Bảo mật môi trường mặc định
Mọi nhân viên trong tổ chức của bạn đều có quyền truy cập vào môi trường Power Platform mặc định. Với tư cách là Power Platform quản trị viên, bạn cần xem xét các cách để bảo đảm môi trường đó trong khi vẫn đảm bảo môi trường đó có thể truy cập được để phục vụ mục đích sử dụng năng suất cá nhân của người tạo. Bài viết này cung cấp gợi ý.
Chỉ định vai trò quản trị viên một cách thận trọng
Cân nhắc xem người dùng quản trị của bạn có cần có Power Platform vai trò quản trị viên hay không. Vai trò quản trị viên môi trường hoặc quản trị viên hệ thống sẽ phù hợp hơn? Trong mọi trường hợp, hãy giới hạn vai trò quản trị viên Power Platform quyền lực hơn chỉ cho một số ít người dùng. Tìm hiểu thêm về quản lý Power Platform môi trường.
Truyền đạt ý định
Một trong những thách thức chính đối với nhóm Power Platform Trung tâm Xuất sắc (CoE) là truyền đạt mục đích sử dụng dự định của môi trường mặc định. Dưới đây là một số khuyến nghị.
Đổi tên môi trường mặc định
Môi trường mặc định được tạo với tên TenantName (default). Bạn có thể thay đổi tên môi trường thành tên mang tính mô tả hơn, chẳng hạn như Môi trường năng suất cá nhân, để thể hiện rõ ý định.
Sử dụng trung tâm Power Platform
Microsoft Power Platform trung tâm là một mẫu trang web giao tiếp SharePoint . Nó cung cấp điểm khởi đầu cho nguồn thông tin trung tâm cho người tạo về việc sử dụng Power Platform của tổ chức bạn. Các mẫu trang và nội dung dành cho người mới bắt đầu giúp bạn dễ dàng cung cấp thông tin cho người tạo như:
- Các trường hợp sử dụng năng suất cá nhân
- Cách xây dựng ứng dụng và quy trình
- Nơi xây dựng ứng dụng và quy trình
- Cách liên hệ với nhóm hỗ trợ CoE
- Các quy tắc xung quanh việc tích hợp với các dịch vụ bên ngoài
Thêm liên kết vào bất kỳ tài nguyên nội bộ nào khác mà người tạo của bạn có thể thấy hữu ích.
Hạn chế chia sẻ với mọi người
Người tạo có thể chia sẻ ứng dụng của họ với những người dùng cá nhân và nhóm bảo mật khác. Theo mặc định, tính năng chia sẻ với toàn bộ tổ chức của bạn hoặc Mọi người bị tắt. Hãy cân nhắc sử dụng quy trình kiểm soát xung quanh các ứng dụng được sử dụng rộng rãi để thực thi các chính sách và yêu cầu như sau:
- Chính sách đánh giá bảo mật
- Chính sách đánh giá doanh nghiệp
- Yêu cầu về Quản lý vòng đời ứng dụng (ALM)
- Yêu cầu về trải nghiệm người dùng và thương hiệu
Theo mặc định, tính năng Chia sẻ với mọi người bị tắt trong Power Platform. Chúng tôi khuyên bạn nên tắt cài đặt này để hạn chế việc ứng dụng canvas tiếp xúc quá mức với người dùng ngoài ý muốn. Nhóm Mọi người cho tổ chức của bạn chứa tất cả người dùng đã từng đăng nhập vào đối tượng thuê của bạn, bao gồm khách và thành viên nội bộ. Không chỉ có tất cả nhân viên nội bộ trong đối tượng thuê của bạn. Ngoài ra, bạn không thể chỉnh sửa hay xem tư cách thành viên của nhóm Mọi người . Để tìm hiểu thêm về nhóm Mọi người , hãy truy cập /windows-server/identity/ad-ds/manage/know-special-identities-groups#everyone.
