Deli putem

Zaštita podrazumevanog okruženja

  • Članak

Svaki zaposleni u vašoj organizaciji ima pristup podrazumevanom Power Platform okruženju. Kao Power Platform administrator, morate razmotriti načine da obezbedite to okruženje, a da ga držite dostupnim za ličnu produktivnost proizvođača. Ovaj članak daje sugestije.

Dodelite administratorske uloge razumno

Razmotrite da li vaši administratorski korisnici moraju da imaju administratorsku ulogu Power Platform . Da li bi uloga administratora okruženja ili administratora sistema bila prikladnija? U svakom slučaju, ograničite moćniju Power Platform ulogu administratora na samo nekoliko korisnika. Saznajte više o administraciji Power Platform okruženja.

Komunicirajte nameru

Jedan od ključnih izazova za Power Platform tim Centra izvrsnosti (CoE) je da komunicira o predviđenoj upotrebi podrazumevanog okruženja. Evo nekoliko preporuka.

Preimenovanje podrazumevanog okruženja

Podrazumevano okruženje je kreirano sa imenom TenantName (default). Možete da promenite ime okruženja u nešto više opisno, kao što je Personal Productivity Environment, da jasno pozove nameru.

Koristite Power Platform čvorište

Čvorište Microsoft Power Platform je šablon komunikacionog sajta SharePoint . On pruža polaznu tačku za centralni izvor informacija za proizvođače o upotrebi vaše organizacije Power Platform. Početni sadržaj i šabloni stranica olakšavaju pružanje informacija proizvođačima kao što su:

  • Slučajevi korišćenja lične produktivnosti
  • Kako izgraditi aplikacije i tokove
  • Gde graditi aplikacije i tokove
  • Kako kontaktirati tim za podršku CoE
  • Pravila oko integracije sa spoljnim uslugama

Dodajte linkove na bilo koje druge interne resurse koje bi vaši proizvođači mogli smatrati korisnim.

Ograničite deljenje sa svima

Proizvođači mogu da dele svoje aplikacije sa drugim pojedinačnim korisnicima i bezbednosnim grupama. Po defaultu, deljenje sa celom organizacijom ili svima je onemogućeno. Razmislite o korišćenju zatvorenog procesa oko široko korišćenih aplikacija za sprovođenje politika i zahteva poput ovih:

  • Politika bezbednosnog pregleda
  • Politika pregleda poslovanja
  • Zahtevi za upravljanje životnim ciklusom aplikacija (ALM)
  • Korisničko iskustvo i zahtevi za brendiranje

Funkcija Share with Everyone je podrazumevano Power Platform onemogućena. Preporučujemo da ovu postavku zadržite onemogućenu kako biste ograničili prekomernu izloženost aplikacija platna sa neželjenim korisnicima. Grupa Svi za vašu organizaciju sadrži sve korisnike koji su se ikada prijavili u vašeg stanara, što uključuje goste i interne članove. To nisu samo svi interni zaposleni u vašem stanaru. Pored toga, članstvo u grupi Svi ne može se uređivati niti pregledati. Da biste saznali više o grupi Svi, idite na /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Ako želite da delite sa svim internim zaposlenima ili velikom grupom ljudi, razmislite o deljenju sa postojećom bezbednosnom grupom tih članova ili kreiranju bezbednosne grupe i deljenju aplikacije sa tom bezbednosnom grupom.

Kada je Deljenje sa svima onemogućeno, samo mala grupa administratora može da deli aplikaciju sa svima u okruženju. Ako ste administrator, možete pokrenuti sledeću PoverShell komandu ako želite da omogućite deljenje sa svima.

  1. Prvo, otvorite PoverShell kao administrator i prijavite se na svoj Power Apps nalog pokretanjem ove komande.

    Add-PowerAppsAccount

  2. Pokrenite cmdlet Get-TenantSettings da biste dobili listu postavki klijenta vaše organizacije kao objekat.

    Objekat powerPlatform.PowerApps obuhvata tri zastave:

    Snimak ekrana tri zastave u $settings.poverPlatform.PowerApps Objekat.

  3. Pokrenite sledeće PoverShell komande da biste dobili objekat podešavanja i podesite promenljivu disableShareVithEveryone na $false.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Pokrenite Set-TenantSettings cmdlet sa objektom settings kako biste omogućili proizvođačima da dele svoje aplikacije sa svima u stanaru.

