组织中的每个员工都有权访问 默认 Power Platform 环境。 作为 Power Platform 管理员,您需要考虑如何保护该环境,同时保持其可以访问,以用于提高制作者的个人生产力。
明智地分配管理员角色
考虑您的管理员是否需要具有 Power Platform 管理员角色。 环境管理员或系统管理员角色是否更合适? 将更强大的 Power Platform 管理员角色限制为少数用户。 了解有关管理 环境的更多信息 Power Platform 。
使用标识提供者的实时(JIT)功能避免永久或长期访问。 对于“打碎玻璃”情况,请遵循紧急访问流程。 使用 ID 的 一项功能 Privileged Identity Management(PIM) 来 Microsoft Entra 管理、控制和监视这些高特权角色的使用。
查看 配置标识和访问管理 以获取更多建议。
交流意向
Power Platform 卓越中心 (CoE) 团队面临的一个主要挑战是传达默认环境的预期使用。 这里是一些建议。
重命名默认环境
默认环境使用名称 TenantName(默认)创建。 要清楚地说明环境 的意图,请将名称 更改为更具描述性的名称,例如 个人生产力环境。
配置制作者欢迎内容
配置 自定义欢迎消息 ,以帮助制作者开始使用 Power Apps and Copilot Studio。 欢迎消息将替换制作者的默认 Power Apps 首次帮助体验。 借此机会,在所有制作者进入默认环境后立即与他们共享默认环境的意图。
使用 Power Platform 中心
Microsoft Power Platform 中心是一个 SharePoint 通信站点模板。 它为制作者提供了一个关于您的组织对 Power Platform 的使用的中心信息来源的起点。 起始内容和页面模板可轻松为制作者提供如下信息:
- 个人生产力用例
- 有关的信息:
- 如何生成应用和流
- 在哪里生成应用和流
- 如何联系 CoE 支持团队
- 有关与外部服务集成的规则
添加制作者可能会发现有帮助的任何其他内部资源的链接。
启用托管环境
通过在默认环境中使用托管环境功能来维护强大的安全性和治理。 托管环境功能提供高级功能,例如监视、合规性和安全控制,这些功能对于保护数据非常重要。 通过启用此功能,您可以配置 共享限制,获得更多 使用情况见解, 限制用户 Microsoft Dataverse 仅从允许的 IP 位置访问,并使用“作” 页面 获取个性化建议以优化环境。 评估当前的托管环境功能并及时了解产品路线图,以维护安全、合规且治理良好的默认环境。
防止过度共享
Power Platform 旨在成为一个低代码平台,使用户能够快速创建应用程序和流程。 然而,这种易用性可能会导致应用程序和流的过度共享,从而带来安全风险。
配置共享限制
若要增强安全性并防止在默认环境中过度 Power Platform共享,请限制用户共享画布应用、流和代理的范围。 考虑配置 共享限制 以保持对访问的更严格控制。 此类限制降低了未经授权的使用、过度共享和在没有必要治理控制的情况下过度使用的风险。 实施共享限制有助于保护关键信息,同时促进更安全、更易于管理的共享框架 Power Platform。
限制与每个人共享
制作者可以与其他个人用户和安全组共享他们的应用程序。 默认情况下,与整个组织或所有人共享是禁用的。 请考虑围绕广泛使用的应用使用封闭流程来强制实施策略和要求。 例如:
- 安全审查策略
- 业务审查策略
- 应用程序生命周期管理(ALM)要求
- 用户体验和品牌打造要求
Power Platform 中的与所有人共享功能默认处于禁用状态。 我们建议您停用此设置,以限制无意用户过度使用画布应用程序。 组织的“ 每个人” 组包含曾经登录过租户的所有用户,其中包括来宾和内部成员。 它不仅包括租户中的内部员工。 此外,不能编辑或查看所有人小组的成员身份。 详细了解 特殊身份组。
如果要与所有内部员工或一大群人共享,请考虑使用现有安全组或创建安全组来共享应用。
当与所有人共享关闭时,只有 Dynamics 365 管理员、Power Platform 管理员和全局管理员可以与环境中的所有人共享应用程序。 如果你是管理员,可以运行以下 PowerShell 命令以允许与所有人 共享:
首先,以管理员身份打开 PowerShell 并通过运行以下命令登录您的 Power Apps 帐户:
Add-PowerAppsAccount运行 Get-TenantSettings cmdlet,作为对象获取组织的租户设置列表。
powerPlatform.PowerApps对象包括三个标志:
运行以下 PowerShell 命令以获取设置对象并将变量
disableShareWithEveryone$false设置为:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$false运行带有设置对象的
Set-TenantSettingscmdlet,以允许制作者与租户中的每个人共享他们的应用程序。Set-TenantSettings $settings若要禁用与所有人的共享,请遵循相同的步骤,但设置
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true。
制定数据丢失防护策略
另一个保护默认环境的方法是为其创建数据丢失防护 (DLP) 策略。 制定 DLP 策略对于默认环境尤其重要,因为您组织中的所有员工都有权访问该环境。 以下是一些建议,可以帮助您执行策略。
自定义 DLP 治理消息
自定义制作者创建的应用违反组织的 DLP 策略时显示的错误消息。 将制作者引导到您的组织的 Power Platform 中心,并提供您的 CoE 团队的电子邮件地址。
随着 CoE 团队不断完善 DLP 策略,您可能会无意中破坏某些应用。 确保 DLP 策略违反消息包含联系详细信息或指向更多信息的链接,以为制作者提供下一步的方法。
使用以下 PowerShell cmdlet 自定义治理策略消息:
| 命令 | 说明 |
|---|---|
| Set-PowerAppDlpErrorSettings | 设置治理消息 |
