Поділитися через

Захист стандартного середовища

  • Стаття

Кожен співробітник вашої організації має доступ до середовища за замовчуванням Power Platform . Як адміністратор, Power Platform ви повинні подумати про те, як захистити це середовище, зберігаючи його доступним для особистої продуктивності мейкерів. У цій статті наведено рекомендації.

Розумно розподіляйте ролі адміністраторів

Подумайте, чи обов’язково вашим користувачам-адміністраторам мати Power Platform роль адміністратора. Чи була б роль адміністратора середовища або системного адміністратора більш доречною? У будь-якому випадку, обмежте більш потужну Power Platform роль адміністратора лише кількома користувачами. Докладніше про адміністрування Power Platform середовищ.

Повідомте про намір

Одним із ключових завдань для Power Platform команди Center of Excellence (CoE) є інформування про передбачуване використання середовища за замовчуванням. Ось кілька рекомендацій.

Перейменування стандартного середовища

Середовище за замовчуванням створюється з іменем TenantName (default). Ви можете змінити назву середовища на щось більш описове, наприклад «Середовище особистої продуктивності», щоб чітко вказати намір.

Використання Power Platform хаба

Хаб Microsoft Power Platform — це шаблон комунікаційного SharePoint сайту. Він забезпечує відправну точку для центрального джерела інформації для виробників про використання вашої Power Platform організації. Початковий контент і шаблони сторінок дозволяють легко пропонувати виробникам таку інформацію, як:

  • Приклади використання особистої продуктивності
  • Як створювати додатки та ланцюжки
  • Де створювати додатки та ланцюжки
  • Як зв’язатися зі службою підтримки Ради Європи
  • Правила інтеграції із зовнішніми сервісами

Додайте посилання на будь-які інші внутрішні ресурси, які можуть бути корисними для ваших мейкерів.

Як обмежити доступ до контенту для всіх

Виробники можуть ділитися своїми програмами з іншими окремими користувачами та групами безпеки. За промовчанням спільний доступ для всієї організації або всіх вимкнуто. Розгляньте можливість використання закритого процесу навколо широко використовуваних додатків для забезпечення дотримання таких політик і вимог:

  • Політика перевірки безпеки
  • Політика перевірки бізнесу
  • Вимоги до управління життєвим циклом програми (ALM)
  • Вимоги до користувацького досвіду та брендингу

Функція «Поділитися з усіма » вимкнена за Power Platform замовчуванням. Радимо вимкнути цей параметр, щоб обмежити переекспозицію програм на полотні небажаними користувачами. Група "Усі" для вашої організації містить усіх користувачів, які коли-небудь входили у ваш клієнт, зокрема гостей і внутрішніх учасників. Це стосується не лише всіх внутрішніх співробітників вашого орендаря. Крім того, членство в групі "Усі" не можна ні редагувати, ні переглядати. Щоб дізнатися більше про групу "Усі", перейдіть до сторінки /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Якщо ви хочете поділитися інформацією з усіма внутрішніми працівниками або великою групою людей, радимо надати спільний доступ наявній групі безпеки з цими учасниками або створити групу безпеки та надати спільний доступ до свого додатка цій групі безпеки.

Якщо функцію «Надати спільний доступ для всіх » вимкнуто, лише невелика група адміністраторів може надати спільний доступ до програми всім користувачам середовища. Якщо ви адміністратор, ви можете виконати наведену нижче команду PowerShell, якщо вам потрібно ввімкнути спільний доступ для всіх.

  1. Спочатку відкрийте PowerShell від імені адміністратора та увійдіть до свого Power Apps облікового запису, виконавши цю команду.

    Add-PowerAppsAccount

  2. Запустіть командлет Get-TenantSettings, щоб отримати список настройок клієнта вашої організації як об’єкт.

    Об’єкт powerPlatform.PowerApps включає в себе три прапори:

    Скріншот трьох прапорів у $settings.powerPlatform.PowerApps об’єкт.

  3. Виконайте наведені нижче команди PowerShell, щоб отримати об’єкт налаштувань, і встановіть змінну, якою потрібно поділитися з усіма, на false.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. Запустіть Set-TenantSettings командлет з об’єктом параметрів, щоб дозволити виробникам ділитися своїми програмами з усіма в клієнті.

