保全預設的環境
您組織中的每個員工都可以存取預設 Power Platform 環境。 身為 Power Platform 管理員,您必須考慮該環境安全的保護方式,同時保持製作者個人生產力用途的存取便利性。 本文提供建議。
審慎指派管理員角色
考慮管理員使用者是否需要擁有 Power Platform 管理員角色。 更合適的是環境管理員角色還是系統管理員角色? 在任何情況下,都請將權力更大的 Power Platform 管理角色限制在少數幾個使用者。 深入了解管理 Power Platform 環境。
傳達意圖
Power Platform 卓越中心 (CoE) 團隊的其中一個主要挑戰是,傳達預設環境的預期用途。 以下是一些建議。
重新命名預設環境
預設環境以名稱 TenantName (預設) 來建立。 您可以變更環境名稱為更具描述性的名稱 (例如個人生產力環境) 以明確表達意圖。
使用 Power Platform 中樞
Microsoft Power Platform 中樞是 SharePoint 通訊網站範本。 為製作者提供有關組織使用 Power Platform 情況的集中資訊來源起點。 入門內容和頁面範本可讓您輕鬆提供以下製作者資訊:
- 個人生產力使用案例
- 應用程式與流程的建置方式
- 建置應用程式與流程所在的位置
- 與 CoE 支援小組的聯繫方式
- 與外部服務整合的相關規則
將連結新增至任何其他可能對製作者有幫助的內部資源。
限制與所有人共用
製作者可以與其他個別使用者、安全性群組以及 (預設) 與組織中的每個人共用其應用程式。 您應考慮對廣泛使用的應用程式採行把關程序以強制如下原則和需求:
- 安全性審查原則
- 商務審查原則
- 應用程式生命週期管理 (ALM) 需求
- 使用者體驗和商標需求
另請考慮停用 Power Platform 中的與所有人共用功能。 將該限制設定妥當後,只有一小組系統管理員可以與環境中的每個人共用應用程式。 方法如下。
執行 Get-TenantSettings Cmdlet,以取得您組織的租用戶設定清單當做物件。
powerPlatform.PowerApps物件包含三個旗標:
執行下列 PowerShell 命令以取得設定物件,並讓要與每個人共用的變數設定為 false。
$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$true使用設定物件執行
Set-TenantSettingsCmdlet,以防止製作者與租用戶中的每個人共用其應用程式。Set-TenantSettings $settings
建立資料外洩防護原則
另一種保護預設環境安全的方法是,為其建立資料外洩防護 (DLP) 原則。 建立 DLP 原則對預設環境尤其重要,因為組織中的所有員工都可以存取此環境。 以下是一些協助您強制執行原則的建議。
自訂 DLP 治理訊息
自訂會在製作者建立違反組織 DLP 原則的應用程式時顯示的錯誤訊息。 將製作者引導至組織的 Power Platform 中樞,並提供 CoE 團隊的電子郵件地址。
隨著 CoE 團隊逐漸完善 DLP 原則,您可能會不經意間中斷某些應用程式。 確定 DLP 原則違規訊息包含連絡詳細資料,或其他資訊的連結,為製作者提供後續進展方式。
使用下列 PowerShell Cmdlet 來自訂治理原則訊息:
| Command | 描述: |
|---|---|
| Set-PowerAppDlpErrorSettings | 設定治理訊息 |
| Set-PowerAppDlpErrorSettings | 更新治理訊息 |
在預設環境中封鎖新的連接器
根據預設,所有新連接器都放置在 DLP 原則的非商務群組中。 您隨時可以 將預設群組變更為 [商務] 或 [已封鎖]。 對於套用至預設環境的 DLP 原則,建議您將 [已封鎖的群組] 設定為預設值,以確保新連接器在經過管理員檢閱之前保持不可使用。
將製作者限制在預建連接器
限制製作者只能使用基本的不可封鎖連接器,以防止存取其餘連接器。
將所有無法封鎖的連接器移至商務資料群組。
將所有的可封鎖連接器移至已封鎖資料群組。
限制自訂連接器
自訂連接器可將應用程式或流程與自家製作的服務整合在一起。 這些服務適用於開發人員等技術使用者。 最好減少組織所建置可從預設環境中應用程式或流程叫用之 API 的磁碟使用量。 若要防止製作者在預設環境中為 API 建立和使用自訂連接器,請建立規則來封鎖所有 URL 模式。
若要允許製作者存取某些 API (例如,傳回公司假日清單的服務),請設定多個規則,將不同的 URL 模式分類為商務和非商務資料群組。 確定連線一律使用 HTTPS 通訊協定。 深入了解自訂連接器的 DLP 原則。
保護與 Exchange 整合的安全
