Бөлісу құралы:

Әдепкі ортаны қорғау

  • Мақала

Ұйымыңыздағы әрбір қызметкердің әдепкі Power Platform ортаға кіру мүмкіндігі бар. Power Platform әкімші ретінде сіз бұл ортаны жасаушылардың жеке өнімділігін пайдалану үшін қолжетімді етіп, оны қорғау жолдарын қарастыруыңыз керек. Бұл мақалада ұсыныстар берілген.

Әкімші рөлдерін саналы түрде тағайындаңыз

Әкімші пайдаланушыларыңыздың Power Platform әкімші рөлінің болуы қажет пе екенін қарастырыңыз. орта әкімшісі немесе жүйелік әкімші рөлі орындырақ па? Кез келген жағдайда күштірек Power Platform әкімші рөлін бірнеше пайдаланушымен шектеңіз. Power Platform орталарды басқару туралы қосымша ақпарат алыңыз.

Ниет білдіру

Power Platform Педагогикалық шеберлік орталығының (CoE) командасының негізгі міндеттерінің бірі әдепкі ортаның мақсатты пайдалануларын хабарлау болып табылады. Міне, кейбір ұсыныстар.

Әдепкі ортаның атын өзгерту

Әдепкі орта ТенантАты (әдепкі) атымен жасалады. Мақсатты анық айту үшін орта атауын системалаушы нәрсеге өзгертуге болады, мысалы Жеке өнімділік ортасы.

Power Platform концентраторды пайдаланыңыз

Microsoft Power Platform хаб бұл SharePoint байланыс торабының үлгісі. Ол ұйымыңыздың Power Platform пайдалануы туралы жасаушылар үшін орталық ақпарат көзі үшін бастапқы нүктені қамтамасыз етеді. Бастапқы мазмұн мен бет үлгілері жасаушыларға келесі ақпаратты ұсынуды жеңілдетеді:

  • Жеке өнімділікті пайдалану жағдайлары
  • Қолданбалар мен ағындарды қалай құруға болады
  • Қолданбалар мен ағындарды қай жерде жасауға болады
  • КО қолдау көрсету тобына қалай хабарласуға болады
  • Сыртқы қызметтермен біріктіру ережелері

Жасаушылар пайдалы болуы мүмкін кез келген басқа ішкі ресурстарға сілтемелерді қосыңыз.

Барлығымен бөлісуді шектеңіз

Жасаушылар қолданбаларын басқа жеке пайдаланушылармен және қауіпсіздік топтарымен бөлісе алады. Әдепкі бойынша, бүкіл ұйыммен немесе Барлықмен бөлісу өшірілген. Мына сияқты саясаттар мен талаптарды орындау үшін кеңінен қолданылатын қолданбалардың айналасында жабық процесті пайдалануды қарастырыңыз:

  • Қауіпсіздікті тексеру саясаты
  • Бизнесті тексеру саясаты
  • Қолданбаның өмірлік циклін басқару (ALM) талаптары
  • Пайдаланушы тәжірибесі және брендке қойылатын талаптар

Барлықпен бөлісу мүмкіндігі әдепкі бойынша Power Platform ішінде өшірілген. Қажетсіз пайдаланушыларға кенеп қолданбаларының шамадан тыс экспозициясын шектеу үшін бұл параметрді өшірулі күйде ұстауды ұсынамыз. Ұйымыңызға арналған Барлық тобы ​​қонақтар мен ішкі мүшелерді қамтитын жалға алушыға кірген барлық пайдаланушыларды қамтиды. Бұл сіздің жалға алушыңыздағы барлық ішкі қызметкерлер ғана емес. Сонымен қатар, Барлық тобының мүшелігін өңдеу немесе қарау мүмкін емес. Барлығы тобы ​​туралы қосымша ақпарат алу үшін /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone бөліміне өтіңіз.

Барлық ішкі қызметкерлермен немесе үлкен адамдар тобымен бөліскіңіз келсе, сол мүшелердің бар қауіпсіздік тобымен бөлісуді немесе қауіпсіздік тобын жасауды және қолданбаңызды сол қауіпсіздік тобымен бөлісуді қарастырыңыз.

