Babestu ingurune lehenetsia
Erakundeko langile guztiek aurrez zehaztutako Power Platform ingurunerako sarbidea dute. Power Platform Administratzaile gisa, ingurune hori babesteko moduak hartu behar ditu kontuan, eta, aldi berean, sortzaileen produktibitate pertsonaleko erabileretarako eskuragarri mantendu behar du. Artikulu honetan iradokizunak ematen dira.
Administratzaile-rolak irizpidez
Kontuan izan erabiltzaile administratzaileek administratzaile rola Power Platform izan behar duten. Egokiagoa izango al litzateke inguruneko administratzaile edo sistemaren administratzaile rola? Nolanahi ere, administratzaile-rolik indartsuena Power Platform erabiltzaile gutxi batzuetara mugatzen du. Lortu inguruneen Power Platform administrazioari buruzko informazio gehiago.
Asmoaren berri ematea
Bikaintasun Zentroko Power Platform (CoE) taldearen erronka nagusietako bat aurrez zehaztutako ingurunearen erabilerak komunikatzea da. Hauek dira gomendio batzuk.
Aurrez zehaztutako ingurunearen izena aldatzea
Aurrez zehaztutako ingurunea TenantName (default) izenarekin sortzen da. Ingurunearen izena zerbait deskribatzaileagora alda dezake, produktibitate pertsonaleko ingurune gisa, asmoa argi eta garbi adierazteko.
Hub-a Power Platform erabili
Kontzentratzailea Microsoft Power Platform komunikazio-gune bat SharePoint da. Sortzaileentzako informazio-iturri nagusi baterako abiapuntu bat ematen du, antolakuntzaren Power Platform erabilerari buruz. Hasierako edukiak eta orri-txantiloiek informazio hau eskaintzen diete sortzaileei:
- Produktibitate pertsonala erabiltzen den kasuak
- Aplikazioak eta fluxuak nola sortu
- Non sortu aplikazioak eta fluxuak
- Nola jarri harremanetan CoEren euskarri-taldearekin
- Kanpo-zerbitzuekin integratzeari buruzko arauak
Gehitu zure sortzaileek erabilgarri izan ditzaketen beste edozein barne-baliabideri estekak.
Mundu guztiarekin partekatutako erabilera mugatzen du
Sortzaileek beren aplikazioak beste erabiltzaile indibidual batzuekin, segurtasun-taldeekin eta, aurrez zehaztuta, erakundeko kide guztiekin partekatu ditzakete . Kontuan hartu beharko nuke zuzentarauak aplikatzeko gehien erabiltzen diren aplikazioen inguruan prozesu kontrolatu bat erabiltzeko aukera, eta honako baldintza hauek:
- Segurtasuna berrikusteko politika
- Enpresaren berrikuspen-politika
- Aplikazioen bizi-zikloa kudeatzeko betekizunak (ALM)
- Erabiltzailearen esperientzia eta marka-betekizunak
Kontuan hartu, halaber, guztiekin partekatzeko funtzioa Power Platform desaktibatzeko aukera. Murrizketa horrekin, administratzaile talde txiki batek bakarrik parteka dezake aplikazio bat inguruko erabiltzaile guztiekin. Jarraian, nola egin azaltzen dizugu.
Get-TenantSettings cmdlet-a gauza ezazu, erakundearen maizterraren konfigurazioaren zerrenda objektu gisa lortzeko.
Objektuak
powerPlatform.PowerAppshiru adierazle ditu:
PowerShell-en hurrengo komandoak bete konfigurazio-objektua lortzeko eta faltsuan dauden erabiltzaile guztiekin partekatuko den aldagaia ezarri.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$trueBete ezazu cmdlet-a
Set-TenantSettingskonfigurazio-helburuarekin, sortzaileek beren aplikazioak maizterraren erabiltzaile guztiekin konpartitu ez daitezen.Set-TenantSettings $settings
Datuen galera prebenitzeko politika ezartzea
Aurrez zehaztutako ingurunea babesteko beste modu bat da datuen galera prebenitzeko zuzentarau bat sortzea (DLP). DLP zuzentarau bat izatea bereziki garrantzitsua da aurrez zehaztutako ingurunerako, erakundeko langile guztiek baitute bertara sartzeko aukera. Horiexek dira zuzentaraua betetzen lagunduko dioten gomendio batzuk.
DLPren gobernantza-mezua pertsonalizatzea
Sortzaile batek zure erakundearen DLP zuzentaraua urratzen duen aplikazio bat sortzen badu erakusten den errore-mezua pertsonalizatu. Sortzailea Hub-era zuzentzen du eta coEko bere taldearen Power Platform helbide elektronikoa eman.
