Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Каждый сотрудник вашей организации имеет доступ к среде Power Platform по умолчанию. Как администратору Power Platform, вам необходимо подумать о том, как защитить эту среду, сохраняя при этом ее доступность для личного продуктивного использования создателями.
Вдумчиво назначайте роли администратора
Подумайте, нужна ли вашим администраторам Power Platform роль администратора. Не будет ли более подходящей роль администратора среды или роль системного администратора? Ограничьте более мощную Power Platform роль администратора всего несколькими пользователями. Узнайте больше об администрировании Power Platform сред.
Избегайте постоянного или стационарного доступа, используя функции «точно в срок» (JIT) вашего поставщика удостоверений. В случае чрезвычайных ситуаций следуйте процедуре получения экстренного доступа. Используйте Управление привилегированными удостоверениями (PIM), функцию Microsoft Entra ID, для управления, контроля и мониторинга использования этих ролей с высокими привилегиями.
Дополнительные рекомендации см. в разделе Настройка управления идентификацией и доступом .
Сообщите о намерениях
Одной из ключевых задач рабочей группы Центра передовых технологий (CoE) Power Platform является связь с требуемыми сотрудниками среды по умолчанию. Вот некоторые рекомендации.
Переименование среды по умолчанию
Среда по умолчанию создается с именем ИмяКлиента (по умолчанию). Чтобы четко обозначить цель среды, измените ее название на что-то более описательное, например Среда личной продуктивности.
Настроить приветственный контент создателя
Настройте индивидуальное приветственное сообщение , чтобы помочь создателям начать работу с Power Apps и Copilot Studio. Приветственное сообщение заменяет стандартный Power Apps первый опыт помощи для создателей. Воспользуйтесь возможностью поделиться замыслом среды по умолчанию со всеми разработчиками, как только они окажутся в этой среде.
Использование концентратора Power Platform
Концентратор Microsoft Power Platform — это шаблон сайта для общения SharePoint. Он обеспечивает отправную точку для центрального источника информации для создателей об использовании вашей организацией Power Platform. Стартовое содержимое контент и шаблоны страниц упрощают предоставление создателям такой информации, как:
- Варианты использования личной продуктивности
- Информация о:
- Как создавать приложения и потоки
- Где создавать приложения и потоки
- Как связаться со службой поддержки Центра передовых технологий СoЕ
- Правила в отношении интеграции с внешними сервисами
Добавьте ссылки на любые другие внутренние ресурсы, которые могут оказаться полезными для ваших создателей.
Включение управляемых сред
Поддерживайте надежную безопасность и управление, используя функции управляемой среды в среде по умолчанию. Функции управляемой среды предоставляют расширенные возможности, такие как мониторинг, соответствие требованиям и контроль безопасности, которые важны для защиты ваших данных. Включив эту функцию, вы можете настроить ограничения общего доступа, получить дополнительные аналитические сведения об использовании, ограничить доступ пользователей к Microsoft Dataverse только из разрешенных IP-расположений и использовать страницу действий , чтобы получить персонализированные рекомендации для оптимизации среды. Оцените текущие функции управляемых сред и будьте в курсе планов развития продукта, чтобы поддерживать безопасную, соответствующую требованиям и хорошо управляемую среду по умолчанию.
Предотвратить чрезмерный обмен информацией
Power Platform разработана как платформа с минимальным написанием кода, позволяющая пользователям быстро создавать приложения и процессы. Однако такая простота использования может привести к чрезмерному совместному использованию приложений и потоков, что может представлять угрозу безопасности.
Настройте ограничения общего доступа
Чтобы повысить безопасность и предотвратить чрезмерный обмен данными в среде Power Platform по умолчанию, ограничьте, насколько широко пользователи могут обмениваться приложениями, потоками и агентами холста. Рассмотрите возможность настройки ограничений общего доступа , чтобы обеспечить более жесткий контроль над доступом. Такие ограничения снижают риск несанкционированного использования, чрезмерного распространения и чрезмерного использования без необходимого контроля со стороны руководства. Внедрение ограничений на совместное использование данных помогает защитить критически важную информацию, одновременно способствуя созданию более безопасной и управляемой структуры совместного использования в Power Platform.
Ограничение доступа для всех
Создатели могут делиться своими приложениями с другими пользователями и группами безопасности. По умолчанию общий доступ для всей организации или для всех отключен. Рассмотрите возможность использования контролируемого процесса в отношении широко используемых приложений для обеспечения соблюдения политик и требований. Например:
- Политика контроля безопасности
- Политика бизнес-проверки
- Требования к управлению жизненным циклом приложений (ALM)
- Требования к пользовательскому опыту и брендингу
Функция Общий доступ для всех по умолчанию отключена в Power Platform. Рекомендуется оставить этот параметр отключенным, чтобы ограничить чрезмерный доступ к приложениям на основе холста нежелательных пользователей. Группа Все для вашей организации содержит всех пользователей, которые когда-либо входили в систему вашего клиента, включая гостей и внутренних участников. Сюда входят не только внутренние сотрудники вашего арендатора. Кроме того, членство в группе Все нельзя ни редактировать, ни просматривать. Узнайте больше о группах особой идентичности.
