Noklusējuma vides drošināšana

  • Raksts

Katram darbiniekam jūsu organizācijā ir piekļuve noklusējuma Power Platform videi. Kā administratoram Power Platform jums ir jāapsver veidi, kā nodrošināt šo vidi, vienlaikus saglabājot tās pieejamību veidotāju personīgās produktivitātes vajadzībām. Šajā rakstā ir sniegti ieteikumi.

Administratora lomu piešķiršana saprātīgi

Apsveriet, vai administratora lietotājiem ir nepieciešama administratora Power Platform loma. Vai vides administratora vai sistēmas administratora loma būtu piemērotāka? Jebkurā gadījumā ierobežojiet jaudīgāko Power Platform administratora lomu tikai dažiem lietotājiem. Uzziniet vairāk par vides administrēšanu Power Platform .

Saziņas nolūks

Viens no galvenajiem izcilības centra (CoE) komandas izaicinājumiem Power Platform ir informēt par noklusējuma vides paredzētajiem lietojumiem. Šeit ir daži ieteikumi.

Noklusējuma vides pārdēvēšana

Noklusējuma vide tiek izveidota ar nosaukumu TenantName (default). Varat mainīt vides nosaukumu uz kaut ko aprakstošāku, piemēram , personiskās produktivitātes vidi, lai skaidri norādītu nolūku.

Centrmezgla Power Platform izmantošana

Centrmezgls Microsoft Power Platform SharePoint ir saziņas vietnes veidne. Tas nodrošina sākumpunktu centrālajam informācijas avotam veidotājiem par to, kā jūsu organizācija izmanto Power Platform. Sākuma saturs un lapu veidnes ļauj viegli piedāvāt veidotājiem informāciju, piemēram:

  • Personiskās produktivitātes lietošanas gadījumi
  • Kā veidot programmas un plūsmas
  • Kur veidot programmas un plūsmas
  • Kā sazināties ar izcilības centru atbalsta komandu
  • Noteikumi par integrāciju ar ārējiem pakalpojumiem

Pievienojiet saites uz citiem iekšējiem resursiem, kas jūsu veidotājiem varētu būt noderīgi.

Koplietošanas ierobežošana ar visiem lietotājiem

Veidotāji var kopīgot savas programmas ar citiem atsevišķiem lietotājiem, drošības grupām un pēc noklusējuma ar visiem organizācijas dalībniekiem. Apsveriet iespēju izmantot plaši izmantotu programmu izstrādes procesu, lai īstenotu tālāk norādītās politikas un prasības.

  • Drošības pārskata politika
  • Uzņēmējdarbības pārskatu politika
  • Lietojumprogrammas dzīves cikla pārvaldības (ALM) prasības
  • Lietotāja pieredze un zīmolrades prasības

Apsveriet arī iespēju atspējot funkciju Kopīgot ar visiem Power Platform. Ja šis ierobežojums ir ieviests, tikai neliela administratoru grupa var koplietot lietojumprogrammu ar visiem vides locekļiem. Lūk, kā.

  1. Palaidiet cmdlet komandu Get-TenantSettings, lai iegūtu savas organizācijas nomnieka iestatījumu sarakstu kā objektu.

    Objektā powerPlatform.PowerApps ir trīs karogi:

    Ekrānuzņēmums, kurā redzami trīs karodziņi pakalpojumā $settings.powerPlatform.PowerApps Objektu.

  2. Palaidiet tālāk norādītās PowerShell komandas, lai iegūtu iestatījumu objektu, un iestatiet mainīgo, lai tas kopīgotu ar visiem kā aplams.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$true

  3. Palaidiet Set-TenantSettings cmdlet komandu ar iestatījumu objektu, lai neļautu veidotājiem koplietot savas programmas ar visiem nomnieka dalībniekiem.

      Set-TenantSettings $settings

Datu zuduma novēršanas politikas izveide

Vēl viens veids, kā nodrošināt noklusējuma vidi, ir izveidot tai datu zuduma novēršanas (DLP) politiku . DLP politikas ieviešana ir īpaši svarīga noklusējuma videi, jo tai var piekļūt visi jūsu organizācijas darbinieki. Tālāk ir sniegti daži ieteikumi, kas palīdzēs īstenot politiku.

DLP pārvaldības ziņojuma pielāgošana

Pielāgojiet kļūdas ziņojumu, kas tiek parādīts, ja veidotājs izveido programmu, kas pārkāpj jūsu organizācijas DLP politiku. Novirziet veidotāju uz savas organizācijas centrmezglu Power Platform un norādiet izcilības centru darba grupas e-pasta adresi.

