Piezīmes
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt pierakstīties vai mainīt direktorijus.
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt mainīt direktorijus.
Katram jūsu organizācijas darbiniekam ir piekļuve noklusējuma videi Power Platform . Kā administratoram Power Platform jums ir jāapsver veidi, kā aizsargāt šo vidi, vienlaikus saglabājot to pieejamu veidotāju personīgajām produktivitātes vajadzībām.
Pārdomāta administratora lomu piešķiršana
Apsveriet, vai administratoriem ir nepieciešama administratora Power Platform loma. Vai vides administratora vai sistēmas administratora loma būtu piemērotāka? Ierobežojiet jaudīgāko Power Platform administratora lomu tikai dažiem lietotājiem. Uzziniet vairāk par vides Power Platform administrēšanu.
Izvairieties no pastāvīgas vai pastāvīgas piekļuves, izmantojot sava identitātes nodrošinātāja just-in-time (JIT) funkcijas. Stikla saplīsuma situācijās ievērojiet avārijas piekļuves procesu. Izmantojiet priviliģēto identitātes pārvaldību (PIM), ID līdzekli Microsoft Entra , lai pārvaldītu, kontrolētu un pārraudzītu šo augsto privilēģiju lomu izmantošanu.
Lai iegūtu vairāk ieteikumu, skatiet sadaļu Identitātes un piekļuves pārvaldības konfigurēšana.
Paziņot nodomu
Viens no galvenajiem izcilības centra (CoE) komandas izaicinājumiem Power Platform ir paziņot par noklusējuma vides paredzētajiem lietojumiem. Šeit ir daži ieteikumi.
Noklusējuma vides pārdēvēšana
Noklusējuma vide tiek izveidota ar nosaukumu TenantName (default). Lai skaidri izsauktu vides nolūku, mainiet nosaukumu uz kaut ko aprakstošāku, piemēram , Personīgās produktivitātes vide.
Veidotāja sveiciena satura konfigurēšana
Konfigurējiet pielāgotu sveiciena ziņojumu , lai palīdzētu veidotājiem sākt darbu ar Power Apps un Copilot Studio. Sveiciena ziņojums aizstāj noklusējuma Power Apps pirmreizējo palīdzības pieredzi veidotājiem. Izmantojiet iespēju kopīgot noklusējuma vides nolūku ar visiem veidotājiem, tiklīdz viņi nonāk noklusējuma vidē.
Centrmezgla Power Platform izmantošana
Centrmezgls Microsoft Power Platform SharePoint ir saziņas vietnes veidne. Tas nodrošina sākumpunktu centrālajam informācijas avotam veidotājiem par to, kā jūsu organizācija izmanto. Power Platform Sākuma saturs un lapu veidnes ļauj viegli piedāvāt veidotājiem šādu informāciju:
- Personīgās produktivitātes lietošanas gadījumi
- Informācija par:
- Kā veidot programmas un plūsmas
- Kur veidot programmas un plūsmas
- Kā sazināties ar CoE atbalsta komandu
- Noteikumi par integrāciju ar ārējiem pakalpojumiem
Pievienojiet saites uz citiem iekšējiem resursiem, kas jūsu veidotājiem varētu būt noderīgi.
Pārvaldīto vidi iespējošana
Uzturiet stabilu drošību un pārvaldību, izmantojot pārvaldītas vides līdzekļus noklusējuma vidē. Pārvaldītās vides līdzekļi nodrošina papildu iespējas, piemēram, pārraudzību, atbilstību un drošības vadīklas, kas ir svarīgas jūsu datu aizsardzībai. Iespējojot šo līdzekli, varat konfigurēt koplietošanas ierobežojumus, iegūt vairāk lietošanas ieskatu, ierobežot lietotāju piekļuvi Microsoft Dataverse tikai no atļautajām IP atrašanās vietām un izmantot darbību lapu , lai saņemtu personalizētus ieteikumus vides optimizēšanai. Novērtējiet pašreizējos pārvaldīto vides līdzekļus un sekojiet līdzi produkta ceļvedim, lai uzturētu drošu, saderīgu un labi pārvaldītu noklusējuma vidi.
Pārmērīgas koplietošanas novēršana
Power Platform ir izstrādāta kā zema koda platforma, kas ļauj lietotājiem ātri izveidot programmas un plūsmas. Tomēr šāda lietošanas ērtums var izraisīt programmu un plūsmu pārmērīgu koplietošanu, kas var radīt drošības riskus.