CoE-ko taldeak DLP zuzentaraua denborarekin hobetzen duen heinean, baliteke aplikazio batzuk apurtzea, konturatu gabe. Ziurtatu DLP zuzentarauaren arau-hauste mezuak harremanetarako xehetasunak edo informazio gehiagorako esteka bat dituela sortzaileentzat jarraitu beharreko bide bat emateko.
Erabili PowerShell-en honako cmdlet hauek gobernantza-zuzendaritzaren mezua pertsonalizatzeko:
| Komandoa | Deskribapenak |
|---|---|
| Ezarri-PowerAppDlpErrorSettings | Gobernantza-mezua ezarri |
| Ezarri-PowerAppDlpErrorSettings | Gobernantza-mezua eguneratzea |
Aurrez zehaztutako ingurunean lokailu berriak blokeatzea
Aurrez zehaztuta, lokailu berri guztiak DLP zuzentarauaren enpresaz kanpoko taldean kokatzen dira. Beti alda dezake aurrez zehaztutako taldea Negozioen edo Blokeatuaren aurrean. Aurrez zehaztutako inguruneari aplikatzen zaion DLP zuzentarau baten kasuan, Blokeatutako taldea aurrez zehaztu gisa konfiguratzea gomendatzen da, lokailu berriak erabilezin egongo direla ziurtatzeko, administratzaileetako batek berrikusi arte.
Sortzaileak lokailu prekonposatuetara mugatu
Sortzaileak oinarrizko lokailuetara bakarrik murrizten ditu, eta ez blokeagarriak, gainerakoetara sartzea saihesteko.
Datu-talde profesionala blokeatu ezin den lokailu guztiak mugi.
Blokea daitezkeen lokailu guztiak blokeatuta mugitzen ditu blokeatutako datu-taldera.
Lokailu pertsonalizatuak mugatu
Lokailu pertsonalizatuek aplikazio edo fluxu bat osatzen dute, zerbitzu propio batekin. Zerbitzu horiek erabiltzaile teknikoei zuzenduta daude, garatzaile gisa. Ideia ona da bere antolaketak sortutako API-en azalera murriztea, aurrez zehaztutako ingurunean aplikazio edo fluxuetatik inboka daitezkeenak. Sortzaileek aurredeterminatutako ingurunean APIk sinisten eta erabiltzen ez dituzten arren, URLren patroi guztiak blokeatzeko araua dela uste du.
Sortzaileek API (adibidez, enpresaren jaiegunen zerrenda bat itzuliko duen zerbitzua) zenbait arau arautzen dituzte, enpresa-datu-taldeetan url-ereduak sailkatzen dituztenak. Ziurtatu konexioek beti erabiltzen dutela HTTPS protokoloa. Lortu DLP zuzentarauari buruzko informazio gehiago lokailu pertsonalizatuentzat.
Exchangerekin integrazio segurua
Office 365 Outlook-eko konektorea blokeatu ezin den lokailu estandarretako bat da. Sortzaileei posta elektronikoko mezuak bidaltzeko, ezabatzeko eta erantzuteko aukera ematen die, sarbidea duten postontzietan. Konektore honen arriskua ere bere gaitasunik indartsuenetako bat da: posta elektroniko bat bidaltzeko gaitasuna. Adibidez, sortzaile batek mezu elektroniko masibo bat bidaliko duen fluxu bat sor dezake.
Bere erakundeko Exchange-ko administratzaileak arauak konfigura ditzake Exchange-ren zerbitzarian, posta elektronikoak aplikazioetatik ez bidaltzeko. Era berean, irtendako posta elektronikoak blokeatzeko konfiguratutako arauen fluxu edo aplikazio espezifikoak baztertzeko aukera. Arau horiek posta elektronikoko helbideen zerrenda baimendu batekin konbina ditzakezu, aplikazioen eta fluxuen posta elektronikoa postontzi talde txiki batetik bakarrik bidal daitekeela ziurtatzeko.
Aplikazio edo fluxu batek outlook-en konektorearen bidez mezu elektroniko bat bidaltzen duenean, SMTP espezifikoak mezuan sartuz Office 365 . Buruetan gordetako esaldiak erabil ditzakezu, mezu elektroniko bat fluxu edo aplikazio batetik sortu ote zen jakiteko.