      Set-TenantSettings $settings

    Щоб вимкнути спільний доступ для всіх, виконайте ті самі дії, але set $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Встановіть політику запобігання втраті даних

Ще один спосіб убезпечити середовище за замовчуванням – створити для нього політику запобігання втраті даних (DLP). Наявність політики DLP особливо важлива для середовища за замовчуванням, оскільки всі співробітники у вашій організації мають доступ до неї. Нижче наведено кілька рекомендацій, які допоможуть вам дотримуватися правил.

Налаштуйте повідомлення про керування DLP

Налаштуйте повідомлення про помилку, яке відображатиметься, якщо виробник створює програму, яка порушує політику DLP вашої організації. Направте виробника до центру вашої організації Power Platform та вкажіть адресу електронної пошти вашої команди Ради Європи.

Оскільки команда Ради Європи з часом удосконалює політику DLP, ви можете ненавмисно зламати деякі програми. Переконайтеся, що повідомлення про порушення політики DLP містить контактні дані або посилання на додаткову інформацію, щоб надати розробникам подальші дії.

Використовуйте наведені нижче командлети PowerShell, щоб настроїти повідомлення про політикукерування.

Command Опис
Set-PowerAppDlpErrorSettings Установити керівне повідомлення
Set-PowerAppDlpErrorSettings Змінити наявне керівне повідомлення

Блокування нових з'єднувачів у середовищі за замовчуванням

За замовчуванням усі нові конектори розміщуються в групі Nonbusiness вашої DLP-політики. Ви завжди можете змінити групу за умовчанням на Бізнес або Заблоковано. Для політики DLP, яка застосовується до середовища за замовчуванням, рекомендуємо налаштувати групу «Заблоковані» за замовчуванням, щоб нові з’єднувачі залишалися непридатними для використання, доки їх не перевірить один із адміністраторів.

Обмежувачі готових з’єднувачів

Обмежте виробників лише базовими роз’ємами, які не можна блокувати, щоб запобігти доступу до решти.

  1. Перемістіть усі зв’язки, які не можна заблокувати, до групи даних компанії.

  2. Перемістіть усі конектори, які можна заблокувати, до групи заблокованих даних.

Обмеження користувацьких з’єднувачів

Кастомні конектори інтегрують застосунок або ланцюжок із вітчизняним сервісом. Ці сервіси призначені для технічних користувачів, таких як розробники. Гарною ідеєю буде зменшити кількість API, створених вашою організацією, які можна викликати з додатків або потоків у середовищі за замовчуванням. Щоб виробники не створювали та не використовували власні з’єднувачі для API в середовищі за замовчуванням, створіть правило для блокування всіх шаблонів URL-адрес.

Щоб надати виробникам доступ до деяких API (наприклад, служби, яка повертає список свят компанії), налаштуйте кілька правил, які класифікують різні шаблони URL-адрес за групами даних про компанію та інші компанії. Переконайтеся, що з’єднання завжди використовують протокол HTTPS. Дізнайтеся більше про політику DLP для користувацьких з’єднувачів.

Безпечна інтеграція з Exchange

З’єднувач Office 365 Outlook є одним із стандартних з’єднувачів, який не можна заблокувати. Це дозволяє виробникам надсилати, видаляти та відповідати на повідомлення електронної пошти в поштових скриньках, до яких вони мають доступ. Ризик, пов’язаний із цим з’єднувачем, також полягає в одній із найпотужніших його можливостей — можливості надсилати електронні листи. Наприклад, мейкер може створити ланцюжок, який надсилатиме розсилку.

Адміністратор Exchange вашої організації може настроїти правила на сервері Exchange, щоб запобігти надсиланню електронних листів із програм. Крім того, можна виключити певні потоки або програми з правил, установлених для блокування вихідних повідомлень електронної пошти. Ви можете поєднати ці правила з дозволеним списком електронних адрес, щоб електронні листи з додатків і потоків можна було надсилати лише з невеликої групи поштових скриньок.

