Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chaque employé de votre organisation a accès à l'environnement Power Platform par défaut. En tant qu’administrateur Power Platform, vous devez envisager des moyens de sécuriser cet environnement tout en le gardant accessible pour les utilisations de productivité personnelles des créateurs.
Attribuer judicieusement des rôles administrateur
Déterminez si vos administrateurs doivent bénéficier du rôle d’administrateur Power Platform. Le rôle d’administrateur d’environnement ou d’administrateur système serait-il plus approprié ? Limitez le rôle d’administrateur Power Platform, plus puissant, à quelques utilisateurs seulement. En savoir plus sur l’administration des environnements Power Platform.
Évitez l’accès permanent en utilisant les fonctionnalités juste-à-temps (JIT) de votre fournisseur d’identité. En cas de bris de vitre, suivez un processus d’accès d’urgence. Utilisez la Privileged Identity Management (PIM), une fonctionnalité de Microsoft Entra ID, pour gérer, contrôler et surveiller l’utilisation de ces rôles à privilèges élevés.
Consultez Configurer la gestion des identités et des accès pour obtenir d'autres recommandations.
Communiquer l’intention
L’un des principaux défis pour l’équipe du Center of Excellence (CoE) Power Platform est de communiquer les utilisations prévues de l’environnement par défaut. Voici quelques recommandations.
Renommer l’environnement par défaut
L’environnement par défaut est créé avec le nom : TenantName (par défaut). Pour rappeler clairement l'intention de l'environnement, changez le nom en un nom plus descriptif, tel que Environnement de productivité personnelle.
Configurer le contenu d’accueil du créateur
Configurez un message d’accueil personnalisé pour aider les créateurs à démarrer avec Power Apps et Copilot Studio. Le message d'accueil remplace l’expérience d’aide initiale Power Apps par défaut pour les créateurs. Profitez-en pour partager l’intention de l’environnement par défaut avec tous les créateurs dès qu’ils atterrissent dans l’environnement par défaut.
Utiliser le centre Power Platform
Le Centre Microsoft Power Platform est un modèle de site de communication SharePoint. Il fournit un point de départ à une source centrale d’informations pour les décideurs concernant l’utilisation de Power Platform. Le contenu de démarrage et les modèles de page permettent d’offrir facilement aux créateurs des informations telles que :
- Cas d’utilisation de la productivité personnelle
- Informations sur :
- Comment créer des applications et des flux ?
- Où créer des applications et des flux ?
- Comment contacter l’équipe du support technique du CoE ?
- Règles relatives à l’intégration avec des services externes
Ajoutez des liens vers toute autre ressource interne que vos créateurs pourraient trouver utile.
Activer les environnements gérés
Maintenez une sécurité et une gouvernance robustes en utilisant les fonctionnalités de l’environnement géré dans l’environnement par défaut. Les caractéristiques d’environnement géré fournissent des fonctionnalités avancées, telles que la surveillance, la conformité et les contrôles de sécurité, qui sont importantes pour la protection de vos données. En activant cette fonctionnalité, vous pouvez configurer des limites de partage, obtenir plus d’insights sur l’utilisation, limiter l’accès utilisateur à Microsoft Dataverse à partir des emplacements IP autorisés et utiliser la page actions pour obtenir des recommandations personnalisées pour optimiser l’environnement. Évaluez les fonctionnalités actuelles des environnements gérés et tenez-vous au courant de la feuille de route du produit pour maintenir un environnement par défaut sécurisé, conforme et bien gouverné.
Empêcher le partage excessif
Power Platform est conçu pour être une plateforme low-code qui permet aux utilisateurs de créer rapidement des applications et des flux. Cependant, cette facilité d’utilisation peut entraîner un partage excessif des applications et des flux, ce qui peut présenter des risques pour la sécurité.
Configurer les limites de partage
Pour renforcer la sécurité et éviter le partage excessif dans l'environnement par défaut de Power Platform, limitez la portée avec laquelle les utilisateurs peuvent partager des applications, des flux et des agents canevas. Envisagez de configurer des limites de partage afin de maintenir un contrôle plus strict sur l’accès. De telles limites réduisent le risque d’utilisation non autorisée, de partage excessif et de surutilisation sans contrôles de gouvernance nécessaires. La mise en place de limites de partage permet de protéger les informations critiques, tout en favorisant un cadre de partage plus sûr et plus facile à gérer au sein de Power Platform.
