共用方式為

保全預設的環境

您組織中的每位員工都可以存取預設 Power Platform 環境。 身為 Power Platform 管理員,您必須考慮該環境安全的保護方式,同時保持製作者個人生產力用途的存取便利性。

審慎指派管理員角色

考慮您的管理員是否需要擁有 Power Platform 管理員角色。 更合適的是環境管理員角色還是系統管理員角色? 將功能更強大的 Power Platform 管理員角色限制為只有少數使用者。 深入了解管理 Power Platform 環境

透過使用識別提供者的即時 (JIT) 功能來避免永久或常駐存取。 如果出現意外狀況,請遵循緊急存取流程。 使用 Privileged Identity Management (PIM) (Microsoft Entra ID 的一項功能) 來管理、控制和監視這些高權限角色的使用。

查看設定身分識別和存取權管理以取得更多建議。

傳達意圖

Power Platform 卓越中心 (CoE) 團隊的其中一個主要挑戰是,傳達預設環境的預期用途。 以下是一些建議。

重新命名預設環境

預設環境以名稱 TenantName (預設) 來建立。 為了清楚地表達環境的意圖,請將名稱變更為更具描述性的名稱,例如個人生產力環境

設定製作者歡迎內容

設定自訂的歡迎訊息,以協助製作者開始使用 Power Apps 和 Copilot Studio。 歡迎訊息取代建立者的預設 Power Apps 初次說明體驗。 藉此機會,在所有製作者進入預設環境後立即與他們分享預設環境的意圖。

使用 Power Platform 中樞

Microsoft Power Platform 中樞是 SharePoint 通訊網站範本。 為製作者提供有關組織使用 Power Platform 情況的集中資訊來源起點。 入門內容和頁面範本可讓您輕鬆提供以下製作者資訊:

  • 個人生產力使用案例
  • 相關資訊:
    • 應用程式與流程的建置方式
    • 建置應用程式與流程所在的位置
    • 與 CoE 支援小組的聯繫方式
  • 與外部服務整合的相關規則

將連結新增至任何其他可能對製作者有幫助的內部資源。

啟用受控環境

透過利用預設環境中的受控環境功能來維持強大的安全性和治理。 受控環境功能提供進階功能,例如對於保護資料非常重要的監控、合規性和安全控制。 透過啟用此功能,您可以設定 共用限制、取得更多 使用情況深入解析、限制使用者僅從允許的 IP 位置存取 Microsoft Dataverse ,以及使用 動作頁面 取得個人化建議以最佳化環境。 評估目前受控環境的功能並隨時了解產品路線圖,以維護安全、合規且管理良好的預設環境。

防止過度分享

Power Platform 已設計為低程式碼平台,讓使用者可以快速建立應用程式和流程。 然而,這種易用性可能會導致應用程式和流程的過度共用,從而帶來安全風險。

設定共用限制

為了增強安全性並防止在 Power Platform 的預設環境中過度共用,請限制使用者共用畫布應用程式、流程和 Agent 的範圍。 考慮設定共用限制以保持對存取的更嚴格控制。 這些限制降低了未經授權使用、過度共用和沒有必要的治理控制的過度使用的風險。 實作共用限制有助於保護關鍵訊息,同時在 Power Platform 中促進更安全且易於管理的共用架構。

限制與所有人共用

製作者可以與其他個人使用者和安全性群組共用他們的應用程式。 預設情況下,停用與整個組織或每個人的共用。 考慮在廣泛使用的應用程式周圍使用門控流程來執行原則和要求。 例如:

  • 安全性審查原則
  • 商務審查原則
  • 應用程式生命週期管理 (ALM) 要求
  • 使用者體驗和商標需求

Power Platform 中預設停用與所有人共用功能。 我們建議您保持停用此設定,以限制畫布應用程式與非預期使用者的過度接觸。 您組織的所有人群組包含曾經登入您的租用戶的所有使用者,其中包括來賓和內部成員。 它不僅包括租用戶內的內部員工。 此外,無法編輯或檢視所有人群組的成員資格。 了解更多有關特殊身分群組的資訊。

