Бөлісу құралы:

Коннектордың соңғы нүктесін сүзу (алдын ала қарау нұсқасы)

  • Мақала

[Бұл мақала — шығарылым алдындағы құжаттама және ол өзгеруі мүмкін.]

Қосқыштың соңғы нүктесін сүзгілеу әкімшілерге қолданбаларды, ағындарды немесе чатботтарды құру кезінде жасаушылар қосыла алатын нақты соңғы нүктелерді басқаруға мүмкіндік береді. Ол деректердің жоғалуын болдырмау (DLP) саясаты аясында конфигурацияланған және ол тек алты қосқыш үшін қол жетімді:

  • HTTP
  • Microsoft Entra ID (AD) бар HTTP
  • HTTP Webhook
  • SQL Server ( Azure Synapse деректер қоймасына қол жеткізу үшін SQL Server қосқышын пайдалануды қамтиды)
  • Azure Blob Storage
  • SMTP

Өндіруші қолданбасын, ағынын немесе чатботын бұғатталған соңғы нүктеге қосуға тырысқанда, олар DLP қате туралы хабарды кездестіреді.

Ескерту

Соңғы нүктені сүзу ережелері ортаның айнымалы мәндерінде, реттелетін кірістерде немесе орындау уақытында динамикалық түрде жасалған кез келген соңғы нүктеде орындалмайды. Қолданбада, ағында немесе чатбот дизайнерлерінде тек статикалық соңғы нүктелер бағаланады. Қосымша ақпаратты Белгілі шектеулер бөлімінен қараңыз.

Маңызды

Алдын ала қарау мүмкіндіктері өндірісті пайдалану үшін арналмаған және функционалдық шектеулі болуы мүмкін. Бұл мүмкіндіктер ресми жарияланудан бұрын қолжетімді, сондықтан тұтынушылар ерте қатынаса алады және кері байланыс бере алады.

DLP саясаттарына соңғы нүктені сүзу ережелерін қосыңыз

Соңғы нүкте конфигурацияланатын баған, Алдын ала құрастырылған қосқыштар бетіндегі Деректер саясаты, қосқыш үшін соңғы нүктені сүзу мүмкіндігіне қолдау көрсетілетінін көрсетеді.

Алдын ала құрастырылған қосқыштар бетінде конфигурацияланатын соңғы нүкте.

Егер Конфигурацияланатын соңғы нүкте бағанының мәні Иә мәніне орнатылса, сіз бұл мүмкіндікті тінтуірдің оң жақ түймешігімен басу арқылы және содан кейін Қосқышты конфигурациялау>Қосқыштың соңғы нүктелері тармағын таңдау арқылы пайдалана аласыз.

Коннектордың > Қосқыштың соңғы нүктелерін конфигурациялаңыз.

Бұл URL үлгілеріне рұқсат беру немесе бас тарту реттелген тізімін көрсетуге болатын бүйірлік тақтаны ашады. Тізімдегі соңғы жол әрқашан осы қосқыштағы барлық соңғы нүктелерге қолданылатын қойылмалы таңба (*) үшін ереже болады. Әдепкі бойынша, * үлгісі жаңа DLP саясатына рұқсат ету ретінде орнатылады, бірақ сіз оны рұқсат ету немесе бас тарту ретінде белгілей аласыз.

Пайдаланушы қосқыштары үшін Рұқсат ету және Бас тарту URL үлгілерінің реттелген тізімін көрсетіңіз.

Жаңа ережелерді қосыңыз

Соңғы нүктені қосу опциясын таңдау арқылы жаңа ережелерді қосуға болады. Жаңа ережелер үлгі тізімінің соңына екіншіден соңғы ереже ретінде қосылады. Себебі * әрдайым тізімдегі соңғы жазба болады. Дегенмен, үлгілердің ретін Тапсырыс ашылмалы тізімді пайдалану немесе Жоғары жылжыту опциясын таңдау арқылы жаңартуға болады. немесе Төмен жылжу.

Жаңа ережелерді қосу үшін Соңғы нүкте қосу опциясын таңдаңыз.

Үлгі қосылғаннан кейін, бұл үлгілерді белгілі бір жолды таңдау арқылы және содан кейін Жою түймешігін таңдау арқылы өңдеуге немесе жоюға болады.

Үлгіні жою.

Қосқыштың соңғы нүктесін сүзу ережелерін және олар анықталған DLP саясатын сақтағаннан кейін олар мақсатты орталарда бірден күшіне енеді. Төменде өндіруші рұқсат етілмеген HTTP соңғы нүктесіне бұлттық ағын қосуға әрекеттенген мысал келтірілген.

