatnak. Az összes többi bérlőre olyan alapértelmezett szabályoknak kell vonatkozniuk, amelyek blokkolják a bejövő és kimenő adatáramlást is.

Power Platform bérlő elszigetelése különbözik a következőktől: Microsoft Entra Azonosítószintű bérlőkorlátozás. Ez nincs hatással Microsoft Entra az azonosítóalapú hozzáférésre azon kívül. Power Platform Csak azonosítóalapú hitelesítést használó Microsoft Entra összekötők, például az Outlook és Office 365 az SharePoint összekötők esetében működik.

Kapcsolódó információk

Bérlők közötti bejövő és kimenő hozzáférés korlátozása (előzetes verzió)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Administration.PowerShell)