Bảo mật môi trường mặc định
Mọi nhân viên trong tổ chức của bạn đều có quyền truy cập vào môi trường mặc định. Power Platform Là một quản trị viên, bạn cần cân nhắc các cách để bảo vệ môi trường đó trong khi vẫn đảm bảo khả năng truy cập để người sáng tạo có thể sử dụng năng suất cá nhân. Power Platform Bài viết này đưa ra một số gợi ý.
Chỉ định vai trò quản trị viên một cách thận trọng
Hãy cân nhắc xem người dùng quản trị của bạn có cần có vai trò quản trị viên hay không. Power Platform Vai trò quản trị viên trong môi trường hay quản trị viên hệ thống sẽ phù hợp hơn? Trong mọi trường hợp, hãy giới hạn vai trò quản trị viên mạnh hơn chỉ cho một vài người dùng. Power Platform Tìm hiểu thêm về việc quản lý môi trường Power Platform .
Truyền đạt ý định
Một trong những thách thức chính đối với nhóm Power Platform Trung tâm Xuất sắc (CoE) là truyền đạt mục đích sử dụng dự kiến của môi trường mặc định. Sau đây là một số khuyến nghị.
Đổi tên môi trường mặc định
Môi trường mặc định được tạo bằng tên TenantName (mặc định). Bạn có thể thay đổi tên môi trường thành tên mang tính mô tả hơn, như Môi trường năng suất cá nhân, để nêu rõ mục đích.
Sử dụng Power Platform hub
Microsoft Power Platform hub là một mẫu trang web truyền thông. SharePoint Nó cung cấp điểm khởi đầu cho nguồn thông tin trung tâm dành cho những người sáng tạo về việc tổ chức của bạn sử dụng Power Platform. Nội dung khởi đầu và mẫu trang giúp cung cấp thông tin cho người sáng tạo một cách dễ dàng như:
- Các trường hợp sử dụng năng suất cá nhân
- Cách xây dựng ứng dụng và luồng
- Nơi xây dựng ứng dụng và luồng
- Cách liên hệ với nhóm hỗ trợ CoE
- Quy tắc xung quanh việc tích hợp với các dịch vụ bên ngoài
Thêm liên kết đến bất kỳ tài nguyên nội bộ nào khác mà người sáng tạo của bạn có thể thấy hữu ích.
Giới hạn chia sẻ với mọi người
Người tạo có thể chia sẻ ứng dụng của mình với những người dùng cá nhân và nhóm bảo mật khác. Theo mặc định, tính năng chia sẻ với toàn bộ tổ chức của bạn hoặc Mọi người bị tắt. Hãy cân nhắc sử dụng quy trình kiểm soát chặt chẽ xung quanh các ứng dụng được sử dụng rộng rãi để thực thi các chính sách và yêu cầu như sau:
- Chính sách đánh giá bảo mật
- Chính sách đánh giá doanh nghiệp
- Yêu cầu về Quản lý vòng đời ứng dụng (ALM)
- Yêu cầu về trải nghiệm người dùng và thương hiệu
Tính năng Chia sẻ với mọi người bị tắt theo mặc định trong Power Platform. Chúng tôi khuyên bạn nên tắt cài đặt này để hạn chế việc hiển thị quá nhiều ứng dụng canvas với người dùng không mong muốn. Nhóm Mọi người cho tổ chức của bạn chứa tất cả người dùng đã từng đăng nhập vào đối tượng thuê của bạn, bao gồm cả khách và thành viên nội bộ. Không chỉ toàn bộ nhân viên nội bộ trong công ty thuê của bạn. Ngoài ra, không thể chỉnh sửa hoặc xem tư cách thành viên của nhóm Mọi người . Để tìm hiểu thêm về nhóm Mọi người , hãy truy cập /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.
Nếu bạn muốn chia sẻ với toàn bộ nhân viên nội bộ hoặc một nhóm người lớn, hãy cân nhắc chia sẻ với một nhóm bảo mật hiện có gồm những thành viên đó hoặc tạo một nhóm bảo mật và chia sẻ ứng dụng của bạn với nhóm bảo mật đó.
Khi tính năng Chia sẻ với mọi người bị tắt, chỉ một nhóm nhỏ quản trị viên mới có thể chia sẻ ứng dụng với mọi người trong môi trường. Nếu bạn là quản trị viên, bạn có thể chạy lệnh PowerShell sau nếu bạn cần bật tính năng chia sẻ với Mọi người.
Đầu tiên, hãy mở PowerShell với tư cách quản trị viên và đăng nhập vào tài khoản của bạn bằng cách chạy lệnh này. Power Apps
Add-PowerAppsAccountChạy lệnh Get-TenantSettings để lấy danh sách cài đặt đối tượng thuê bao của tổ chức bạn dưới dạng một đối tượng.
Đối tượng bao gồm ba cờ:
powerPlatform.PowerApps
Chạy các lệnh PowerShell sau để lấy đối tượng cài đặt và đặt biến disableShareWithEveryone thành $false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseChạy lệnh
Set-TenantSettingscmdlet với đối tượng cài đặt để cho phép người tạo chia sẻ ứng dụng của họ với mọi người trong đối tượng thuê.Set-TenantSettings $settingsĐể tắt tính năng chia sẻ với Mọi người, hãy làm theo các bước tương tự nhưng thiết lập
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Thiết lập chính sách phòng ngừa mất dữ liệu
Một cách khác để bảo mật môi trường mặc định là tạo chính sách ngăn ngừa mất dữ liệu (DLP) cho môi trường đó. Việc áp dụng chính sách DLP đặc biệt quan trọng đối với môi trường mặc định vì tất cả nhân viên trong tổ chức của bạn đều có quyền truy cập vào chính sách này. Sau đây là một số khuyến nghị giúp bạn thực thi chính sách.
Tùy chỉnh thông báo quản trị DLP
Tùy chỉnh thông báo lỗi được hiển thị nếu nhà sản xuất tạo ra ứng dụng vi phạm chính sách DLP của tổ chức bạn. Hướng dẫn người tạo đến Trung tâm Power Platform của tổ chức bạn và cung cấp địa chỉ email của nhóm CoE.
Khi nhóm CoE tinh chỉnh chính sách DLP theo thời gian, bạn có thể vô tình làm hỏng một số ứng dụng. Đảm bảo thông báo vi phạm chính sách DLP có chứa thông tin liên hệ hoặc liên kết để biết thêm thông tin nhằm cung cấp giải pháp cho người sáng tạo.
Sử dụng các lệnh ghép ngắn PowerShell sau để tùy chỉnh thông báo chính sách quản trị:
| Lệnh | Description |
|---|---|
| Set-PowerAppDlpErrorSettings | Thiết lập thông báo quản trị |
| Set-PowerAppDlpErrorSettings | Cập nhật thông báo quản trị |
Chặn trình kết nối mới trong môi trường mặc định
Theo mặc định, tất cả các đầu nối mới đều được đặt trong nhóm Phi doanh nghiệp của chính sách DLP của bạn. Bạn luôn có thể thay đổi nhóm mặc định thành Doanh nghiệp hoặc Bị chặn. Đối với chính sách DLP được áp dụng cho môi trường mặc định, chúng tôi khuyên bạn nên định cấu hình nhóm Bị chặn làm nhóm mặc định để đảm bảo rằng các kết nối mới không thể sử dụng được cho đến khi được một trong các quản trị viên của bạn xem xét.
Giới hạn các nhà sản xuất cho các đầu nối được xây dựng sẵn
Chỉ giới hạn người tạo ở các đầu nối cơ bản, không thể chặn để ngăn chặn quyền truy cập vào phần còn lại.