Соңғы нүктені сүзу ережелеріне байланысты DLP қатесі.

Белгілі шектеулер

  • Соңғы нүктені сүзу ережелері орындалу уақыты кезінде орта айнымалы мәндерінде, реттелетін енгізулерде және динамикалық түрде байланыстырылған соңғы нүктелерде орындалмайды. Жобалау уақытында бағдарламаны, ағынды немесе чатботты жасау кезінде белгілі және таңдалған статикалық соңғы нүктелер ғана қолданылады. Бұл қосылымдар Microsoft Entra ID арқылы аутентификацияланған болса, SQL сервері және Azure Blob қоймасы үшін қосқыштың соңғы нүктесін сүзу ережелері орындалмайтынын білдіреді. Төмендегі екі скриншотта жасаушы айнымалылар ішіндегі SQL серверін және дерекқорды анықтайтын бұлттық ағын құрастырды, содан кейін осы айнымалы мәндерді қосылым анықтамасына кіріс ретінде пайдаланады. Сондықтан соңғы нүктені сүзу ережелері бағаланбайды және бұлттық ағын сәтті орындалады.

    бұлттық ағын SQL-ге қосылу үшін айнымалы мәндерді пайдаланады.бұлттық ағын сәтті жұмыс істейді.

  • Кейбір Power Apps 2020 жылдың 1 қазанына дейін жарияланған, DLP қосқышының әрекет ережелері мен соңғы нүкте ережелерін орындау үшін қайта жариялау қажет. Келесі сценарий әкімшілер мен өндірушілерге осы жаңа DLP толық басқару ережелерін сақтау үшін қайта жариялануы керек бағдарламаларды анықтауға мүмкіндік береді:

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Соңғы нүктені енгізу пішімдері мен мысалдары

Әр қосқышта соңғы нүкте нені білдіретіні туралы әртүрлі түсінік бар. Сонымен қатар, кейбір соңғы нүктелерді бірнеше пішімде анықтауға болады. Сондықтан жасаушылардың соңғы нүктелерді бағдарламалар мен ағындарды жасау кезінде пайдалануына тыйым салу үшін оларды барлық мүмкін пішімдерде енгізу қажет. Әкімшілер толық соңғы нүкте атауын енгізе алады немесе соңғы нүктені сүзгілеу ережесін жасаған кезде қойылмалы таңбаға сәйкес үлгіні қолдана алады (*). Бұл ережелер соңғы нүкте үлгілерінің реттелген тізімі ретінде енгізіледі және ұсынылады, яғни олар сан бойынша өсу ретімен бағаланатын болады. Кез келген берілген қосқыш үшін соңғы ереже әрқашан * Рұқсат ету немесе * Бас тарту екенін ескеріңіз. Рұқсат ету әдепкі болып табылады, оны Бас тартуға өзгертуге болады.

Келесі нұсқаулық қосқыш соңғы нүктелеріне рұқсат беру немесе бас тарту ережелерін жасау кезінде оларды қалай енгізу керектігін сипаттайды.

SQL Server

SQL Server қосылымының соңғы нүктелері <Server_name, database_name> пішімінде тізімделуі керек. Есте сақтау керек бірнеше нәрсе:

  • Сервер атауын жасаушылар әртүрлі пішімде енгізе алады. Сондықтан, соңғы нүктені нақты шешу үшін оны барлық ықтимал пішімдерде енгізу қажет. Мысалы, жергілікті даналар <machine_name\named_instance, database_name> немесе <IP address, custom port, database_name> пішімінде болуы мүмкін. Бұл жағдайда соңғы нүкте үшін екі пішімде де рұқсат ету немесе бұғаттау ережелерін қолдану қажет болады. Мысалы:

    • WS12875676\Servername1,MktingDB бұғаттау
    • 11.22.33.444,1401,MktingDB бұғаттау

  • localhost сияқты салыстырмалы мекенжайларды өңдеудің арнайы логикасы жоқ. Сондықтан, егер сіз *localhost* бұғаттасаңыз, ол жасаушыларды кез келген соңғы нүктелерді localhost SQL Server соңғы нүктесінің бөлігі ретінде пайдалануын бұғаттайды. Алайда, егер әкімші абсолюттік мекенжайды бұғаттамаса, бұл абсолюттік мекенжайды қолдану арқылы олардың соңғы нүктеге қатынасуын тоқтатпайды.