Office 365 Outlook 連接器是其中一個無法封鎖的標準連接器。 這允許製作者傳送、刪除和回覆他們有權存取之信箱中的電子郵件訊息。 此連接器的風險也是其最強大的功能之一:傳送電子郵件的功能。 例如,製作者可能會建立傳送大量電子郵件的流程。
您組織的 Exchange 系統管理員可以在 Exchange Server 上設定規則,以防電子郵件從應用程式傳送。 也可以從規則設定中排除特定的流程或應用程式,以封鎖寄出的電子郵件。 您可以將這些規則與電子郵件地址的允許清單結合,確保只能透過一小組信箱來傳送從應用程式和流程傳出的電子郵件。
當應用程式或流程使用 Office 365 Outlook 連接器傳送電子郵件時,連接器會在訊息中插入特定 SMTP 標頭。 您可在這些標頭中使用保留片語,以識別電子郵件是源自流程還是應用程式。
在從流程傳送的電子郵件中插入的 SMTP 標頭看起來像下列範例:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
標頭詳細資料
下表根據使用的服務,說明 x-ms-mail-application 標頭中可能出現的值:
| Service | 數值 |
|---|---|
| Power Automate | Microsoft Power Automate; 使用者代理程式:azure-logic-apps/1.0 (workflow <GUID>; version <版本號碼>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; 使用者代理程式:PowerApps/ (; AppName= <應用程式名稱>) |
下表根據執行中的動作,說明 x-ms-mail-operation-type 標頭中可能出現的值:
| 數值 | 描述: |
|---|---|
| 回覆 | 用於回覆電子郵件作業 |
| 下一步 | 用於轉寄電子郵件作業 |
| 傳送 | 用於傳送電子郵件作業,包括 SendEmailWithOptions 和 SendApprovalEmail |
x-ms-mail-environment-id 標頭包含環境 ID 值。 此標頭是否出現取決於您使用的產品:
- 在 Power Apps 中,此標頭一律會出現。
- 在 Power Automate 中,此標頭只會在 2020 年 7 月後建立的連線中出現。
- 在 Logic Apps 中,此標頭永遠不會出現。
預設環境的潛在 Exchange 規則
以下是一些您可能需要使用 Exchange 規則加以封鎖電子郵件動作。
對外部收件者封鎖外寄電子郵件:封鎖所有從 Power Automate 和 Power Apps 傳送至外部收件者的外寄電子郵件。 此規則防止製作者將電子郵件從其應用程式或流程傳送給合作夥伴、廠商或客戶。
封鎖外寄郵件轉送:封鎖從 Power Automate 和 Power Apps 轉寄給外部收件者的所有出站電子郵件 (如果寄件者不是透過允許的信箱清單)。 此規則防止製作者建立自動將內送電子郵件轉寄至外部收件者的流程。
電子郵件封鎖規則需考慮的例外情況
為了增加彈性,以下說明封鎖電子郵件的 Exchange 規則的一些可能例外情況:
免除特定應用程式和流程:將豁免清單新增至先前建議的規則,讓已核准的應用程式或流程可以將電子郵件傳送給外部收件者。
組織層級允許清單:在此案例中,將解決方案移至專用環境是可行的。 如果環境中的多個流程必須傳送出站電子郵件,您可以建立一個情外情況總規則,以允許來自該環境的出站電子郵件。 該環境的製作者和管理員權限必須受到嚴格的控管和限制。
套用跨租用戶隔離
Power Platform 具有以 Microsoft Entra 為基礎的連接器系統,可讓已授權 Microsoft Entra 使用者將應用程式和流程連接至資料存放區。 租用戶隔離控管 Microsoft Entra 授權資料來源與其租用戶之間往來的資料移動。
租戶隔離會套用至租用戶層級,並影響租用戶中所有的環境,包括預設環境。 所有員工在預設環境中都是製作者,因此設定強固租用戶隔離原則對保護環境安全來說非常重要。 建議您明確設定員工可連接到的租用戶。 封鎖傳入和傳出資料流量的預設規則應涵蓋所有其他的用戶。
Power Platform 租用戶隔離與全 Microsoft Entra ID 租用戶限制不同。 它不會影響 Power Platform 之外的 Microsoft Entra ID 式存取權。 它僅適用於使用 Microsoft Entra ID 式驗證的連接器,例如 Office 365 Outlook 和 SharePoint 連接器。
另請參閱
Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)