Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Alla anställda i din organisation har åtkomst till standardmiljön Power Platform . Som Power Platform-administratör måste du fundera över hur du kan trygga miljön och samtidigt hålla den tillgänglig för utvecklare personliga produktivitet.
Tilldela administratörsroller med omtanke
Överväg om dina administratörer måste ha administratörsrollen Power Platform . Skulle rollen som miljöadministratör eller systemadministratör vara mer lämplig? Begränsa den mer kraftfulla Power Platform administratörsrollen till bara ett fåtal användare. Läs mer om att Power Platform administrera miljöer.
Undvik permanent eller stående åtkomst med hjälp av JIT-funktionerna (just-in-time) i din identitetsprovider. Följ processen för åtkomst vid nödsituationer när nödfall uppstår. Använd Privileged Identity Management (PIM), en funktion Microsoft Entra i ID, för att hantera, kontrollera och övervaka användningen av dessa roller med hög behörighet.
Mer rekommendationer finns i Konfigurera identitets- och åtkomsthantering .
Kommunicera avsikt
En av de främsta utmaningarna för Power Platform Center of Excellence (CoE)-teamet är att kommunicera den avsedda användningen av standardmiljöerna. Här följer några rekommendationer.
Byta namn på standardmiljön
Standardmiljön skapas med namnet: TenantName (standard). Om du tydligt vill framhäva avsikten med miljön ändrar du namnet till något mer beskrivande, till exempel Personlig produktivitetsmiljö.
Konfigurera välkomstinnehåll för utvecklare
Konfigurera ett anpassat välkomstmeddelande för att hjälpa utvecklare att komma igång med Power Apps och Copilot Studio. Välkomstmeddelandet ersätter standardupplevelsen Power Apps för första hjälpen för utvecklare. Ta tillfället i akt att dela avsikten med standardmiljön med alla utvecklare så snart de landar i standardmiljön.
Använda Power Platform-navet
Microsoft Power Platform-navet är SharePoint-kommunikationswebbplatsen. Den utgör en utgångspunkt för en central informationskälla för utvecklare om hur organisationen använder den Power Platform. Innehåll i startmotorn och sidmallar gör det enkelt att erbjuda utvecklare information som:
- Användningsfall för personlig produktivitet
- Information om:
- Hur skapar man program och flöden
- Var skapar man program och flöden
- Hur kontaktar man supportteamet för CoE
- Regler för integrering med externa tjänster
Lägg till länkar i interna resurser som utvecklarna kan ha nytta av.
Aktivera hanterade miljöer
Upprätthåll robust säkerhet och styrning genom att använda funktioner för hanterad miljö i standardmiljön. Funktioner för hanterad miljö ger avancerade funktioner, till exempel övervakning, efterlevnad och säkerhetskontroller som är viktiga för att skydda dina data. Genom att aktivera den här funktionen kan du konfigurera delningsgränser, få fler användningsinsikter, begränsa användaråtkomsten till Microsoft Dataverse från endast tillåtna IP-platser och använda åtgärdssidan för att få anpassade rekommendationer för att optimera miljön. Utvärdera de aktuella funktionerna i hanterade miljöer och håll dig uppdaterad med produktens färdplan för att upprätthålla en säker, kompatibel och välstyrd standardmiljö.
Förhindra överdelning
Power Platform är utformad för att vara en lågkodsplattform som gör det möjligt för användare att snabbt skapa appar och flöden. Den här användarvänligheten kan dock leda till överdelning av appar och flöden, vilket kan utgöra säkerhetsrisker.
Konfigurera delningsgränser
För att förbättra säkerheten och förhindra överdelning i Power Platform standardmiljön bör du begränsa hur brett användare kan dela arbetsyteappar, flöden och handläggare. Överväg att konfigurera delningsgränser för att behålla bättre kontroll över åtkomsten. Sådana gränser minskar risken för obehörig användning, överdelning och överanvändning utan nödvändiga styrningskontroller. Implementering av delningsgränser hjälper till att skydda kritisk information samtidigt som det främjar ett säkrare och hanterbart delningsramverk Power Platform inom.
Begränsa delning med alla
Utvecklare kan dela sina program med andra enskilda användare och säkerhetsgrupper. Som standard är delning med hela organisationen, eller Alla, inaktiverat. Överväg att använda en gated process kring ofta använda appar för att genomdriva principer och krav. Till exempel: '
- Granskningspolicy för säkerhet
- Granskningspolicy för verksamhet
- Krav för hantering av programmets livscykel (ALM)
- Krav på användarupplevelse och anpassning
Funktionen Dela med alla är inaktiverad som standard i Power Platform. Vi rekommenderar att du håller den här inställningen inaktiverad för att begränsa överexponeringen av arbetsyteappar med oavsiktliga användare. Gruppen Alla för din organisation innehåller alla användare som någonsin har loggat in på din klientorganisation, inklusive gäster och interna medlemmar. Det omfattar inte bara interna anställda i din klientorganisation. Dessutom går det inte att redigera eller visa medlemskapet i gruppen Alla . Läs mer om särskilda identitetsgrupper.