Төменде мысалдар келтірілген:

  • Azure SQL Server даналарына ғана рұқсат етіңіз:

    1. *.database.windows.net* рұқсат ету
    2. * бас тарту

  • Арнайы IP ауқымына ғана рұқсат етіңіз: (Рұқсат етілмеген IP мекенжайларын жасаушы әлі де <machine_name\named_instance> пішімінде енгізе алатынын ескеріңіз.)

    1. 11.22.33* рұқсат ету
    2. * бас тарту

Dataverse

Dataverse соңғы нүктелер ұйымның идентификаторы арқылы көрсетіледі, мысалы, 7b97cd5c-ce38-4930-9497-eec2a95bf5f7. Ағымдағы уақытта соңғы нүкте сүзгілеуі үшін тек тұрақты Dataverse қосқышы пайдаланылатындығын ескеріңіз. Dataverse динамикасы және Dataverse ағымдағы қосқыштары қолданылмайды. Сонымен қатар Dataverse жергілікті данасы (ағымдағы орта деп те аталады) ортада пайдалану үшін ешқашан бұғатталмайды. Бұл кез келген ортада жасаушылар әрқашан Dataverse ағымдағы ортасына қатынаса алатындығын білдіреді.

Сондықтан ереже келесідей:

  1. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 рұқсат ету
  2. * бас тарту

Іс жүзінде білдіреді:

  1. Dataverse current environment рұқсат ету
  2. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 рұқсат ету
  3. * бас тарту

Dataverse current environment рұқсат ету әрқашан кез келген берілген орта үшін Dataverse соңғы нүктені сүзгілеудегі жасырын бірінші ереже болып табылады.

Azure Blob Storage

Azure Blob Storage соңғы нүктелері Azure сақтау тіркелгісінің атымен көрсетілген.

SMTP

SMTP соңғы нүктелері <SMTP server address, port number> пішімінде көрсетілген.

Төменде мысал сценарийі берілген:

  1. smtp.gmail.com,587 бас тарту
  2. * рұқсат ету

Microsoft Entra ID, HTTP Webhook және HTTP қосқыштары бар HTTP

Барлық HTTP қосқыштарының соңғы нүктелері URL үлгісімен ұсынылған. қосқышы бар HTTP-тің веб-ресурсты алу Microsoft Entra әрекеті қолданымсыз.

Төменде мысал сценарийі берілген:

Тек https://management.azure.com/ ішіндегі Azure жазылымдары бетіне кіруге рұқсат етіңіз.

  1. https://management.azure.com/subscriptions* рұқсат ету
  2. https://management.azure.com/* бас тарту
  3. * бас тарту

Соңғы нүктені сүзгілеуге арналған PowerShell қолдауы

Саясат үшін соңғы нүкте сүзгісінің ережелерін конфигурациялау

Саясат үшін соңғы нүктені сүзгілеу ережелері бар нысан төменде қосқыш конфигурациялары деп аталады.

Қосқыш конфигурациясының нысаны келесі құрылымға ие:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Жазбалар

  • Әрбір қосқышқа арналған соңғы ереже барлық URL мекенжайларының ережелермен қамтылғанына көз жеткізу үшін әрқашан URL * үшін қолданылуы керек.
  • Әрбір қосқышқа арналған ережелердің реттік сипаты 1-ден N-ге дейінгі сандармен толтырылуы керек, мұндағы N - сол қосқышқа арналған ережелер саны.

DLP саясаты үшін бар қосқыш конфигурацияларын шығарып алыңыз

Get-PowerAppDlpPolicyConnectorConfigurations

DLP саясаты үшін қосқыш конфигурацияларын жасаңыз

New-PowerAppDlpPolicyConnectorConfigurations

DLP саясаты үшін қосқыш конфигурацияларын жаңартыңыз

Set-PowerAppDlpPolicyConnectorConfigurations

Мысал

Мақсат:

SQL Server қосқышы үшін:

  • “myservername.database.windows.net” серверінің “testdatabase” дерекқорынан бас тарту
  • “myservername.database.windows.net” серверінің барлық басқа дерекқорларына рұқсат ету
  • Барлық басқа серверлерден бас тарту

SMTP қосқышы үшін:

  • Gmail рұқсат беру (сервер мекенжайы: smtp.gmail.com, порт: 587)
  • Барлық басқа мекенжайлардан бас тарту

HTTP қосқышы үшін:

  • Соңғы нүктелерге рұқсат ету https://mywebsite.com/allowedPath1 және https://mywebsite.com/allowedPath2
  • Барлық басқа URL мекенжайларынан бас тарту

Ескертпе

Келесі командлетте PolicyName сөзі бірегей GUID нөмірін білдіреді. DLP GUID кодын Get-DlpPolicy командлетін іске қосу арқылы шығарып алуға болады.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations