Kongsi melalui

Penapisan titik tamat penyambung (pratonton)

  • Artikel

[Artikel ini merupakan dokumentasi prapelancaran dan tertakluk pada perubahan.]

Penapisan titik akhir penyambung membolehkan pentadbir mengawal titik akhir tertentu yang boleh disambungkan kepada pembuat apabila membina aplikasi, aliran atau chatbots. Ia dikonfigurasikan dalam dasar pencegahan kehilangan data (DLP) dan ia tersedia secara eksklusif untuk enam penyambung:

  • HTTP
  • HTTP dengan Microsoft Entra ID (AD)
  • HTTP Webhook
  • SQL Server (termasuk menggunakan Penyambung SQL Server untuk mengakses Azure Synapse gudang data)
  • Ikon Azure Blob Storage
  • SMTP

Apabila pembuat cuba menyambungkan apl, aliran atau chatbot mereka ke titik akhir yang disekat, mereka akan menghadapi mesej ralat DLP.

Amaran

Peraturan penapisan titik akhir tidak dikuatkuasakan pada pemboleh ubah persekitaran, input tersuai atau sebarang titik akhir yang dicipta secara dinamik pada masa jalanan. Hanya titik akhir statik dinilai dalam pereka apl, aliran atau chatbot. Untuk maklumat lanjut, lihat Had yang diketahui.

Penting

Ciri pratonton bukan untuk kegunaan pengeluaran dan kefungsian mungkin terbatas. Ciri ini tersedia sebelum keluaran rasmi agar pelanggan boleh mendapat akses awal dan memberikan maklum balas.

Tambah peraturan penapisan titik akhir pada dasar DLP anda

Lajur boleh dikonfigurasikan titik akhir, pada halaman Penyambung Prabina dalam Dasar Data, menunjukkan sama ada keupayaan penapisan titik akhir disokong untuk penyambung.

Titik akhir boleh dikonfigurasikan dalam halaman Penyambung Prabina.

Jika nilai lajur Titik tamat boleh dikonfigurasikan ialah Ya, anda boleh menggunakan keupayaan ini dengan mengklik kanan dan memilih Konfigurasikan penyambung>Titik tamat penyambung.

Konfigurasikan titik akhir penyambung penyambung > .

Ini membuka panel sisi tempat anda boleh menentukan senarai tertib bagi corak URL Benarkan atau Tolak. Baris terakhir dalam senarai akan sentiasa menjadi peraturan untuk aksara kad bebas (*), yang digunakan untuk semua titik akhir dalam penyambung tersebut. Secara lalai, corak * ditetapkan sebagai Benarkan untuk dasar DLP baharu, tetapi anda boleh mengetag ini sebagai Benarkan atau Tolak.

Tentukan senarai tersusun corak URL Benarkan dan Tolak untuk penyambung tersuai.

Tambah peraturan baharu

Anda boleh menambah peraturan baharu dengan memilih Tambah titik tamat. Peraturan baharu ditambah pada penghujung senarai corak sebagai peraturan kedua hingga terakhir. Ini kerana * akan sentiasa menjadi entri terakhir dalam senarai. Walau bagaimanapun, anda boleh mengemas kini tertib corak dengan menggunakan senarai juntai bawah Pesanan atau memilih Bergerak ke atas atau Bergerak ke bawah.

Pilih Tambah titik akhir untuk menambah peraturan baharu.

Selepas corak telah ditambahkan, anda boleh mengedit atau memadamkan corak ini dengan memilih baris tertentu, kemudian memilih Padam.

Padamkan corak.

Selepas menyimpan peraturan penapisan titik akhir penyambung anda dan dasar DLP di mana ia ditakrifkan, ia akan dikuatkuasakan serta-merta pada persekitaran yang disasarkan. Di bawah ialah contoh di mana pembuat cuba menyambungkan aliran awan mereka ke titik akhir HTTP yang tidak dibenarkan.

Ralat DLP kerana peraturan penapisan titik akhir.

