Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Każdy pracownik w Twojej organizacji ma dostęp do środowiska domyślnego platformy Power Platform. Jako administrator Power Platform musisz rozważyć sposoby zabezpieczenia tego środowiska, jednocześnie zachowując dostęp do informacji na temat produktywności osobistej twórców.
Przypisywanie uzasadnionych ról administratora
Zastanów się, czy administratorzy muszą mieć rolę administratora Power Platform. Czy rola administrator administratora lub administratora systemu byłaby odpowiedniejsza? Ogranicz bardziej zaawansowaną rolę administratora Power Platform do zaledwie kilku użytkowników. Dowiedz się więcej o administrowaniu Power Platform środowiskami.
Unikaj stałego dostępu, korzystając z funkcji just in time (JIT) dostawcy tożsamości. W sytuacjach wymagających natychmiastowej reakcji, należy postępować zgodnie z awaryjnym procesem dostępu. Użyj Privileged Identity Management (PIM), funkcji identyfikatora tożsamość Microsoft Entra, aby zarządzać, kontrolować i monitorować użycie tych ról o wysokim poziomie uprawnień.
Zapoznaj się z tematem Konfigurowanie zarządzania tożsamościami i dostępem, aby uzyskać więcej zaleceń.
Komunikowanie zamiaru
Jednym z kluczowych problemów zespołu Centrum doskonałości (CoE) platformy Power Platform jest przekazanie informacji o planowanych zastosowaniach środowiska domyślnego. Oto kilka rekomendacji.
Zmienianie nazwy środowiska domyślnego
Środowisko domyślne jest tworzone z następującą nazwą TenantName (domyślnie). Aby jasno określić intencje środowiska zmień nazwę na bardziej opisową, na przykład Personal Productivity Environment.
Skonfiguruj treść powitalną dla twórców
Skonfiguruj dostosowaną wiadomość powitalną, aby pomóc twórcom zacząć korzystać z usług Power Apps oraz Copilot Studio. Komunikat powitalny zastępuje domyślną pomoc dla twórców aplikacji Power Apps wyświetlaną przy pierwszym uruchomieniu. Skorzystaj z okazji, aby podzielić się założeniami środowiska domyślnego ze wszystkimi twórcami, gdy tylko znajdą się w środowisku domyślnym.
Użyj koncentratora Power Platform
Centrum platformy Microsoft Power Platform to szablon witryny komunikacji programu SharePoint. Stanowi punkt wyjścia dla centralnego źródła informacji dla twórców na temat korzystania z platformy Power Platform w Twojej organizacji. Startowe szablony zawartości i stron ułatwiają oferowanie twórcom informacji, takich jak:
- Przypadki użycia dla produktywności osobistej
- Informacje na temat:
- Jak kompilować aplikacje i przepływy
- Gdzie kompilować aplikacje i przepływy
- Jak skontaktować się z zespołem pomocy technicznej Centrum doskonałości
- Reguły dotyczące integrowania z usługami zewnętrznymi
W tym celu warto dodać linki do innych zasobów wewnętrznych, które mogą być pomocne dla twórców.
Włączanie środowisk zarządzanych
Utrzymuj niezawodne zabezpieczenia i nadzór, korzystając z funkcji środowiska zarządzanego w środowisku domyślnym. Funkcje środowiska zarządzanego zapewniają zaawansowane możliwości, takie jak monitorowanie, zgodność i mechanizmy kontroli zabezpieczeń, które są ważne dla ochrony danych. Włączając tę funkcję, można skonfigurować limity udostępniania, uzyskać więcej szczegółowych informacji o użyciu, ograniczyć dostęp użytkowników do usługi Microsoft Dataverse tylko z dozwolonych lokalizacji IP i użyć strony akcji , aby uzyskać spersonalizowane zalecenia w celu zoptymalizowania środowiska. Oceń bieżące funkcje środowisk zarządzanych i bądź na bieżąco z planem rozwoju produktu, aby utrzymać bezpieczne, zgodne i dobrze zarządzane środowisko domyślne.
Zapobieganie nadmiernemu udostępnianiu
Power Platform została zaprojektowana jako platforma niskokodowa, która umożliwia użytkownikom szybkie tworzenie aplikacji i przepływów. Jednak ta łatwość obsługi może prowadzić do nadmiernego udostępniania aplikacji i przepływów, co może stanowić zagrożenie dla bezpieczeństwa.
