Mengamankan lingkungan default
Setiap karyawan di organisasi Anda memiliki akses ke lingkungan default Power Platform . Power Platform Sebagai admin, Anda perlu mempertimbangkan cara untuk mengamankan lingkungan itu sambil menjaganya agar tetap dapat diakses untuk penggunaan produktivitas pribadi pembuat. Artikel ini memberikan saran.
Tetapkan peran administrator dengan bijaksana
Pertimbangkan apakah pengguna admin Anda harus memiliki Power Platform peran administrator. Apakah peran admin lingkungan atau administrator sistem akan lebih tepat? Bagaimanapun, batasi peran admin yang lebih kuat Power Platform hanya untuk beberapa pengguna. Pelajari selengkapnya tentang mengelola Power Platform lingkungan.
Komunikasikan maksud
Salah satu tantangan utama bagi Power Platform tim Center of Excellence (CoE) adalah untuk mengkomunikasikan tujuan penggunaan lingkungan default. Berikut adalah beberapa rekomendasi.
Mengubah nama lingkungan default
Lingkungan default dibuat dengan nama TenantName (default). Anda dapat mengubah nama lingkungan menjadi sesuatu yang lebih deskriptif, seperti Lingkungan Produktivitas Pribadi, untuk memanggil maksudnya dengan jelas.
Power Platform Gunakan hub
Hub Microsoft Power Platform adalah SharePoint templat situs komunikasi. Ini memberikan titik awal untuk sumber informasi utama bagi pembuat tentang penggunaan Power Platform organisasi Anda. Konten pemula dan template halaman memudahkan untuk menawarkan informasi kepada pembuat seperti:
- Kasus penggunaan produktivitas pribadi
- Cara membuat aplikasi dan alur
- Tempat membuat aplikasi dan alur
- Cara menghubungi tim dukungan CoE
- Aturan seputar integrasi dengan layanan eksternal
Tambahkan tautan ke sumber daya internal lainnya yang mungkin berguna bagi pembuat Anda.
Batasi berbagi dengan semua orang
Pembuat dapat berbagi aplikasi mereka dengan pengguna individu lain, grup keamanan, dan, secara default, semua orang di organisasi. Anda harus mempertimbangkan untuk menggunakan proses terjaga keamanannya di sekitar aplikasi yang banyak digunakan untuk menerapkan kebijakan dan persyaratan seperti berikut:
- Kebijakan peninjauan keamanan
- Kebijakan peninjauan bisnis
- Persyaratan Manajemen Siklus Hidup Aplikasi (ALM, Application Lifecycle Management)
- Pengalaman pengguna dan persyaratan branding
Pertimbangkan juga untuk menonaktifkan fitur Bagikan dengan Semua Orang Power Platform. Dengan pembatasan tersebut, hanya sekelompok kecil administrator yang dapat berbagi aplikasi dengan semua orang di lingkungan. Begini caranya.
Jalankan cmdlet Get-TenantSettings untuk mendapatkan daftar pengaturan penyewa organisasi Anda sebagai objek.
Objek
powerPlatform.PowerAppsmencakup tiga bendera:
Jalankan perintah PowerShell berikut untuk mendapatkan objek pengaturan dan atur variabel untuk dibagikan dengan semua orang ke false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$trueJalankan
Set-TenantSettingscmdlet dengan objek pengaturan untuk mencegah pembuat berbagi aplikasi mereka dengan semua orang di penyewa.Set-TenantSettings $settings
Menetapkan kebijakan pencegahan kehilangan data
Cara lain untuk mengamankan lingkungan default adalah dengan membuat kebijakan pencegahan kehilangan data (DLP) untuknya. Memiliki kebijakan DLP di tempat sangat penting untuk lingkungan default karena semua karyawan di organisasi Anda memiliki akses ke sana. Berikut adalah beberapa rekomendasi untuk membantu Anda menegakkan kebijakan.