Had diketahui

  • Peraturan penapisan titik akhir tidak dikuatkuasakan pada pemboleh ubah persekitaran, input tersuai dan titik akhir terikat secara dinamik semasa masa jalan. Hanya titik tamat statik yang diketahui dan dipilih semasa membina aplikasi, aliran atau chatbot pada masa reka bentuk dikuatkuasakan. Ini menunjukkan bahawa peraturan penapisan titik akhir penyambung untuk SQL Server dan Azure Blob Storage tidak dikuatkuasakan jika sambungan disahkan dengan Microsoft Entra ID. Dalam dua tangkapan skrin di bawah, pembuat telah membina aliran awan yang mentakrifkan SQL Server dan pangkalan data di dalam pembolehubah, dan kemudian menggunakan pembolehubah tersebut sebagai input kepada definisi sambungan. Oleh itu, peraturan penapisan titik akhir tidak dinilai dan aliran awan boleh dilaksanakan dengan jayanya.

    Aliran awan menggunakan pembolehubah untuk menyambung ke SQL.Aliran awan berjaya berjalan.

  • Sesetengah yang Power Apps diterbitkan sebelum 1 Oktober 2020, perlu diterbitkan semula untuk peraturan tindakan penyambung DLP dan peraturan titik akhir dikuatkuasakan. Skrip berikut membolehkan pentadbir dan pembuat mengenal pasti aplikasi yang mesti diterbitkan semula untuk mematuhi peraturan kawalan butiran DLP baharu ini:

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Format dan contoh input titik tamat

Setiap penyambung mempunyai anggapan yang berbeza tentang maksud titik tamat. Di samping itu, beberapa titik tamat dapat ditentukan dalam berbilang format. Oleh itu, titik tamat mesti dimasukkan dalam semua format yang mungkin untuk menyekat pembuat daripada menggunakannya semasa mencipta aplikasi dan aliran. Pentadbir boleh sama ada memasukkan nama titik tamat penuh atau menggunakan padanan corak dengan aksara kad bebas (*) apabila mencipta peraturan penapisan titik tamat. Peraturan ini dimasukkan dan dipaparkan dalam senarai yang dipesan corak titik tamat, bermaksud bahawa mereka akan dinilai dalam urutan menaik mengikut nombor. Ambil perhatian bahawa peraturan terakhir untuk mana-mana penyambung tertentu sentiasa * Benarkan atau * Tolak. Benarkan ialah lalai, yang boleh ditukar kepada Tolak.

Panduan berikut menerangkan cara memasukkan titik tamat penyambung sementara mencipta peraturan untuk membenarkan atau menolaknya.

SQL Server

Titik tamat sambungan Pelayan SQL perlu disenaraikan dalam format <Server_name, database_name>. Beberapa perkara yang perlu diingat:

  • Nama pelayan boleh dimasukkan dalam pelbagai format oleh pembuat. Oleh itu, untuk benar-benar menyelesaikan titik tamat, ia perlu dimasukkan dalam semua format yang mungkin. Contohnya, tika di premis boleh dalam format <machine_name\named_instance, database_name> atau <IP address, custom port, database_name>. Dalam keadaan ini, anda perlu menggunakan benarkan atau sekat peraturan dalam kedua-dua format untuk titik tamat. Contohnya:

    • Sekat WS12875676\Servername1,MktingDB
    • Sekat 11.22.33.444,1401,MktingDB

  • Tiada logik khusus untuk mengendalikan alamat relatif seperti localhost. Oleh itu, jika anda menyekat *localhost*, ia akan menyekat pembuat daripada menggunakan mana-mana titik tamat dengan menggunakan localhost sebagai sebahagian daripada titik tamat Pelayan SQL. Walau bagaimanapun, ia tidak akan menghalang mereka daripada mengakses titik tamat dengan menggunakan alamat mutlak, melainkan alamat mutlak juga telah disekat oleh pentadbir.

Berikut adalah contoh:

  • Benarkan tika Pelayan SQL Azure sahaja:

    1. Benarkan *.database.windows.net*
    2. Tolak *

  • Benarkan julat IP tertentu sahaja: (Ambil perhatian bahawa alamat IP yang tidak dibenarkan masih boleh dimasukkan oleh pembuat dalam <machine_name\named_instance> format.)

