Zabezpieczanie środowiska domyślnego
Każdy pracownik w Twojej organizacji ma dostęp do środowiska domyślnego platformy Power Platform. Jako administrator Power Platform musisz rozważyć sposoby zabezpieczenia tego środowiska, jednocześnie zachowując dostęp do informacji na temat produktywności osobistej twórców. Ten artykuł zawiera sugestie.
Przypisywanie uzasadnionych ról administratora
Należy rozważyć, czy administratorzy muszą mieć rolę administratora platformy Power Platform. Czy rola administrator administratora lub administratora systemu byłaby odpowiedniejsza? W każdym przypadku ogranicz bardziej zaawansowaną rolę administratora Power Platform tylko do kilku użytkowników. Dowiedz się więcej o administrowaniu Power Platform środowiskami.
Komunikowanie zamiaru
Jednym z kluczowych problemów zespołu Centrum doskonałości (CoE) platformy Power Platform jest przekazanie informacji o planowanych zastosowaniach środowiska domyślnego. Oto kilka rekomendacji.
Zmienianie nazwy środowiska domyślnego
Środowisko domyślne jest tworzone z następującą nazwą TenantName (domyślnie). Możesz zmienić nazwę środowiska na bardziej opisową, np. Środowisko produktywności osobistej, jasno określając swój zamiar.
Używanie centrum platformy Power Platform
Centrum platformy Microsoft Power Platform to szablon witryny komunikacji programu SharePoint. Stanowi ono punkt wyjścia dla centralnego źródła informacji dla twórców na temat korzystania z platformy Power Platform w organizacji. Startowe szablony zawartości i stron ułatwiają oferowanie twórcom informacji, takich jak:
- Przypadki użycia dla produktywności osobistej
- Jak kompilować aplikacje i przepływy
- Gdzie kompilować aplikacje i przepływy
- Jak skontaktować się z zespołem pomocy technicznej Centrum doskonałości
- Reguły dotyczące integrowania z usługami zewnętrznymi
W tym celu warto dodać linki do innych zasobów wewnętrznych, które mogą być pomocne dla twórców.
Ograniczanie udostępniania wszystkim
Twórcy mogą udostępniać swoje aplikacje innym użytkownikom indywidualnym i grupom zabezpieczeń. Domyślnie udostępnianie całej organizacji lub wszystkim jest wyłączone. Rozważ użycie procesu warunkowego wokół powszechnie używanych aplikacji w celu wymuszenia zasad i wymagań, takich jak te:
- Zasady przeglądania zabezpieczeń
- Zasady przeglądania działania firmy
- Wymagania dotyczące zarządzania cyklem życia aplikacji (ALM)
- Wymagania dotyczące środowiska użytkownika i marki
Funkcja Udostępnij wszystkim jest domyślnie wyłączona w Power Platform. Zalecamy pozostawienie tego ustawienia wyłączonego, aby ograniczyć nadmierną ekspozycję aplikacji kanwy z niezamierzonymi użytkownikami. Grupa Wszyscy dla organizacji zawiera wszystkich użytkowników, którzy kiedykolwiek logowali się do dzierżawy, w tym gości i członków wewnętrznych. Nie chodzi tylko o wszystkich pracowników wewnętrznych w ramach najemcy. Ponadto członkostwa w grupie Wszyscy nie można edytować ani wyświetlać. Aby dowiedzieć się więcej o grupie Wszyscy , przejdź do /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.
Jeśli chcesz udostępnić zawartość wszystkim pracownikom wewnętrznym lub dużej grupie osób, rozważ udostępnienie jej istniejącej grupie zabezpieczeń tych członków lub utworzenie grupy zabezpieczeń i udostępnienie aplikacji tej grupie zabezpieczeń.
Gdy opcja Udostępnij wszystkim jest wyłączona, tylko niewielka grupa administratorów może udostępnić aplikację wszystkim osobom w środowisku. Jeśli jesteś administratorem, możesz uruchomić następujące polecenie programu PowerShell, jeśli chcesz włączyć udostępnianie wszystkim.
Najpierw otwórz PowerShell jako administrator i zaloguj się na swoje Power Apps konto, uruchamiając to polecenie.
Add-PowerAppsAccountUruchom polecenie cmdlet Get-TenantSettings, aby uzyskać listę ustawień dzierżawcy organizacji jako obiektu.
Obiekt
powerPlatform.PowerAppsobejmuje trzy flagi:
Uruchom następujące polecenia programu PowerShell, aby pobrać obiekt ustawień i ustawić zmienną disableShareWithEveryone na $false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseUruchom
Set-TenantSettingspolecenie cmdlet z obiektem ustawień, aby umożliwić twórcom udostępnianie swoich aplikacji wszystkim osobom w dzierżawie.Set-TenantSettings $settingsAby wyłączyć udostępnianie wszystkim, wykonaj te same czynności, ale ustaw
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Ustanawianie zasad ochrony przed utratą danych
Innym sposobem zapewnienia bezpieczeństwa środowiska domyślnego jest utworzenie dla niego zasad ochrony przed utratą danych (DLP). Zaimplementowanie zasad DLP jest wyjątkowo ważne w przypadku środowiska domyślnego, ponieważ wszyscy pracownicy w organizacji mają do niego dostęp. Oto kilka rekomendacji pomocnych w wymuszaniu zasad.