Konfigurowanie limitów udostępniania
Aby zwiększyć bezpieczeństwo i zapobiec nadmiernemu udostępnianiu w domyślnym środowisku Power Platform, ogranicz zakres udostępniania przez użytkowników aplikacji kanwy, przepływów i agentów. Rozważ skonfigurowanie limitów udostępniania, aby zachować ściślejszą kontrolę nad dostępem. Takie limity zmniejszają ryzyko nieautoryzowanego użycia, nadmiernego udostępniania i nadmiernego użycia bez niezbędnych mechanizmów nadzoru. Wdrożenie limitów udostępniania pomaga chronić najważniejsze informacje, jednocześnie promując bezpieczniejsze i łatwiejsze w zarządzaniu środowisko udostępniania w ramach Power Platform.
Ograniczanie udostępniania wszystkim
Twórcy mogą udostępniać swoje aplikacje innym indywidualnym użytkownikom i grupom zabezpieczeń. Domyślnie udostępnianie całej organizacji lub wszystkim jest wyłączone. Rozważ użycie kontrolowanego procesu wokół powszechnie używanych aplikacji w celu wymuszenia zasad i wymagań. Na przykład:
- Zasady przeglądania zabezpieczeń
- Zasady przeglądania działania firmy
- Wymagania dotyczące zarządzania cyklem życia aplikacji (ALM)
- Wymagania dotyczące środowiska użytkownika i marki
Funkcja Udostępnij wszystkim jest domyślnie wyłączona w Power Platform. Zalecamy pozostawienie tego ustawienia wyłączonego, aby ograniczyć nadmierną ekspozycję aplikacji kanwy z niezamierzonymi użytkownikami. Grupa Wszyscy dla Twojej organizacji zawiera wszystkich użytkowników, którzy kiedykolwiek zalogowali się do Twojej dzierżawy, w tym gości i członków wewnętrznych. Dotyczy to nie tylko pracowników wewnętrznych Twojego najemcy. Ponadto członkostwa w grupie Wszyscy nie można edytować ani wyświetlać. Dowiedz się więcej o specjalnych grupach tożsamości.
Jeśli chcesz udostępnić aplikację wszystkim pracownikom wewnętrznym lub dużej grupie osób, rozważ użycie istniejącej grupy zabezpieczeń lub utworzenie grupy zabezpieczeń w celu udostępnienia aplikacji.
Gdy opcja Udostępnij wszystkim jest wyłączona, tylko Dynamics 365 administratorzy Power Platform, administratorzy i administratorzy globalni mogą udostępniać aplikację wszystkim użytkownikom w środowisku. Jeśli jesteś administratorem, możesz uruchomić następujące polecenie PowerShell, aby zezwolić na udostępnianie wszystkim użytkownikom Wszyscy:
Najpierw otwórz PowerShell jako administrator i zaloguj się na swoje konto Power Apps, uruchamiając następujące polecenie:
Add-PowerAppsAccountUruchom polecenie cmdlet Get-TenantSettings, aby uzyskać listę ustawień dzierżawcy organizacji jako obiektu.
Obiekt
powerPlatform.PowerAppsobejmuje trzy flagi:
Uruchom następujące polecenia PowerShell, aby uzyskać obiekt ustawień i ustawić zmienną
disableShareWithEveryonena$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseUruchom
Set-TenantSettingspolecenie cmdlet z obiektem settings, aby umożliwić twórcom udostępnianie swoich aplikacji wszystkim osobom w dzierżawie.Set-TenantSettings $settingsAby wyłączyć udostępnianie wszystkim, wykonaj te same czynności, ale ustaw
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Ustanawianie zasad danych
Innym sposobem zabezpieczenia środowiska domyślnego jest utworzenie dla niego zasad danych . Posiadanie zasad danych jest szczególnie ważne dla środowiska domyślnego, ponieważ wszyscy pracownicy w organizacji mają do niego dostęp. Oto kilka rekomendacji pomocnych w wymuszaniu zasad.
Dostosuj komunikat dotyczący zarządzania polityką danych
Dostosuj wyświetlany komunikat o błędzie, jeśli twórca utworzy aplikację naruszającą zasady danych organizacji. Przekieruj klienta do centrum organizacji Power Platform i podaj adres e-mail swojego zespołu CoE.
W miarę jak zespół COE uściśli zasady polityki danych, możesz przypadkowo uszkodzić niektóre aplikacje. Upewnij się, że komunikat o naruszeniu zasad danych zawiera dane kontaktowe lub link do dodatkowych informacji w celu zapewnienia przyszłości dla twórców.