如果您想與所有內部員工或一大群人共用,請考慮使用現有的安全性群組或建立安全性群組來共用您的應用程式。

關閉與所有人共用時,只有 Dynamics 365 管理員、Power Platform 管理員和全域管理員可以與環境中的所有人共用應用程式。 如果您是管理員,您可以執行以下 PowerShell 命令以允許與所有人共用:

  1. 首先,以管理員身分開啟 PowerShell,然後透過執行以下命令登入您的 Power Apps 帳戶:

    Add-PowerAppsAccount

  2. 執行 Get-TenantSettings Cmdlet,以取得您組織的租用戶設定清單當做物件。

    powerPlatform.PowerApps 物件包含三個旗標:

    $settings.powerPlatform.PowerApps 物件中三個旗標的螢幕擷取畫面。

  3. 執行以下 PowerShell 命令來取得設定物件並將變數 disableShareWithEveryone 設定為 $false

    $settings=Get-TenantSettings 
$settings.powerPlatform.powerApps.disableShareWithEveryone=$false

  4. 使用設定物件執行 Set-TenantSettings cmdlet,以允許製作者與租用戶中的每個人共用他們的應用程式。

      Set-TenantSettings $settings

    若要停用與所有人共用,請執行相同的步驟,但設定 $settings.powerPlatform.powerApps.disableShareWithEveryone = $true

建立資料原則

保護預設環境的另一種方法是為其 建立資料原則 。 對於預設環境而言,制定資料原則尤其重要,因為組織中的所有員工都可以存取它。 以下是一些協助您強制執行原則的建議。

自訂資料原則控管訊息

自訂製作者建立的應用程式違反組織資料原則時所顯示的錯誤訊息。 將製作者引導至組織的 Power Platform 中樞,並提供 CoE 團隊的電子郵件地址。

隨著 CoE 團隊隨著時間的推移而完善資料政策,您可能會無意中破壞某些應用程式。 請確定資料原則違規訊息包含連絡人詳細資料或更多資訊的連結,為製作者提供前進的方向。

使用下列 PowerShell Cmdlet 來自訂治理原則訊息

Command 描述:
Set-PowerAppDlpErrorSettings 設定治理訊息
Set-PowerAppDlpErrorSettings 更新治理訊息

在預設環境中封鎖新的連接器

根據預設,所有新連接器都會放置在資料原則的非商務群組中。 您可以隨時將預設群組變更為「業務」或「封鎖」。 對於套用至預設環境的資料原則,建議您將 [已封鎖] 群組設定為預設群組,以確保新的連接器在其中一位管理員檢閱之前仍無法使用。

將製作者限制在預建連接器

將製作者限制為使用基本的、不可禁止的連接器,以禁止對其他連接器的存取。

  • 將所有無法封鎖的連接器移至商務資料群組。
  • 將所有可以封鎖的連接器移至封鎖的資料群組中。

限制自訂連接器

自訂連接器可將應用程式或流程與自家製作的服務整合在一起。 這些服務適用於開發人員等技術使用者。 最好減少組織所建置可從預設環境中應用程式或流程叫用之 API 的磁碟使用量。 若要防止製作者在預設環境中為 API 建立和使用自訂連接器,請建立規則來封鎖所有 URL 模式。

若要允許製作者存取某些 API (例如,傳回公司假日清單的服務),請設定多個規則,將不同的 URL 模式分類為商務和非商務資料群組。 確定連線一律使用 HTTPS 通訊協定。 深入瞭解 自訂連接器的資料原則

保護與 Exchange 整合的安全

Office 365 Outlook 連接器是其中一個無法封鎖的標準連接器。 這允許製作者傳送、刪除和回覆他們有權存取之信箱中的電子郵件訊息。 此連接器的風險也是其最強大的功能之一:傳送電子郵件的功能。 例如,製作者可能會建立傳送大量電子郵件的流程。

您組織的 Exchange 系統管理員可以在 Exchange Server 上設定規則,以防電子郵件從應用程式傳送。 也可以從規則設定中排除特定的流程或應用程式,以封鎖寄出的電子郵件。 您可以將這些規則與電子郵件地址的允許清單結合,確保只能透過一小組信箱來傳送從應用程式和流程傳出的電子郵件。

