Διασφάλιση του προεπιλεγμένου περιβάλλοντος

Κάθε εργαζόμενος στον οργανισμό σας έχει πρόσβαση στο προεπιλεγμένο περιβάλλον του Power Platform. Ως διαχειριστής Power Platform , θα πρέπει να εξετάσετε τρόπους για την προστασία του περιβάλλοντος, ενώ παράλληλα να το διατηρείτε προσβάσιμο για τις προσωπικές χρήσεις παραγωγικότητας των δημιουργών. Αυτό το άρθρο παρέχει προτάσεις.

Ανάθεση ρόλων διαχειριστή με σύνεση

Λάβετε υπόψη σας εάν οι χρήστες του διαχειριστή σας πρέπει να έχουν ρόλο διαχειριστή του Power Platform. Θα ήταν πιο κατάλληλος ο ρόλο διαχειριστή περιβάλλοντος ή διαχειριστή συστήματος; Σε κάθε περίπτωση, περιορίστε τον πιο ισχυρό ρόλο διαχειριστή Power Platform σε λίγους χρήστες. Μάθετε περισσότερα σχετικά με τη Power Platform διαχείριση περιβαλλόντων.

Επικοινωνία πρόθεσης

Μία από τις κύριες προκλήσεις για την ομάδα του Κέντρου Αριστείας (CoE) του Power Platform είναι η επικοινωνία των προοριζόμενων χρήσεων του προεπιλεγμένου περιβάλλοντος. Ακολουθούν ορισμένες προτάσεις.

Μετονομάστε το προεπιλεγμένο περιβάλλον

Το προεπιλεγμένο περιβάλλον δημιουργείται με το όνομα: TenantName (προεπιλογή). Μπορείτε να αλλάξετε το όνομα περιβάλλοντος σε κάτι πιο περιγραφικό όπως Περιβάλλον προσωπικής παραγωγικότητας, για να καλέσετε καθαρά την πρόθεση.

Χρησιμοποιήστε το κέντρο Power Platform

Το κέντρο Microsoft Power Platform είναι ένα πρότυπο τοποθεσίας επικοινωνίας του SharePoint. Αποτελεί σημείο εκκίνησης για μια κεντρική πηγή πληροφοριών για δημιουργούς σχετικά με τη χρήση από τον οργανισμό σας του Power Platform. Το περιεχόμενο εκκίνησης και τα πρότυπα σελίδων διευκολύνει την προσφορά στους δημιουργούς πληροφορίες, όπως:

  • Υποθέσεις χρήσης προσωπικής παραγωγικότητας
  • Τρόπος δημιουργίας εφαρμογών και ροών
  • Πού να δημιουργηθούν εφαρμογές και ροές
  • Πώς να επικοινωνήσετε με την ομάδα υποστήριξης του CoE
  • Κανόνες σχετικά με την ενοποίηση με εξωτερικές υπηρεσίες

Προσθέστε συνδέσεις σε οποιουσδήποτε άλλους εσωτερικούς πόρους που μπορεί να θεωρούν χρήσιμους οι δημιουργοί.

Περιορισμός κοινής χρήσης με όλους

Οι δημιουργοί μπορούν να μοιράζονται τις εφαρμογές τους με άλλους μεμονωμένους χρήστες και ομάδες ασφαλείας. Από προεπιλογή, η κοινή χρήση με ολόκληρο τον οργανισμό σας ή με όλους είναι απενεργοποιημένη. Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε μια περιφραγμένη διαδικασία γύρω από ευρέως χρησιμοποιούμενες εφαρμογές για την επιβολή πολιτικών και απαιτήσεων όπως αυτές:

  • Πολιτική εξέτασης ασφάλειας
  • Πολιτική εξέτασης επιχείρισης
  • Απαιτήσεις Διαχείρισης κύκλου ζωής εφαρμογής (ALM)
  • Απαιτήσεις εμπειρίας και εμπορικής επωνυμίας χρήστη

Η δυνατότητα "Κοινή χρήση με όλους" είναι απενεργοποιημένη από προεπιλογή Power Platform. Συνιστούμε να διατηρήσετε αυτήν τη ρύθμιση απενεργοποιημένη, για να περιορίσετε την υπερβολική έκθεση των εφαρμογών καμβά με ακούσιους χρήστες. Η ομάδα Everyone για τον οργανισμό σας περιέχει όλους τους χρήστες που έχουν συνδεθεί ποτέ στον μισθωτή σας, συμπεριλαμβανομένων των επισκεπτών και των εσωτερικών μελών. Δεν είναι μόνο όλοι οι εσωτερικοί υπάλληλοι εντός του μισθωτή σας. Επιπλέον, δεν είναι δυνατή η επεξεργασία ή η προβολή της ιδιότητας μέλους της ομάδας Everyone . Για να μάθετε περισσότερα σχετικά με την ομάδα Everyone , μεταβείτε στο /windows-server/identity/ad-ds/manage/understand-special-identities-groups#everyone.

