Share via

Әдепкі ортаны қорғау

  • Мақала

Ұйымыңыздағы әрбір қызметкердің әдепкі Power Platform ортаға қатынасу мүмкіндігі бар. Әкімші ретінде Power Platform сол ортаны жасаушылардың жеке өнімділігін пайдалану үшін қолжетімді сақтай отырып, оны қамтамасыз ету жолдарын қарастыру қажет. Бұл мақалада ұсыныстар бар.

Әкімші рөлдерін әділ тағайындау

Әкімші пайдаланушыларыңызда әкімші рөлі болуы керек пе деген мәселені Power Platform қарастырыңыз. Орта әкімшісі немесе жүйе әкімшісінің рөлі неғұрлым орынды бола ма? Қалай болғанда да, әлдеқайда қуатты Power Platform әкімші рөлін бірнеше пайдаланушымен шектеп тұрыңыз. Орталарды басқару туралы қосымша ақпарат алыңыз Power Platform .

Байланыс ниеті

Біліктілікті арттыру орталығы (CoE) командасы үшін Power Platform негізгі міндеттердің бірі әдепкі ортаның болжалды қолданыстарын жеткізу болып табылады. Мұнда кейбір ұсыныстар берілген.

Әдепкі ортаның атын өзгерту

Әдепкі орта CentenName (әдепкі) атауыменжасалады. Ниетті нақты айту үшін орта атауын жеке өнімділік ортасы сияқты біршама қисынды нәрсеге өзгертуге болады.

Хабты Power Platform пайдалану

Хаб Microsoft Power Platform - байланыс сайтының SharePoint үлгісі. Ол сіздің ұйымыңыздың пайдалануы Power Platform туралы жасаушылар үшін орталық ақпарат көзі үшін бастапқы нүктені қамтамасыз етеді. Бастаушы мазмұн және бет үлгілері жасаушыларға мынадай ақпаратты ұсынуды жеңілдетеді:

  • Жеке еңбек өнімділігін пайдалану туралы істер
  • Бағдарламалар мен ағындарды құру тәртібі
  • Бағдарламалар мен ағындарды қайда құруға болады
  • CoE қолдау тобына хабарласу әдісі
  • Сыртқы қызметтермен ықпалдастыру төңірегіндегі ережелер

Жасаушыларыңыз пайдалы деп табуы мүмкін кез келген басқа ішкі ресурстарға сілтемелер қосыңыз.

Барлығымен ортақ пайдалануды шектеу

Жасаушылар өз бағдарламаларын басқа жеке пайдаланушылармен, қауіпсіздік топтарымен және әдепкі бойынша ұйымдағы әрбір адаммен бөлісе алады . Саясаттар мен талаптардың орындалуын қамтамасыз ету үшін кең қолданылатын apps айналасындағы қақпалы процесті пайдалану мүмкіндігін қарастыру керек:

  • Қауіпсіздікті шолу саясаты
  • Бизнесті шолу саясаты
  • Application Lifecycle Management (ALM) талаптары
  • Пайдаланушының жұмыс тәжірибесіне және таңбалауға қойылатын талаптар

Сондай-ақ, «Барлығымен ортақ пайдалану» мүмкіндігін өшіруді қарастырыңыз Power Platform. Сол шектеудің орнында әкімшілердің шағын тобы ғана қоршаған ортадағы әркіммен өтінім бөлісе алады. Мына жерде:

  1. Ұйымыңыздың қатысушы параметрлерінің тізімін нысан ретінде алу үшін Get-CantantSettings cmdlet қызметін іске қосыңыз .

    Нысанға powerPlatform.PowerApps үш жалауша кіреді:

    $settings.powerPlatform бағдарламасындағы үш жалаушаның скриншоты.PowerApps нысан.

  2. Параметрлер нысанын алу үшін келесі PowerShell пәрмендерін іске қосыңыз және айнымалыны әркіммен ортақ пайдалану үшін жалған етіп орнатыңыз.

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$true

  3. Cmdlet бағдарламасын параметрлер нысанымен іске қосыңыз Set-TenantSettings , ол жасаушылардың өз бағдарламаларын клиенттегі барлық адамдармен ортақ пайдалануына жол бермейді.

      Set-TenantSettings $settings

Деректерді жоғалтудың алдын алу саясатын белгілеу

Әдепкі ортаны қамтамасыз етудің тағы бір жолы ол үшін деректерді жоғалтудың алдын алу (DLP) саясатын жасау болып табылады . DLP саясатының болуы әдепкі орта үшін өте маңызды, себебі ұйымыңыздағы барлық қызметкерлер оған қол жеткізе алатын болады. Мұнда саясатты орындауға көмектесетін кейбір ұсыныстар берілген.

DLP басқару хабарын реттеу

Егер жасаушы ұйымыңыздың DLP саясатын бұзатын бағдарламаны жасаса, көрсетілетін қате туралы хабарды реттеңіз. Жасаушыны ұйым Power Platform хабына бағыттаңыз және CoE тобының электрондық пошта мекенжайын көрсетіңіз.