Koplietošanas ierobežojumu konfigurēšana
Lai uzlabotu drošību un novērstu pārmērīgu koplietošanu Power Platform noklusējuma vidē, ierobežojiet, cik plaši lietotāji var koplietot audekla programmas, plūsmas un aģentus. Apsveriet iespēju konfigurēt koplietošanas ierobežojumus , lai saglabātu stingrāku piekļuves kontroli. Šādi ierobežojumi samazina neatļautas lietošanas, pārmērīgas koplietošanas un pārmērīgas izmantošanas risku bez nepieciešamās pārvaldības kontroles. Koplietošanas ierobežojumu ieviešana palīdz aizsargāt kritisku informāciju, vienlaikus veicinot drošāku un pārvaldāmāku koplietošanas sistēmu Power Platform.
Koplietošanas ierobežošana ar visiem
Veidotāji var kopīgot savas programmas ar citiem atsevišķiem lietotājiem un drošības grupām. Pēc noklusējuma koplietošana ar visu organizāciju vai visiem ir atspējota. Apsveriet iespēju izmantot norobežotu procesu ap plaši izmantotām programmām, lai īstenotu politikas un prasības. Piemēram:
- Drošības pārskatīšanas politika
- Uzņēmējdarbības pārskatīšanas politika
- Lietojumprogrammu dzīves cikla pārvaldības (ALM) prasības
- Lietotāju pieredzes un zīmolrades prasības
Līdzeklis Kopīgot ar visiem pēc noklusējuma ir atspējots Power Platform. Ieteicams saglabāt šo iestatījumu atspējotu, lai ierobežotu audekla programmu pārmērīgu ekspozīciju ar neparedzētiem lietotājiem. Jūsu organizācijas grupā Visi ir visi lietotāji, kas kādreiz ir pieteikušies jūsu nomniekā, tostarp viesi un iekšējie dalībnieki. Tas ietver ne tikai iekšējos darbiniekus jūsu nomniekā. Turklāt dalību grupā Visi nevar ne rediģēt, ne skatīt. Uzziniet vairāk par īpašām identitātes grupām.
Ja vēlaties kopīgot ar visiem iekšējiem darbiniekiem vai lielu personu grupu, apsveriet iespēju izmantot esošu drošības grupu vai izveidot drošības grupu, lai kopīgotu savu programmu.
Ja opcija Kopīgot ar visiem ir izslēgta, tikai Dynamics 365 administratori, Power Platform administratori un globālie administratori var koplietot lietojumprogrammu ar visiem vides lietotājiem. Ja esat administrators, varat palaist tālāk norādīto PowerShell komandu, lai atļautu koplietošanu ar visiem:
Vispirms atveriet PowerShell kā administratoru un piesakieties savā Power Apps kontā, palaižot šo komandu:
Add-PowerAppsAccountPalaidiet cmdlet komandu Get-TenantSettings, lai iegūtu organizācijas nomnieka iestatījumu sarakstu kā objektu.
Objektā
powerPlatform.PowerAppsir trīs karogi:
Palaidiet tālāk norādītās PowerShell komandas, lai iegūtu iestatījumu objektu un iestatītu mainīgo
disableShareWithEveryoneuz$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falsePalaidiet
Set-TenantSettingscmdlet komandu ar iestatījumu objektu, lai ļautu veidotājiem koplietot savas programmas ar visiem nomnieka darbiniekiem.Set-TenantSettings $settingsLai atspējotu koplietošanu ar visiem, veiciet tās pašas darbības, bet iestatījiet
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Datu politikas izveide
Vēl viens veids, kā aizsargāt noklusējuma vidi, ir izveidot tai datu politiku . Datu politikas ieviešana ir īpaši svarīga noklusējuma videi, jo visiem jūsu organizācijas darbiniekiem tai ir piekļuve. Tālāk ir sniegti daži ieteikumi, kas palīdzēs īstenot politiku.
Datu politikas pārvaldības ziņojuma pielāgošana
Pielāgojiet kļūdas ziņojumu, kas tiek parādīts, ja veidotājs izveido programmu, kas pārkāpj jūsu organizācijas datu politiku. Novirziet veidotāju uz savas organizācijas centrmezglu Power Platform un norādiet savas CoE komandas e-pasta adresi.
Tā kā CoE komanda laika gaitā pilnveido datu politiku, jūs varat nejauši sabojāt dažas lietotnes. Pārliecinieties, vai datu politikas pārkāpuma ziņojumā ir kontaktinformācija vai saite uz papildinformāciju, lai veidotājiem sniegtu turpmāko ceļu.