當應用程式或流程使用 Office 365 Outlook 連接器傳送電子郵件時,連接器會在訊息中插入特定 SMTP 標頭。 您可在這些標頭中使用保留片語,以識別電子郵件是源自流程還是應用程式。

從流程傳送的電子郵件中插入的 SMTP 標頭類似於以下範例:

 x-ms-mail-application: Microsoft Power Automate; 
 User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
 x-ms-mail-operation-type: Send
 x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b

標頭詳細資料

x-ms-郵件應用程式

下表描述了根據所使用的服務可能出現在 x-ms-mail-application 標頭中的值。

Service Value
Power Automate Microsoft Power Automate;使用者代理程式:azure-logic-apps/1.0 (工作流程 <GUID>;版本 <version number>) microsoft-flow/1.0
Power Apps Microsoft Power Apps;使用者代理程式:PowerApps/ (; AppName= <應用程式名稱>)

x-ms-mail-作業類型

下表描述了根據所執行的作業可能出現在 x-ms-mail-operation-type 標頭中的值。

Value 描述:
回覆 用於回覆電子郵件作業
下一步 用於轉寄電子郵件作業
傳送 用於傳送電子郵件作業,包括 SendEmailWithOptions 和 SendApprovalEmail

x-ms-郵件環境 ID

x-ms-mail-environment-id 標頭包含環境 ID 值。 此標題的存在取決於您使用的產品。

  • 在 Power Apps 中,此標頭一律會出現。
  • 在 Power Automate 中,此標頭只會在 2020 年 7 月後建立的連線中出現。
  • 在 Logic Apps 中,此標頭永遠不會出現。

預設環境的潛在 Exchange 規則

以下是一些您可能需要使用 Exchange 規則加以封鎖電子郵件動作。

  • 封鎖傳送給外部收件者的外寄電子郵件:封鎖從 Power Automate 和 Power Apps 傳送給外部收件者的所有外寄電子郵件。 此規則防止製作者將電子郵件從其應用程式或流程傳送給合作夥伴、廠商或客戶。

  • 封鎖輸出轉寄:封鎖從 Power Automate 和 Power Apps 轉寄至外部收件者的所有外寄電子郵件,其中寄件者不在信箱的允許清單中。 此規則防止製作者建立自動將內送電子郵件轉寄至外部收件者的流程。

電子郵件封鎖規則需考慮的例外情況

為了增加彈性,以下說明封鎖電子郵件的 Exchange 規則的一些可能例外情況:

  • 免除特定應用程式和流程:將免除清單新增至先前建議的規則,讓核准的應用程式或流程可以將電子郵件傳送至外部收件者。

  • 組織層級允許清單:在此案例中,將解決方案遷移至專用環境是明智之舉。 如果環境中的多個流程必須傳送出站電子郵件,您可以建立一個情外情況總規則,以允許來自該環境的出站電子郵件。 該環境的製作者和管理員權限必須受到嚴格的控管和限制。

深入了解如何為 Power Platform 相關電子郵件流量設定適當的資訊外流規則

套用跨租用戶隔離

Power Platform 具有以 Microsoft Entra 為基礎的連接器系統,可讓已授權 Microsoft Entra 使用者將應用程式和流程連接至資料存放區。 租用戶隔離控管 Microsoft Entra 授權資料來源與其租用戶之間往來的資料移動。

租用戶隔離會套用至租用戶層級,並影響租用戶中所有的環境,包括預設環境。 所有員工在預設環境中都是製作者,因此設定強固租用戶隔離原則對保護環境安全來說非常重要。 我們建議您明確設定您的員工可以連接的租用戶。 封鎖傳入和傳出資料流量的預設規則應涵蓋所有其他的用戶。

Power Platform 租用戶隔離不同於 Microsoft Entra ID 範圍的租用戶限制。 這不會影響 Power Platform 外部的 Microsoft Entra ID 型存取。 這僅適用於使用 Microsoft Entra ID 型驗證的連接器,例如 Office 365 Outlook 和 SharePoint 連接器。

深入了解:

後續步驟

查看本系列中的詳細文章以進一步增強您的安全態勢:

檢閱文章後,請檢閱安全性檢查清單,以確保 Power Platform 部署穩健、有彈性且符合最佳做法。

檢閱安全性檢查清單

  • Last updated on