您的组织中的每个员工都有权访问默认 Power Platform 环境。 作为 Power Platform 管理员,您需要考虑如何保护该环境,同时保持其可以访问,以用于提高制作者的个人生产力。
明智地分配管理员角色
考虑管理员是否需要 Power Platform 管理员角色。 环境管理员或系统管理员角色是否更合适? 将更强大的 Power Platform 管理员角色限制给少数几个用户。 了解有关管理 Power Platform 环境的更多信息。
通过使用标识提供者的实时 (JIT) 功能,避免永久访问或长期访问。 对于“打碎玻璃”情况,请遵循紧急访问流程。 使用 Privileged Identity Management (PIM)(Microsoft Entra ID 功能)来管理、控制和监控这些高权限角色的使用。
查看配置身份和访问管理获取更多建议。
交流意向
Power Platform 卓越中心 (CoE) 团队面临的一个主要挑战是传达默认环境的预期使用。 这里是一些建议。
重命名默认环境
默认环境使用名称 TenantName(默认)创建。 为明确环境意图,请将名称更改为更具描述性的名称,例如个人生产力环境。
配置制作者欢迎内容
配置自定义欢迎消息,帮助制作者快速上手 Power Apps 和 Copilot Studio。 欢迎消息将替换默认的制作者 Power Apps 初次使用帮助体验。 借此机会在所有制作者进入默认环境后立即与他们共享默认环境的意图。
使用 Power Platform 中心
Microsoft Power Platform 中心是一个 SharePoint 通信站点模板。 它为制作者提供了一个关于您的组织对 Power Platform 的使用的中心信息来源的起点。 起始内容和页面模板可轻松为制作者提供如下信息:
- 个人生产力用例
- 相关说明:
- 如何生成应用和流
- 在哪里生成应用和流
- 如何联系 CoE 支持团队
- 有关与外部服务集成的规则
添加制作者可能会发现有帮助的任何其他内部资源的链接。
启用托管环境
通过在默认环境中使用托管环境功能来维护强大的安全性和治理。 托管环境功能提供高级功能,例如监视、合规性和安全控制,这些功能对于保护数据非常重要。 通过启用此功能,可以配置 共享限制、获取更多 使用见解、限制用户仅从允许的 IP 位置 访问 Microsoft Dataverse ,并使用 作页 获取个性化建议来优化环境。 评估当前的托管环境功能,并及时了解产品路线图,以维护安全、合规且治理良好的默认环境。
防止过度共享
Power Platform 作为低代码平台,用于帮助用户快速创建应用和流。 但是,这种易用性可能会导致应用和流的过度共享,从而带来安全风险。
配置共享限制
为提升安全性并防止 Power Platform 默认环境中的过度共享,请限制用户共享画布应用、流和智能体的范围。 建议配置共享限制以加强访问管控。 此类限制降低了未经授权的使用、过度共享和在没有必要治理控制的情况下过度使用的风险。 实施共享限制有助于保护关键信息,同时在 Power Platform 内构建更安全可控的共享框架。
限制与每个人共享
制作者可以与其他个人用户和安全组共享他们的应用程序。 默认情况下,与整个组织或所有人共享是禁用的。 考虑围绕广泛使用的应用使用封闭流程来强制实施策略和要求。 例如:
- 安全审查策略
- 业务审查策略
- 应用程序生命周期管理 (ALM) 要求
- 用户体验和品牌打造要求
Power Platform 中的与所有人共享功能默认处于禁用状态。 我们建议您停用此设置,以限制无意用户过度使用画布应用程序。 贵组织的所有人组包含曾经登录过您的租户的所有用户,包括来宾和内部成员。 它不仅包括租户中的内部员工。 此外,不能编辑或查看所有人小组的成员身份。 了解有关特殊身份组的更多信息。
如果要与所有内部员工或一大群人共享,考虑使用现有安全组或创建安全组来共享应用。
当与所有人共享关闭时,只有 Dynamics 365 管理员、Power Platform 管理员和全局管理员可以与环境中的所有人共享应用程序。 如果您是管理员,并且允许与所有人共享,您可以运行以下 PowerShell 命令。
首先,以管理员身份打开 PowerShell,通过运行以下命令登录到您的 Power Apps 帐户。
Add-PowerAppsAccount运行 Get-TenantSettings cmdlet,作为对象获取组织的租户设置列表。
powerPlatform.PowerApps对象包括三个标志:
运行以下 PowerShell 命令以获取设置对象,并将变量
disableShareWithEveryone设置为$false。$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$false运行带有设置对象的
Set-TenantSettingscmdlet,以允许制作者与租户中的每个人共享他们的应用程序。Set-TenantSettings $settings若要禁用与所有人的共享,请遵循相同的步骤,但设置
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true。
建立数据策略
保护默认环境的另一种方法是为其 创建数据策略 。 设置数据策略对于默认环境尤其重要,因为组织中的所有员工都有权访问该策略。 以下是一些建议,可以帮助您执行策略。
自定义数据策略治理消息
自定义创建者创建违反组织数据策略的应用时显示的错误消息。 将制作者引导到您的组织的 Power Platform 中心,并提供您的 CoE 团队的电子邮件地址。
随着 CoE 团队随着时间的推移优化数据策略,你可能会无意中中断某些应用。 确保数据策略冲突消息包含联系人详细信息或指向详细信息的链接,以便为制造商提供前进的道路。
使用以下 PowerShell cmdlet 自定义治理策略消息:
| 命令 | 说明 |
|---|---|
| Set-PowerAppDlpErrorSettings | 设置治理消息 |
