Zabezpečenie predvoleného prostredia
Každý zamestnanec vo vašej organizácii má prístup k predvolenému Power Platform prostrediu. Power Platform Ako správca musíte zvážiť spôsoby, ako zabezpečiť toto prostredie a zároveň ho udržať prístupné pre osobnú produktivitu tvorcov. Tento článok obsahuje návrhy.
Priraďte roly správcu uvážlivo
Zvážte, či vaši správcovia musia mať rolu Power Platform správcu. Bola by vhodnejšia rola správcu prostredia alebo správcu systému? V každom prípade obmedzte výkonnejšiu Power Platform rolu správcu len na niekoľko používateľov. Ďalšie informácie o spravovaní Power Platform prostredí
Oznámenie zámeru
Jednou z kľúčových výziev pre Power Platform tím Centra excelentnosti (CoE) je komunikovať zamýšľané použitie predvoleného prostredia. Tu je niekoľko odporúčaní.
Premenovanie predvoleného prostredia
Predvolené prostredie sa vytvorí s názvom TenantName (default). Názov prostredia môžete zmeniť na niečo popisnejšie, napríklad Prostredie osobnej produktivity, aby ste jasne vyvolalizámer.
Používanie Hubu Power Platform
Rozbočovač Microsoft Power Platform je šablóna SharePoint komunikačnej lokality. Poskytuje východiskový bod pre centrálny zdroj informácií pre tvorcov o používaní vašej Power Platform organizácie. Úvodný obsah a šablóny stránok uľahčujú ponúkanie informácií tvorcom, ako napríklad:
- Prípady použitia osobnej produktivity
- Ako vytvárať aplikácie a postupy
- Kde vytvárať aplikácie a postupy
- Ako kontaktovať tím podpory centier excelentnosti
- Pravidlá týkajúce sa integrácie s externými službami
Pridajte odkazy na akékoľvek ďalšie interné zdroje, ktoré by vaši tvorcovia mohli považovať za užitočné.
Obmedzenie zdieľania so všetkými
Tvorcovia môžu zdieľať svoje aplikácie s ostatnými jednotlivými používateľmi, skupinami zabezpečenia a predvolene s každým v organizácii. Mali by ste zvážiť použitie uzavretého procesu okolo široko používaných aplikácií na presadzovanie pravidiel a požiadaviek, ako sú tieto:
- Zásady kontroly zabezpečenia
- Pravidlá pre recenzie firiem
- Požiadavky na správu životného cyklu aplikácií (ALM)
- Požiadavky na používateľskú skúsenosť a značku
Zvážte tiež vypnutie funkcie Zdieľať s každým. Power Platform Po zavedení tohto obmedzenia môže iba malá skupina správcov zdieľať aplikáciu so všetkými v prostredí. Postupujte takto.
Spustite rutinu cmdlet Get-TenantSettings a získajte zoznam nastavení nájomníka organizácie ako objekt.
Objekt
powerPlatform.PowerAppsobsahuje tri vlajky:
Spustite nasledujúce príkazy prostredia PowerShell, aby ste získali objekt nastavení a nastavili premennú na zdieľanie so všetkými na hodnotu false.
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$trueSpustite rutinu
Set-TenantSettingscmdlet s objektom nastavení, aby ste zabránili tvorcom zdieľať svoje aplikácie so všetkými používateľmi nájomníka.Set-TenantSettings $settings
Vytvorenie politiky ochrany pred únikom údajov
Ďalším spôsobom, ako zabezpečiť predvolené prostredie, je vytvoriť preň politiku ochrany pred únikom údajov (DLP). Zavedenie politiky DLP je obzvlášť dôležité pre predvolené prostredie, pretože k nej majú prístup všetci zamestnanci vo vašej organizácii. Tu je niekoľko odporúčaní, ktoré vám pomôžu presadzovať pravidlá.
Prispôsobenie správy riadenia DLP
Prispôsobte chybové hlásenie, ktoré sa zobrazí, ak tvorca vytvorí aplikáciu, ktorá porušuje politiku DLP vašej organizácie. Nasmerujte tvorcu do centra vašej organizácie Power Platform a poskytnite e-mailovú adresu svojho tímu centier excelentnosti.
