分享方式:


保全預設的環境

您組織中的每個員工都可以存取預設 Power Platform 環境。 身為 Power Platform 管理員,您必須考慮該環境安全的保護方式,同時保持製作者個人生產力用途的存取便利性。 本文提供建議。

審慎指派管理員角色

考慮管理員使用者是否需要擁有 Power Platform 管理員角色。 更合適的是環境管理員角色還是系統管理員角色? 在任何情況下,都請將權力更大的 Power Platform 管理角色限制在少數幾個使用者。 瞭解有關管理 Power Platform 環境的更多資訊

傳達意圖

Power Platform 卓越中心 (CoE) 團隊的其中一個主要挑戰是,傳達預設環境的預期用途。 以下是一些建議。

重新命名預設環境

預設環境以名稱 TenantName (預設) 來建立。 您可以變更環境名稱為更具描述性的名稱 (例如個人生產力環境) 以明確表達意圖。

使用 Power Platform 中樞

Microsoft Power Platform 中樞是 SharePoint 通訊網站範本。 為製作者提供有關組織使用 Power Platform 情況的集中資訊來源起點。 入門內容和頁面範本可讓您輕鬆提供以下製作者資訊:

  • 個人生產力使用案例
  • 應用程式與流程的建置方式
  • 建置應用程式與流程所在的位置
  • 與 CoE 支援小組的聯繫方式
  • 與外部服務整合的相關規則

將連結新增至任何其他可能對製作者有幫助的內部資源。

限制與所有人共用

製作者可以 將其應用 與其他個人使用者和安全組分享。 默認情況下,與整個組織或 Everyone 共用處於禁用狀態。 請考慮圍繞廣泛使用的應用程式使用封閉進程來強制實施以下策略和要求:

  • 安全性審查原則
  • 商務審查原則
  • 應用程式生命週期管理 (ALM) 需求
  • 使用者體驗和商標需求

默認情況下, 分享 with Everyone 功能處於禁用狀態 Power Platform。 我們建議您禁用此設置,以限制畫布應用與意外使用者過度曝光。 您組織的 Everyone 組包含曾經登錄過您的租戶的所有使用者,其中包括來賓和內部成員。 這不僅僅是租戶中的所有內部員工。 此外,無法編輯或查看 Everyone 組的成員資格 。 要了解有關 Everyone 組的更多資訊 ,請轉到 /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone。

如果要與所有內部員工或一大群人分享,請考慮與這些成員的現有安全組共用,或者創建安全組並與該安全組共用您的應用程式。

禁用 Everyone 時分享只有一小群管理員可以分享 Everyone in the 環境中的應用程式。 如果您是系統管理員,則需要啟用與 Everyone 共用,則可以運行以下 PowerShell 命令。

  1. 首先,以系統管理員打開 PowerShell 並透過運行此命令登錄您的帳戶 Power Apps 。

    Add-PowerAppsAccount
    
  2. 執行 Get-TenantSettings Cmdlet,以取得您組織的租用戶設定清單當做物件。

    powerPlatform.PowerApps 物件包含三個旗標:

    $settings.powerPlatform.PowerApps 物件中三個旗標的螢幕擷取畫面。

  3. 運行以下 PowerShell 命令以獲取 settings 物件,並將變數 disableShareWithEveryone 設置為 $false。

    $settings=Get-TenantSettings 
    $settings.powerPlatform.powerApps.disableShareWithEveryone=$false 
    
  4. Set-TenantSettings 使用 settings 物件運行 cmdlet,以允許製作者與租戶中的每個人分享其應用。

      Set-TenantSettings $settings
    

    要禁用與 Everyone 共用,跟隨相同的步驟,但已設置 $settings.powerPlatform.powerApps.disableShareWithEveryone = $true

建立資料外洩防護原則

另一種保護預設環境安全的方法是,為其建立資料外洩防護 (DLP) 原則。 建立 DLP 原則對預設環境尤其重要,因為組織中的所有員工都可以存取此環境。 以下是一些協助您強制執行原則的建議。

自訂 DLP 治理訊息

自訂會在製作者建立違反組織 DLP 原則的應用程式時顯示的錯誤訊息。 將製作者引導至組織的 Power Platform 中樞,並提供 CoE 團隊的電子郵件地址。

隨著 CoE 團隊逐漸完善 DLP 原則,您可能會不經意間中斷某些應用程式。 確定 DLP 原則違規訊息包含連絡詳細資料,或其他資訊的連結,為製作者提供後續進展方式。

使用下列 PowerShell Cmdlet 來自訂治理原則訊息

命令 名描述
Set-PowerAppDlpErrorSettings 設定治理訊息
Set-PowerAppDlpErrorSettings 更新治理訊息

在預設環境中封鎖新的連接器

默認情況下,所有新連接器都放置在 DLP 策略的 Nonbusiness (非業務) 組中。 您隨時可以 將預設群組變更為 [商務] 或 [已封鎖]。 對於套用至預設環境的 DLP 原則,建議您將 [已封鎖的群組] 設定為預設值,以確保新連接器在經過管理員檢閱之前保持不可使用。