Εάν θέλετε να κάνετε κοινή χρήση με όλους τους εσωτερικούς υπαλλήλους ή μια μεγάλη ομάδα ατόμων, εξετάστε το ενδεχόμενο κοινής χρήσης με μια υπάρχουσα ομάδα ασφαλείας αυτών των μελών ή να δημιουργήσετε μια ομάδα ασφαλείας και να κάνετε κοινή χρήση της εφαρμογής σας με αυτήν την ομάδα ασφαλείας.

Όταν η δυνατότητα "Κοινή χρήση με όλους " είναι απενεργοποιημένη, μόνο μια μικρή ομάδα διαχειριστών μπορεί να κάνει κοινή χρήση μιας εφαρμογής με όλους στο περιβάλλον. Εάν είστε Διαχειριστής, μπορείτε να εκτελέσετε την ακόλουθη εντολή PowerShell εάν πρέπει να ενεργοποιήσετε την κοινή χρήση με όλους.

  1. Αρχικά, ανοίξτε το PowerShell ως Διαχειριστής και συνδεθείτε στον λογαριασμό σας Power Apps εκτελώντας αυτήν την εντολή.

    Add-PowerAppsAccount
    
  2. Εκτελέστε το cmdlet Get-TenantSettings για να λάβετε τη λίστα των ρυθμίσεων μισθωτή του οργανισμού σας ως αντικείμενο.

    Το αντικείμενο powerPlatform.PowerApps περιλαμβάνει τρεις σημαίες:

    Στιγμιότυπο οθόνης τριών σημαιών στο αντικείμενο $settings.powerPlatform.PowerApps.

  3. Εκτελέστε τις ακόλουθες εντολές PowerShell για να λάβετε το αντικείμενο ρυθμίσεων και ορίστε τη μεταβλητή disableShareWithEveryone σε $false.

    $settings=Get-TenantSettings 
    $settings.powerPlatform.powerApps.disableShareWithEveryone=$false 
    
  4. Εκτελέστε το Set-TenantSettings cmdlet με το αντικείμενο ρυθμίσεων για να επιτρέψετε στους δημιουργούς να μοιράζονται τις εφαρμογές τους με όλους τους χρήστες στον μισθωτή.

      Set-TenantSettings $settings
    

    Για να απενεργοποιήσετε την κοινή χρήση με όλους, ακολουθήστε τα ίδια βήματα αλλά ορίστε $settings.powerPlatform.powerApps.disableShareWithEveryone = $true.

Καθιερώστε μια πολιτικής αποτροπής απώλειας δεδομένων

Άλλος ένας τρόπος για να προστατέψετε το προεπιλεγμένο περιβάλλον είναι να δημιουργήσετε μια πολιτική αποτροπής απώλειας δεδομένων (DLP) για αυτό το περιβάλλον. Το να έχετε εφαρμόσει μια πολιτική DLP είναι ιδιαίτερα σημαντικό για το προεπιλεγμένο περιβάλλον, επειδή όλοι οι υπάλληλοι στον οργανισμό σας έχουν πρόσβαση σε αυτό. Ακολουθούν ορισμένες συστάσεις που θα σας βοηθήσουν να επιβάλλετε την πολιτική.

Προσαρμογή του μηνύματος διαχείρισης DLP

Προσαρμόστε το μήνυμα σφάλματος που εμφανίζεται εάν ένας δημιουργός δημιουργήσει μια εφαρμογή που παραβιάζει την πολιτική DLP του οργανισμού σας. Κατευθύνετε τον δημιουργό στο Κέντρο Power Platform του οργανισμού σας και δώστε τη διεύθυνση ηλεκτρονικού ταχυδρομείου της ομάδας του CoE.