Fluxu batetik bidalitako mezu elektroniko batean sartutako SMTP buruak honako adibide honen antzeko itxura du:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Buruaren xehetasunak
Hurrengo taulan, erabilitako zerbitzuaren arabera x-ms-mail-application-ean ager daitezkeen balioak deskribatzen dira:
| Zerbitzuak | Balioa |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (lan fluxuko GUID <; bertsio> bertsio <zenbakia>) Microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; Erabiltzaile-agentea: PowerApps/ (; AppName= <aplikazioaren> izena) |
Hurrengo taulan, x-ms-mail-operation-type-an agertzen diren balioak deskribatzen dira, egiten den ekintzaren arabera:
| Balioa | Deskribapenak |
|---|---|
| Erantzun | Erantzun-posta elektronikoko eragiketetarako |
| Aurrera | Posta elektronikoa berriz bidaltzeko eragiketetarako |
| Bidali | Posta elektronikoa bidaltzeko eragiketetarako, SendEmailWithOptions eta SendApprovalEmail barne. |
x-ms-mail-environment-id-idek ingurunearen identifikatzailearen balioa du. Buru honen presentzia erabiltzen ari den produktuaren araberakoa da:
- Beti Power Apps presente.
- Power Automate2020an, 2020ko uztailetik sortutako konexioetan baino ez presente.
- Logic Apps-en ez inoiz presente.
Aurretiazko ingurunerako Exchange-ren balizko arauak
Hauek dira Exchange-ren arauen bidez blokeatu nahi dituzun posta elektronikoko ekintza batzuk.
Kanpoko hartzaileei ateratzen diren mezu elektronikoak blokeatzea: blokeatu kanpoko Power Automate Power Apps hartzaileei bidalitako mezu elektroniko guztiak. Arau horrek eragotzi egiten du sortzaileek bazkideei, hornitzaileei edo bezeroei mezu elektronikoak bidaltzea, aplikazioetatik edo fluxuetatik.
Irtendako birbidalketa blokeatzea: blokeatu kanpoko hartzaileei bidalitako mezu elektroniko guztiak, Power Automate igorlea postontzien zerrenda baimendu batekoa ez den lekutik Power Apps . Arau horrek eragotzi egiten du sortzaileek kanpoko hartzaile baten posta elektronikoak automatikoki bidaltzen dituen fluxua sortzea.
Posta elektronikoko blokeo-arauak kontuan hartu beharreko salbuespenak
Hauek dira Exchangeren arauen salbuespen batzuk, posta elektronikoa blokeatzeko eta malgutasuna gehitzeko:
Aplikazio eta fluxu espezifikoak salbuesten ditu: aurretik iradokitako arauei salbuespenen zerrenda bat erantsi, onartutako aplikazioek edo fluxuek kanpoko hartzaileei posta elektronikoa bidali ahal izan diezaioten.
Antolakuntza mailan daudenen zerrenda: eszenatoki honetan, zentzua du konponbidea ingurune dedikatu bati mugitzeak. Inguruko hainbat fluxuk posta elektroniko irtenak bidali behar badituzte, salbuespen-arau orokor bat sor dezake, inguru horretatik irtendako mezu elektronikoak ahalbidetzeko. Ingurune horretako sortzaile eta administratzaile-baimenak erabat kontrolatuta eta mugatuta egon behar du.
Maizterren arteko isolamendua aplikatzea
Power Platform lokailu-sistema Microsoft Entra bat du, baimendutako erabiltzaileei aplikazioak Microsoft Entra eta fluxuak datu-biltegietara konektatzeko aukera ematen diena. Maizterrak isolatzeak datuen mugimendua arautzen du, baimendutako datuen jatorritik Microsoft Entra maizterrarengana eta bere maizterrarengana.
Maizterren isolamendua maizter-mailan aplikatzen da eta maizterraren ingurune guztiei eragiten die, aurrez zehaztutako ingurunea barne. Langile guztiak aurrez zehaztutako ingurunean sortzaileak direnez, maizter sendoak isolatzeko zuzentarau bat eratzea funtsezkoa da ingurunea babesteko. Langileak konektatzeko modu esplizituan konfiguratzea gomendatzen da. Gainerako maizter guztiek arau aurrez zehaztuz estalita egon behar dute, sartu eta irtendako datu-fluxua blokeatzeko.
Power Platform Maizterren isolamendua ez da IT osoko maizterren Microsoft Entra murrizketatik ezberdina. IDan Microsoft Entra oinarritutako sarbideari Power Platformez dio eragiten. IId-en oinarritutako autentifikazioa erabiltzen duten Microsoft Entra lokailuentzat bakarrik funtzionatzen du, hala nola Outlook eta Office 365 lokailuetan SharePoint .
Ikusi ere
Maizterren artean sartzen eta irteten den sarbidea murriztea (atariko bertsioa)
Get-PowerAppTenantIsolationPolicy (Microsoft..PowerApps Administrazioa.PowerShell)