Nếu bạn muốn chia sẻ với tất cả nhân viên nội bộ hoặc một nhóm lớn người, hãy cân nhắc việc chia sẻ với nhóm bảo mật hiện có của những thành viên đó hoặc tạo nhóm bảo mật và chia sẻ ứng dụng của bạn với nhóm bảo mật đó.
Khi Chia sẻ với mọi người bị tắt, chỉ một nhóm nhỏ quản trị viên có thể chia sẻ ứng dụng với mọi người trong môi trường. Nếu là quản trị viên, bạn có thể chạy lệnh PowerShell sau nếu cần bật tính năng chia sẻ với Mọi người.
Trước tiên, hãy mở PowerShell với tư cách quản trị viên và đăng nhập vào tài khoản Power Apps của bạn bằng cách chạy lệnh này.
Add-PowerAppsAccountChạy Lệnh ghép ngắn Get-TenantSettings để lấy danh sách cài đặt đối tượng thuê của tổ chức bạn làm đối tượng.
Đối tượng
powerPlatform.PowerAppsbao gồm ba cờ:
Chạy các lệnh PowerShell sau để lấy đối tượng cài đặt và đặt biến chia sẻ với mọi người thành sai.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseChạy
Set-TenantSettingslệnh ghép ngắn với đối tượng cài đặt để cho phép người tạo chia sẻ ứng dụng của họ với mọi người trong đối tượng thuê.Set-TenantSettings $settingsĐể tắt tính năng chia sẻ với Mọi người, hãy làm theo các bước tương tự nhưng
set $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Thiết lập chính sách ngăn ngừa mất dữ liệu
Một cách khác để bảo mật môi trường mặc định là tạo chính sách ngăn ngừa mất dữ liệu (DLP) cho môi trường đó. Việc áp dụng chính sách DLP đặc biệt quan trọng đối với môi trường mặc định vì tất cả nhân viên trong tổ chức của bạn đều có quyền truy cập vào chính sách đó. Dưới đây là một số đề xuất để giúp bạn thực thi chính sách.
Tùy chỉnh thông báo quản trị DLP
Tùy chỉnh thông báo lỗi hiển thị nếu người tạo tạo ứng dụng vi phạm chính sách DLP của tổ chức bạn. Hướng người tạo đến trung tâm Power Platform của tổ chức bạn và cung cấp địa chỉ email của nhóm CoE.
Khi nhóm CoE tinh chỉnh chính sách DLP theo thời gian, bạn có thể vô tình làm hỏng một số ứng dụng. Đảm bảo thông báo vi phạm chính sách DLP chứa chi tiết liên hệ hoặc liên kết đến nhiều thông tin hơn để cung cấp hướng dẫn cho người tạo.
Sử dụng các lệnh ghép ngắn PowerShell sau để tùy chỉnh thông báo chính sách quản trị:
| Lệnh | Description |
|---|---|
| Set-PowerAppDlpErrorSettings | Thiết lập thông báo quản trị |
| Set-PowerAppDlpErrorSettings | Cập nhật thông báo quản trị |
Chặn trình kết nối mới trong môi trường mặc định
Theo mặc định, tất cả các trình kết nối mới được đặt trong nhóm Phi kinh doanh của chính sách DLP của bạn. Bạn luôn có thể thay đổi nhóm mặc định thành Doanh nghiệp hoặc Bị chặn. Đối với chính sách DLP được áp dụng cho môi trường mặc định, chúng tôi khuyên bạn nên đặt cấu hình Nhóm bị chặn làm mặc định để đảm bảo rằng các trình kết nối mới vẫn không sử dụng được cho đến khi chúng được một trong các quản trị viên của bạn xem xét.
Giới hạn người tạo đối với các đầu nối dựng sẵn
Hạn chế người tạo chỉ sử dụng các đầu nối cơ bản, không thể chặn để ngăn quyền truy cập vào phần còn lại.