Барлықпен бөлісу өшірілгенде, әкімшілердің шағын тобы ғана бағдарламаны ортадағы барлық адамдармен бөлісе алады. Әкімші болсаңыз, Барлығымен бөлісуді қосу қажет болса, келесі PowerShell пәрменін іске қоса аласыз.

  1. Алдымен PowerShell бағдарламасын әкімші ретінде ашыңыз және осы пәрменді орындау арқылы Power Apps есептік жазбаңызға кіріңіз.

    Add-PowerAppsAccount

  2. Ұйымыңыздың қатысушы параметрлерінің тізімін нысан ретінде алу үшін Get-TenantSettings командлетін іске қосыңыз.

    powerPlatform.PowerApps нысанында үш жалауша бар:

    $settings.powerPlatform.PowerApps нысанындағы үш жалаушаның скриншоты.

  3. Параметрлер нысанын алу және disableShareWithEveryone айнымалы мәнін $false мәніне орнату үшін келесі PowerShell пәрмендерін іске қосыңыз.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Жасаушыларға өз қолданбаларын жалға алушының барлығымен ортақ пайдалануға мүмкіндік беру үшін Set-TenantSettings командлетті параметрлер нысанымен бірге іске қосыңыз.

      Set-TenantSettings $settings

    Барлығымен бөлісуді өшіру үшін бірдей қадамдарды орындаңыз, бірақ $settings.powerPlatform.powerApps.disableShareWithEveryone = $true орнатыңыз.

Деректердің жоғалуын болдырмау саясатын құру

Әдепкі ортаны қорғаудың тағы бір жолы ол үшін деректер жоғалуының алдын алу (DLP) саясатын құру. DLP саясатының болуы әдепкі орта үшін өте маңызды, себебі ұйымыңыздағы барлық қызметкерлер оған қол жеткізе алады. Міне, саясатты орындауға көмектесетін кейбір ұсыныстар.

DLP басқару хабарын теңшеңіз

Егер өндіруші ұйымыңыздың DLP саясатын бұзатын қолданба жасаса, көрсетілетін қате туралы хабарды теңшеңіз. Жасаушыны ұйымыңыздың Power Platform хабына бағыттаңыз және КО тобының электрондық пошта мекенжайын беріңіз.

CoE тобы уақыт өте келе DLP саясатын нақтылайтындықтан, кейбір қолданбаларды байқаусызда бұзуыңыз мүмкін. DLP саясатын бұзу туралы хабарда байланыс мәліметтері немесе жасаушыларға алға жол беру үшін қосымша ақпаратқа сілтеме бар екеніне көз жеткізіңіз.

басқару саясаты хабарын теңшеу үшін келесі PowerShell командлеттерін пайдаланыңыз:

Пәрмен Сипаттама
Орнату-PowerAppDlpErrorSettings Басқару хабарламасын орнату
Орнату-PowerAppDlpErrorSettings Басқару хабарламасын жаңарту

Әдепкі ортада жаңа қосқыштарды блоктау

Әдепкі бойынша, барлық жаңа қосқыштар DLP саясатыңыздың Бизнес емес тобына орналастырылады. Сіз әрқашан әдепкі топты Бизнес немесе Блокталған деп өзгерте аласыз. Әдепкі ортаға қолданылатын DLP саясаты үшін жаңа қосқыштар әкімшілеріңіздің бірі қарап шыққанша жарамсыз болып қала беретініне көз жеткізу үшін Әдепкі параметр ретінде Блокталған топты конфигурациялауды ұсынамыз.

Жасаушыларды алдын ала құрастырылған қосқыштармен шектеңіз

Қалғандарына қол жеткізуді болдырмау үшін жасаушыларды тек негізгі, бұғаттамайтын қосқыштармен шектеңіз.

  1. Іскерлік деректер тобына блоктауға болмайтын барлық қосқыштарды жылжытыңыз.

  2. Блокталған деректер тобына блоктауға болатын барлық қосқыштарды жылжытыңыз.

Арнаулы қосқыштарды шектеңіз

Пайдаланушы қосқыштары қолданбаны немесе ағынды үйде өсірілетін қызметпен біріктіреді. Бұл қызметтер әзірлеушілер сияқты техникалық пайдаланушыларға арналған. Бұл әдепкі ортадағы қолданбалардан немесе ағындардан шақыруға болатын ұйым жасаған API интерфейстерінің ізін азайту үшін жақсы идея. Жасаушыларға әдепкі ортада API үшін реттелетін қосқыштарды жасауды және пайдалануды болдырмау үшін барлық URL үлгілерін блоктау ережесін жасаңыз.

Жасаушыларға кейбір API интерфейстеріне (мысалы, компания мерекелерінің тізімін қайтаратын қызмет) кіруге рұқсат беру үшін әртүрлі URL үлгілерін іскери және іскерлік емес деректер топтарына жіктейтін бірнеше ережелерді теңшеңіз. Қосылымдар әрқашан HTTPS протоколын қолданатынына көз жеткізіңіз. Пайдаланушы қосқыштарына арналған DLP саясаты туралы қосымша ақпарат алыңыз.

Exchange-пен қауіпсіз интеграция

Office 365 Outlook қосқышы бұл бұғатталмайтын стандартты қосқыштардың бірі. Ол жасаушыларға рұқсаты бар пошта жәшіктеріндегі электрондық пошта хабарларын жіберуге, жоюға және оларға жауап беруге мүмкіндік береді. Бұл қосқыштың тәуекелі де оның ең қуатты мүмкіндіктерінің бірі — электрондық поштаны жіберу мүмкіндігі. Мысалы, жасаушы электрондық пошта хабарын жіберетін ағын жасай алады.

Ұйымыңыздың Exchange әкімшісі электрондық пошталардың қолданбалардан жіберілуіне жол бермеу үшін Exchange серверінде ережелерді орната алады. Сондай-ақ шығыс электрондық хаттарды блоктау үшін орнатылған ережелерден нақты ағындарды немесе қолданбаларды алып тастауға болады. Қолданбалар мен ағындардан электрондық поштаны тек шағын пошта жәшіктер тобынан жіберуге болатынына көз жеткізу үшін осы ережелерді электрондық пошта мекенжайларының рұқсат етілген тізімімен біріктіруге болады.

Қолданба немесе ағын Office 365 Outlook қосқышын пайдаланып электрондық поштаны жібергенде, ол хабарға арнайы SMTP тақырыптарын кірістіреді. Электрондық поштаның ағыннан немесе қолданбадан шыққанын анықтау үшін тақырыптарда сақталған сөз тіркестерін пайдалануға болады.

Ағыннан жіберілген электрондық поштаға кірістірілген SMTP тақырыбы келесі мысалға ұқсайды:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Тақырып мәліметтері

Төмендегі кесте x-ms-mail-application тақырыбындағы пайдаланылған қызметке байланысты пайда болуы мүмкін мәндерді сипаттайды:

Қызмет көрсету Value
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (жұмыс процесі <GUID>; нұсқасы <нұсқа нөмірі>) Microsoft-flow /1.0
Power Apps Microsoft Power Apps; Пайдаланушы агенті: PowerApps/ (; AppName= <қолданба атауы>)

Келесі кесте орындалатын әрекетке байланысты x-ms-mail-operation-түрі тақырыбында пайда болуы мүмкін мәндерді сипаттайды:

Value Сипаттама
Жауап беру Жауап электрондық пошта операциялары үшін
Алға Электрондық поштаны қайта жіберу операциялары үшін
Жіберу Электрондық поштаны жіберу әрекеттеріне, соның ішінде SendEmailWithOptions және SendApprovalEmail

x-ms-mail-environment-id тақырыбы орта идентификаторының мәнін қамтиды. Бұл тақырыптың болуы сіз пайдаланып жатқан өнімге байланысты:

  • Power Appsішінде ол әрқашан бар.
  • Power Automateішінде ол 2020 жылдың шілде айынан кейін жасалған қосылымдарда ғана бар.
  • Logic Apps ішінде ол ешқашан болмайды.

