Säkra standardmiljön
Varje anställd i en organisation har åtkomst till Power Platform-standardmiljön. Som Power Platform-administratör måste du fundera över hur du kan trygga miljön och samtidigt hålla den tillgänglig för utvecklare personliga produktivitet. Den här artikeln innehåller förslag.
Tilldela administratörsroller med omtanke
Fundera på om dina administratörsanvändare måste ha administratörsrollen Power Platform. Skulle rollen som miljöadministratör eller systemadministratör vara mer lämplig? I alla dessa fall kan du begränsa den kraftfullare Power Platform administratörsrollen till några få användare. Läs mer om att Power Platform administrera miljöer.
Kommunicera avsikt
En av de främsta utmaningarna för Power Platform Center of Excellence (CoE)-teamet är att kommunicera den avsedda användningen av standardmiljöerna. Här följer några rekommendationer.
Byta namn på standardmiljön
Standardmiljön skapas med namnet: TenantName (standard). Du kan ändra miljönamnet till något mer beskrivande, som Personlig produktivitetsmiljö, som tydligt anger avsikten.
Använda Power Platform-navet
Microsoft Power Platform-navet är SharePoint-kommunikationswebbplatsen. Den utgör en utgångspunkt för en central informationskälla för utvecklare om hur organisationen använder den Power Platform. Innehåll i startmotorn och sidmallar gör det enkelt att erbjuda utvecklare information som:
- Användningsfall för personlig produktivitet
- Hur skapar man program och flöden
- Var skapar man program och flöden
- Hur kontaktar man supportteamet för CoE
- Regler för integrering med externa tjänster
Lägg till länkar i interna resurser som utvecklarna kan ha nytta av.
Begränsa delning med alla
Utvecklare kan dela sina appar med andra enskilda användare och säkerhetsgrupper. Som standard är delning med hela organisationen, eller alla, inaktiverat. Överväg att använda en gated process kring ofta använda appar för att genomdriva principer och krav som dessa:
- Granskningspolicy för säkerhet
- Granskningspolicy för verksamhet
- Krav för hantering av programmets livscykel (ALM)
- Krav på användarupplevelse och anpassning
Funktionen Dela med alla är inaktiverad som standard i Power Platform. Vi rekommenderar att du håller den här inställningen inaktiverad för att begränsa överexponeringen av arbetsyteappar med oavsiktliga användare. Gruppen Alla för din organisation innehåller alla användare som någonsin har loggat in på din klientorganisation, inklusive gäster och interna medlemmar. Det är inte bara alla interna anställda i din klientorganisation. Dessutom kan medlemskapet i gruppen Alla inte redigeras eller visas. Om du vill veta mer om gruppen Alla går du till /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.
Om du vill dela med alla interna anställda eller en stor grupp personer kan du överväga att dela med en befintlig säkerhetsgrupp med dessa medlemmar eller skapa en säkerhetsgrupp och dela din app med den säkerhetsgruppen.
När Dela med alla är inaktiverat kan endast en liten grupp administratörer dela ett program med alla i miljön. Om du är administratör kan du köra följande PowerShell-kommando om du behöver aktivera delning med alla.
Öppna först PowerShell som administratör och logga in på ditt Power Apps konto genom att köra det här kommandot.
Add-PowerAppsAccount
Kör Get-TenantSettings cmdlet för att få listan över din organisations klientinställningar som ett objekt.
Objektet
powerPlatform.PowerApps
innehåller tre flaggor:Kör följande PowerShell-kommandon för att hämta inställningsobjektet och ange variabeln disableShareWithEveryone till $false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$false
Kör cmdleten
Set-TenantSettings
med inställningsobjektet för att tillåta utvecklare att dela sina appar med alla i klientorganisationen.Set-TenantSettings $settings
Om du vill inaktivera delning med alla följer du samma steg men ställer in
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true
.
Upprätta en policy för dataförlustskydd
Ett annat sätt att säkerställa standardmiljön är att skapa en DLP-policy (dataförlustskydd) för den. Det är särskilt viktigt att ha en DLP-policy på plats för standardmiljön eftersom alla anställda i en organisation har åtkomst till det. Här är några rekommendationer som hjälper dig att genomföra policyn.