Limitez le partage avec tout le monde
Les créateurs peuvent partager leurs applications avec d’autres utilisateurs et groupes de sécurité. Par défaut, le partage avec l’ensemble de votre organisation, ou Tout le monde, est désactivé. Envisagez d’utiliser un processus fermé autour d’applications largement utilisées pour appliquer des stratégies et des exigences. Par exemple :
- Stratégie de révision de la sécurité
- Stratégie d’examen de l’entreprise
- Exigences de la gestion du cycle de vie des applications (ALM)
- Exigences en matière d’expérience utilisateur et de personnalisation
La fonctionnalité Partager avec tout le monde est désactivée par défaut dans Power Platform. Nous vous recommandons de garder ce paramètre désactivé pour limiter la surexposition des applications canevas avec des utilisateurs non prévus. Le groupe Tout le monde de votre organisation contient tous les utilisateurs qui se sont déjà connectés à votre client, y compris les invités et les membres internes. Il n’inclut pas uniquement les employés internes de votre client. De plus, l’appartenance au groupe Tout le monde ne peut être ni modifiée ni affichée. En savoir plus sur les groupes d'identités spéciales.
Si vous souhaitez partager avec tous les employés internes ou un grand groupe de personnes, envisagez d’utiliser un groupe de sécurité existant ou de créer un groupe de sécurité pour partager votre application.
Lorsque Partager avec tout le monde est désactivé, seuls les administrateurs Dynamics 365, les administrateurs Power Platform et les administrateurs généraux peuvent partager une application avec tout le monde dans l’environnement. Si vous êtes un administrateur, vous pouvez exécuter la commande PowerShell suivante pour autoriser le partage avec tout le monde :
Tout d’abord, ouvrez PowerShell en tant qu’administrateur et connectez-vous à votre compte Power Apps en exécutant cette commande :
Add-PowerAppsAccountExécutez l’applet de commande Get-TenantSettings pour récupérer la liste des paramètres de client pour votre organisation en tant qu’objet.
L’objet
powerPlatform.PowerAppscomprend trois indicateurs :
Exécutez les commandes PowerShell suivantes pour obtenir l’objet de paramètres et définissez la variable
disableShareWithEveryonesur$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseExécutez l’applet de commande
Set-TenantSettingsavec l’objet des paramètres pour autoriser les créateurs à partager leurs applications avec tout le monde dans le locataire.Set-TenantSettings $settingsPour désactiver le partage avec Tout le monde, suivez les mêmes étapes, mais définissez
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Établir une stratégie de données
Une autre façon de sécuriser l’environnement par défaut consiste à créer une stratégie de données pour celle-ci. La mise en place d’une stratégie de données est particulièrement essentielle pour l’environnement par défaut, car tous les employés de votre organisation y ont accès. Voici quelques recommandations pour vous aider à appliquer la stratégie.
Personnaliser le message de gouvernance de la stratégie de données
Personnalisez le message d’erreur affiché si un créateur crée une application qui enfreint la stratégie de données de votre organisation. Dirigez le fabricant vers le centre Power Platform de votre organisation et fournissez l’adresse électronique de votre équipe CoE.
À mesure que l’équipe CoE affine la stratégie de données au fil du temps, vous pouvez interrompre par inadvertance certaines applications. Assurez-vous que le message de violation de politique des données contient des coordonnées ou un lien vers plus d’informations afin de proposer une solution aux fabricants.