Καθώς η ομάδα του CoE βελτιώνει την πολιτική DLP με την πάροδο του χρόνου, ενδέχεται να διακόψετε ακούσια ορισμένες εφαρμογές. Βεβαιωθείτε ότι το μήνυμα παραβίασης της πολιτικής DLP περιέχει στοιχεία επικοινωνίας ή μια σύνδεση σε περισσότερες πληροφορίες για να παρέχετε μια πρόοδο στους δημιουργούς.

Χρησιμοποιήστε τα παρακάτω cmdlet PowerShell για να προσαρμόσετε το μήνυμα πολιτικής διαχείρισης:

Command Περιγραφή
Set-PowerAppDlpErrorSettings Ορισμός μηνύματος διαχείρισης
Set-PowerAppDlpErrorSettings Ενημέρωση μηνύματος διαχείρισης

Αποκλεισμός νέων συνδέσεων στο προεπιλεγμένο περιβάλλον

Από προεπιλογή, όλες οι νέες συνδέσεις τοποθετούνται στην ομάδα Μη επιχειρηματική της πολιτικής DLP. Μπορείτε πάντα να αλλάξετε την προεπιλεγμένη ομάδα σε Επιχείρηση ή Αποκλείσθηκε. Για μια πολιτική DLP που εφαρμόζεται στο προεπιλεγμένο περιβάλλον, συνιστούμε να ρυθμίσετε τις παραμέτρους της ομάδας Αποκλείστηκε ως προεπιλεγμένη για να βεβαιωθείτε ότι οι νέες συνδέσεις παραμένουν μη χρησιμοποιούμενες μέχρι να αναθεωρηθούν από έναν από τους διαχειριστές σας.

Περιορίστε τους δημιουργούς σε προκατασκευασμένες συνδέσεις

Περιορίστε τους δημιουργούς μόνο σε βασικές συνδέσεις χωρίς δυνατότητα αποκλεισμού, ώστε να εμποδίσετε την πρόσβαση στους υπόλοιπους.

  1. Μετακινήστε όλες τις συνδέσεις που δεν μπορούν να αποκλειστούν στην ομάδα επιχειρηματικών δεδομένων.

  2. Μετακινήστε όλες τις συνδέσεις που μπορούν να αποκλειστούν στην αποκλεισμένη ομάδα δεδομένων.

Περιορίστε τις προσαρμοσμένες συνδέσεις

Οι προσαρμοσμένες συνδέσεις ενοποιούν μια εφαρμογή ή μια ροή με μια υπηρεσία που καλλιεργείται στο σπίτι. Οι υπηρεσίες αυτές προορίζονται για τεχνικούς χρήστες, όπως προγραμματιστές. Είναι καλή ιδέα να μειώσετε το αποτύπωμα των API που έχουν δημιουργηθεί από τον οργανισμό σας που μπορούν να επικαλεστούν εφαρμογές ή ροές στο προεπιλεγμένο περιβάλλον. Για να αποτρέψετε τους δημιουργούς να δημιουργούν και να χρησιμοποιούν προσαρμοσμένες συνδέσεις για API στο προεπιλεγμένο περιβάλλον, δημιουργήστε έναν κανόνα που να εμποδίζει όλα τα μοτίβα διευθύνσεων URL.

Για να μπορούν οι δημιουργοί να έχουν πρόσβαση σε ορισμένα API (για παράδειγμα, μια υπηρεσία που επιστρέφει μια λίστα αργιών της εταιρείας), ρυθμίστε τις παραμέτρους πολλών κανόνων που ταξινομούν διαφορετικά μοτίβα διευθύνσεων URL στις επιχειρηματικές και μη επιχειρηματικές ομάδες δεδομένων. Βεβαιωθείτε ότι οι συνδέσεις χρησιμοποιούν πάντα το πρωτόκολλο HTTPS. Μάθετε περισσότερα σχετικά με την πολιτική DLP για προσαρμοσμένες συνδέσεις.

Ασφαλής ενοποίηση με το Exchange

Η σύνδεση Office 365 Outlook είναι μία από τις τυπικές συνδέσεις που δεν μπορούν να αποκλειστούν. Επιτρέπει στους δημιουργούς την αποστολή, τη διαγραφή και την απάντηση σε μηνύματα ηλεκτρονικού ταχυδρομείου στα γραμματοκιβώτια στα οποία έχει πρόσβαση. Ο κίνδυνος με αυτήν τη σύνδεση είναι επίσης μία από τις πιο ισχυρές δυνατότητες της, η δυνατότητα αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου. Για παράδειγμα, ένας δημιουργός ενδέχεται να δημιουργήσει μια ροή που στέλνει πολύ γρήγορα ένα μήνυμα ηλεκτρονικού ταχυδρομείου.