| Set-PowerAppDlpErrorSettings | 更新治理消息 |
在默认环境中阻止新连接器
默认情况下,所有新连接器都放置在 DLP 策略的非业务组中。 您始终 可以将默认组 更改为“企业”或“已阻止”。 对于应用于默认环境的 DLP 策略,我们建议您将“阻止”组配置为默认组,以确保新连接器在由您的管理员之一审查之前保持不可用状态。
限制制作者使用预生成连接器
将制作者限制为基本的不可阻止连接器,以阻止对其他连接器的访问。
- 将无法阻止的所有连接器移到业务数据组中。
- 将所有可以阻止的连接器移动到阻止的数据组。
限制自定义连接器
自定义连接器将应用或流与本土服务集成。 这些服务主要供开发人员等技术用户使用。 最好减少可从默认环境内的应用或流中调用的由组织构建的 API 的占用空间。 要阻止制作者在默认环境中为 API 创建和使用自定义连接器,创建一个规则来阻止所有 URL 模式。
要允许制作者访问一些 API(例如,返回公司假日列表的服务),配置多个规则,将不同的 URL 模式分类为业务和非业务数据组。 确保连接始终使用 HTTPS 协议。 详细了解 自定义连接器的 DLP。
保护与 Exchange 集成的安全
Office 365 Outlook 连接器是不能阻止的一个标准连接器。 它允许制作者在他们有权访问的邮箱中发送、删除和回复电子邮件。 此连接器的风险也是其最强大的一项功能—能够发送电子邮件。 例如,制作者可能会创建一个发送群发电子邮件的流。
您的组织的 Exchange 管理员可以在 Exchange Server 上设置规则,以阻止从应用发送电子邮件。 也可以从设置为阻止传出电子邮件的规则中排除特定流或应用。 您可以将这些规则与电子邮件地址的“允许列表”结合使用,以确保来自应用和流的电子邮件只能从一小组邮箱发送。
当应用或流使用 Office 365 Outlook 连接器发送电子邮件时,会在电子邮件中插入特定的 SMTP 标头。 您可以在标头中使用保留短语来识别电子邮件是来自流还是来自应用。
从流发送的电子邮件中插入的 SMTP 标头类似于以下示例:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
标头详细信息
x-ms- 邮件应用程序
下表描述了 x-ms-mail-application 标头中可能显示的值,具体取决于所使用的服务。
| Service | 价值 |
|---|---|
| Power Automate | Microsoft Power Automate; 用户代理: azure-logic-apps/1.0 (workflow <GUID>; version <版本号>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; 用户代理: PowerApps/ (; AppName= <应用名称>) |
x-ms- 邮件作类型
下表描述了 x-ms-mail-operation-type 标头中可能显示的值,具体取决于正在执行的作。
| 价值 | Description |
|---|---|
| 回复 | 适用于回复电子邮件操作 |
| 前进 | 适用于转发电子邮件操作 |
| 发送 | 适用于发送电子邮件操作,包括 SendEmailWithOptions 和 SendApprovalEmail |
x-ms- 邮件环境 ID
x-ms-mail-environment-id 标头包含环境 ID 值。 此标头的存在取决于您正在使用的产品。
- 在 Power Apps 中,它始终存在。
- 在 Power Automate 中,它只存在于 2020 年 7 月之后创建的连接中。
- 在逻辑应用中,它永远不存在。
默认环境的潜在 Exchange 规则
以下是您可能想要使用 Exchange 规则来阻止的一些电子邮件操作。
阻止向外部收件人发送出站电子邮件:阻止从 and 发送 Power Automate 给外部收件人的所有出站电子邮件 Power Apps。 此规则禁止制作者从应用或流向合作伙伴、供应商或客户发送电子邮件。
阻止出站转发:阻止从允许的邮箱列表转发给外部收件人 Power Automate Power Apps 的所有出站电子邮件。 此规则阻止制作者创建自动将入站电子邮件转发给外部收件人的流。
使用电子邮件阻止规则时要考虑的例外情况
以下是阻止电子邮件以增加灵活性的 Exchange 规则的一些可能的例外:
豁免特定应用和流:将豁免列表添加到前面建议的规则中,以便已批准的应用或流可以向外部收件人发送电子邮件。
组织级允许列表:在这种情况下,将解决方案移动到专用环境中是有意义的。 如果环境中的多个流必须发送出站电子邮件,您可以创建一揽子例外规则,以允许发送来自该环境的出站电子邮件。 必须严格控制和限制制作者和管理员对该环境的权限。
详细了解如何 为相关电子邮件流量 Power Platform 设置适当的外泄规则。
应用跨租户隔离
Power Platform 具有一个基于 Microsoft Entra 的连接器系统,使授权的 Microsoft Entra 用户能够将应用和流连接到数据存储。 租户隔离管理数据从 Microsoft Entra 授权数据源移入或移出租户。
租户隔离在租户级别应用并影响租户中的所有环境,包括默认环境。 由于所有员工都是默认环境中的制造者,因此配置稳健的租户隔离策略对于保护环境的安全至关重要。 建议显式配置员工可以连接到的租户。 所有其他租户都应包含在阻止数据入站和出站流的默认规则中。
Power Platform 租户隔离不同 Microsoft Entra 于 ID 范围的租户限制。 它不会影响 Microsoft Entra 外部基于 Power Platform ID 的访问。 它仅适用于使用 Microsoft Entra 基于 ID 的身份验证的连接器,例如 Office 365 Outlook 和 SharePoint 连接器。
了解详细信息:
后续步骤
查看本系列中的详细文章,以进一步增强安全状况:
查看文章后,查看安全清单,以确保 Power Platform 部署可靠、有弹性并符合最佳做法。