Di chuyển tất cả các kết nối không thể bị chặn vào nhóm dữ liệu doanh nghiệp.
Di chuyển tất cả các kết nối có thể bị chặn vào nhóm dữ liệu bị chặn.
Giới hạn các kết nối tùy chỉnh
Các trình kết nối tùy chỉnh tích hợp ứng dụng hoặc luồng với dịch vụ nội bộ. Các dịch vụ này dành cho người dùng kỹ thuật như nhà phát triển. ý tưởng là một giải pháp tốt để giảm thiểu dấu chân của các API do tổ chức của bạn xây dựng, có thể được gọi từ các ứng dụng hoặc luồng trong môi trường mặc định. Để ngăn người tạo tạo và sử dụng trình kết nối tùy chỉnh cho API trong môi trường mặc định, hãy tạo quy tắc để chặn tất cả các mẫu URL.
Để cho phép người tạo truy cập một số API (ví dụ: dịch vụ trả về danh sách ngày lễ của công ty), hãy cấu hình nhiều quy tắc phân loại các mẫu URL khác nhau thành nhóm dữ liệu doanh nghiệp và phi doanh nghiệp. Đảm bảo rằng các kết nối luôn sử dụng giao thức HTTPS. Tìm hiểu thêm về chính sách DLP dành cho trình kết nối tùy chỉnh.
Tích hợp an toàn với Exchange
Office 365 Trình kết nối Outlook là một trong những trình kết nối tiêu chuẩn không thể bị chặn. Nó cho phép người tạo gửi, xóa và trả lời tin nhắn email trong hộp thư mà họ có quyền truy cập. Rủi ro của trình kết nối này cũng nằm ở một trong những khả năng mạnh mẽ nhất của nó—khả năng gửi email. Ví dụ, người tạo có thể tạo ra một luồng gửi email hàng loạt.
Quản trị viên Exchange của tổ chức bạn có thể thiết lập các quy tắc trên máy chủ Exchange để ngăn chặn email được gửi từ các ứng dụng. Cũng có thể loại trừ các dòng hoặc ứng dụng cụ thể khỏi các quy tắc được thiết lập để chặn email gửi đi. Bạn có thể kết hợp các quy tắc này với danh sách địa chỉ email được phép để đảm bảo rằng email từ các ứng dụng và luồng chỉ có thể được gửi từ một nhóm nhỏ hộp thư.
Khi một ứng dụng hoặc luồng gửi email bằng trình kết nối Office 365 Outlook, ứng dụng hoặc luồng đó sẽ chèn các tiêu đề SMTP cụ thể vào trong tin nhắn. Bạn có thể sử dụng cụm từ dành riêng trong tiêu đề để xác định xem email có xuất phát từ luồng hay ứng dụng hay không.
Tiêu đề SMTP được chèn vào email được gửi từ luồng trông giống như ví dụ sau:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Chi tiết tiêu đề
Bảng sau đây mô tả các giá trị có thể xuất hiện trong tiêu đề x-ms-mail-application tùy thuộc vào dịch vụ được sử dụng:
| Service | Giá_trị |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (quy trình công việc <GUID>; phiên bản <số phiên bản>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <app name>) |
Bảng sau đây mô tả các giá trị có thể xuất hiện trong tiêu đề x-ms-mail-operation-type tùy thuộc vào hành động đang được thực hiện:
| Giá_trị | Description |
|---|---|
| Trả lời | Đối với hoạt động trả lời email |
| Tiến lên | Đối với các hoạt động chuyển tiếp email |
| Gửi | Đối với các hoạt động gửi email bao gồm SendEmailWithOptions và SendApprovalEmail |
Tiêu đề x-ms-mail-environment-id chứa giá trị ID môi trường. Sự hiện diện của tiêu đề này phụ thuộc vào sản phẩm bạn đang dùng:
- Trong Power Apps, nó luôn hiện hữu.