Keďže tím centier excelentnosti časom vylepšuje politiku DLP, môžete neúmyselne prerušiť niektoré aplikácie. Uistite sa, že správa o porušení pravidiel DLP obsahuje kontaktné údaje alebo prepojenie na ďalšie informácie, ktoré tvorcom poskytnú ďalší postup.
Na prispôsobenie hlásenia politiky riadenia použite nasledujúce rutiny cmdlet prostredia PowerShell:
| Command | Description |
|---|---|
| Set-PowerAppDlpErrorSettings | Správa o nastavení riadenia |
| Set-PowerAppDlpErrorSettings | Správa o aktualizácii riadenia |
Blokovanie nových konektorov v predvolenom prostredí
V predvolenom nastavení sú všetky nové konektory umiestnené v skupine Neobchodné pre politiku DLP. Predvolenú skupinu môžete kedykoľvek zmeniť na Obchodná alebo Blokovaná. Pre politiku DLP, ktorá sa používa v predvolenom prostredí, odporúčame nakonfigurovať skupinu Blokované ako predvolenú, aby ste sa uistili, že nové konektory zostanú nepoužiteľné, kým ich neskontroluje jeden z vašich správcov.
Obmedzte tvorcov na vopred vytvorené konektory
Obmedzte tvorcov iba na základné, neblokovateľné konektory, aby ste zabránili prístupu k ostatným.
Presuňte všetky konektory, ktoré nie je možné zablokovať, do skupiny pracovných údajov.
Presuňte všetky blokovateľné konektory do skupiny blokovaných údajov.
Obmedzenie vlastných konektorov
Vlastné konektory integrujú aplikáciu alebo postup s domácou službou. Tieto služby sú určené pre technických používateľov, ako sú vývojári. Je vhodné znížiť množstvo rozhraní API vytvorených vašou organizáciou, ktoré možno vyvolať z aplikácií alebo postupov v predvolenom prostredí. Ak chcete tvorcom zabrániť vo vytváraní a používaní vlastných konektorov pre rozhrania API v predvolenom prostredí, vytvorte pravidlo na blokovanie všetkých vzorov webových adries.
Ak chcete tvorcom umožniť prístup k niektorým rozhraniam API (napríklad službe, ktorá vracia zoznam firemných sviatkov), nakonfigurujte viaceré pravidlá, ktoré klasifikujú rôzne vzory webových adries do skupín firemných a nepodnikových údajov. Uistite sa, že pripojenia vždy používajú protokol HTTPS. Prečítajte si ďalšie informácie o politike DLP pre vlastné konektory.
Bezpečná integrácia so serverom Exchange
Konektor Office 365 programu Outlook je jedným zo štandardných konektorov, ktoré nie je možné blokovať. Umožňuje tvorcom odosielať, odstraňovať a odpovedať na e-mailové správy v poštových schránkach, ku ktorým majú prístup. Riziko spojené s týmto konektorom je tiež jednou z jeho najsilnejších schopností – schopnosť odosielať e-maily. Tvorca môže napríklad vytvoriť postup, ktorý odošle výbuch e-mailu.
Správca servera Exchange vo vašej organizácii môže nastaviť pravidlá na serveri Exchange, ktoré zabránia odosielaniu e-mailov z aplikácií. Je tiež možné vylúčiť konkrétne postupy alebo aplikácie z pravidiel nastavených na blokovanie odchádzajúcich správ. Tieto pravidlá môžete skombinovať s povoleným zoznamom e-mailových adries, aby ste sa uistili, že e-maily z aplikácií a postupov je možné odosielať iba z malej skupiny poštových schránok.
Keď aplikácia alebo postup odošle e-mail pomocou konektora Office 365 Outlook, vloží do správy konkrétne hlavičky SMTP. Pomocou vyhradených fráz v hlavičkách môžete zistiť, či e-mail pochádza z postupu alebo aplikácie.
