Megosztás a következőn keresztül:

Összekötő végpontszűrése (előzetes verzió)

  • Cikk

Feljegyzés

Az új és továbbfejlesztett Power Platform felügyeleti központ mostantól nyilvános előzetes verzióban érhető el! Az új felügyeleti központot úgy terveztük, hogy könnyebben használható legyen, feladatorientált navigációval, amely segít gyorsabban elérni bizonyos eredményeket. Új és frissített dokumentációt fogunk közzétenni, amint az új Power Platform felügyeleti központ általánosan elérhetővé válik.

[Ez a cikk egy előzetes kiadási dokumentáció, amely a későbbiekben változhat.]

Az összekötő végpontszűrése lehetővé teszi a rendszergazdák számára, hogy szabályozzák, hogy a készítők mely végpontokhoz csatlakozhatnak alkalmazások, folyamatok vagy csevegőrobotok létrehozásakor. Adatveszteség-megelőzési (DLP) szabályzaton belül van konfigurálva, és kizárólag hat összekötőhöz érhető el:

  • HTTP
  • HTTP Microsoft Entra azonosítóval (AD)
  • HTTP Webhook
  • SQL Server (beleértve az SQL Server Connector használatát az adattárház eléréséhez Azure Synapse )
  • Azure Blob Storage
  • SMTP

Amikor egy készítő megpróbálja csatlakoztatni az alkalmazást, folyamatot vagy csevegőrobotot egy letiltott végponthoz, DLP-hibaüzenet jelenik meg.

Figyelmeztetés:

A végpontszűrési szabályok nem érvényesülnek a környezeti változókon, az egyéni bemeneteken vagy a futásidőben dinamikusan létrehozott végpontokon. Csak a statikus végpontok lesznek kiértékelve az alkalmazás-, folyamat- vagy csevegőrobot-tervezőkben. További információ: Ismert korlátozások.

Fontos

Az előzetes funkciókat nem célszerű termelési környezetben használni, és előfordulhat, hogy korlátozott funkcionalitással rendelkeznek. Ezek a funkciók a hivatalos kiadás előtt érhetők el, hogy az ügyfelek korán megismerkedhessenek velük, és visszajelzést adhassanak róluk.

Végpontszűrési szabályok hozzáadása a DLP-szabályzatokhoz

Az Adatházirendek Előre összeállított összekötők lapján található Végpont konfigurálható oszlop azt jelzi, hogy az összekötő támogatja-e a végpontszűrési képességet.

A végpont konfigurálható az Előre összeállított összekötők lapon.

Ha a Konfigurálható végpont oszlop értéke Igen, akkor a jobb gombbal kattintással, majd az Összekötő konfigurálása>Összekötő végpontok lehetőséget választva használhatja ezt a lehetőséget.

Konfigurálja az összekötő > összekötő végpontjait.

Ezzel megnyit egy oldalsó panelt, ahol megadhatja az URL-minták engedélyezésének és tiltásának rendezett listáját. A lista utolsó sora mindig a helyettesítő karakter ()* szabálya lesz, amely az összekötő összes végpontjára vonatkozik. Alapértelmezés szerint a * minta van beállítva új DLP-házirendek engedélyezésére, de ezt címkézheti Engedélyezés vagy Tiltás értékkel is.

Adja meg az egyéni összekötők URL-címmintáinak engedélyezési és megtagadási listáját.

Új szabályok hozzáadása

Új szabályok hozzáadásához válassza a Végpont hozzáadása lehetőséget. Az új szabályok az utolsó előtti szabályként kerülnek a mintalista végére. Ennek az az oka, hogy * mindig az utolsó bejegyzés lesz a listában. A minták sorrendjét azonban frissítheti a Sorrend legördülő listával, vagy a Fel vagy a Le lehetőség kiválasztásával.

Új szabályok hozzáadásához válassza a Végpont hozzáadása lehetőséget.

Egy minta hozzáadása után ezeket a mintákat módosíthatja vagy törölheti, ha kiválaszt egy adott sort, majd kiválasztja a Törlés parancsot.

Minta törlése.

Az összekötő végpontszűrési szabályainak és a definiált DLP-szabályzatnak a mentése után azonnal érvénybe lépnek a megcélzott környezetekben. Az alábbi példa egy olyan példát mutat be, amikor egy készítő megpróbálta csatlakoztatni a felhőfolyamatot egy nem engedélyezett HTTP-végponthoz.