Ο διαχειριστής Exchange του οργανισμού σας μπορεί να ρυθμίσει κανόνες στο Exchange Server ώστε να αποτρέπει την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που στέλνονται από εφαρμογές. Επίσης, είναι δυνατό να αποκλείσετε συγκεκριμένες ροές ή εφαρμογές από τους κανόνες που έχουν ρυθμιστεί για τον αποκλεισμό εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μπορείτε να συνδυάσετε αυτούς τους κανόνες με μια λίστα επιτρεπόμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου, για να εξασφαλίσετε ότι το μήνυμα ηλεκτρονικού ταχυδρομείου από εφαρμογές και ροές μπορεί να αποσταλεί μόνο από μια μικρή ομάδα γραμματοκιβωτίων.

Όταν μια εφαρμογή ή μια ροή στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας τη σύνδεση Office 365 Outlook, εισάγει συγκεκριμένες κεφαλίδες SMTP στο μήνυμα. Μπορείτε να χρησιμοποιήσετε δεσμευμένες φράσεις στις κεφαλίδες για να προσδιορίσετε εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου προήλθε από μια ροή ή εφαρμογή.

Η κεφαλίδα SMTP που εισάγεται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο έχει αποσταλεί από μια ροή μοιάζει με το παρακάτω παράδειγμα:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b 

Λεπτομέρειες κεφαλίδας

Ο παρακάτω πίνακας περιγράφει τις τιμές που μπορούν να εμφανιστούν στην κεφαλίδα της εφαρμογής x-ms-mail ανάλογα με την υπηρεσία που χρησιμοποιείται:

Υπηρεσια Τιμή
Power Automate Microsoft Power Automate; Χρήστης-Εκπρόσωπος: azure-logic-apps/1.0 (workflow <GUID>; version <αριθμός έκδοσης>) microsoft-flow/1.0
Power Apps Microsoft Power Apps; Χρήστης-Εκπρόσωπος: PowerApps/ (; AppName= <όνομα εφαρμογής>)

Ο παρακάτω πίνακας περιγράφει τις τιμές που μπορούν να εμφανιστούν στην κεφαλίδα της εφαρμογής x-ms-mail-operation-type ανάλογα με την ενέργεια που εκτελείται:

Τιμή Περιγραφή
Απάντηση Για λειτουργίες απάντησης ηλεκτρονικού ταχυδρομείου
Εμπρός Για λειτουργίες προώθησης ηλεκτρονικού ταχυδρομείου
Αποστολή Για λειτουργίες αποστολής ηλεκτρονικού ταχυδρομείου συμπεριλαμβανομένων των SendEmailMailMailOptions και SendApprovalEmail

Η κεφαλίδα x-ms-mail-environment-id περιέχει την τιμή του αναγνωριστικού περιβάλλοντος. Η παρουσία αυτής της κεφαλίδας εξαρτάται από το προϊόν που χρησιμοποιείτε:

  • Στο Power Apps, είναι πάντα παρόν.
  • Στο Power Automate, υπάρχει μόνο σε συνδέσεις που έχουν δημιουργηθεί μετά τον Ιούλιο του 2020.
  • Στο Logic Apps, δεν υπάρχει ποτέ.

Πιθανοί κανόνες Exchange για το προεπιλεγμένο περιβάλλον

Ακολουθούν ορισμένες ενέργειες ηλεκτρονικού ταχυδρομείου που ενδέχεται να θέλετε να αποκλείσετε χρησιμοποιώντας κανόνες του Exchange.

  • Αποκλεισμός των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου σε εξωτερικούς παραλήπτες: Αποκλεισμός όλων των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε εξωτερικούς παραλήπτες από το Power Automate και το Power Apps. Αυτός ο κανόνας αποτρέπει τους δημιουργούς από την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου σε συνεργάτες, προμηθευτές ή πελάτες από τις εφαρμογές ή τις ροές τους.