Di chuyển tất cả các trình kết nối không thể chặn vào nhóm dữ liệu doanh nghiệp.
Di chuyển tất cả các đầu nối có thể bị chặn vào nhóm dữ liệu bị chặn.
Giới hạn trình kết nối tùy chỉnh
Trình kết nối tùy chỉnh tích hợp ứng dụng hoặc luồng với dịch vụ tự phát triển. Những dịch vụ này dành cho người dùng kỹ thuật như nhà phát triển. Bạn nên giảm bớt dấu vết của các API do tổ chức của bạn xây dựng. API này có thể được gọi từ ứng dụng hoặc luồng trong môi trường mặc định. Để ngăn người tạo tạo và sử dụng trình kết nối tùy chỉnh cho API trong môi trường mặc định, hãy tạo quy tắc chặn tất cả các mẫu URL.
Để cho phép người tạo truy cập một số API (ví dụ: dịch vụ trả về danh sách ngày nghỉ của công ty), hãy định cấu hình nhiều quy tắc phân loại các mẫu URL khác nhau thành nhóm dữ liệu doanh nghiệp và phi doanh nghiệp. Đảm bảo rằng các kết nối luôn sử dụng giao thức HTTPS. Tìm hiểu thêm về chính sách DLP cho trình kết nối tùy chỉnh.
Tích hợp an toàn với Exchange
Office 365 Trình kết nối Outlook là một trong những trình kết nối tiêu chuẩn không thể bị chặn. Nó cho phép người tạo gửi, xóa và trả lời email trong hộp thư mà họ có quyền truy cập. Rủi ro với trình kết nối này cũng là một trong những khả năng mạnh mẽ nhất của nó—khả năng gửi email. Ví dụ: người tạo có thể tạo một luồng gửi email.
Quản trị viên Exchange của tổ chức bạn có thể thiết lập các quy tắc trên máy chủ Exchange để ngăn email được gửi từ ứng dụng. Cũng có thể loại trừ các dòng hoặc ứng dụng cụ thể khỏi các quy tắc được thiết lập để chặn email gửi đi. Bạn có thể kết hợp các quy tắc này với danh sách địa chỉ email được phép để đảm bảo rằng email từ ứng dụng và luồng chỉ có thể được gửi từ một nhóm hộp thư nhỏ.
Khi một ứng dụng hoặc luồng gửi email bằng Office 365 trình kết nối Outlook, nó sẽ chèn các tiêu đề SMTP cụ thể vào thư. Bạn có thể sử dụng các cụm từ dành riêng trong tiêu đề để xác định xem email có nguồn gốc từ một luồng hoặc ứng dụng hay không.
Tiêu đề SMTP được chèn vào email được gửi từ một luồng trông giống như ví dụ sau:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Chi tiết tiêu đề
Bảng sau mô tả các giá trị có thể xuất hiện trong tiêu đề ứng dụng x-ms-mail tùy thuộc vào dịch vụ được sử dụng:
| Service | Giá_trị |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (quy trình công việc <GUID>; phiên bản <số phiên bản>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <app name>) |
Bảng sau đây mô tả các giá trị có thể xuất hiện trong tiêu đề loại hoạt động x-ms-mail tùy thuộc vào hành động được thực hiện:
| Giá_trị | Description |
|---|---|
| Trả lời | Đối với các hoạt động trả lời email |
| Tiến lên | Đối với các hoạt động chuyển tiếp email |
| Gửi | Đối với các hoạt động gửi email bao gồm SendEmailWithOptions và SendApprovalEmail |
Tiêu đề x-ms-mail-environment-id chứa giá trị ID môi trường. Sự hiện diện của tiêu đề này phụ thuộc vào sản phẩm bạn đang dùng:
- Trong Power Apps, nó luôn hiện hữu.
- Trong Power Automate, nó chỉ xuất hiện trong các kết nối được tạo sau tháng 7 năm 2020.
- Trong Ứng dụng Logic, nó không bao giờ xuất hiện.