Коли програма або ланцюжок надсилає електронний лист за допомогою Office 365 з’єднувача Outlook, він вставляє в повідомлення певні SMTP-заголовки. Ви можете використовувати зарезервовані фрази в заголовках, щоб визначити, чи надійшов електронний лист із ланцюжка чи додатка.

SMTP-заголовок, вставлений в лист, надісланий ланцюжком, виглядає так:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Докладніше про заголовок

У наведеній нижче таблиці описано значення, які можуть відображатися в заголовку x-ms-mail-application залежно від використовуваної служби:

Service Значення
Power Automate Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; version <version number>) microsoft-flow/1.0
Power Apps Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <app name>)

У наведеній нижче таблиці описано значення, які можуть відображатися в заголовку типу x-ms-mail-operation-type залежно від виконуваної дії:

Значення Опис
Відповідь Для операцій з відповідями електронною поштою
Вперед Для операцій пересилання електронної пошти
Надіслати Для операцій надсилання електронної пошти, включаючи SendEmailWithOptions і SendApprovalEmail

У заголовку ідентифікатора середовища x-ms-mail міститься значення ідентифікатора середовища. Наявність цього заголовка залежить від продукту, що використовується:

  • У Power Apps ньому він завжди присутній.
  • Він Power Automate присутній лише у зв’язках, створених після липня 2020 року.
  • У програмах Logic Apps його ніколи немає.

Потенційні правила Exchange для стандартного середовища

Нижче наведено кілька дій з електронною поштою, які можна заблокувати за допомогою правил Exchange.

  • Блокувати вихідні електронні листи для зовнішніх одержувачів: блокуйте всі вихідні електронні листи, надіслані зовнішнім одержувачам від Power Automate and Power Apps. Це правило забороняє мейкерам надсилати електронні листи партнерам, постачальникам або клієнтам зі своїх додатків або потоків.

  • Блокувати пересилання вихідних повідомлень: блокуйте всі вихідні електронні листи, які пересилаються зовнішнім одержувачам із Power Automate дозволеного списку поштових скриньок, звідки немає Power Apps відправника. Це правило забороняє мейкерам створювати ланцюжок, який автоматично пересилає вхідні листи зовнішньому одержувачу.

Винятки, які слід враховувати при роботі з правилами блокування електронної пошти

Нижче наведено деякі можливі винятки з правил Exchange для блокування електронної пошти, введені для додаткової гнучкості.

  • Виключення певних додатків і потоків: додайте список винятків до правил, запропонованих раніше, щоб схвалені додатки або потоки могли надсилати електронні листи зовнішнім одержувачам.

  • Затверджений список на рівні організації: у цьому випадку має сенс перемістити рішення у спеціальне середовище. Якщо кілька циклів у певному середовищі мають надсилати вихідні повідомлення електронної пошти, можна створити загальне правило винятку, яке дозволить вихідні повідомлення електронної пошти з цього середовища. У цьому середовищі необхідно дуже суворо контролювати та обмежувати дозволи адміністратора та розробника.

Застосовуйте ізоляцію між орендарями

Power Platform має систему конекторів, що дозволяють Microsoft Entra авторизованим Microsoft Entra користувачам підключати додатки та потоки до сховищ даних. Ізоляція орендаря регулює переміщення даних з Microsoft Entra авторизованих джерел даних до та від орендаря.

Ізоляція орендаря застосовується на рівні клієнта та впливає на всі середовища клієнта, включно з середовищем за замовчуванням. Оскільки всі співробітники є мейкерами в середовищі за замовчуванням, налаштування надійної політики ізоляції орендарів має вирішальне значення для захисту середовища. Ми рекомендуємо вам чітко налаштувати клієнтів, до яких можуть підключатися ваші співробітники. Усі інші клієнти повинні покриватися правилами за замовчуванням, які блокують вхідний і вихідний потік даних.

Power Platform Ізоляція орендаря відрізняється від Microsoft Entra обмеження орендаря для всього ідентифікатора. Це не впливає на Microsoft Entra доступ на основі ідентифікатора ззовні Power Platform. Він працює лише для конекторів, що використовують Microsoft Entra автентифікацію на основі ідентифікатора, таких як Office 365 Outlook і SharePoint конектори.

Див. також

Обмеження вхідного та вихідного доступу між клієнтами (підготовча версія)

Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)