      Set-TenantSettings $settings

    Da biste onemogućili deljenje sa svima, sledite iste korake, ali podesite $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Uspostaviti politiku za sprečavanje gubitka podataka

Drugi način da se obezbedi podrazumevano okruženje je da se stvori politika za sprečavanje gubitka podataka (DLP) za to. Imati DLP politiku je posebno kritično za podrazumevano okruženje, jer svi zaposleni u vašoj organizaciji imaju pristup tome. Evo nekoliko preporuka koje će vam pomoći da sprovedete politiku.

Prilagodite poruku upravljanja DLP-om

Prilagodite poruku o grešci koja se prikazuje ako proizvođač kreira aplikaciju koja krši DLP politiku vaše organizacije. Usmerite proizvođača na Hub vaše organizacije Power Platform i navedite adresu e-pošte vašeg CoE tima.

Kako tim CoE vremenom usavršava DLP politiku, možda ćete nehotice slomiti neke aplikacije. Uverite se da poruka o kršenju pravila DLP-a sadrži podatke za kontakt ili vezu sa više informacija kako biste pružili put napred za proizvođače.

Koristite sledeće PoverShell cmdlete da biste prilagodili poruku o politiciupravljanja:

Command Opis
Set-PowerAppDlpErrorSettings Postavite poruku upravljanja
Set-PowerAppDlpErrorSettings Ažurirajte poruku o upravljanju

Blokirajte nove konektore u podrazumevanom okruženju

Po defaultu, svi novi konektori su smešteni u neposlovnu grupu vaše DLP politike. Uvek možete da promenite podrazumevanu grupu u Biznis ili Blokirano. Za DLP politiku koja se primenjuje na podrazumevano okruženje, preporučujemo da konfigurišete grupu Blokirano kao podrazumevanu da biste bili sigurni da novi konektori ostaju neupotrebljivi sve dok ih ne pregleda jedan od vaših administratora.

Ograničite kreatore na unapred izgrađene konektore

Ograničite proizvođače samo na osnovne konektore koji se ne mogu blokirati kako biste sprečili pristup ostalima.

  1. Premestite sve konektore koji se ne mogu blokirati u grupu poslovnih podataka.

  2. Premestite sve konektore koji mogu biti blokirani u blokiranu grupu podataka.

Ograničite prilagođene konektore

Prilagođeni konektori integrišu aplikaciju ili protok sa domaćom uslugom. Ove usluge su namenjene tehničkim korisnicima kao što su programeri. Dobra je ideja da smanjite otisak API-ja koje je izgradila vaša organizacija i koji se mogu pozvati iz aplikacija ili tokova u podrazumevanom okruženju. Da biste sprečili proizvođače da kreiraju i koriste prilagođene konektore za API-je u podrazumevanom okruženju, kreirajte pravilo za blokiranje svih URL obrazaca.

Da biste omogućili proizvođačima pristup nekim API-jima (na primer, usluzi koja vraća listu praznika kompanije), konfigurišite više pravila koja klasifikuju različite obrasce URL-a u poslovne i neposlovne grupe podataka. Uverite se da veze uvek koriste HTTPS protokol. Saznajte više o DLP politici za prilagođene konektore.

Sigurna integracija sa Ekchange

Outlook Office 365 konektor je jedan od standardnih konektora koji se ne mogu blokirati. Omogućava proizvođačima da šalju, brišu i odgovaraju na poruke e-pošte u poštanskim sandučićima kojima imaju pristup. Rizik sa ovim konektorom je takođe jedna od njegovih najmoćnijih mogućnosti - mogućnost slanja e-pošte. Na primer, proizvođač može da stvori tok koji šalje e-poštu.

Administrator Ekchange vaše organizacije može postaviti pravila na Ekchange serveru kako bi sprečio slanje e-pošte iz aplikacija. Takođe je moguće isključiti određene tokove ili aplikacije iz pravila postavljenih za blokiranje odlaznih e-poruka. Ova pravila možete kombinovati sa dozvoljenom listom adresa e-pošte kako biste bili sigurni da se e-pošta iz aplikacija i tokova može poslati samo iz male grupe poštanskih sandučića.

Kada aplikacija ili tok šalje e-poštu pomoću Outlook konektora Office 365 , on ubacuje određene SMTP zaglavlja u poruku. Možete koristiti rezervisane fraze u zaglavljima da biste utvrdili da li je e-pošta nastala iz toka ili aplikacije.