Anpassa meddelande om att DLP-styrningsmeddelande
Anpassa felmeddelandet som visas om en utvecklare skapar en app som förser organisationen med DLP-policyn. Rikta utvecklaren till organisationens Power Platform-nav och tillhandahåll CoE-teamets e-postadress.
När CoE-teamet förfinar DLP-policyn med tiden kan du oavsiktligt komma att påverka vissa program. Se till att meddelandet om överträdelse av DLP-policyn innehåller kontaktuppgifter eller en länk till mer information för att skapa en väg framåt för utvecklare.
Använd följande PowerShell-cmdlets för att anpassa policymeddelandet för styrning:
Command | Beskrivning |
---|---|
Ange-PowerAppDlpErrorSettings | Ange styrningsmeddelande |
Ange-PowerAppDlpErrorSettings | Uppdatera styrningsmeddelande |
Blockera nya anslutningsprogram i standardmiljön
Som standard placeras alla nya anslutningsprogram i gruppen Icke-verksamhet i DLP-principen. Du kan alltid ändra standardgruppen till antingen Företag eller Blockerad. För en DLP-policy som tillämpas på standardmiljön rekommenderar vi att du konfigurerar gruppen Blockerade som standard för att se till att nya anslutningar förblir oanvändbara tills de har granskats av en av dina administratörer.
Begränsa utvecklare till fördefinierade anslutningsprogram
Begränsa utvecklare till enkla och icke verksamhetsrelaterade anslutningsprogram för att förhindra åtkomst till resten.
Flytta alla anslutningsprogram som inte kan blockeras till affärsdatagruppen.
Flytta alla kopplingar som kan blockeras till den blockerade datagruppen.
Begränsade anpassade anslutningsprogram
Anpassade anslutningsprogram integrerar en app eller ett flöde med en inhemsk tjänst. Dessa tjänster är avsedda för tekniska användare, t.ex. utvecklare. Du rekommenderas att minska fotavtrycket från API:er skapade av din organisation som kan anropas från program eller flöden i standardmiljön. För att förhindra att utvecklare skapar och använder anpassade kopplingar för API:er i standardmiljön skapar du en regel som blockerar alla URL-mönster.
Om du vill tillåta beslutsfattare att få åtkomst till vissa API:er (till exempel en tjänst som returnerar en lista med företagssemestrar), konfigurerar du flera regler som kategoriserar olika URL-mönster i affärs- och icke-affärsdatagrupper. Se till att HTTPS-protokollet alltid används för anslutningarna. Läs mer om DLP-policy för anpassade anslutningsprogram.
Säkerställa integrering med Exchange
Office 365 Outlook-anslutningsprogram är ett av standardanslutningsprogrammen inte kan blockeras. Detta låter utvecklare skicka, ta bort och svara på e-postmeddelanden i postlådorna denne har åtkomst till. Risken med detta anslutningsprogram är också en av de mest kraftfulla funktionerna – möjligheten att skicka ett e-postmeddelande. En utvecklare kan exempelvis skapa ett flöde som skickar en e-postkampanj.
Din organisations Exchange-administratör kan konfigurera regler i Exchange Server för att förhindra att e-postmeddelanden skickas från program. Det går också att utesluta specifika flöden eller program från de regler som upprättats för att blockera utgående e-post. Du kan kombinera dessa regler med en "Tillåtna-lista" med e-postadresser för att säkerställa att e-post från program och flöden endast kan skickas från en liten grupp brevlådor.
När ett program eller ett flöde skickar ett e-postmeddelande via anslutningsprogrammet Office 365 Outlook infogas specifika SMTP-sidhuvuden i meddelandet. Du kan använda reserverade fraser i rubrikerna för att identifiera om ett e-postmeddelande kommer från ett flöde eller en app.