Tā kā izcilības centru komanda laika gaitā pilnveido DLP politiku, jūs varat netīšām salauzt dažas lietotnes. Pārliecinieties, vai DLP politikas pārkāpuma ziņojumā ir norādīta kontaktinformācija vai saite uz papildinformāciju, lai veidotājiem nodrošinātu turpmāko rīcību.

Izmantojiet šīs PowerShell cmdlet komandas, lai pielāgotu pārvaldības politikas ziņojumu:

Komanda Apraksts
Set-PowerAppDlpErrorSettings Pārvaldības ziņojuma iestatīšana
Set-PowerAppDlpErrorSettings Ziņojums par pārvaldības atjaunināšanu

Jaunu savienotāju bloķēšana noklusējuma vidē

Pēc noklusējuma visi jaunie savienotāji tiek ievietoti jūsu DLP politikas grupā Ar uzņēmējdarbību nesaistītie lietotāji. Jūs vienmēr varat mainīt noklusējuma grupu uz Biznesa vai Bloķēta. DLP politikai, kas tiek lietota noklusējuma videi, ieteicams konfigurēt bloķēto grupu kā noklusējumu, lai nodrošinātu, ka jaunie savienotāji paliek nelietojami, kamēr tos nav pārskatījis kāds no jūsu administratoriem.

Ierobežojiet veidotājus ar iepriekš iebūvētiem savienotājiem

Ierobežojiet veidotājus tikai ar vienkāršiem, neatbloķējamiem savienotājiem, lai novērstu piekļuvi pārējiem.

  1. Pārvietojiet visus savienotājus, kurus nevar bloķēt, uz biznesa datu grupu.

  2. Pārvietojiet visus bloķējamos savienotājus uz bloķēto datu grupu.

Pielāgotu savienotāju ierobežošana

Pielāgotie savienotāji integrē programmu vai plūsmu ar pašmāju pakalpojumu. Šie pakalpojumi ir paredzēti tehniskiem lietotājiem, piemēram, izstrādātājiem. Ieteicams samazināt to jūsu organizācijas izveidoto API nospiedumu, kurus var izsaukt no programmām vai plūsmām noklusējuma vidē. Lai neļautu veidotājiem izveidot un izmantot pielāgotus savienotājus API noklusējuma vidē, izveidojiet kārtulu, lai bloķētu visus URL modeļus.

Lai ļautu veidotājiem piekļūt dažiem API (piemēram, pakalpojumam, kas atgriež uzņēmuma brīvdienu sarakstu), konfigurējiet vairākas kārtulas, kas klasificē dažādus URL modeļus biznesa un ar uzņēmējdarbību nesaistītās datu grupās. Pārliecinieties, vai savienojumi vienmēr izmanto HTTPS protokolu. Uzziniet vairāk par DLP politiku pielāgotiem savienotājiem.

Droša integrācija ar Exchange

Outlook Office 365 savienotājs ir viens no standarta savienotājiem , ko nevar bloķēt. Tas ļauj veidotājiem sūtīt, dzēst un atbildēt uz e-pasta ziņojumiem pastkastēs, kurām viņi var piekļūt. Risks, ko rada šis savienotājs, ir arī viena no tā jaudīgākajām iespējām — iespēja nosūtīt e-pasta ziņojumu. Piemēram, veidotājs var izveidot plūsmu, kas sūta e-pasta ziņojumu.

Jūsu organizācijas Exchange administrators Exchange serverī var iestatīt kārtulas, lai novērstu e-pasta ziņojumu sūtīšanu no programmām. Ir iespējams arī izslēgt konkrētas plūsmas vai programmas no kārtulām, kas iestatītas, lai bloķētu izejošos e-pasta ziņojumus. Varat apvienot šīs kārtulas ar atļauto e-pasta adrešu sarakstu, lai nodrošinātu, ka e-pasta ziņojumus no programmām un plūsmām var sūtīt tikai no nelielas pastkastu grupas.

Kad programma vai plūsma nosūta e-pasta ziņojumu, izmantojot Outlook savienotāju Office 365 , tā ziņojumā ievieto noteiktas SMTP galvenes. Varat izmantot rezervētās frāzes galvenēs, lai noteiktu, vai e-pasta ziņojuma izcelsme ir plūsma vai programma.