    1. Benarkan 11.22.33*
    2. Tolak *

Dataverse

Dataverse titik akhir diwakili oleh ID organisasi, seperti,. 7b97cd5c-ce38-4930-9497-eec2a95bf5f7 Sila ambil perhatian bahawa hanya penyambung Dataverse tetap dalam skop untuk penapisan titik tamat pada masa ini. Penyambung semasa dinamik Dataverse dan Dataverse tiada dalam skop. Selain itu, tika tempatan Dataverse (juga dikenali sebagai persekitaran semasa) tidak boleh disekat untuk digunakan dalam persekitaran. Ini bermaksud bahawa dalam mana-mana persekitaran yang diberikan, pembuat boleh mengakses persekitaran semasa Dataverse pada bila-bila masa.

Oleh itu, peraturan yang menyatakan perkara berikut:

  1. Benarkan 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  2. Tolak *

Sebenarnya bermaksud:

  1. Benarkan Dataverse current environment
  2. Benarkan 7b97cd5c-ce38-4930-9497-eec2a95bf5f7
  3. Tolak *

Benarkan Dataverse current environment sentiasa peraturan pertama yang tersirat dalam senarai penapisan titik tamat Dataverse untuk sebarang persekitaran yang diberikan.

Azure Blob Storage

Titik tamat Storan Blob Azure diwakili oleh nama akaun storan Azure.

SMTP

Titik tamat SMTP diwakili dalam format <SMTP server address, port number>.

Berikut ialah senario contoh:

  1. Tolak smtp.gmail.com,587
  2. Benarkan *

HTTP dengan Microsoft Entra ID, HTTP Webhook dan penyambung HTTP

Titik tamat untuk semua penyambung HTTP diwakili oleh corak URL. Tindakan Dapatkan sumber web bagi HTTP dengan Microsoft Entra penyambung berada di luar skop.

Berikut ialah senario contoh:

Benarkan akses kepada halaman langganan Azure sahaja dalam https://management.azure.com/.

  1. Benarkan https://management.azure.com/subscriptions*
  2. Tolak https://management.azure.com/*
  3. Tolak *

Sokongan PowerShell untuk penapisan titik tamat

Konfigurasikan peraturan tindakan titik tamat untuk dasar

Objek yang mengandungi peraturan penapisan titik tamat untuk dasar dirujuk di bawah sebagai konfigurasi penyambung.

Objek konfigurasi penyambung mempunyai struktur berikut:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Nota

  • Peraturan terakhir untuk setiap penyambung hendaklah sentiasa digunakan pada URL *, untuk memastikan bahawa semua URL dilindungi oleh peraturan.
  • Sifat pesanan peraturan untuk setiap penyambung hendaklah diisi dengan nombor 1 hingga N, di mana N ialah bilangan peraturan untuk penyambung tersebut.

Dapatkan semula konfigurasi penyambung sedia ada untuk dasar DLP

Get-PowerAppDlpPolicyConnectorConfigurations

Cipta konfigurasi penyambung untuk dasar DLP

New-PowerAppDlpPolicyConnectorConfigurations

Kemas kini konfigurasi penyambung untuk dasar DLP

Set-PowerAppDlpPolicyConnectorConfigurations

Sebagai contoh

Matlamat:

Untuk penyambung Pelayan SQL:

  • Tolak pangkalan data “testdatabase” untuk pelayan “myservername.database.windows.net”
  • Benarkan semua pangkalan data lain untuk pelayan “myservername.database.windows.net”
  • Tolak semua pelayan lain

Untuk penyambung SMTP:

  • Benarkan Gmail (alamat pelayan: smtp.gmail.com, port: 587)
  • Tolak semua alamat lain

Untuk penyambung HTTP:

  • Benarkan titik akhir https://mywebsite.com/allowedPath1 dan https://mywebsite.com/allowedPath2
  • Tolak semua URL lain

Nota

Dalam cmdlet berikut, PolicyName merujuk kepada GUID unik. Anda boleh mendapatkan GUID DLP dengan menjalankan cmdlet Get-DlpPolicy.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations