Partajați prin

Securizarea mediului implicit

  • Articol

Fiecare angajat din organizația dvs. are acces la mediul implicit Power Platform . În calitate de Power Platform administrator, trebuie să luați în considerare modalități de a securiza acel mediu, menținându-l în același timp accesibil pentru utilizările de productivitate personale ale producătorilor. Acest articol oferă sugestii.

Atribuiți în mod judicios rolurile de administrator

Luați în considerare dacă utilizatorii dvs. de administrator trebuie să aibă Power Platform rolul de administrator. Ar fi mai potrivit rolul administrator de mediu sau administrator de sistem? În orice caz, limitați rolul de administrator Power Platform mai puternic la doar câțiva utilizatori. Aflați mai multe despre administrarea Power Platform mediilor.

Comunicați intenția

Una dintre provocările cheie pentru echipa Power Platform Centrul de excelență (CoE) este să comunice utilizările preconizate ale mediului implicit. Iată câteva recomandări.

Redenumiți mediul implicit

Mediul implicit este creat cu numele TenantName (implicit). Puteți schimba numele mediului în ceva mai descriptiv, cum ar fi Mediul de productivitate personală, pentru a indica clar intenția.

Folosiți Power Platform hub

Microsoft Power Platform hub este un SharePoint șablon de site de comunicare. Acesta oferă un punct de plecare pentru o sursă centrală de informații pentru creatori despre utilizarea de către organizația dvs. a Power Platform. Conținutul de început și șabloanele de pagină facilitează oferirea producătorilor de informații precum:

  • Cazuri de utilizare a productivității personale
  • Cum să construiți aplicații și fluxuri
  • Unde să construiți aplicații și fluxuri
  • Cum să contactați echipa de asistență CoE
  • Reguli privind integrarea cu serviciile externe

Adăugați linkuri către orice alte resurse interne pe care creatorii dvs. le-ar putea găsi utile.

Limitați distribuirea cu toată lumea

Producătorii pot să-și partajeze aplicațiile cu alți utilizatori individuali și grupuri de securitate. În mod prestabilit, partajarea cu întreaga organizație sau Toată lumea este dezactivată. Luați în considerare utilizarea unui proces închis în jurul aplicațiilor utilizate pe scară largă pentru a aplica politici și cerințe precum acestea:

  • Politica de revizuire a securității
  • Politica de revizuire a afacerilor
  • Cerințe pentru managementul ciclului de viață al aplicației (ALM).
  • Experiența utilizatorului și cerințele de branding

Funcția Partajare tuturor este dezactivată în mod prestabilit în Power Platform. Vă recomandăm să păstrați această setare dezactivată pentru a limita supraexpunerea aplicațiilor planșă de lucru cu utilizatori neintenționați. Grupul Toți pentru organizația dvs. conține toți utilizatorii care s-au conectat vreodată la chiriașul dvs., care include oaspeți și membri interni. Nu sunt doar toți angajații interni din chiriașul dvs. În plus, apartenența la grupul Toți nu poate fi editată și nici vizualizată. Pentru a afla mai multe despre grupul Toți , accesați /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Dacă doriți să distribuiți tuturor angajaților interni sau unui grup mare de persoane, luați în considerare distribuirea unui grup de securitate existent al acelor membri sau crearea unui grup de securitate și partajarea aplicației cu acel grup de securitate.

Când Partajare cu toată lumea este dezactivată, doar un grup mic de administratori poate partaja o aplicație tuturor celor din mediu. Dacă sunteți administrator, puteți rula următoarea comandă PowerShell dacă trebuie să activați partajarea cu Toți.

  1. Mai întâi, deschideți PowerShell ca administrator și conectați-vă la Power Apps contul dvs. executând această comandă.

    Add-PowerAppsAccount

  2. Rulați cmdletul Get-TenantSettings pentru a obține lista cu setările pentru chiriași ale organizației dvs. ca obiect.

    powerPlatform.PowerApps Obiectul include trei indicatoare:

    Captură de ecran cu trei steaguri din obiectul $settings.powerPlatform.PowerApps .

  3. Rulați următoarele comenzi PowerShell pentru a obține obiectul setări și setați variabila disableShareWithEveryone la $false.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Rulați Set-TenantSettings cmdlet-ul cu obiectul setări pentru a permite creatorilor să-și partajeze aplicațiile cu toți cei din chiriaș.

      Set-TenantSettings $settings

    Pentru a dezactiva partajarea cu Toți, urmați aceiași pași, dar setați $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Stabiliți o politică de prevenire a pierderii datelor

O altă modalitate de a securiza mediul implicit este să creați o politică de prevenire a pierderii datelor (DLP) pentru acesta. A avea o politică DLP este deosebit de critică pentru mediul implicit, deoarece toți angajații din organizația dvs. au acces la aceasta. Iată câteva recomandări pentru a vă ajuta să aplicați politica.

Personalizați mesajul de guvernare DLP

Personalizați mesajul de eroare care este afișat dacă un producător creează o aplicație care încalcă politica DLP a organizației dvs. Direcționați producătorul către Power Platform Hub-ul organizației dvs. și furnizați adresa de e-mail a echipei CoE.

Pe măsură ce echipa CoE perfecționează politica DLP în timp, este posibil să rupeți din greșeală unele aplicații. Asigurați-vă că mesajul de încălcare a politicii DLP conține detalii de contact sau un link către mai multe informații pentru a oferi o cale de urmat pentru creatori.

Utilizați următoarele cmdleturi PowerShell pentru a personaliza mesajul privind politica de guvernare:

Comanda Descriere
Set-PowerAppDlpErrorSettings Setați mesajul de guvernare
Set-PowerAppDlpErrorSettings Actualizați mesajul de guvernare

Blocați conectori noi în mediul implicit

În mod implicit, toți conectorii noi sunt plasați în grupul Non-business al politicii DLP. Puteți oricând să schimbați grupul prestabilit în Business sau Blocat. Pentru o politică DLP care este aplicată mediului implicit, vă recomandăm să configurați grupul Blocat ca implicit pentru a vă asigura că conectorii noi rămân inutilizabili până când aceștia au fost examinați de unul dintre administratori.

Limitați producătorii la conectori prefabricați

Limitați producătorii la conectori de bază, neblocabili, pentru a preveni accesul la restul.

  1. Mutați toți conectorii care nu pot fi blocați în grupul de date de afaceri.

  2. Mutați toți conectorii care pot fi blocați în grupul de date blocat.

Limitați conectorii personalizați

Conectorii personalizați integrează o aplicație sau un flux cu un serviciu de acasă. Aceste servicii sunt destinate utilizatorilor tehnici precum dezvoltatorii. Este un idee bun pentru a reduce amprenta API-urilor construite de organizația dvs. care pot fi invocate din aplicații sau fluxuri în mediul implicit. Pentru a împiedica creatorii să creeze și să utilizeze conectori personalizați pentru API-uri în mediul implicit, creați o regulă pentru a bloca toate modelele URL.

Pentru a permite producătorilor să acceseze unele API-uri (de exemplu, un serviciu care returnează o listă de sărbători ale companiei), configurați mai multe reguli care clasifică diferite modele de adrese URL în grupuri de date de afaceri și non-business. Asigurați-vă că conexiunile folosesc întotdeauna protocolul HTTPS. Aflați mai multe despre politica DLP pentru conectorii personalizați.

Integrare sigură cu Exchange

Office 365 Conectorul Outlook este unul dintre conectorii standard care nu pot fi blocați. Permite producătorilor să trimită, să șteargă și să răspundă la mesaje de e-mail în căsuțele poștale la care au acces. Riscul cu acest conector este, de asemenea, una dintre cele mai puternice capabilități ale sale - capacitatea de a trimite un e-mail. De exemplu, un producător ar putea crea un flux care trimite o explozie de e-mail.

Administratorul Exchange al organizației dvs. poate configura reguli pe serverul Exchange pentru a preveni trimiterea e-mailurilor din aplicații. De asemenea, este posibil să excludeți anumite fluxuri sau aplicații din regulile configurate pentru a bloca e-mailurile trimise. Puteți combina aceste reguli cu o listă permisă de adrese de e-mail pentru a vă asigura că e-mailurile din aplicații și fluxuri pot fi trimise numai dintr-un grup mic de cutii poștale.

Când o aplicație sau un flux trimite un e-mail utilizând conectorul Office 365 Outlook, acesta inserează anumite antete SMTP în mesaj. Puteți utiliza expresii rezervate în anteturi pentru a identifica dacă un e-mail provine dintr-un flux sau dintr-o aplicație.

Antetul SMTP inserat într-un e-mail trimis dintr-un flux arată ca următorul exemplu:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Detalii antet

Următorul tabel descrie valorile care pot apărea în antetul x-ms-mail-application, în funcție de serviciul utilizat:

Servicii Valoare
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; versiunea <numărul versiunii>) Microsoft-flow /1,0
Power Apps Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <nume aplicație>)

Următorul tabel descrie valorile care pot apărea în antetul x-ms-mail-operation-type în funcție de acțiunea efectuată:

Valoare Descriere
Răspuns Pentru operațiuni de răspuns prin e-mail
Redirecționați Pentru operațiuni de redirecționare prin e-mail
Se trimite Pentru operațiuni de trimitere prin e-mail, inclusiv SendEmailWithOptions și SendApprovalEmail

Antetul x-ms-mail-environment-id conține valoarea ID-ului mediului. Prezența acestui antet depinde de produsul pe care îl utilizați:

  • În Power Apps, este întotdeauna prezent.
  • În Power Automate, este prezent numai în conexiunile create după iulie 2020.
  • În Logic Apps, nu este niciodată prezent.

Reguli de schimb potențial pentru mediul implicit

Iată câteva acțiuni prin e-mail pe care ați putea dori să le blocați folosind regulile Exchange.

  • Blocați e-mailurile de ieșire către destinatari externi: blocați toate e-mailurile de ieșire trimise către destinatari externi de la Power Automate și Power Apps. Această regulă îi împiedică pe producători să trimită e-mailuri către parteneri, vânzători sau clienți din aplicațiile sau fluxurile lor.

  • Blocați redirecționarea către ieșire: blocați toate e-mailurile de ieșire redirecționate către destinatari externi de la Power Automate și Power Apps unde expeditorul nu este dintr-o listă permisă de cutii poștale. Această regulă îi împiedică pe producători să creeze un flux care redirecționează automat e-mailurile primite către un destinatar extern.

Excepții de luat în considerare cu regulile de blocare a e-mailului

Iată câteva posibile excepții de la regulile Exchange pentru a bloca e-mailul pentru a adăuga flexibilitate:

  • Exceptați anumite aplicații și fluxuri: adăugați o listă de scutiri la regulile sugerate mai devreme, astfel încât aplicațiile sau fluxurile aprobate să poată trimite e-mail destinatarilor externi.

  • Lista permisă la nivel de organizație: în acest scenariu, este logic să mutați soluția într-un mediu dedicat. Dacă mai multe fluxuri din mediu trebuie să trimită e-mailuri de ieșire, puteți crea o regulă generală de excepție pentru a permite e-mailurile de ieșire din acel mediu. Permisiunea producătorului și a administratorului pentru acel mediu trebuie să fie strict controlată și limitată.

Pentru mai multe informații despre cum să configurați regulile de exfiltrare adecvate pentru Power Platform traficul de e-mail asociat, accesați Controalele de exfiltrare a e-mailului pentru conectori.

Aplicați izolarea între chiriași

Power Platform are un sistem de conectori bazat pe Microsoft Entra care le permit utilizatorilor Microsoft Entra autorizați să conecteze aplicațiile și fluxurile la magazinele de date. Izolarea entităților găzduite guvernează mișcarea datelor de la Microsoft Entra surse de date autorizate către și de la chiriașul lor.

Izolarea entităților găzduite se aplică la nivel de chiriaș și afectează toate mediile din chiriaș, inclusiv mediul implicit. Deoarece toți angajații sunt creatori în mediul implicit, configurarea unei politici solide izolarea entităților găzduite este esențială pentru securizarea mediului. Vă recomandăm să configurați în mod explicit chiriașii la care angajații dvs. se pot conecta. Toți ceilalți chiriași ar trebui să fie acoperiți de reguli implicite care blochează atât fluxul de date de intrare, cât și de ieșire.

Power Platform izolarea entităților găzduite este diferit de Microsoft Entra restricția chiriașilor la nivel de ID. Nu afectează Microsoft Entra accesul bazat pe ID în afara Power Platform. Funcționează numai pentru conectorii care folosesc Microsoft Entra autentificarea bazată pe ID, cum ar fi conectorii Office 365 Outlook și SharePoint .

Consultați și

Restricționați accesul de intrare și de ieșire între locatari (versiune preliminară)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)