SMTP galvene, kas ievietota e-pasta ziņojumā, kas nosūtīts no plūsmas, izskatās šādi:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Galvenes detalizētā informācija

Šajā tabulā ir aprakstītas vērtības, kas var tikt parādītas x-ms-mail-lietojumprogrammas galvenē atkarībā no izmantotā pakalpojuma:

Service vērtība
Power Automate Microsoft Power Automate; Lietotāja aģents: azure-logic-apps/1.0 (darbplūsmas <GUID;> versijas <numurs>) Microsoft-flow/1.0
Power Apps Microsoft Power Apps; Lietotājs-aģents: PowerApps/ (; AppName= <lietotnes nosaukums>)

Šajā tabulā ir aprakstītas vērtības, kas var tikt parādītas x-ms-pasta operācijas tipa galvenē atkarībā no veiktās darbības:

vērtība Apraksts
Atbilde Atbildes e-pasta operācijām
Uz priekšu Pārsūtīšanas e-pasta operācijām
Sūtīt Lai nosūtītu e-pasta operācijas, tostarp SendEmailWithOptions un SendApprovalEmail

X-ms-mail-environment-id galvenē ir vides ID vērtība. Šīs galvenes klātbūtne ir atkarīga no produkta, kuru izmantojat:

  • In Power Apps, tas vienmēr ir klāt.
  • Turklāt Power Automate tas ir pieejams tikai savienojumos, kas izveidoti pēc 2020. gada jūlija.
  • Logic Apps tas nekad nav pieejams.

Potenciālās Exchange kārtulas noklusējuma videi

Tālāk ir norādītas dažas e-pasta darbības, kuras, iespējams, vēlēsities bloķēt, izmantojot Exchange kārtulas.

  • Bloķējiet izejošos e-pasta ziņojumus ārējiem adresātiem: bloķējiet visus izejošos e-pasta ziņojumus, kas tiek sūtīti ārējiem adresātiem no Power Automate un Power Apps. Šī kārtula neļauj veidotājiem sūtīt e-pasta ziņojumus partneriem, piegādātājiem vai klientiem no viņu programmām vai plūsmām.

  • Bloķēt izejošo pārsūtīšanu: bloķējiet visus izejošos e-pasta ziņojumus, kas tiek pārsūtīti ārējiem adresātiem no Power Automate atļautā pastkastu saraksta, ja sūtītājs nav iekļauts atļautajā Power Apps pastkastu sarakstā. Šī kārtula neļauj veidotājiem izveidot plūsmu, kas ienākošos e-pasta ziņojumus automātiski pārsūta ārējam adresātam.

Izņēmumi, kas jāņem vērā, izmantojot e-pasta bloķēšanas kārtulas

Tālāk ir norādīti daži iespējamie Exchange kārtulu izņēmumi, lai bloķētu e-pastu un palielinātu elastību.

  • Konkrētu programmu un plūsmu atbrīvošana: iepriekš ieteiktajām kārtulām pievienojiet izņēmumu sarakstu, lai apstiprinātās programmas vai plūsmas varētu nosūtīt e-pasta ziņojumus ārējiem adresātiem.

  • Organizācijas līmeņa atļauju saraksts: šādā gadījumā ir lietderīgi pārvietot risinājumu uz īpašu vidi. Ja izejošie e-pasta ziņojumi ir jāsūta vairākām plūsmām vidē, varat izveidot vispārēju izņēmuma kārtulu, lai atļautu izejošos e-pasta ziņojumus no šīs vides. Veidotāja un administratora atļaujai šajā vidē jābūt stingri kontrolētai un ierobežotai.

Lietojiet starpīrnieku izolāciju

Power Platform ir savienotāju sistēma, kuras Microsoft Entra pamatā ir tas, kas ļauj autorizētiem Microsoft Entra lietotājiem savienot programmas un plūsmas ar datu krātuvēm. Nomnieka izolācija regulē datu pārvietošanu no autorizētiem datu avotiem uz nomnieku un no Microsoft Entra tā.

Nomnieka izolācija tiek lietota nomnieka līmenī un ietekmē visas nomnieka vides, tostarp noklusējuma vidi. Tā kā visi darbinieki ir veidotāji noklusējuma vidē, stabilas nomnieku izolācijas politikas konfigurēšana ir ļoti svarīga, lai nodrošinātu vidi. Ieteicams skaidri konfigurēt nomniekus, ar kuriem jūsu darbinieki var izveidot savienojumu. Uz visiem pārējiem nomniekiem būtu jāattiecina noklusējuma kārtulas, kas bloķē gan ienākošo, gan izejošo datu plūsmu.

Power Platform nomnieka izolācija atšķiras no Microsoft Entra ID mēroga nomnieka ierobežojuma. Tas neietekmē Microsoft Entra uz ID balstītu piekļuvi ārpus tās Power Platform. Tas darbojas tikai savienotājiem, kas izmanto Microsoft Entra uz ID balstītu autentifikāciju, piemēram Office 365 , Outlook un SharePoint savienotājiem.

Skatiet arī:

Ierobežot starpnomnieku ienākošo un izejošo piekļuvi (priekšskatījums)

Get-PowerAppTenantIsolationPolicy (Microsoft..PowerApps Administrācija.PowerShell)