Dostosowywanie komunikatu dotyczącego ładu DLP
Dostosuj komunikat o błędzie wyświetlany, jeśli producent utworzy aplikację, która modyfikuje zasady DLP organizacji. Przekieruj klienta do centrum Power Platform organizacji i podaj adres e-mail swojego zespołu CoE.
Ponieważ zespół CoE precyzuje zasady DLP w miarę upływu czasu, można przypadkowo naruszyć zabezpieczenia niektórych aplikacji. Upewnij się, że komunikat dotyczący naruszenia zasad DLP zawiera szczegóły kontaktu lub link do dodatkowych informacji, aby zapewnić twórcom sposób wykonywania kolejnych czynności.
Użyj następujących poleceń cmdlet PowerShell, aby dostosować komunikat dotyczący zasad ładu:
| Command | opis |
|---|---|
| Set-PowerAppDlpErrorSettings | Ustawienie wiadomości dotyczącej ładu |
| Set-PowerAppDlpErrorSettings | Aktualizowanie wiadomości dotyczącej ładu |
Blokowanie nowych łączników w środowisku domyślnym
Domyślnie wszystkie nowe łączniki są umieszczane w grupie Niefirmowe zasad DLP. Zawsze można zmienić domyślną grupę na Biznseowa lub Zablokowane. W przypadku zasad DLP, które są stosowane do domyślnego środowiska, zalecamy skonfigurowanie grupy Zablokowane jako domyślnej, aby upewnić się, że nowe łączniki pozostaną bezużyteczne, dopóki nie zostaną sprawdzone przez jednego z administratorów.
Ograniczanie twórców do wstępnie utworzonych łączników
Ogranicz dostęp twórców tylko do podstawowych, niemożliwych do zablokowania łączników, aby uniemożliwić dostęp do pozostałych.
Przenieś wszystkie łączniki, których nie można zablokować, do grupy danych biznesowych.
Przenieś wszystkie łączniki, które można zablokować, do zablokowanej grupy danych.
Ograniczanie łączników niestandardowych
Łączniki niestandardowe integrują aplikację lub przepływ z utworzoną wewnętrznie usługą. Te usługi są przeznaczone do użytkowników technicznych, takich jak deweloperzy. Dobrym pomysłem jest ograniczenie zużycia interfejsów API zbudowanych przez organizację, które mogą być wywoływane z aplikacji lub przepływów w środowisku domyślnym. Aby zapobiec tworzeniu i używaniu łączników niestandardowych dla interfejsów API w środowisku domyślnym, należy utworzyć regułę blokującą wszystkie wzorce adresów URL.
Aby umożliwić twórcom dostęp do niektórych interfejsów API (na przykład usługi zwracającej listę dni wolnych od pracy w firmie), należy skonfigurować wiele reguł klasyfikowania różnych wzorców adresów URL w grupach danych biznesowych i niebiznesowych. Upewnij się, że połączenia zawsze korzystają z protokołu HTTPS. Dowiedz się więcej o zasadach DLP dla łączników niestandardowych.
Zabezpieczanie integracji z programem Exchange
The Łącznik Office 365 Outlook to jeden ze standardowych łączników, którego nie można blokować. Umożliwia on twórcom wysyłanie i usuwanie wiadomości e-mail ze skrzynek pocztowych, do których mają dostęp, oraz odpowiadanie na nie. Ryzyko związane z tym łącznikiem to także jedna z najbardziej zaawansowanych możliwości — zdolność wysyłania wiadomości e-mail. Na przykład twórca może utworzyć przepływ, który wysyła rozsyłanie zachęcającej wiadomości e-mail do wielu odbiorców.
Administrator programu Exchange w Twojej organizacji może skonfigurować reguły na serwerze Exchange Server, aby zapobiec wysyłaniu wiadomości e-mail z aplikacji. Z reguł ustawionych tak, aby blokowały wychodzące wiadomości e-mail, można też wykluczyć określone przepływy lub aplikacje. Te reguły można połączyć z listą dozwolonych adresów e-mail, aby upewnić się, że wiadomości e-mail z aplikacji i przepływów mogą być wysyłane tylko z niewielkiej grupy skrzynek pocztowych.
Kiedy aplikacja lub przepływ wysyła wiadomość e-mail przy użyciu łącznika Office 365 Outlook, w wiadomości są wstawiane określone nagłówki SMTP. Możesz używać w nagłówkach zastrzeżonych fraz, aby identyfikować, czy wiadomość e-mail pochodziła z przepływu czy aplikacji.