CoE тобы уақыт өте келе DLP саясатын нақтылағандықтан, кейбір бағдарламаларды абайсызда бұзуыңыз мүмкін. DLP саясатын бұзу туралы хабарда байланыс мәліметтері немесе жасаушылар үшін алға қарай жол беру үшін қосымша ақпаратқа сілтеме бар екеніне көз жеткізіңіз.

Басқару саясаты хабарын реттеуүшін келесі PowerShell cmdlets бағдарламасын пайдаланыңыз:

Пәрмен Сипаттама
Орнату-PowerAppDlpErrorSettings Басқару хабарын орнату
Орнату-PowerAppDlpErrorSettings Басқару хабарын жаңарту

Әдепкі ортадағы жаңа қосқыштарды блоктау

Әдепкі бойынша, барлық жаңа қосқыштар DLP саясатының Бизнес емес тобына орналастырылады. Әдепкі топты әрқашан Бизнес немесе Блокталған деп өзгертуге болады. Әдепкі ортаға қолданылатын DLP саясаты үшін жаңа қосқыштар әкімшілеріңіздің бірі қарағанша пайдалануға жарамсыз болып қалатынына көз жеткізу үшін Блокталған топты әдепкі ретінде конфигурациялауды ұсынамыз.

Ажыратқыштарды алдын ала тұрғызатын шектегіштер

Басқаларға кіруді болдырмау үшін жасаушыларды тек негізгі, блокталмаған қосқыштармен шектейді.

  1. Бұғаттау мүмкін емес барлық қосқыштарды бизнес деректер тобына жылжытыңыз.

  2. Барлық блокталған қосқыштарды блокталған деректер тобына жылжытыңыз.

Реттелетін қосқыштарды шектеу

Реттелетін қосқыштар бағдарламаны немесе ағынды үйде өсірілетін қызметпен біріктіретін болады. Бұл қызметтер әзірлеушілер сияқты техникалық пайдаланушыларға арналған. Әдепкі ортадағы бағдарламалардан немесе ағындардан сілтеме жасауға болатын ұйымыңыз салған API ізін азайту жақсы идея. Жасаушылардың әдепкі ортада API үшін реттелетін қосқыштарды жасауын және пайдалануын болдырмау үшін барлық URL-үлгілерді бұғаттау ережесі жасалсын.

Жасаушыларға кейбір API-ге кіруге мүмкіндік беру үшін (мысалы, компания мейрамдарының тізімін қайтаратын қызмет), әр түрлі URL-үлгілерді бизнеске және бизнеске жатпайтын деректер топтарына жіктейтін бірнеше ережелерді конфигурациялау. Байланыстар әрқашан HTTPS хаттамасын пайдаланатынына көз жеткізіңіз. Реттелетін қосқыштарға арналған DLP саясаты туралы қосымша ақпарат алыңыз.

Exchange бағдарламасымен қауіпсіз біріктіру

Office 365 Outlook қосқышы - бұғаттау мүмкін емес стандартты қосқыштардың бірі. Ол жасаушыларға қатынасатын пошта жәшіктеріндегі электрондық пошта хабарларын жіберуге, жоюға және жауап беруге мүмкіндік береді. Бұл қосқышпен тәуекел де оның ең қуатты мүмкіндіктерінің бірі — электрондық пошта жіберу мүмкіндігі. Мысалы, жасаушы электрондық пошта жарылысын жіберетін ағынды жасауы мүмкін.

Ұйымыңыздың Exchange әкімшісі бағдарламалардан электрондық хаттарды жібермеу үшін Exchange серверінде ережелер орната алады. Сондай-ақ, шығыс электрондық хаттарды бұғаттау үшін орнатылған ережелерден нақты ағындарды немесе бағдарламаларды алып тастауға болады. Бағдарламалар мен ағындардан электрондық поштаны тек пошта жәшіктерінің шағын тобынан жіберуге болатынына көз жеткізу үшін осы ережелерді электрондық пошта мекенжайларының рұқсат етілген тізімімен біріктіруге болады.

Бағдарлама немесе ағын Outlook қосқышы арқылы Office 365 электрондық поштаны жібергенде, ол хабарға арнайы SMTP тақырыптарын кірістіріп береді. Электрондық поштаның ағымнан немесе бағдарламадан шыққанын анықтау үшін үстіңгі деректемелерде сақталған сөз тіркестерін пайдалануға болады.