Om du vill dela med alla interna anställda eller en stor grupp personer bör du överväga att använda en befintlig säkerhetsgrupp eller skapa en säkerhetsgrupp för att dela din app.
När Dela med alla är inaktiverat kan endast Dynamics 365 administratörer Power Platform , administratörer och globala administratörer dela ett program med alla i miljön. Om du är administratör kan du köra följande PowerShell-kommando för att tillåta delning med Alla:
Öppna först PowerShell som administratör och logga in på ditt Power Apps konto genom att köra det här kommandot:
Add-PowerAppsAccountKör Get-TenantSettings cmdlet för att få listan över din organisations klientinställningar som ett objekt.
Objektet
powerPlatform.PowerAppsinnehåller tre flaggor:
Kör följande PowerShell-kommandon för att hämta inställningsobjektet och ange variabeln
disableShareWithEveryonetill$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseKör cmdleten
Set-TenantSettingsmed settings-objektet så att utvecklare kan dela sina program med alla i klientorganisationen.Set-TenantSettings $settingsOm du vill inaktivera delning med Alla följer du samma steg men ställer in
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Upprätta en datapolicy
Ett annat sätt att skydda standardmiljön är att skapa en dataprincip för den. Att ha en dataprincip på plats är särskilt viktigt för standardmiljön eftersom alla anställda i organisationen har åtkomst till den. Här är några rekommendationer som hjälper dig att genomföra policyn.
Anpassa meddelandet om datapolicystyrning
Anpassa felmeddelandet som visas om en tillverkare skapar en app som bryter mot organisationens dataprincip. Rikta utvecklaren till organisationens Power Platform-nav och tillhandahåll CoE-teamets e-postadress.
Eftersom CoE-teamet förfinar datapolicyn över tid kan du oavsiktligt skada vissa appar. Kontrollera att meddelandet om dataprincipöverträdelse innehåller kontaktuppgifter eller en länk till mer information för att tillhandahålla en väg framåt för skaparna.
Använd följande PowerShell-cmdlets för att anpassa policymeddelandet för styrning:
| Command | Beskrivning |
|---|---|
| Ange-PowerAppDlpErrorSettings | Ange styrningsmeddelande |
| Ange-PowerAppDlpErrorSettings | Uppdatera styrningsmeddelande |
Blockera nya anslutningsprogram i standardmiljön
Som standard placeras alla nya anslutningar i icke-affärsgruppen för din datapolicy. Du kan alltid ändra standardgruppen till antingen Företag eller Blockerade. För en dataprincip som tillämpas på standardmiljön rekommenderar vi att du ställer in gruppen Blockerad som standard för att se till att nya kontakter förblir oanvändbara tills de har granskats av en av dina administratörer.
Begränsa utvecklare till fördefinierade anslutningsprogram
Begränsa tillverkare till grundläggande, icke-blockerbara anslutningar för att blockera åtkomst till andra anslutningar.
- Flytta alla anslutningsprogram som inte kan blockeras till affärsdatagruppen.
- Flytta alla kopplingar som kan blockeras till den blockerade datagruppen.
Begränsade anpassade anslutningsprogram
Anpassade anslutningsprogram integrerar en app eller ett flöde med en inhemsk tjänst. Dessa tjänster är avsedda för tekniska användare, t.ex. utvecklare. Du rekommenderas att minska fotavtrycket från API:er skapade av din organisation som kan anropas från program eller flöden i standardmiljön. För att förhindra att utvecklare skapar och använder anpassade kopplingar för API:er i standardmiljön skapar du en regel som blockerar alla URL-mönster.
Om du vill tillåta beslutsfattare att få åtkomst till vissa API:er (till exempel en tjänst som returnerar en lista med företagssemestrar), konfigurerar du flera regler som kategoriserar olika URL-mönster i affärs- och icke-affärsdatagrupper. Se till att HTTPS-protokollet alltid används för anslutningarna. Läs mer om datapolicyer för anpassade anslutningar.
Säkerställa integrering med Exchange
Office 365 Outlook-anslutningsprogram är ett av standardanslutningsprogrammen inte kan blockeras. Detta låter utvecklare skicka, ta bort och svara på e-postmeddelanden i postlådorna denne har åtkomst till. Risken med detta anslutningsprogram är också en av de mest kraftfulla funktionerna – möjligheten att skicka ett e-postmeddelande. En utvecklare kan exempelvis skapa ett flöde som skickar en e-postkampanj.
Din organisations Exchange-administratör kan konfigurera regler i Exchange Server för att förhindra att e-postmeddelanden skickas från program. Det går också att utesluta specifika flöden eller program från de regler som upprättats för att blockera utgående e-post. Du kan kombinera dessa regler med en "Tillåtna-lista" med e-postadresser för att säkerställa att e-post från program och flöden endast kan skickas från en liten grupp brevlådor.
När ett program eller ett flöde skickar ett e-postmeddelande via anslutningsprogrammet Office 365 Outlook infogas specifika SMTP-sidhuvuden i meddelandet. Du kan använda reserverade fraser i rubrikerna för att identifiera om ett e-postmeddelande kommer från ett flöde eller en app.