Izmantojiet šādus PowerShell cmdlet, lai pielāgotu pārvaldības politikas ziņojumu:
| Komanda | Apraksts |
|---|---|
| Set-PowerAppDlpErrorSettings | Pārvaldības ziņojuma iestatīšana |
| Set-PowerAppDlpErrorSettings | Pārvaldības ziņojuma atjaunināšana |
Jaunu savienotāju bloķēšana noklusējuma vidē
Pēc noklusējuma visi jaunie savienotāji tiek ievietoti jūsu datu politikas grupā, kas nav saistīta ar uzņēmumiem. Noklusējuma grupu vienmēr varat mainīt uz Bizness vai Bloķēts. Datu politikai, kas tiek lietota noklusējuma vidē, ieteicams konfigurēt grupu Bloķēts kā noklusējuma, lai nodrošinātu, ka jaunie savienotāji paliek nelietojami, kamēr tos nav pārskatījis kāds no administratoriem.
Ierobežojiet veidotājus ar iepriekš izveidotiem savienotājiem
Ierobežojiet veidotājus ar vienkāršiem, nebloķējamiem savienotājiem, lai bloķētu piekļuvi citiem savienotājiem.
- Pārvietojiet visus savienotājus, kurus nevar bloķēt, uz biznesa datu grupu.
- Pārvietojiet visus savienotājus, kurus var bloķēt, uz bloķēto datu grupu.
Pielāgoto savienotāju ierobežošana
Pielāgotie savienotāji integrē programmu vai plūsmu ar pašmāju pakalpojumu. Šie pakalpojumi ir paredzēti tehniskiem lietotājiem, piemēram, izstrādātājiem. Ieteicams samazināt jūsu organizācijas izveidoto API nospiedumu, ko var izsaukt no programmām vai plūsmām noklusējuma vidē. Lai neļautu veidotājiem izveidot un izmantot pielāgotus savienotājus API noklusējuma vidē, izveidojiet kārtulu, lai bloķētu visus URL modeļus.
Lai ļautu veidotājiem piekļūt dažiem API (piemēram, pakalpojumam, kas atgriež uzņēmuma brīvdienu sarakstu), konfigurējiet vairākas kārtulas, kas klasificē dažādus URL modeļus biznesa un nebiznesa datu grupās. Pārliecinieties, ka savienojumi vienmēr izmanto HTTPS protokolu. Uzziniet vairāk par pielāgoto savienotāju datu politikām.
Droša integrācija ar Exchange
Office 365 Outlook savienotājs ir viens no standarta savienotājiem, kuru nevar bloķēt. Tas ļauj veidotājiem sūtīt, dzēst un atbildēt uz e-pasta ziņojumiem pastkastēs, kurām viņiem ir piekļuve. Risks ar šo savienotāju ir arī viena no tā spēcīgākajām iespējām - iespēja nosūtīt e-pastu. Piemēram, veidotājs var izveidot plūsmu, kas nosūta e-pasta sprādzienu.
Jūsu organizācijas Exchange administrators var iestatīt kārtulas Exchange serverī, lai novērstu e-pasta ziņojumu sūtīšanu no programmām. Ir arī iespējams izslēgt konkrētas plūsmas vai programmas no kārtulām, kas iestatītas, lai bloķētu izejošos e-pasta ziņojumus. Varat apvienot šīs kārtulas ar atļauto e-pasta adrešu sarakstu, lai nodrošinātu, ka e-pasta ziņojumus no programmām un plūsmām var sūtīt tikai no nelielas pastkastu grupas.
Kad programma vai plūsma nosūta e-pasta ziņojumu, izmantojot Outlook savienotāju Office 365 , ziņojumā tiek ievietotas noteiktas SMTP galvenes. Galvenēs varat izmantot rezervētas frāzes, lai noteiktu, vai e-pasta ziņojums ir no plūsmas vai lietotnes.
SMTP galvene, kas ievietota e-pasta ziņojumā, kas nosūtīts no plūsmas, izskatās līdzīgi šādam piemēram:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Detalizēta informācija par galveni
x-ms-mail-pieteikums
Tālāk esošajā tabulā ir aprakstītas vērtības, kas var tikt parādītas x-ms-mail-application galvenē atkarībā no izmantotā pakalpojuma.
| Service | vērtība |
|---|---|
| Power Automate | Microsoft Power Automate; Lietotāja aģents: azure-logic-apps/1.0 (darbplūsmas <GUID>; versijas <versijas numurs>) Microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; Lietotāja aģents: PowerApps/ (; AppName= <programmas nosaukums>) |
x-ms-mail-operation-type
Tālāk esošajā tabulā ir aprakstītas vērtības, kas var tikt parādītas x-ms-mail-operation-type galvenē atkarībā no veicamās darbības.
| vērtība | Apraksts |
|---|---|
| Atbilde | Atbildes e-pasta operācijas |
| Uz priekšu | E-pasta pārsūtīšanas operācijām |
| Sūtīt | E-pasta sūtīšanas operācijām, tostarp SendEmailWithOptions un SendApprovalEmail |
x-ms-mail-environment-id
x-ms-mail-environment-id galvenē ir vides ID vērtība. Šīs galvenes klātbūtne ir atkarīga no izmantotā produkta.