  • Αποκλεισμός εξερχόμενης προώθησης: Αποκλεισμός όλων των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου που προωθούνται σε εξωτερικούς παραλήπτες από το Power Automate και το Power Apps όπου ο αποστολέας δεν προέρχεται από μια επιτρεπόμενη λίστα γραμματοκιβωτίων. Αυτός ο κανόνας αποτρέπει τους δημιουργούς να δημιουργήσουν μια ροή που προωθεί αυτόματα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου σε έναν εξωτερικό παραλήπτη.

Εξαιρέσεις που πρέπει να εξετάσετε με τους κανόνες αποκλεισμού μηνυμάτων ηλεκτρονικού ταχυδρομείου

Ακολουθούν ορισμένες πιθανές εξαιρέσεις στους κανόνες του Exchange για αποκλεισμό του ηλεκτρονικού ταχυδρομείου για προσθήκη ευελιξίας:

  • Εξαίρεση συγκεκριμένων εφαρμογών και ροών: Προσθέστε μια λίστα εξαιρέσεων στους κανόνες που προτάθηκαν νωρίτερα, ώστε οι εγκεκριμένες εφαρμογές ή ροές να μπορούν να στέλνουν μήνυμα ηλεκτρονικού ταχυδρομείου σε εξωτερικούς παραλήπτες.

  • Λίστα επιτρεπομένων σε επίπεδο οργανισμού: Σε αυτό το σενάριο, είναι λογικό να μεταφέρετε τη λύση σε ένα αποκλειστικό περιβάλλον. Εάν διάφορες ροές στο περιβάλλον πρέπει να στείλουν εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου, μπορείτε να δημιουργήσετε έναν γενικό κανόνα εξαίρεσης για να επιτρέπονται εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου από το εν λόγω περιβάλλον. Η άδεια του δημιουργού και του διαχειριστή σε αυτό το περιβάλλον πρέπει να ελέγχονται και να περιορίζονται με αποτελεσματικό τρόπο.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των κατάλληλων κανόνων εξαγωγής για Power Platform σχετική κίνηση ηλεκτρονικού ταχυδρομείου, μεταβείτε στο θέμα Στοιχεία ελέγχου εξαγωγής ηλεκτρονικού ταχυδρομείου για συνδέσεις.

Εφαρμογή απομόνωσης μεταξύ μισθωτών

Το Power Platform έχει ένα σύστημα συνδέσεων που βασίζεται στο Microsoft Entra που επιτρέπει σε εξουσιοδοτημένους χρήστες του Microsoft Entra να συνδέουν εφαρμογές και ροές σε χώρους αποθήκευσης δεδομένων. Η απομόνωση μισθωτή διέπει την κυκλοφορία δεδομένων από εξουσιοδοτημένες προελεύσεις δεδομένων Microsoft Entra προς και από τον μισθωτή τους.

Η απομόνωση μισθωτή εφαρμόζεται σε επίπεδο μισθωτή και επηρεάζει όλα τα περιβάλλοντα του μισθωτή, συμπεριλαμβανομένου του προεπιλεγμένου περιβάλλοντος. Καθώς όλοι οι υπάλληλοι είναι δημιουργοί στο προεπιλεγμένο περιβάλλον, η ρύθμιση των παραμέτρων μιας ισχυρής πολιτικής απομόνωσης μισθωτή είναι πολύ σημαντική για την προστασία του περιβάλλοντος. Συνιστούμε να ρυθμίσετε ρητά τις παραμέτρους των μισθωτών στους οποίους μπορούν να συνδεθούν οι υπάλληλοί σας. Όλοι οι άλλοι μισθωτές πρέπει να καλύπτονται από προεπιλεγμένους κανόνες που αποκλείουν τόσο την εισερχόμενη όσο και την εξερχόμενη ροή δεδομένων.

Η Power Platform απομόνωση μισθωτή είναι διαφορετική από τον περιορισμό Microsoft Entra ID μισθωτή για όλα τα δεδομένα. Δεν επηρεάζει την πρόσβαση που βασίζεται στο Microsoft Entra ID εκτός του Power Platform. Λειτουργεί μόνο για συνδέσεις με χρήση του ελέγχου ταυτότητας με βάση το Microsoft Entra ID, όπως οι συνδέσεις Office 365 Outlook και SharePoint.

Δείτε επίσης

Περιορισμός εισερχόμενης και εξερχόμενης πρόσβασης μεταξύ μισθωτών (έκδοση προεπισκόπησης)

Λήψη-PowerAppTenantIsolationPolicy (Microsoft.PowerApps. Διοίκηση.PowerShell)