Utilisez les applets de commande PowerShell suivantes pour personnaliser le message de la stratégie de gouvernance :
| Command | Description |
|---|---|
| Set-PowerAppDlpErrorSettings | Définir le message de gouvernance |
| Set-PowerAppDlpErrorSettings | Mettre à jour le message de gouvernance |
Bloquer les nouveaux connecteurs dans l’environnement par défaut
Par défaut, tous les nouveaux connecteurs sont placés dans le groupe non professionnel de votre stratégie de données. Vous pouvez toujours modifier le groupe par défaut en Métier ou Bloqué. Pour une stratégie de données appliquée à l’environnement par défaut, nous vous recommandons de configurer le groupe bloqué comme groupe bloqué par défaut pour vous assurer que les nouveaux connecteurs restent inutilisables tant qu’ils n’ont pas été examinés par l’un de vos administrateurs.
Limiter les fabricants aux connecteurs prédéfinis
Limitez les créateurs aux connecteurs de base non blocables pour bloquer l’accès à d’autres connecteurs.
- Déplacez tous les connecteurs qui ne peuvent pas être bloqués vers le groupe de données commerciales.
- Déplacez tous les connecteurs qui peuvent être bloqués vers le groupe de données bloquées.
Limiter les connecteurs personnalisés
Les connecteurs personnalisés intègrent une application ou un flux avec un service développé en interne. Ces services sont destinés aux utilisateurs techniques comme les développeurs. Il est préférable de réduire l’empreinte des API (créées par l’organisation) qui peuvent être appelées à partir d’applications ou de flux dans l’environnement par défaut. Pour vous assurer que les créateurs ne peuvent pas créer et utiliser des connecteurs personnalisés pour les API dans l’environnement par défaut, créez une règle pour bloquer tous les modèles d’URL.
Pour permettre aux créateurs d’accéder à certaines API (par exemple, un service qui renvoie une liste des jours fériés de l’entreprise), configurez plusieurs règles qui classent différents modèles d’URL dans les groupes de données professionnelles et non professionnelles. Assurez-vous que les connexions utilisent toujours le protocole HTTPS. En savoir plus sur les stratégies de données pour les connecteurs personnalisés.
Sécuriser l’intégration avec Exchange
Le connecteur Office 365 Outlook est l’un des connecteurs standard qui ne peuvent pas être bloqués. Ce connecteur permet à un employé d’envoyer, de supprimer et de répondre à des messages électroniques dans les boîtes aux lettres auxquelles il a accès. Le risque avec ce connecteur est également l’une de ses capacités les plus puissantes : la possibilité d’envoyer un courrier électronique. Par exemple, un créateur peut créer un flux qui envoie une explosion d’e-mails.
L’administrateur Exchange de votre organisation peut configurer des règles sur Exchange Server pour empêcher l’envoi de courriers électroniques à partir d’applications. Il est également possible d’exclure des flux ou des applications spécifiques des règles définies pour bloquer les courriers électroniques sortants. Vous pouvez combiner ces règles avec une « liste autorisée » d’adresses e-mail pour vous assurer que les courriers électroniques des applications et des flux ne peuvent être envoyés qu’à partir d’un petit groupe de boîtes aux lettres.
Chaque fois qu’une application ou un flux envoie un courrier électronique via le connecteur Office 365 Outlook, il insère des en-têtes SMTP spécifiques dans le courrier électronique. Vous pouvez utiliser les phrases réservées dans les en-têtes qui peuvent être utilisées pour identifier si le courrier électronique provient d’un flux ou d’une application.
L’en-tête SMTP inséré dans un courrier électronique envoyé à partir d’un flux ressemble à l’exemple suivant :
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Détails de l’en-tête
x-ms-mail-application
La table suivante décrit les valeurs qui peuvent s’afficher dans l’en-tête x-ms-mail-application selon le service utilisé.
| Service | Valeur |
|---|---|
| Power Automate | Microsoft Power Automate ; User-Agent: azure-logic-apps/1.0 (workflow <GUID> ; version <numéro de version>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps ; User-Agent: PowerApps/ (; AppName= <app name>) |
x-ms-mail-operation-type
La table suivante décrit les valeurs qui peuvent s’afficher dans l’en-tête x-ms-mail-operation-type en fonction de l’action en cours d’exécution.
| Valeur | Description |
|---|---|
| Réponse | Pour les opérations de réponses aux courriers électroniques |
| Transférer | Pour les opérations de transfert de courriers électroniques |
| Envoi | Pour les opérations d’envoi de courriers électroniques, notamment SendEmailWithOptions et SendApprovalEmail |
x-ms-mail-environment-id
L’en-tête x-ms-mail-environment-id contient la valeur de l’ID d’environnement. La présence de cet en-tête dépend du produit que vous utilisez.