Ағыннан жіберілген электрондық поштаға кірістірілген SMTP тақырыбы келесі мысалға ұқсайды:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

Үстіңғы деректеме мәліметтері

Келесі кестеде пайдаланылатын қызметке байланысты x-ms-mail-application айдарында пайда болуы мүмкін мәндер сипатталған:

Қызмет көрсету Value
Power Automate Microsoft Power Automate; Пайдаланушы-агент: azure-logic-apps/1.0 (жұмыс процесі <GUID>; нұсқа <нұсқасының нөмірі>) Microsoft-flow/1.0
Power Apps Microsoft Power Apps; Пайдаланушы-агент: PowerApps/ (; AppName= <app атауы>)

Келесі кестеде орындалатын әрекетке байланысты x-ms-mail-operation-type айдарында пайда болуы мүмкін мәндер сипатталады:

Value Сипаттама
Жауап беру Электрондық пошта операцияларын жауап беру үшін
Алға Электрондық поштаны қайта жіберу операциялары үшін
Жіберу SendEmailWithOptions және SendApprowalEmail электрондық пошта операцияларын жіберу үшін

x-ms-mail-envid-id айдары орта идентификаторының мәнін қамтиды. Бұл үстіңгі деректеменің болуы сіз пайдаланатын өнімге байланысты:

  • Онда Power Apps ол әрдайым бар.
  • В Power Automate, ол тек 2020 жылдың шілдесінде құрылған байланыстарда ғана бар.
  • Логикалық бағдарламаларда ол ешқашан жоқ.

Әдепкі ортаға арналған әлеуетті Exchange ережелері

Мұнда Exchange ережелерін пайдаланып блоктағыңыз келетін кейбір электрондық пошта әрекеттері берілген.

  • Сыртқы алушыларға шығыс электрондық хаттарын блоктау: Сыртқы алушыларға жіберілген барлық шығыс электрондық хаттарын Power Automate блоктау. Power Apps Бұл ереже жасаушыларға өз бағдарламаларынан немесе ағындарынан серіктестерге, жеткізушілерге немесе клиенттерге электрондық хат жіберуге кедергі келтіреді.

  • Шығыс бағытын бұғаттау: Жіберуші рұқсат етілген пошта жәшіктерінің тізімінен Power Automate сыртқы алушыларға қайта жіберілген барлық Power Apps шығыс электрондық хаттарын блоктаңыз. Бұл ереже кіру электрондық хаттарын сыртқы адресатқа автоматты түрде қайта жіберетін ағын жасаушыларға кедергі жасайды.

Электрондық пошта блогының ережелерімен қарастыруға арналған ерекшеліктер

Мұнда икемділікті қосу үшін электрондық поштаны блоктау үшін Exchange ережелеріне қатысты кейбір әлеуетті ерекшеліктер берілген:

  • Нақты бағдарламалар мен ағындарды босатыңыз: Бекітілген бағдарламалар немесе ағындар сыртқы алушыларға электрондық пошта жібере алатындай бұрын ұсынылған ережелерге босату тізімін қосыңыз.

  • Ұйым деңгейіндегі рұқсат беру тізімі: Бұл сценарийде шешімді бөлінген ортаға көшірудің мәні бар. Егер ортадағы бірнеше ағын шығыс электрондық хаттарын жіберуге тура келсе, сол ортадан шығатын электрондық хаттарды жіберу үшін жамылғыдан ерекшелік ережесін жасауға болады. Осы ортаға қатысты дайындаушы мен әкімшінің рұқсаты қатаң бақылануы және шектелуі тиіс.

Жалға алушының айқаспалы оқшаулауын қолдану

Power Platform уәкілетті Microsoft Entra пайдаланушыларға бағдарламалар мен ағындарды деректер дүкендеріне қосуға мүмкіндік беретін, негізделген Microsoft Entra қосқыштар жүйесі бар. Жалға алушының оқшаулауы деректердің рұқсат етілген көздерінен Microsoft Entra олардың жалға алушысына және одан жылжуын реттейді.

Жалға алушыны оқшаулау қатысушы деңгейінде қолданылады және жалға алушының барлық орталарына, соның ішінде әдепкі ортаға да әсер етеді. Барлық қызметкерлер әдепкі ортада жасаушылар болғандықтан, жалға алушының сенімді оқшаулау саясатын конфигурациялау қоршаған ортаны қамтамасыз ету үшін өте маңызды. Қызметкерлеріңіз қосыла алатын жалға алушыларды тікелей конфигурациялауды ұсындық. Барлық қалған жалгерлер кіріс және шығыс деректер ағынын бөгейтін әдепкі ережелермен қамтылуы тиіс.

Power Platform жалға алушының оқшаулауы жалпы клиенттік шектеуден Microsoft Entra ерекшеленеді. Ол идентификатқа негізделген кіруге әсер етпейді Microsoft Entra Power Platform. Ол Outlook және Microsoft Entra қосқыштар сияқты Office 365 идентификаторға негізделген аутентификацияны пайдаланып SharePoint , қосқыштар үшін ғана жұмыс істейді.

Келесіні де қараңыз:

Кросс-қатысушының кіру және шығу кіруін шектеу (алдын ала қарау)

Get-PowerAppTenantIsolationPolicy (Microsoft...PowerApps Әкімшілік.PowerShell)