將製作者限制在預建連接器

限制製作者只能使用基本的不可封鎖連接器,以防止存取其餘連接器。

  1. 將所有無法封鎖的連接器移至商務資料群組。

  2. 將所有可以阻止的連接器移動到被阻止的數據組。

限制自訂連接器

自訂連接器可將應用程式或流程與自家製作的服務整合在一起。 這些服務適用於開發人員等技術使用者。 最好減少組織所建置可從預設環境中應用程式或流程叫用之 API 的磁碟使用量。 若要防止製作者在預設環境中為 API 建立和使用自訂連接器,請建立規則來封鎖所有 URL 模式。

若要允許製作者存取某些 API (例如,傳回公司假日清單的服務),請設定多個規則,將不同的 URL 模式分類為商務和非商務資料群組。 確定連線一律使用 HTTPS 通訊協定。 詳細瞭解自定義連接器的 DLP 策略。

保護與 Exchange 整合的安全

Office 365 Outlook 連接器是其中一個無法封鎖的標準連接器。 這允許製作者傳送、刪除和回覆他們有權存取之信箱中的電子郵件訊息。 此連接器的風險也是其最強大的功能之一:傳送電子郵件的功能。 例如,製作者可能會建立傳送大量電子郵件的流程。

您組織的 Exchange 系統管理員可以在 Exchange Server 上設定規則,以防電子郵件從應用程式傳送。 也可以從規則設定中排除特定的流程或應用程式,以封鎖寄出的電子郵件。 您可以將這些規則與電子郵件地址的允許清單結合,確保只能透過一小組信箱來傳送從應用程式和流程傳出的電子郵件。

當應用程式或流程使用 Office 365 Outlook 連接器傳送電子郵件時,連接器會在訊息中插入特定 SMTP 標頭。 您可在這些標頭中使用保留片語,以識別電子郵件是源自流程還是應用程式。

在從流程傳送的電子郵件中插入的 SMTP 標頭看起來像下列範例:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b 

標頭詳細資料

下表根據使用的服務,說明 x-ms-mail-application 標頭中可能出現的值:

Service 數值
Power Automate Microsoft Power Automate; 使用者代理程式:azure-logic-apps/1.0 (workflow <GUID>; version <版本號碼>) microsoft-flow/1.0
Power Apps Microsoft Power Apps; 使用者代理程式:PowerApps/ (; AppName= <應用程式名稱>)

下表根據執行中的動作,說明 x-ms-mail-operation-type 標頭中可能出現的值:

數值 名描述
回覆 用於回覆電子郵件作業
下一步 用於轉寄電子郵件作業
傳送 用於傳送電子郵件作業,包括 SendEmailWithOptions 和 SendApprovalEmail

x-ms-mail-environment-id 標頭包含環境 ID 值。 此標頭是否出現取決於您使用的產品:

  • 在 Power Apps 中,此標頭一律會出現。
  • 在 Power Automate 中,此標頭只會在 2020 年 7 月後建立的連線中出現。
  • 在 Logic Apps 中,此標頭永遠不會出現。

預設環境的潛在 Exchange 規則

以下是一些您可能需要使用 Exchange 規則加以封鎖電子郵件動作。

  • 對外部收件者封鎖外寄電子郵件:封鎖所有從 Power Automate 和 Power Apps 傳送至外部收件者的外寄電子郵件。 此規則防止製作者將電子郵件從其應用程式或流程傳送給合作夥伴、廠商或客戶。

  • 封鎖外寄郵件轉送:封鎖從 Power Automate 和 Power Apps 轉寄給外部收件者的所有出站電子郵件 (如果寄件者不是透過允許的信箱清單)。 此規則防止製作者建立自動將內送電子郵件轉寄至外部收件者的流程。

電子郵件封鎖規則需考慮的例外情況

為了增加彈性,以下說明封鎖電子郵件的 Exchange 規則的一些可能例外情況:

  • 免除特定應用程式和流程:將豁免清單新增至先前建議的規則,讓已核准的應用程式或流程可以將電子郵件傳送給外部收件者。

  • 組織層級允許清單:在此案例中,將解決方案移至專用環境是可行的。 如果環境中的多個流程必須傳送出站電子郵件,您可以建立一個情外情況總規則,以允許來自該環境的出站電子郵件。 該環境的製作者和管理員權限必須受到嚴格的控管和限制。

有關如何為 Power Platform 相關電子郵件流量設置適當的外泄規則的更多資訊,請轉到 連接器的電子郵件外泄控制。

套用跨租用戶隔離

Power Platform 具有以 Microsoft Entra 為基礎的連接器系統,可讓已授權 Microsoft Entra 使用者將應用程式和流程連接至資料存放區。 租用戶隔離控管 Microsoft Entra 授權資料來源與其租用戶之間往來的資料移動。

租戶隔離會套用至租用戶層級,並影響租用戶中所有的環境,包括預設環境。 所有員工在預設環境中都是製作者,因此設定強固租用戶隔離原則對保護環境安全來說非常重要。 建議您明確設定員工可連接到的租用戶。 封鎖傳入和傳出資料流量的預設規則應涵蓋所有其他的用戶。

Power Platform 租用戶隔離與全 Microsoft Entra ID 租用戶限制不同。 它不會影響 Power Platform 之外的 Microsoft Entra ID 式存取權。 它僅適用於使用 Microsoft Entra ID 式驗證的連接器,例如 Office 365 Outlook 和 SharePoint 連接器。

另請參閱

限制跨租戶入站和出站訪問(預覽版)

Get-PowerAppTenantIsolationPolicy(Microsoft.PowerApps.Administration.PowerShell)