| Set-PowerAppDlpErrorSettings | 更新治理消息 |
在默认环境中阻止新连接器
默认情况下,所有新连接器都放置在数据策略的非业务组中。 您可以随时将默认组更改为业务组或阻止组。 对于应用于默认环境的数据策略,建议将“阻止”组配置为默认值,以确保新连接器在由其中一位管理员审阅之前保持不可用。
限制制作者使用预生成连接器
限制制作者只能使用基本的不能阻止的连接器,以阻止访问其余连接器。
- 将无法阻止的所有连接器移到业务数据组中。
- 将可以阻止的所有连接器移到已阻止数据组中。
限制自定义连接器
自定义连接器将应用或流与本土服务集成。 这些服务主要供开发人员等技术用户使用。 最好减少可从默认环境内的应用或流中调用的由组织构建的 API 的占用空间。 要阻止制作者在默认环境中为 API 创建和使用自定义连接器,创建一个规则来阻止所有 URL 模式。
要允许制作者访问一些 API(例如,返回公司假日列表的服务),配置多个规则,将不同的 URL 模式分类为业务和非业务数据组。 确保连接始终使用 HTTPS 协议。 详细了解 自定义连接器的数据策略。
保护与 Exchange 集成的安全
Office 365 Outlook 连接器是不能阻止的一个标准连接器。 它允许制作者在他们有权访问的邮箱中发送、删除和回复电子邮件。 此连接器的风险也是其最强大的一项功能—能够发送电子邮件。 例如,制作者可能会创建一个发送群发电子邮件的流。
您的组织的 Exchange 管理员可以在 Exchange Server 上设置规则,以阻止从应用发送电子邮件。 也可以从设置为阻止传出电子邮件的规则中排除特定流或应用。 您可以将这些规则与电子邮件地址的“允许列表”结合使用,以确保来自应用和流的电子邮件只能从一小组邮箱发送。
当应用或流使用 Office 365 Outlook 连接器发送电子邮件时,会在电子邮件中插入特定的 SMTP 标头。 您可以在标头中使用保留短语来识别电子邮件是来自流还是来自应用。
从流发送的电子邮件中插入的 SMTP 标头类似于以下示例:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
标头详细信息
x-ms-mail-application
下表根据所使用的服务描述了 x-ms-mail-application 标头中可能出现的值:
| Service | 值 |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; version <version number>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <app name>) |
x-ms-mail-operation-type
下表根据正在执行的操作描述了可以出现在 x-ms-mail-operation-type 标头中的值:
| 值 | 描述 |
|---|---|
| 回复 | 适用于回复电子邮件操作 |
| 前进 | 适用于转发电子邮件操作 |
| 发送 | 适用于发送电子邮件操作,包括 SendEmailWithOptions 和 SendApprovalEmail |
x-ms-mail-environment-id
x-ms-mail-environment-id 标头包含环境 ID 值。 此标头是否存在取决于您使用的产品:
- 在 Power Apps 中,它始终存在。
- 在 Power Automate 中,它只存在于 2020 年 7 月之后创建的连接中。
- 在逻辑应用中,它永远不存在。
默认环境的潜在 Exchange 规则
以下是您可能想要使用 Exchange 规则来阻止的一些电子邮件操作。
阻止发送到外部收件人的出站电子邮件:阻止从 Power Automate 和 Power Apps 发送给外部收件人的所有出站电子邮件。 此规则禁止制作者从应用或流向合作伙伴、供应商或客户发送电子邮件。
阻止出站转发:阻止从 Power Automate 和 Power Apps 转发给外部收件人的所有出站电子邮件,其中发件人不来自允许的邮箱列表。 此规则阻止制作者创建自动将入站电子邮件转发给外部收件人的流。
使用电子邮件阻止规则时要考虑的例外情况
以下是阻止电子邮件以增加灵活性的 Exchange 规则的一些可能的例外:
排除特定应用和流:在前面建议的规则中添加一个豁免列表,让批准的应用或流可以向外部收件人发送电子邮件。
组织级别允许列表:在这种情况下,将解决方案转移到专用环境中是有意义的。 如果环境中的多个流必须发送出站电子邮件,您可以创建一揽子例外规则,以允许发送来自该环境的出站电子邮件。 必须严格控制和限制制作者和管理员对该环境的权限。
详细了解如何为 Power Platform 相关电子邮件流量设置适当的外泄规则。
应用跨租户隔离
Power Platform 具有一个基于 Microsoft Entra 的连接器系统,使授权的 Microsoft Entra 用户能够将应用和流连接到数据存储。 租户隔离管理数据从 Microsoft Entra 授权数据源移入或移出租户。
租户隔离在租户级别应用并影响租户中的所有环境,包括默认环境。 由于所有员工都是默认环境中的制造者,因此配置稳健的租户隔离策略对于保护环境的安全至关重要。 建议明确配置员工可以连接到的租户。 所有其他租户都应包含在阻止数据入站和出站流的默认规则中。
Power Platform 租户隔离不同于 Microsoft Entra ID 范围的租户限制。 它不会影响 Power Platform 外部基于 Microsoft Entra ID 的访问。 该策略仅适用于采用基于 Microsoft Entra ID 的身份验证的连接器,例如 Office 365 Outlook 和 SharePoint 连接器。
了解详细信息:
后续步骤
查看本系列中的详细文章,以进一步增强您的安全状况:
阅读完相关文章后,请核对安全检查清单,确保 Power Platform 部署具备稳健性、弹性并符合最佳实践。