Menyesuaikan pesan tata kelola DLP
Sesuaikan pesan error yang ditampilkan jika pembuat membuat aplikasi yang melanggar kebijakan DLP organisasi Anda. Arahkan pembuat ke Hub organisasi Power Platform Anda dan berikan alamat email tim CoE Anda.
Saat tim CoE menyempurnakan kebijakan DLP dari waktu ke waktu, Anda mungkin secara tidak sengaja merusak beberapa aplikasi. Pastikan pesan pelanggaran kebijakan DLP berisi detail kontak atau tautan ke informasi lebih lanjut untuk memberikan jalan ke depan bagi pembuat.
Gunakan cmdlet PowerShell berikut untuk mengkustomisasi pesan kebijakan tata kelola:
| Perintah | Description |
|---|---|
| Set-PowerAppDlpErrorSettings | Mengatur pesan tata kelola |
| Set-PowerAppDlpErrorSettings | Memperbarui pesan tata kelola |
Memblokir konektor baru di lingkungan default
Secara default, semua konektor baru ditempatkan di grup Non-bisnis dari kebijakan DLP Anda. Anda selalu dapat mengubah grup default menjadi Bisnis atau Diblokir. Untuk kebijakan DLP yang diterapkan ke lingkungan default, sebaiknya konfigurasikan grup yang Diblokir sebagai default untuk memastikan bahwa konektor baru tetap tidak dapat digunakan hingga ditinjau oleh salah satu administrator Anda.
Batasi pembuat untuk konektor bawaan
Batasi pembuat hanya untuk konektor dasar yang tidak dapat diblokir untuk mencegah akses ke yang lain.
Pindahkan semua konektor yang tidak dapat diblokir ke grup data bisnis.
Pindahkan semua konektor yang dapat diblokir ke grup data yang diblokir.
Batasi konektor kustom
Konektor kustom mengintegrasikan aplikasi atau alur dengan layanan buatan sendiri. Layanan ini ditujukan untuk pengguna teknis seperti pengembang. Sebaiknya kurangi jejak API yang dibuat oleh organisasi Anda yang dapat dipanggil dari aplikasi atau alur di lingkungan default. Untuk mencegah pembuat membuat dan menggunakan konektor kustom untuk API di lingkungan default, buat aturan untuk memblokir semua pola URL.
Untuk memungkinkan pembuat mengakses beberapa API (misalnya, layanan yang menampilkan daftar hari libur perusahaan), konfigurasikan beberapa aturan yang mengklasifikasikan pola URL yang berbeda ke dalam grup data bisnis dan nonbisnis. Pastikan bahwa koneksi selalu menggunakan protokol HTTPS. Pelajari selengkapnya tentang kebijakan DLP untuk konektor kustom.
Integrasi aman dengan Exchange
Konektor Office 365 Outlook adalah salah satu konektor standar yang tidak dapat diblokir. Ini memungkinkan pembuat untuk mengirim, menghapus, dan membalas pesan email di kotak surat yang dapat mereka akses. Risiko dengan konektor ini juga merupakan salah satu kemampuannya yang paling kuat — kemampuan untuk mengirim email. Misalnya, pembuat mungkin membuat alur yang mengirim ledakan email.
Administrator Exchange organisasi Anda dapat menyiapkan aturan di server Exchange untuk mencegah email dikirim dari aplikasi. Ini juga mampu mengecualikan alur atau aplikasi tertentu dari peraturan yang disiapkan untuk memblokir email keluar. Anda dapat menggabungkan aturan ini dengan daftar alamat email yang diizinkan untuk memastikan bahwa email dari app dan alur hanya dapat dikirim dari sekelompok kecil kotak surat.
Saat aplikasi atau alur mengirim email menggunakan Office 365 konektor Outlook, aplikasi atau alur menyisipkan header SMTP tertentu dalam pesan. Anda dapat menggunakan frasa khusus di header untuk mengidentifikasi apakah email berasal dari alur atau aplikasi.