SMTP-huvudet som infogas i ett e-postmeddelande som skickas från ett flöde ser ut ungefär som i följande exempel:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Sidhuvudinformation
x-ms-post-program
I följande tabell beskrivs de värden som kan visas i x-ms-mail-application-huvudet beroende på vilken tjänst som används.
| Tjänster | Värde |
|---|---|
| Power Automate | Microsoft Power Automate; Användaragent: azure-logic-apps/1.0 (arbetsflöde <GUID>; version <versionsnummer>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; Användaragent: PowerApps/ (; AppName= <programnamn>) |
x-ms-post-operation-typ
I följande tabell beskrivs de värden som kan visas i rubriken x-ms-mail-operation-type beroende på vilken åtgärd som utförs.
| Värde | Beskrivning |
|---|---|
| Svar | För åtgärder för e-postsvar |
| Framåt | För åtgärder för vidarebefordran av e-post |
| Skicka | För åtgärder för sändande av e-postm, inklusive SendEmailOptions och SendApprovalEmail |
x-ms-mail-environment-id
Sidhuvudet x-ms-mail-environment-id innehåller värdet för miljö-ID. Förekomsten av denna rubrik beror på vilken produkt du använder.
- I Power Apps finns den alltid med.
- I Power Automate visas den endast i anslutningar som skapats efter juli 2020.
- I Logic Apps kommer den aldrig att finnas med.
Möjliga Exchange-regler för standardmiljön
Här följer några e-poståtgärder som du kanske vill blockera med hjälp av Exchange-regler.
Blockera utgående e-postmeddelanden till externa mottagare: Blockera alla utgående e-postmeddelanden som skickas till externa mottagare från Power Automate och Power Apps. Den här regeln förhindrar att utvecklare skickar e-postmeddelanden till partner, leverantörer eller klienter från sina appar eller flöden.
Blockera utgående vidarebefordran: Blockera alla utgående e-postmeddelanden som vidarebefordras till externa mottagare från Power Automate och Power Apps där avsändaren inte kommer från en tillåten lista över postlådor. Den här regeln förhindrar att utvecklare skapar ett flöde som automatiskt vidarebefordrar inkommande e-postmeddelanden till en extern mottagare.
Undantag att överväga med regler för e-postblockering
Här följer några möjliga undantag från Exchange-reglerna för att blockera e-post i syfte att skapa flexibilitet:
Undanta specifika appar och flöden: Lägg till en undantagslista i de regler som föreslogs tidigare så att godkända appar eller flöden kan skicka e-post till externa mottagare.
Lista över tillåtna på organisationsnivå: I det här scenariot är det klokt att flytta lösningen till en dedikerad miljö. Om flera flöden i miljön måste skicka utgående e-postmeddelanden kan du skapa en ramundantagsregel som tillåter utgående e-postmeddelanden från den miljön. Utvecklar- och administratörsbehörigheten i den miljön måste styras och begränsas noga.
Läs mer om hur du ställer in lämpliga exfiltreringsregler för Power Platform relaterad e-posttrafik.
Tillämpa isolering mellan klienter
Power Platform har ett system med anslutningsprogram baserat på Microsoft Entra som gör det möjligt för behöriga Microsoft Entra-användare att ansluta program och flöden till datalagringar. Klientorganisationisolering styr effektivt rörelsen av data från Microsoft Entra auktoriserade datakällor till och från sin klientorganisation.
Isolering av klientorganisation tillämpas på klientorganisationsnivå och påverkar alla miljöer i klientorganisationen, inklusive standardmiljön. Eftersom alla anställda utgör utvecklare i standardmiljön är det mycket viktigt att konfigurera en robust policy för isolering av klientorganisation i syfte att säkra miljön. Vi rekommenderar att du uttryckligen konfigurerar de klienter som dina anställda kan ansluta till. Alla andra klientorganisationer ska omfattas av standardregler som blockerar både ingående och utgående dataflöden.
Power Platform Klientisolering skiljer sig från Microsoft Entra begränsning av hela klientorganisationen för ID. Det påverkar Microsoft Entra inte ID-baserad åtkomst utanför Power Platform. Den gäller endast för anslutningsappar som använder Microsoft Entra ID-baserad autentisering, till Office 365 exempel Outlook och SharePoint anslutningsappar.
Läs mer:
- Begränsningar för inkommande och utgående åtkomst mellan klientorganisationer
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Gå vidare
Läs de detaljerade artiklarna i den här serien för att ytterligare förbättra din säkerhetsstatus:
- Identifiera hot mot din organisation
- Upprätta kontroller för dataskydd och sekretess
- Implementera en datapolicystrategi
- Konfigurera identitets- och åtkomsthantering
- Uppfylla efterlevnadskrav
När du har granskat artiklarna granskar du säkerhetschecklistan för att säkerställa Power Platform att distributionerna är robusta, motståndskraftiga och anpassade till bästa praxis.