Если вы хотите предоставить доступ всем внутренним сотрудникам или большой группе людей, рассмотрите возможность использования существующей группы безопасности или создания новой группы безопасности для совместного использования вашего приложения.
Если функция Общий доступ для всех отключена, только администраторы Dynamics 365, администраторы Power Platform и глобальные администраторы могут предоставить общий доступ к приложению всем пользователям в среде. Если вы являетесь администратором, вы можете выполнить следующую команду PowerShell, чтобы разрешить общий доступ для всех:
Сначала откройте PowerShell от имени администратора и войдите в свою Power Apps учетную запись, выполнив следующую команду:
Add-PowerAppsAccountЗапустите командлет Get-TenantSettings, чтобы получить список настроек клиента вашей организации в виде объекта.
Объект
powerPlatform.PowerAppsвключает в себя три флага:
Выполните следующие команды PowerShell, чтобы получить объект настроек и задать переменной
disableShareWithEveryoneзначение$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseВыполните командлет
Set-TenantSettingsс объектом параметров, чтобы разрешить создателям предоставлять общий доступ к своим приложениям всем пользователям в клиенте.Set-TenantSettings $settingsЧтобы отключить общий доступ для группы Все, выполните те же действия, но задайте значение
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Установка политики данных
Еще одним способом защиты среды по умолчанию является создание политики данных для нее. Наличие политики данных особенно важно для среды по умолчанию, так как у всех сотрудников организации есть доступ к ней. Ниже приведены некоторые рекомендации, которые помогут вам обеспечить соблюдение политики.
Настройка сообщения системы управления политикой данных
Настройте сообщение об ошибке, отображаемое, если производитель создает приложение, которое нарушает политику данных вашей организации. Направьте создателя в концентратор Power Platform вашей организации и предоставьте адрес электронной почты вашей команды центра передовых технологий.
По мере того, как команда CoE со временем уточняет политику данных, вы можете случайно сломать некоторые приложения. Убедитесь, что сообщение о нарушении политики данных содержит контактные данные или ссылку на дополнительные сведения, чтобы предоставить возможность решения проблемы для разработчиков.
Используйте следующие командлеты PowerShell для настройки сообщения политики управления:
| Command | Описание: |
|---|---|
| Set-PowerAppDlpErrorSettings | Задание сообщения об управлении |
| Set-PowerAppDlpErrorSettings | Обновление сообщения об управлении |
Блокировка новых соединителей в среде по умолчанию
По умолчанию все новые соединители помещаются в небизнес-группу вашей политики в отношении данных. Вы всегда можете изменить группу по умолчанию на «Бизнес» или «Заблокированные». Для политики данных, применяемой к среде по умолчанию, рекомендуется настроить заблокированную группу в качестве стандартной, чтобы убедиться, что новые соединители остаются неиспользуемыми до тех пор, пока они не будут проверены одним из администраторов.
Ограничение создателей готовыми соединителями
Ограничьте производителей базовыми, неблокируемыми разъемами, чтобы заблокировать доступ к другим разъемам.
- Переместите все соединители, которые нельзя заблокировать, в группу бизнес-данных.
- Переместите все соединители, которые могут быть заблокированы, в заблокированную группу данных.
Ограничение настраиваемых соединителей
Пользовательские соединители интегрируют приложение или поток с собственной службой. Эти службы предназначены для технических пользователей, таких как разработчики. Рекомендуется уменьшить отпечаток API-интерфейсов, созданных вашей организацией, которые можно вызывать из приложений или потоков в среде по умолчанию. Чтобы создатели не могли создавать и использовать настраиваемые соединители для API-интерфейсов в среде по умолчанию, создайте правило, блокирующее все шаблоны URL-адресов.
Чтобы предоставить создателям доступ к некоторым API-интерфейсам (например, службе, которая возвращает список корпоративных праздников), настройте несколько правил, которые классифицируют различные шаблоны URL-адресов в группы деловых и некоммерческих данных. Убедитесь, что соединения всегда используют протокол HTTPS. Дополнительные сведения о политиках данных для пользовательских соединителей.
Защита интеграции с Exchange
Соединитель Office 365 Outlook является одним из стандартных соединителей, который нельзя заблокировать. Это позволяет создателям отправлять, удалять и отвечать на сообщения электронной почты в почтовых ящиках, к которым у них есть доступ. Риск этого соединителя также связан с одной из его самых мощных возможностей — возможностью отправки электронной почты. Например, создатель может создать поток, который отправляет массовую рассылку по электронной почте.