Header SMTP yang disisipkan dalam email yang dikirim dari alur terlihat seperti contoh berikut:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Detail header
Tabel berikut menjelaskan nilai yang dapat muncul di header x-ms-mail-application tergantung pada layanan yang digunakan:
| Service | Nilai |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; version <version number>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <app name>) |
Tabel berikut menjelaskan nilai yang dapat muncul di header x-ms-mail-operation-type tergantung pada tindakan yang dilakukan:
| Nilai | Description |
|---|---|
| Balas | Untuk operasi email balasan |
| Selanjutnya | Untuk meneruskan operasi email |
| Kirim | Untuk mengirim operasi email termasuk, SendEmailWithOptions dan SendApprovalEmail |
Header x-ms-mail-environment-id berisi nilai ID lingkungan. Kehadiran header ini bergantung pada produk yang Anda gunakan:
- Dalam Power Apps, itu selalu ada.
- Dalam Power Automate, itu hanya ada dalam koneksi yang dibuat setelah Juli 2020.
- Di Logic Apps, itu tidak pernah ada.
Kemungkinan peraturan Exchange untuk lingkungan default
Berikut adalah beberapa tindakan email yang mungkin ingin Anda blokir menggunakan aturan Exchange.
Blokir email keluar ke penerima eksternal: Blokir semua email keluar yang dikirim ke penerima eksternal dari Power Automate dan Power Apps. Aturan ini mencegah pembuat mengirim email ke mitra, vendor, atau klien dari aplikasi atau alur mereka.
Blokir penerusan keluar: Blokir semua email keluar yang diteruskan ke penerima eksternal dari dan Power Automate di mana pengirim bukan dari Power Apps daftar kotak surat yang diizinkan. Aturan ini mencegah pembuat membuat alur yang secara otomatis meneruskan email masuk ke penerima eksternal.
Pengecualian yang dipertimbangkan dengan aturan pemblokiran email
Berikut beberapa kemungkinan pengecualian pada peraturan Exchange untuk memblokir email guna menambah fleksibilitas:
Kecualikan aplikasi dan alur tertentu: Tambahkan daftar pengecualian ke aturan yang disarankan sebelumnya sehingga aplikasi atau alur yang disetujui dapat mengirim email ke penerima eksternal.
Daftar yang diizinkan tingkat organisasi: Dalam skenario ini, masuk akal untuk memindahkan solusi ke lingkungan khusus. Jika beberapa alur di lingkungan harus mengirim email keluar, Anda dapat membuat aturan pengecualian yang mencakup semuanya untuk mengizinkan email keluar dari lingkungan itu. Izin pembuat dan admin di lingkungan itu harus secara ketat dikontrol dan dibatasi.
Menerapkan isolasi lintas penyewa
Power Platform memiliki sistem konektor berdasarkan Microsoft Entra yang memungkinkan pengguna yang berwenang Microsoft Entra untuk menghubungkan aplikasi dan alur ke penyimpanan data. Isolasi penyewa mengatur pergerakan data dari Microsoft Entra sumber data resmi ke dan dari penyewa mereka.
Isolasi penyewa diterapkan di tingkat penyewa dan memengaruhi semua lingkungan di penyewa, termasuk lingkungan default. Karena semua karyawan adalah pembuat di lingkungan default, mengonfigurasi kebijakan isolasi penyewa yang kuat sangat penting untuk mengamankan lingkungan. Kami menyarankan agar Anda mengonfigurasi penyewa yang dapat disambungkan secara eksplisit dengan karyawan Anda. Semua penyewa lainnya harus dicakup oleh peraturan default yang memblokir alur data masuk dan keluar.
Power Platform isolasi penyewa berbeda dari Microsoft Entra pembatasan penyewa ID-lebar. Ini tidak memengaruhi Microsoft Entra akses berbasis ID di luar Power Platform. Ini hanya berfungsi untuk konektor yang menggunakan Microsoft Entra autentikasi berbasis ID, seperti Office 365 Outlook dan SharePoint konektor.
Baca juga
Batasi akses masuk dan keluar lintas penyewa (pratinjau)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)