Użyj następujących poleceń cmdlet PowerShell, aby dostosować komunikat dotyczący zasad ładu:
| Command | opis |
|---|---|
| Set-PowerAppDlpErrorSettings | Ustawienie wiadomości dotyczącej ładu |
| Set-PowerAppDlpErrorSettings | Aktualizowanie wiadomości dotyczącej ładu |
Blokowanie nowych łączników w środowisku domyślnym
Domyślnie wszystkie nowe łączniki są umieszczane w grupie niebiznesowej Twojej polityki dotyczącej danych. Zawsze możesz zmienić domyślną grupę na Biznes lub Zablokowane. W przypadku zasad danych, które są stosowane do środowiska domyślnego, zalecamy skonfigurowanie grupy Zablokowane jako domyślnej, aby upewnić się, że nowe łączniki pozostaną bezużyteczne do czasu przejrzenia ich przez jednego z administratorów.
Ograniczanie twórców do wstępnie utworzonych łączników
Ogranicz twórców do podstawowych, nieblokowalnych złączy, aby zablokować dostęp do innych złączy.
- Przenieś wszystkie łączniki, których nie można zablokować, do grupy danych biznesowych.
- Przenieś wszystkie łączniki, które można zablokować, do zablokowanej grupy danych.
Ograniczanie łączników niestandardowych
Łączniki niestandardowe integrują aplikację lub przepływ z utworzoną wewnętrznie usługą. Te usługi są przeznaczone do użytkowników technicznych, takich jak deweloperzy. Dobrym pomysłem jest ograniczenie zużycia interfejsów API zbudowanych przez organizację, które mogą być wywoływane z aplikacji lub przepływów w środowisku domyślnym. Aby zapobiec tworzeniu i używaniu łączników niestandardowych dla interfejsów API w środowisku domyślnym, należy utworzyć regułę blokującą wszystkie wzorce adresów URL.
Aby umożliwić twórcom dostęp do niektórych interfejsów API (na przykład usługi zwracającej listę dni wolnych od pracy w firmie), należy skonfigurować wiele reguł klasyfikowania różnych wzorców adresów URL w grupach danych biznesowych i niebiznesowych. Upewnij się, że połączenia zawsze korzystają z protokołu HTTPS. Dowiedz się więcej o zasadach danych dla łączników niestandardowych.
Zabezpieczanie integracji z programem Exchange
The Łącznik Office 365 Outlook to jeden ze standardowych łączników, którego nie można blokować. Umożliwia on twórcom wysyłanie i usuwanie wiadomości e-mail ze skrzynek pocztowych, do których mają dostęp, oraz odpowiadanie na nie. Ryzyko związane z tym łącznikiem to także jedna z najbardziej zaawansowanych możliwości — zdolność wysyłania wiadomości e-mail. Na przykład twórca może utworzyć przepływ, który wysyła rozsyłanie zachęcającej wiadomości e-mail do wielu odbiorców.
Administrator programu Exchange w Twojej organizacji może skonfigurować reguły na Exchange Server Server, aby zapobiec wysyłaniu wiadomości e-mail z aplikacji. Z reguł ustawionych tak, aby blokowały wychodzące wiadomości e-mail, można też wykluczyć określone przepływy lub aplikacje. Te reguły można połączyć z listą dozwolonych adresów e-mail, aby upewnić się, że wiadomości e-mail z aplikacji i przepływów mogą być wysyłane tylko z niewielkiej grupy skrzynek pocztowych.
Kiedy aplikacja lub przepływ wysyła wiadomość e-mail przy użyciu łącznika Office 365 Outlook, w wiadomości są wstawiane określone nagłówki SMTP. Możesz używać w nagłówkach zastrzeżonych fraz, aby identyfikować, czy wiadomość e-mail pochodziła z przepływu czy aplikacji.
Nagłówek SMTP wstawiony do wiadomości e-mail wysłanej z przepływu wygląda podobnie do poniższego przykładu:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Szczegóły nagłówka
x-ms-mail-application
W poniższej tabeli opisano wartości, które mogą pojawić w nagłówku x-ms-mail-application w zależności od użytej usługi.
| Service | Wartość |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (przepływ pracy <GUID>; wersja <numer wersji>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <nazwa aplikacji>) |
x-ms-mail-operation-type
W poniższej tabeli opisano wartości, które mogą pojawić w nagłówku x-ms-mail-operation-type w zależności od wykonywanej akcji.
| Wartość | Opis |
|---|---|
| Odpowiedź | Dla operacji odpowiadania na wiadomości e-mail |
| Do przodu | Dla operacji przekazywania wiadomości e-mail dalej |
| Wyślij | Dla operacji wysyłania wiadomości e-mail, w tym SendEmailWithOptions i SendApprovalEmail |
x-ms-mail-environment-id
Nagłówek x-ms-mail-environment-id zawiera wartość identyfikatora środowiska. Obecność tego nagłówka zależy od używanego produktu.