- Iekšā Power Apps, tas vienmēr ir klāt.
- Tas Power Automate ir tikai savienojumos, kas izveidoti pēc 2020. gada jūlija.
- Logic Apps tas nekad nav pieejams.
Iespējamās Exchange kārtulas noklusējuma videi
Tālāk ir norādītas dažas e-pasta darbības, kuras varētu būt jābloķē, izmantojot Exchange kārtulas.
Bloķēt izejošos e-pasta ziņojumus ārējiem adresātiem: bloķēt visus izejošos e-pasta ziņojumus, kas nosūtīti ārējiem adresātiem no Power Automate un Power Apps. Šis noteikums neļauj veidotājiem sūtīt e-pasta ziņojumus partneriem, piegādātājiem vai klientiem no savām lietotnēm vai plūsmām.
Bloķēt izejošo pārsūtīšanu: bloķējiet visus izejošos e-pasta ziņojumus, kas pārsūtīti ārējiem adresātiem no Power Automate atļautā pastkastu saraksta un Power Apps kur sūtītājs nav no atļautā pastkastu saraksta. Šī kārtula neļauj veidotājiem izveidot plūsmu, kas automātiski pārsūta ienākošos e-pasta ziņojumus ārējam adresātam.
Izņēmumi, kas jāņem vērā saistībā ar e-pasta bloķēšanas kārtulām
Tālāk ir norādīti daži iespējamie Exchange kārtulu izņēmumi, lai bloķētu e-pastu, lai palielinātu elastību.
Atbrīvot noteiktas programmas un plūsmas: pievienojiet izņēmumu sarakstu iepriekš ieteiktajām kārtulām, lai apstiprinātās programmas vai plūsmas varētu nosūtīt e-pasta ziņojumus ārējiem adresātiem.
Organizācijas līmeņa atļautais saraksts: šādā gadījumā ir lietderīgi pārvietot risinājumu uz īpašu vidi. Ja vairākām plūsmām vidē ir jāsūta izejošie e-pasta ziņojumi, varat izveidot vispārēju izņēmuma kārtulu, lai atļautu izejošos e-pasta ziņojumus no šīs vides. Veidotāja un administratora atļauja šajā vidē ir stingri jākontrolē un jāierobežo.
Uzziniet vairāk par to, kā iestatīt atbilstošas izfiltrēšanas kārtulas saistītajai e-pasta datplūsmai Power Platform .
Vairāku nomnieku izolācijas lietošana
Power Platform ir savienotāju sistēma, kas ļauj Microsoft Entra autorizētiem Microsoft Entra lietotājiem savienot lietotnes un plūsmas ar datu krātuvēm. Nomnieka izolācija regulē datu pārvietošanu no Microsoft Entra autorizētiem datu avotiem uz nomnieku un no tā.
Nomnieka izolācija tiek lietota nomnieka līmenī un ietekmē visas nomnieka vides, tostarp noklusējuma vidi. Tā kā visi darbinieki ir veidotāji noklusējuma vidē, spēcīgas nomnieku izolācijas politikas konfigurēšana ir ļoti svarīga, lai aizsargātu vidi. Ieteicams skaidri konfigurēt nomniekus, ar kuriem darbinieki var izveidot savienojumu. Visiem pārējiem nomniekiem ir jāpiemēro noklusējuma kārtulas, kas bloķē gan ienākošo, gan izejošo datu plūsmu.
Power Platform Īrnieku izolācija atšķiras no Microsoft Entra ID mēroga nomnieka ierobežojuma. Tas neietekmē Microsoft Entra ID balstītu piekļuvi ārpus telpām Power Platform. Tas attiecas tikai uz savienotājiem, kas izmanto Microsoft Entra ID autentifikāciju, piemēram Office 365 , Outlook un SharePoint savienotājiem.
Papildinformācija:
- Vairāku nomnieku ienākošās un izejošās piekļuves ierobežojumi
- Get-PowerAppTenantIsolationPolicy (Microsoft..PowerApps Administration.PowerShell)
Nākamās darbības
Pārskatiet šīs sērijas detalizētos rakstus, lai vēl vairāk uzlabotu savu drošības stāvokli:
- Organizācijas apdraudējumu atklāšana
- Datu aizsardzības un konfidencialitātes vadīklu izveide
- Īstenot datu politikas stratēģiju
- Identitātes un piekļuves pārvaldības konfigurēšana
- Atbilstības prasību izpilde
Pēc rakstu pārskatīšanas pārskatiet drošības kontrolsarakstu, lai nodrošinātu, ka Power Platform izvietojumi ir izturīgi, noturīgi un saskaņoti ar labāko praksi.