Quy tắc Exchange tiềm năng cho môi trường mặc định
Dưới đây là một số tác vụ email mà bạn có thể muốn chặn bằng quy tắc Exchange.
Chặn email gửi đi tới người nhận bên ngoài: Chặn tất cả email gửi đi được gửi đến người nhận bên ngoài từ Power Automate và Power Apps. Quy tắc này ngăn người tạo gửi email đến đối tác, nhà cung cấp hoặc khách hàng từ ứng dụng hoặc luồng của họ.
Chặn chuyển tiếp đi: Chặn tất cả email gửi đi được chuyển tiếp đến người nhận bên ngoài từ Power Automate và Power Apps nơi người gửi không nằm trong danh sách hộp thư được phép. Quy tắc này ngăn người tạo tạo luồng tự động chuyển tiếp email gửi đến người nhận bên ngoài.
Các trường hợp ngoại lệ cần xem xét với quy tắc chặn email
Dưới đây là một số ngoại lệ tiềm ẩn đối với các quy tắc Exchange để chặn email nhằm tăng tính linh hoạt:
Miễn trừ các ứng dụng và dòng cụ thể: Thêm danh sách miễn trừ vào các quy tắc được đề xuất trước đó để các ứng dụng hoặc dòng được phê duyệt có thể gửi email đến người nhận bên ngoài.
Danh sách cho phép cấp tổ chức: Trong trường hợp này, việc chuyển giải pháp sang môi trường chuyên dụng là điều hợp lý. Nếu một số dòng trong môi trường phải gửi email đi, bạn có thể tạo quy tắc ngoại lệ chung để cho phép email gửi đi từ môi trường đó. Quyền của người tạo và quản trị viên trên môi trường đó phải được hạn chế và kiểm soát chặt chẽ.
Áp dụng cách ly nhiều người thuê
Power Platform có một hệ thống trình kết nối dựa trên Microsoft Entra cho phép người dùng được ủy quyền Microsoft Entra kết nối các ứng dụng và luồng tới kho lưu trữ dữ liệu. Việc cách ly đối tượng thuê chi phối việc di chuyển dữ liệu từ Microsoft Entra các nguồn dữ liệu được ủy quyền đến và đi từ đối tượng thuê của họ.
Cách ly đối tượng thuê được áp dụng ở cấp độ đối tượng thuê và ảnh hưởng đến tất cả các môi trường trong đối tượng thuê, bao gồm cả môi trường mặc định. Vì tất cả nhân viên đều là người tạo trong môi trường mặc định nên việc định cấu hình chính sách cách ly đối tượng thuê mạnh mẽ là rất quan trọng để bảo vệ môi trường. Chúng tôi khuyên bạn nên định cấu hình rõ ràng những đối tượng thuê mà nhân viên của bạn có thể kết nối. Tất cả các đối tượng thuê khác phải được bao phủ bởi các quy tắc mặc định chặn cả dòng dữ liệu vào và ra.
Power Platform sự cô lập của người thuê nhà khác với Microsoft Entra Hạn chế người thuê trên toàn ID. Nó không ảnh hưởng đến Microsoft Entra quyền truy cập dựa trên ID bên ngoài Power Platform. Nó chỉ hoạt động đối với các trình kết nối sử dụng Microsoft Entra xác thực dựa trên ID, chẳng hạn như trình kết nối Office 365 Outlook và SharePoint .
Xem thêm
Hạn chế quyền truy cập đến và đi trên nhiều đối tượng thuê (bản xem trước)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Phản hồi
Sắp ra mắt: Trong năm 2024, chúng tôi sẽ dần gỡ bỏ Sự cố với GitHub dưới dạng cơ chế phản hồi cho nội dung và thay thế bằng hệ thống phản hồi mới. Để biết thêm thông tin, hãy xem: https://aka.ms/ContentUserFeedback.
Gửi và xem ý kiến phản hồi dành cho