Nagłówek SMTP wstawiony we wiadomości e-mail wysyłanej z przepływu wygląda tak jak poniższy przykład:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Szczegóły nagłówka
W poniższej tabeli opisano wartości, które mogą pojawić w nagłówku x-ms-mail-application w zależności od użytej usługi:
| Service | Wartość |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (przepływ pracy <GUID>; wersja <numer wersji>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <nazwa aplikacji>) |
W poniższej tabeli opisano wartości, które mogą pojawić w nagłówku x-ms-mail-operation-type w zależności od wykonywanej akcji:
| Wartość | opis |
|---|---|
| Odpowiedź | Dla operacji odpowiadania na wiadomości e-mail |
| Do przodu | Dla operacji przekazywania wiadomości e-mail dalej |
| Wyślij | Dla operacji wysyłania wiadomości e-mail, w tym SendEmailWithOptions i SendApprovalEmail |
Nagłówek x-ms-mail-environment-id zawiera wartość identyfikatora środowiska. Obecność tego nagłówka zależy od używanego produktu:
- W usłudze Power Apps jest on zawsze obecny.
- W usłudze Power Automate jest on dostępny tylko w połączeniach utworzonych po lipcu 2020 r.
- W usłudze Logic Apps nie jest on nigdy obecny.
Potencjalne reguły programu Exchange dla środowiska domyślnego
Oto kilka akcji dotyczących poczty e-mail, które można zablokować przy użyciu reguł programu Exchange.
Blokowanie wychodzących wiadomości e-mail do adresatów zewnętrznych: Bblokowanie wszystkich wychodzących wiadomości e-mail wysyłanych do zewnętrznych adresatów z usług Power Automate i Power Apps. Ta reguła uniemożliwia twórcom wysyłanie wiadomości e-mail do partnerów, dostawców lub klientów z ich aplikacji lub przepływów.
Blokowanie przekazywania wiadomości wychodzących dalej: blokowanie wszystkich wychodzących wiadomości e-mail przekazywanych dalej do adresatów zewnętrznych z usług Power Automate i Power Apps, gdzie nadawca nie znajduje się na liście dozwolonych skrzynek pocztowych. Ta reguła uniemożliwia twórcom tworzenie przepływu, który automatycznie przesyła dalej przychodzące wiadomości e-mail do adresata zewnętrznego.
Wyjątki do rozważenia w przypadku reguł blokowania wiadomości e-mail
Oto kilka potencjalnych wyjątków od reguł programu Exchange w celu blokowania poczty e-mail, aby zapewnić elastyczność:
Wykluczanie określanych aplikacji i przepływów: dodaj listę wyjątków do proponowanych powyżej reguł, aby zatwierdzone aplikacje lub przepływy mogły wysyłać wiadomości e-mail do adresatów zewnętrznych.
Lista dozwolonych na poziomie organizacji: w tym scenariuszu ma sens przeniesienie rozwiązania do środowiska dedykowanego. Jeśli kilka przepływów w środowisku musi wysyłać wychodzące wiadomości e-mail, można utworzyć ogólną regułę wyjątku, która umożliwi wysyłanie wychodzących wiadomości e-mail z tego środowiska. Uprawnienia twórcy i administratora w tym środowisku muszą być dokładnie kontrolowane i ograniczane.
Aby uzyskać więcej informacji na temat konfigurowania odpowiednich reguł eksfiltracji dla Power Platform powiązanego ruchu poczty e-mail, przejdź do Kontrolki eksfiltracji poczty e-mail dla łączników.
Stosowanie izolacji w zakresie wielu dzierżawców
Platforma Power Platform ma system łączników opartych na usłudze Microsoft Entra umożliwiają autoryzowanym użytkownikom usługi Microsoft Entra w celu łączenia aplikacji i przepływów z magazynami danych. Izolacja dzierżawy zarządza przepływem danych z autoryzowanych źródeł danych Microsoft Entra do i z ich dzierżawców.
Izolacja dzierżawy jest stosowane na poziomie dzierżawcy i wpływa na wszystkie środowiska dzierżawcy, w tym także środowisko domyślne. Ponieważ wszyscy pracownicy znajdują się w środowisku domyślnym, skonfigurowanie niezawodnych zasad izolacji dzierżawy ma krytyczne znaczenie dla zabezpieczania środowiska. Zalecamy jawne skonfigurowanie dzierżawców, z którymi pracownicy mogą się łączyć. Wszyscy inni dzierżawcy powinni być objęci regułami domyślnymi, które blokują przychodzący i wychodzący przepływ danych.
Należy pamiętać, że izolacja dzierżawy Power Platform różni się od ograniczenia dzierżawy Microsoft Entra ID-wide. Nie ma to wpływu na dostęp oparty na identyfikatorze Microsoft Entra poza Power Platform. Izolacja dzierżawy Microsoft Entra działa tylko w przypadku łączników korzystających z uwierzytelniania opartego na identyfikatorze , takich jak Office 365 Outlook lub SharePoint.
Zobacz też
Ograniczanie dostępu przychodzącego i wychodzącego między dzierżawami (wersja zapoznawcza)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Administration.PowerShell)