- Trong Power Automate, nó chỉ xuất hiện trong các kết nối được tạo sau tháng 7 năm 2020.
- Trong Logic Apps, tính năng này không bao giờ xuất hiện.
Quy tắc Exchange tiềm năng cho môi trường mặc định
Sau đây là một số hành động email mà bạn có thể muốn chặn bằng quy tắc Exchange.
Chặn email gửi đi tới người nhận bên ngoài: Chặn tất cả email gửi đi tới người nhận bên ngoài từ Power Automate và Power Apps. Quy tắc này ngăn chặn người tạo nội dung gửi email cho đối tác, nhà cung cấp hoặc khách hàng từ ứng dụng hoặc luồng của họ.
Chặn chuyển tiếp thư đi: Chặn tất cả email đi được chuyển tiếp đến người nhận bên ngoài từ Power Automate và Power Apps nơi người gửi không nằm trong danh sách hộp thư được phép. Quy tắc này ngăn chặn người tạo tạo luồng tự động chuyển tiếp email đến người nhận bên ngoài.
Các trường hợp ngoại lệ cần xem xét với quy tắc chặn email
Dưới đây là một số ngoại lệ tiềm ẩn đối với các quy tắc Exchange để chặn email nhằm tăng tính linh hoạt:
Miễn trừ các ứng dụng và luồng cụ thể: Thêm danh sách miễn trừ vào các quy tắc được đề xuất trước đó để các ứng dụng hoặc luồng được chấp thuận có thể gửi email đến người nhận bên ngoài.
Danh sách cho phép ở cấp tổ chức: Trong trường hợp này, việc chuyển giải pháp vào một môi trường chuyên dụng là hợp lý. Nếu một số dòng trong môi trường phải gửi email đi, bạn có thể tạo quy tắc ngoại lệ chung để cho phép email gửi đi từ môi trường đó. Quyền của người tạo và quản trị viên trên môi trường đó phải được hạn chế và kiểm soát chặt chẽ.
Để biết thêm thông tin về cách thiết lập các quy tắc lọc email phù hợp cho Power Platform lưu lượng email liên quan, hãy truy cập Kiểm soát lọc email cho trình kết nối.
Áp dụng cách ly chéo người thuê
Power Platform có một hệ thống kết nối dựa trên Microsoft Entra cho phép được ủy quyền Microsoft Entra người dùng kết nối ứng dụng và luồng dữ liệu với kho dữ liệu. Tách biệt đối tượng thuê điều khiển việc di chuyển dữ liệu từ Microsoft Entra nguồn dữ liệu được ủy quyền đến và đi từ người thuê nhà của họ.
Tách biệt đối tượng thuê được áp dụng ở cấp độ đối tượng thuê và ảnh hưởng đến tất cả các môi trường trong đối tượng thuê, bao gồm cả môi trường mặc định. Vì tất cả nhân viên đều là người tạo trong môi trường mặc định nên việc cấu hình chính sách tách biệt đối tượng thuê mạnh mẽ là rất quan trọng để bảo mật môi trường. Chúng tôi khuyên bạn nên cấu hình rõ ràng những đối tượng thuê mà nhân viên của bạn có thể kết nối tới. Tất cả các đối tượng thuê khác phải được bao phủ bởi các quy tắc mặc định chặn cả dòng dữ liệu vào và ra.
Power Platform tách biệt đối tượng thuê khác với hạn chế đối với người thuê trên toàn ID. Microsoft Entra Nó không ảnh hưởng đến việc truy cập dựa trên ID bên ngoài Microsoft Entra . Power Platform Tính năng này chỉ hoạt động đối với các trình kết nối sử dụng xác thực dựa trên ID, chẳng hạn như Outlook và trình kết nối. Microsoft Entra Office 365 SharePoint
Xem thêm
Hạn chế quyền truy cập vào và ra giữa nhiều bên thuê (bản xem trước)
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)