SMTP zaglavlje ubačeno u e-poštu poslatu iz toka izgleda kao sledeći primer:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Detalji zaglavlja

Sledeća tabela opisuje vrednosti koje se mogu pojaviti u zaglavlju x-ms-mail-application u zavisnosti od korišćenog servisa:

Usluge Vrednost
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (GUID toka posla <; broj> verzije verzije <) Microsoft-flow/1.0>
Power Apps Microsoft Power Apps; Korisnik-agent: PowerApps/ (; AppName = < naziv> aplikacije)

Sledeća tabela opisuje vrednosti koje se mogu pojaviti u zaglavlju x-ms-mail-operation-type u zavisnosti od akcije koja se izvodi:

Vrednost Opis
Odgovor Za operacije e-pošte za odgovor
Napred Za prosleđivanje operacija e-pošte
Pošalji Za slanje operacija e-pošte, uključujući, SendEmailVithOptions i SendApprovalEmail

Zaglavlje x-ms-mail-environment-id sadrži vrednost ID okruženja. Prisustvo ovog zaglavlja zavisi od proizvoda koji koristite:

  • U Power Apps, uvek je prisutan.
  • U Power Automate, prisutan je samo u vezama stvorenim nakon jula 2020. godine.
  • U Logic Apps, to nikada nije prisutan.

Potencijalna pravila Ekchange za podrazumevano okruženje

Evo nekih akcija e-pošte koje biste možda želeli da blokirate koristeći Ekchange pravila.

  • Blokirajte odlazne e-poruke spoljnim primaocima: Blokirajte sve odlazne e-poruke poslate spoljnim primaocima iz Power Automate i Power Apps. Ovo pravilo sprečava proizvođače da šalju e-poštu partnerima, prodavcima ili klijentima iz svojih aplikacija ili tokova.

  • Blokiraj odlazno prosleđivanje: Blokirajte sve odlazne e-poruke prosleđene spoljnim primaocima iz Power Automate i Power Apps gde pošiljalac nije sa dozvoljene liste poštanskih sandučića. Ovo pravilo sprečava proizvođače da kreiraju tok koji automatski prosleđuje dolazne e-poruke spoljnom primaocu.

Izuzeci koje treba razmotriti sa pravilima bloka e-pošte

Evo nekih potencijalnih izuzetaka od pravila Ekchange za blokiranje e-pošte da biste dodali fleksibilnost:

  • Izuzeti određene aplikacije i tokove: Dodajte listu izuzeća na pravila koja su ranije predložena, tako da odobrene aplikacije ili tokovi mogu da šalju e-poštu spoljnim primaocima.

  • Lista dozvoljenih na nivou organizacije: U ovom scenariju, ima smisla premestiti rešenje u namensko okruženje. Ako nekoliko tokova u okruženju mora da pošalje odlazne poruke e-pošte, možete da kreirate pravilo izuzetka da biste omogućili odlazne e-poruke iz tog okruženja. Dozvola proizvođača i administratora u tom okruženju mora biti strogo kontrolisana i ograničena.

Za više informacija o tome kako da podesite odgovarajuća pravila eksfiltracije za Power Platform srodni saobraćaj e-pošte, idite na Kontrole eksfiltracije e-pošte za konektore.

Primenite izolaciju unakrsnih stanara

Power Platform ima sistem konektora zasnovan na Microsoft Entra tome da omogućavaju ovlašćenim Microsoft Entra korisnicima da povežu aplikacije i tokove sa prodavnicama podataka. Izolacija zakupca reguliše kretanje podataka iz Microsoft Entra ovlašćenih izvora podataka do i od njihovog stanara.

Izolacija zakupca se primenjuje na nivou stanara i utiče na sva okruženja u zakupcu, uključujući podrazumevano okruženje. Pošto su svi zaposleni proizvođači u podrazumevanom okruženju, konfigurisanje robusne politike izolacija zakupca je od ključnog značaja za obezbeđivanje okruženja. Preporučujemo da eksplicitno konfigurišete stanare sa kojima se vaši zaposleni mogu povezati. Svi ostali stanari treba da budu pokriveni podrazumevanim pravilima koja blokiraju i dolazni i odlazni protok podataka.

Power Platform izolacija zakupca se razlikuje od Microsoft Entra Ograničenje stanara širom ID-a. To ne utiče na Microsoft Entra pristup zasnovan na ID-u izvan Power Platform. Radi samo za konektore koji koriste Microsoft Entra autentifikaciju zasnovanu na ID-u, kao Office 365 što su Outlook i konektori SharePoint .

Pogledajte i ovo

Ograničite dolazni i odlazni pristup unakrsnom tenantu (verzija za pregled)

Get-PoverAppTenantIsolationPolicy (Microsoft.PowerApps. Administraцija.PoverShell)