SMTP-sidhuvudet som infogas i ett e-postmeddelande som skickas från ett flöde ser ut så här:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Sidhuvudinformation
Följande tabell beskriver de värden som kan visas i rubriken x-ms-mail-application beroende på vilken tjänst som används:
Tjänster | Värde |
---|---|
Power Automate | Microsoft Power Automate; Användaragent: azure-logic-apps/1.0 (arbetsflöde <GUID>; version <versionsnummer>) microsoft-flow/1.0 |
Power Apps | Microsoft Power Apps; Användaragent: PowerApps/ (; AppName= <programnamn>) |
Följande tabell beskriver de värden som kan visas i rubriken x-ms-mail-operation-type beroende på vilken åtgärd som utförs:
Värde | Beskrivning |
---|---|
Svar | För åtgärder för e-postsvar |
Framåt | För åtgärder för vidarebefordran av e-post |
Skicka | För åtgärder för sändande av e-postm, inklusive SendEmailOptions och SendApprovalEmail |
Sidhuvudet x-ms-mail-environment-id innehåller värdet för miljö-ID. Närvaron av detta sidhuvud beror på vilken produkt du använder:
- I Power Apps finns den alltid med.
- I Power Automate visas den endast i anslutningar som skapats efter juli 2020.
- I Logic Apps kommer den aldrig att finnas med.
Möjliga Exchange-regler för standardmiljön
Här följer några e-poståtgärder som du kanske vill blockera med hjälp av Exchange-regler.
Blockera utgående e-postmeddelanden till externa mottagare: Blockera alla utskick via e-postmeddelanden som skickas till externa mottagare från Power Automate och Power Apps. Den här regeln förhindrar att utvecklare skickar e-postmeddelanden till partner, leverantörer eller klienter från sina appar eller flöden.
Blockera utgående vidarebefordran: Blockera alla utgående e-postmeddelanden som skickas till externa mottagare från Power Automate och Power Apps där avsändaren inte kommer från en lista med tillåtna brevlådor Den här regeln förhindrar att utvecklare skapar ett flöde som automatiskt vidarebefordrar inkommande e-postmeddelanden till en extern mottagare.
Undantag att överväga med regler för e-postblockering
Här följer några möjliga undantag från Exchange-reglerna för att blockera e-post i syfte att skapa flexibilitet:
Undanta specifika appar och flöden: Lägg till en undantagslista till de regler som föreslagits tidigare så att godkända appar eller flöden kan skicka e-post till externa mottagare.
Lista över tillåtna på organisationsnivå: I detta scenario är det meningsfullt att flytta lösningen till en dedikerad miljö. Om flera flöden i miljön måste skicka utgående e-postmeddelanden kan du skapa en ramundantagsregel som tillåter utgående e-postmeddelanden från den miljön. Utvecklar- och administratörsbehörigheten i den miljön måste styras och begränsas noga.
Mer information om hur du ställer in lämpliga exfiltreringsregler för Power Platform relaterad e-posttrafik finns i E-postexfiltreringskontroller för anslutningsappar.
Tillämpa isolering mellan klienter
Power Platform har ett system med anslutningsprogram baserat på Microsoft Entra som gör det möjligt för behöriga Microsoft Entra-användare att ansluta program och flöden till datalagringar. Klientorganisationisolering styr effektivt rörelsen av data från Microsoft Entra auktoriserade datakällor till och från sin klientorganisation.
Isolering av klientorganisation tillämpas på klientorganisationsnivå och påverkar alla miljöer i klientorganisationen, inklusive standardmiljön. Eftersom alla anställda utgör utvecklare i standardmiljön är det mycket viktigt att konfigurera en robust policy för isolering av klientorganisation i syfte att säkra miljön. Vi rekommenderar att du som praxis uttryckligen konfigurerar de klientorganisationar som dina anställda kan ansluta till. Alla andra klientorganisationer ska omfattas av standardregler som blockerar både ingående och utgående dataflöden.
Power Platform isolering av klientorganisation skiljer sig från Microsoft Entra ID-omfattande begränsning av klientorganisationen. Det påverkar inte Microsoft Entra ID-baserade åtkomsten utanför Power Platform. Det fungerar endast för anslutningsprogram som använder Microsoft Entra ID-baserad autentisering, t.ex. Office 365 Outlook and SharePoint anslutningsprogram.
Se även
Begränsa inkommande och utgående åtkomst mellan klientorganisationer (förhandsversion)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Administration.PowerShell)