- W Power Apps jest zawsze obecny.
- W Power Automate jest obecny tylko w połączeniach utworzonych po lipcu 2020 r.
- W usłudze Logic Apps nie jest on nigdy obecny.
Potencjalne reguły programu Exchange dla środowiska domyślnego
Oto kilka akcji dotyczących poczty e-mail, które można zablokować przy użyciu reguł programu Exchange.
Blokowanie wychodzących wiadomości e-mail do adresatów zewnętrznych: Blokowanie wszystkich wychodzących wiadomości e-mail wysyłanych do zewnętrznych adresatów z usług Power Automate i Power Apps. Ta reguła uniemożliwia twórcom wysyłanie wiadomości e-mail do partnerów, dostawców lub klientów z ich aplikacji lub przepływów.
Blokowanie przekazywania wiadomości wychodzących: blokowanie wszystkich wychodzących wiadomości e-mail przekazywanych dalej do adresatów zewnętrznych z usług Power Automate i Power Apps, gdzie nadawca nie znajduje się na liście dozwolonych skrzynek pocztowych. Ta reguła uniemożliwia twórcom tworzenie przepływu, który automatycznie przesyła dalej przychodzące wiadomości e-mail do adresata zewnętrznego.
Wyjątki do rozważenia w przypadku reguł blokowania wiadomości e-mail
Oto kilka potencjalnych wyjątków od reguł programu Exchange w celu blokowania poczty e-mail, aby zapewnić elastyczność:
Wykluczanie określanych aplikacji i przepływów: dodaj listę wyjątków do proponowanych powyżej reguł, aby zatwierdzone aplikacje lub przepływy mogły wysyłać wiadomości e-mail do adresatów zewnętrznych.
Lista dozwolonych na poziomie organizacji: w tym scenariuszu ma sens przeniesienie rozwiązania do środowiska dedykowanego. Jeśli kilka przepływów w środowisku musi wysyłać wychodzące wiadomości e-mail, można utworzyć ogólną regułę wyjątku, która umożliwi wysyłanie wychodzących wiadomości e-mail z tego środowiska. Uprawnienia twórcy i administratora w tym środowisku muszą być dokładnie kontrolowane i ograniczane.
Dowiedz się więcej o tym, jak skonfigurować odpowiednie reguły eksfiltracji dla powiązanego Power Platform ruchu e-mail.
Stosowanie izolacji w zakresie wielu dzierżawców
Platforma Power Platform ma system łączników opartych na usłudze Microsoft Entra umożliwiają autoryzowanym użytkownikom usługi Microsoft Entra w celu łączenia aplikacji i przepływów z magazynami danych. Izolacja dzierżawy zarządza przepływem danych z autoryzowanych źródeł danych Microsoft Entra do i z ich dzierżawców.
Izolacja dzierżawy jest stosowane na poziomie dzierżawcy i wpływa na wszystkie środowiska dzierżawcy, w tym także środowisko domyślne. Ponieważ wszyscy pracownicy znajdują się w środowisku domyślnym, skonfigurowanie niezawodnych zasad izolacji dzierżawy ma krytyczne znaczenie dla zabezpieczania środowiska. Zalecamy jawne skonfigurowanie dzierżaw, z którymi pracownicy mogą się łączyć. Wszyscy inni dzierżawcy powinni być objęci regułami domyślnymi, które blokują przychodzący i wychodzący przepływ danych.
Izolacja dzierżawy Power Platform różni się od ograniczeń dzierżawy obejmujących cały identyfikator Tożsamości Microsoft Entra. Nie ma to wpływu na dostęp oparty na identyfikatorze Tożsamość Microsoft Entra poza platformą Power Platform. Dotyczy tylko łączników korzystających z uwierzytelniania opartego na identyfikatorze Tożsamość Microsoft Entra, takich jak łączniki Office 365 Outlook i SharePoint.
Więcej informacji:
- Ograniczenia przychodzące i wychodzące między dzierżawcami
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Następne kroki
Zapoznaj się ze szczegółowymi artykułami z tej serii, aby jeszcze bardziej ulepszyć pozycję bezpieczeństwa:
- Wykrywanie zagrożeń dla organizacji
- Ustanawianie mechanizmów kontroli ochrony danych i prywatności
- Implementowanie strategii zasad danych
- Konfigurowanie zarządzania tożsamościami i dostępem
- Spełnianie wymagań dotyczących zgodności.
Po przejrzeniu artykułów przejrzyj listę kontrolną zabezpieczeń, aby upewnić się, że wdrożenia Power Platform są niezawodne, odporne i zgodne z najlepszymi praktykami.