Әдепкі ортаға арналған әлеуетті алмасу ережелері

Міне, Exchange ережелерін пайдаланып блоктағыңыз келуі мүмкін кейбір электрондық пошта әрекеттері.

  • Сыртқы алушыларға жіберілетін электрондық хаттарды блоктау: сыртқы алушыларға Power Automate және Power Apps жіберілген барлық шығыс электрондық хаттарды блоктау. Бұл ереже жасаушылардың серіктестерге, жеткізушілерге немесе клиенттерге қолданбаларынан немесе ағындарынан электрондық хаттарды жіберуге жол бермейді.

  • Шығуды қайта бағыттауды блоктау: жіберуші рұқсат етілген пошта жәшіктер тізімінде жоқ Power Automate және Power Apps дан сыртқы алушыларға қайта жіберілген барлық шығыс электрондық хаттарды блоктау. Бұл ереже жасаушылардың кіріс электрондық хаттарды сыртқы алушыға автоматты түрде қайта жіберетін ағын жасауына жол бермейді.

Электрондық поштаны блоктау ережелерімен қарастырылатын ерекшеліктер

Міне, икемділік қосу үшін электрондық поштаны блоктауға арналған Exchange ережелеріне қатысты кейбір ықтимал ерекшеліктер:

  • Арнайы қолданбалар мен ағындарды босату: рұқсат етілген қолданбалар немесе ағындар сыртқы алушыларға электрондық поштаны жібере алатындай бұрын ұсынылған ережелерге босату тізімін қосыңыз.

  • Ұйым деңгейіндегі рұқсаттар тізімі: Бұл сценарийде шешімді арнайы ортаға жылжыту мағынасы бар. Егер ортадағы бірнеше ағын шығыс электрондық хаттарды жіберуі керек болса, сол ортадан шығатын электрондық пошталарға рұқсат беру үшін жалпы ерекшелік ережесін жасауға болады. Бұл ортадағы жасаушы мен әкімші рұқсаты қатаң бақылануы және шектелуі керек.

Қатысты электрондық пошта трафигі үшін сәйкес эксфильтрация ережелерін орнату жолы туралы қосымша ақпарат алу үшін Power Platform коннекторларға арналған электрондық пошта эксфильтрациясын басқару элементтеріне өтіңіз .

Жалға алушы арасындағы оқшаулауды қолданыңыз

Power Platform рұқсаты бар Microsoft Entra пайдаланушыларға қолданбалар мен ағындарды деректер қоймаларына қосуға мүмкіндік беретін Microsoft Entra негізделген қосқыштар жүйесі бар. қатысушыларды ажырату Microsoft Entra рұқсат етілген деректер көздерінен олардың жалға алушысына және одан келетін деректердің қозғалысын басқарады.

қатысушыларды ажырату жалға алушы деңгейінде қолданылады және әдепкі ортаны қоса, қатысушыдағы барлық орталарға әсер етеді. Барлық қызметкерлер әдепкі ортада жасаушылар болғандықтан, сенімді қатысушыларды ажырату саясатын конфигурациялау ортаны қорғау үшін маңызды. Қызметкерлеріңіз қосыла алатын жалға алушыларды нақты конфигурациялауды ұсындық. Барлық басқа жалға алушылар деректердің кіріс және шығыс ағынын блоктайтын әдепкі ережелермен қамтылуы керек.

Power Platform қатысушыларды ажырату Microsoft Entra ID бойынша жалға алушы шектеуінен ерекшеленеді. Бұл Microsoft Entra ID негізіндегі кіруге Power Platform әсер етпейді. Ол тек Microsoft Entra Outlook және Office 365 қосқыштары сияқты SharePoint ID негізіндегі аутентификацияны пайдаланатын қосқыштар үшін жұмыс істейді.

Келесіні де қараңыз:

Жалға алушының кіріс және шығыс қатынасын шектеу (алдын ала қарау нұсқасы)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)