Администратор Exchange в вашей организации может настроить правила на сервере Exchange Server, чтобы запретить отправку электронных писем из приложений. Также можно исключить определенные потоки или приложения из правил, настроенных для блокировки исходящих электронных писем. Вы можете комбинировать эти правила со «списком разрешенных» адресов электронной почты, чтобы гарантировать, что электронная почта из приложений и потоков может быть отправлена только из небольшой группы почтовых ящиков.
Когда приложение или поток отправляет электронное письмо с помощью соединителя Office 365 Outlook, он вставляет в сообщение определенные заголовки SMTP. Можно использовать зарезервированные фразы в заголовках, чтобы определить, было ли отправлено электронное письмо из потока или из приложения.
Заголовок SMTP, вставленный в электронное письмо, отправленное из потока, выглядит примерно так:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Сведения о заголовке
x-ms-mail-application
В следующей таблице описаны значения, которые могут отображаться в заголовке x-ms-mail-application в зависимости от используемой службы.
| Service | Стоимость |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; version <номер версии>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <имя приложения>) |
x-ms-mail-тип-операции
В следующей таблице описываются значения, которые могут отображаться в заголовке x-ms-mail-operation-type в зависимости от выполняемого действия.
| Стоимость | Описание: |
|---|---|
| Ответить | Для операций с ответами по электронной почте |
| Переслать | Для пересылки сообщений электронной почты |
| Отправить | Для операций отправки электронной почты, включая SendEmailWithOptions и SendApprovalEmail |
x-ms-mail-environment-id
Заголовок x-ms-mail-environment-id содержит значение идентификатора среды. Наличие этого заголовка зависит от используемого вами продукта.
- В Power Apps он всегда присутствует.
- В Power Automate он присутствует только в соединениях, созданных после июля 2020 года.
- В Logic Apps он никогда не присутствует.
Потенциальные правила Exchange для среды по умолчанию
Вот некоторые действия с электронной почтой, которые вы, возможно, захотите заблокировать с помощью правил Exchange.
Блокировать исходящие электронные письма внешним получателям: блокировать все исходящие электронные письма, отправленные внешним получателям из Power Automate и Power Apps. Это правило запрещает создателям отправлять электронные письма партнерам, поставщикам или клиентам из своих приложений или потоков.
Блокировать исходящую пересылку: блокировать все исходящие электронные письма, пересылаемые внешним получателям, Power Automate и Power Apps от которых отправитель не входит в список разрешенных почтовых ящиков. Это правило запрещает создателям создавать поток, который автоматически перенаправляет входящие электронные письма внешнему получателю.
Исключения, которые следует учитывать в правилах блокировки электронной почты
Вот несколько возможных исключений из правил Exchange для блокировки электронной почты для повышения гибкости:
Исключите определенные приложения и потоки: добавьте список исключений к предложенным ранее правилам, чтобы одобренные приложения или потоки могли отправлять электронную почту внешним получателям.
Список разрешений на уровне организации: в этом случае имеет смысл перенести решение в выделенную среду. Если несколько потоков в среде должны отправлять исходящие электронные письма, вы можете создать общее правило исключения, чтобы разрешить исходящие электронные письма из этой среды. Разрешения создателя и администратора в этой среде должны строго контролироваться и ограничиваться.
Узнайте больше о том, как настроить соответствующие правила эксфильтрации для Power Platform соответствующего трафика электронной почты.
Применение изоляции между клиентами
Power Platform имеет систему соединителей на основе Microsoft Entra, которая позволяет авторизованным пользователям Microsoft Entra подключать приложения и потоки к хранилищам данных. Изоляция клиентов управляет перемещением данных из авторизованных источников данных Microsoft Entra для своего клиента и от него.
Изоляция клиентов применяется на уровне клиента и влияет на все среды в клиенте, включая среду по умолчанию. Поскольку все сотрудники являются создателями в среде по умолчанию, настройка надежной политики изоляции клиентов имеет решающее значение для защиты среды. Мы рекомендуем вам явно настроить арендаторов, к которым смогут подключаться ваши сотрудники. На всех остальных клиентов должны распространяться правила по умолчанию, которые блокируют как входящий, так и исходящий поток данных.
Power Platform Изоляция арендатора отличается от Microsoft Entra ограничения арендатора на уровне идентификатора. Это не влияет на Microsoft Entra доступ по идентификатору извне Power Platform. Он применяется только к коннекторам, которые используют Microsoft Entra аутентификацию на основе идентификатора, таким как Office 365 Outlook и SharePoint коннекторы.
Подробнее:
- Ограничения входящего и исходящего доступа между арендаторами
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Следующие шаги
Ознакомьтесь с подробными статьями этой серии, чтобы еще больше повысить уровень своей безопасности:
- Обнаружьте угрозы для вашей организации
- Установить контроль за защитой данных и конфиденциальностью
- Реализация стратегии политики данных
- Настройте управление идентификацией и доступом
- Соответствие требованиям
После ознакомления со статьями просмотрите контрольный список безопасности, чтобы убедиться, что Power Platform развертывания надежны, устойчивы и соответствуют передовым практикам.