- Dans Power Apps, il est toujours présent.
- Dans Power Automate, il n’est présent que dans les connexions créées après juillet 2020.
- Dans Logic Apps, il n’est jamais présent.
Règles Exchange possibles pour l’environnement par défaut
Voici quelques actions de courrier électronique que vous pourriez vouloir bloquer à l’aide des règles Exchange.
Bloquer les e-mails sortants vers des destinataires externes : bloquez tous les e-mails sortants envoyés à des destinataires externes depuis Power Automate et Power Apps. Cette règle empêche les créateurs d’envoyer des e-mails aux partenaires, fournisseurs ou clients à partir de leurs applications ou flux.
Bloquer tous les courriers électroniques sortants : bloquez tous les courriers électroniques sortants transférés à des destinataires externes depuis Power Automate et Power Apps dont l’expéditeur ne figure pas dans une liste autorisée de boîtes aux lettres. Cette règle évite que les créateurs génèrent un flux qui transfère automatiquement les courriers électroniques entrants vers un destinataire externe.
Exceptions à prendre en compte avec les règles de blocage des courriers électroniques
Voici quelques exceptions possibles aux règles Exchange pour bloquer les courriers électroniques afin d’ajouter de la flexibilité :
Exempter des applications et flux spécifiques : ajoutez une liste d’exemptions aux règles suggérées précédemment afin que les applications ou les flux approuvés puissent envoyer des courriers électroniques à des destinataires externes.
Liste d’autorisation au niveau de l’organisation : dans ce scénario, il est logique de déplacer la solution dans un environnement dédié. Si plusieurs flux de l’environnement doivent envoyer des courriers électroniques sortants, vous pouvez créer une règle d’exception générale pour autoriser les courriers électroniques sortants de cet environnement. L’autorisation de créateur et d’administrateur sur cet environnement doit être étroitement contrôlée et limitée.
En savoir plus sur la configuration des règles d’exfiltration appropriées pour le trafic d'e-mails liés à Power Platform.
Appliquer l’isolation entre les clients
Power Platform dispose d’un système de connecteurs basé sur Microsoft Entra qui permet aux utilisateurs Microsoft Entra autorisés de connecter des applications et des flux à des magasins de données. L’isolation du client régit le mouvement des données depuis des sources de données autorisées Microsoft Entra vers et depuis leur client.
L’isolation du client est appliquée au niveau du client et a un impact sur tous les environnements du client, y compris l’environnement par défaut. Étant donné que tous les employés sont des créateurs dans l’environnement par défaut, la configuration d’une stratégie robuste d’isolation du client est critique pour sécuriser l’environnement. Nous vous recommandons de configurer explicitement les clients auxquels vos employés peuvent se connecter. Tous les autres clients doivent être couverts par des règles par défaut qui bloquent les flux de données entrants et sortants.
L’isolement client de Power Platform est différent de la restriction du client au niveau des ID de Microsoft Entra. Cela n’a pas d’impact sur l’accès basé sur ID de Microsoft Entra en dehors de Power Platform. Cela s’applique uniquement aux connecteurs qui utilisent l'authentification basée sur ID de Microsoft Entra, comme les connecteurs Office 365 Outlook et SharePoint.
En savoir plus :
- Restrictions d'accès entrants et sortants entre clients
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Étapes suivantes
Consultez les articles détaillés de cette série pour améliorer votre posture de sécurité :
- Détecter les menaces qui pèsent sur votre organisation
- Établir des contrôles de protection des données et de confidentialité
- Implémenter une stratégie de stratégie de données
- Configurer la gestion des identités et des accès
- Répondre aux exigences de conformité
Après avoir passé en revue les articles, consultez la liste de contrôle de sécurité pour garantir que les déploiements Power Platform sont robustes, résilients et conformes aux meilleures pratiques.