Hlavička SMTP vložená do e-mailu odoslaného z postupu vyzerá ako nasledujúci príklad:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Podrobnosti o hlavičke
Nasledujúca tabuľka popisuje hodnoty, ktoré sa môžu zobraziť v hlavičke x-ms-email-application v závislosti od použitej služby:
| Service | Hodnota |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (identifikátor GUID pracovného postupu <; číslo> verzie verzie <) Microsoft-flow/1.0> |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; NázovAplikácie= <názov> aplikácie) |
Nasledujúca tabuľka popisuje hodnoty, ktoré sa môžu zobraziť v hlavičke typu x-ms-mail-operation-type v závislosti od vykonávanej akcie:
| Hodnota | Description |
|---|---|
| Odpoveď | Pre operácie odpovedania na e-maily |
| Preposlať | Operácie preposielania e-mailov |
| Poslať | Operácie odosielania e-mailov vrátane operácií SendEmailWithOptions a SendApprovalEmail |
Hlavička x-ms-mail-environment-id obsahuje hodnotu identifikácie prostredia. Prítomnosť tejto hlavičky závisí od produktu, ktorý používate:
- Vnútri Power Apps, je vždy prítomný.
- V Power Automate ňom je prítomný iba v spojeniach vytvorených po júli 2020.
- V Logic Apps nie je nikdy prítomný.
Potenciálne pravidlá servera Exchange pre predvolené prostredie
Tu je niekoľko e-mailových akcií, ktoré možno budete chcieť zablokovať pomocou pravidiel servera Exchange.
Blokovať odchádzajúce e-maily externým príjemcom: Zablokujte všetky odchádzajúce e-maily odoslané externým príjemcom od Power Automate a Power Apps. Toto pravidlo zabraňuje tvorcom odosielať e-maily partnerom, dodávateľom alebo klientom z ich aplikácií alebo postupov.
Blokovať preposielanie odchádzajúcich správ: Zablokujte všetky odchádzajúce e-maily preposielané externým príjemcom z Power Automate a Power Apps v prípadoch, keď odosielateľ nie je zo zoznamu povolených poštových schránok. Toto pravidlo zabraňuje tvorcom vytvoriť postup, ktorý automaticky preposiela prichádzajúce e-maily externému príjemcovi.
Výnimky, ktoré je potrebné zvážiť pri pravidlách blokovania e-mailov
Tu je niekoľko možných výnimiek z pravidiel servera Exchange na blokovanie e-mailu s cieľom zvýšiť flexibilitu:
Výnimka pre konkrétne aplikácie a postupy: Pridajte zoznam výnimiek k pravidlám navrhnutým vyššie, aby schválené aplikácie alebo postupy mohli odosielať e-maily externým príjemcom.
Zoznam povolení na úrovni organizácie: V tomto scenári má zmysel presunúť riešenie do vyhradeného prostredia. Ak niekoľko postupov v prostredí musí odosielať odchádzajúce e-maily, môžete vytvoriť všeobecné pravidlo výnimky, ktoré povolí odchádzajúce e-maily z tohto prostredia. Povolenie tvorcu a správcu v tomto prostredí musí byť prísne kontrolované a obmedzené.
Použitie izolácie medzi nájomníkmi
Power Platform má založený systém konektorov Microsoft Entra , ktorý umožňuje oprávneným Microsoft Entra používateľom pripájať aplikácie a toky do úložísk údajov. Izolácia nájomníka upravuje presun údajov z Microsoft Entra autorizovaných zdrojov údajov do a od nájomníka.
Izolácia nájomníka sa používa na úrovni nájomníka a ovplyvňuje všetky prostredia v nájomníkovi vrátane predvoleného prostredia. Keďže všetci zamestnanci sú tvorcami v predvolenom prostredí, konfigurácia robustnej politiky izolácie nájomníkov je rozhodujúca pre zabezpečenie prostredia. Odporúčame, aby ste explicitne nakonfigurovali nájomníkov, ku ktorým sa vaši zamestnanci môžu pripojiť. Na všetkých ostatných nájomníkov by sa mali vzťahovať predvolené pravidlá, ktoré blokujú prichádzajúci aj odchádzajúci tok údajov.
Power Platform Izolácia nájomníka sa líši od obmedzenia nájomníka Microsoft Entra v rámci celej identifikácie. Nemá vplyv Microsoft Entra na prístup založený na identifikátoroch mimo územia Power Platform. Funguje len pre konektory používajúce Microsoft Entra overovanie na základe ID, ako je napríklad Office 365 Outlook a SharePoint konektory.
Pozrite si tiež
Obmedzenie prichádzajúceho a odchádzajúceho prístupu medzi nájomníkmi (Preview)
Get-PowerAppTenantIsolationPolicy (Microsoft..PowerApps Administration.PowerShell)