DLP-hiba a végpontszűrési szabályok miatt.

Ismert korlátozások

  • A végpontszűrési szabályok futásidőben nem lesznek kényszerítve a környezeti változókra, az egyéni bemenetekre és a dinamikusan kötött végpontokra. Csak azok az alkalmazások, folyamok és csevegőrobotok vannak kényszerítve a tervezési idő során, amelyek buildelés során statikus végpontként ismertek és vannak kiválasztva. Ez azt jelenti, hogy a SQL Server és az Azure Blob Storage összekötővégpont-szűrési szabályai nem lesznek kényszerítve, ha a kapcsolatok azonosítóval Microsoft Entra vannak hitelesítve. Az alábbi két képernyőképen egy készítő létrehozott egy felhőfolyamatot, amely meghatározza a SQL Server és az adatbázist a változókon belül, majd ezeket a változókat használja bemenetként a kapcsolatdefinícióhoz. Ezért a végpontszűrési szabályok nem lesznek kiértékelve, és a felhőfolyamat sikeresen végrehajtható.

    A felhőfolyamat változókat használ az SQL-hez való csatlakozáshoz. A felhőfolyamat sikeresen fut.

  • A 2020. október 1. előtt közzétett néhányat Power Apps újra közzé kell tenni a DLP-összekötő műveleti szabályainak és végponti szabályainak érvényesítéséhez. A következő parancsfájl segítségével a rendszergazdák és a készítők azonosíthatják azokat az alkalmazásokat, amelyeket újra közzé kell tenni, hogy megfeleljenek az új DLP granuláris vezérlőszabályoknak.

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Végpont bemeneti formátumok és példák

Mindegyik csatlakozónak más fogalma van a végpont jelentéséről. Továbbá néhány végpont többféle formátumban is definiálható. Ezért a végpontokat minden lehetséges formátumban meg kell adni, hogy a készítők ne használhassák őket az alkalmazások és folyamatok létrehozásakor. A rendszergazdák a teljes végpontnevet megadhatják, vagy a szűrési szabályt is használhatnak egy helyettesítő karakterrel (*), amikor létrehozzák a végpont szűrési szabályát. Ezek a szabályok egy rendezett listában vannak megadva és jelennek meg, amely végpontmintákat tartalmaz, ami azt jelenti, hogy szám szerint növekvő sorrendben lesznek kiértékelve. Vegye figyelembe, hogy az adott összekötő utolsó szabálya mindig * az Engedélyezés vagy a * Megtagadás. Az Engedélyezés az alapértelmezett, amely Megtagadásra módosítható.

A következő útmutató ismerteti, hogyan lehet összekötővégpontokat megadni az azokat engedélyező vagy tiltó szabályok létrehozásakor.

SQL-kiszolgáló

Az SQL Server kapcsolatvégpontokat <Server_name, database_name> formátumban kell felsorolni. Ügyeljen az alábbiakra:

  • A kiszolgáló nevét a készítők többféle formátumban is megadhatják. Éppen ezért a végpont tényleges célzásához meg kell adni minden lehetséges formátumban. A helyszíni példányok például lehetnek <machine_name\named_instance, database_name> vagy <IP address, custom port, database_name> formátumban is. Ebben az esetben mindkét formátumban engedélyezni vagy tiltani kell a szabályokat a végponthoz. Például:

    • Blokkolás WS12875676\Servername1,MktingDB
    • Blokkolás 11.22.33.444,1401,MktingDB

  • Nincs különleges logika a relatív címek, például a localhost kezeléshez. Ezért a *localhost* letiltás esetén a döntéshozók nem tudnak végpontokat használni, ha a localhost része az SQL Server-végpontnak. Ez azonban nem akadályozhatja meg őket az végpont teljes cím használatával való elérésében, kivéve ha a rendszergazda ezt a teljes címet is letiltotta.

Az alábbiakban példákat mutatunk be:

  • Csak Azure SQL kiszolgálópéldányok engedélyezése:

    1. Engedélyezés *.database.windows.net*
    2. Letiltás *

  • Csak egy adott IP-címtartomány engedélyezése: (Vegye figyelembe, hogy a nem engedélyezett IP-címeket a készítő továbbra is megadhatja formátumban <machine_name\named_instance> .)

    1. Engedélyezés 11.22.33*
    2. Letiltás *

Dataverse

Dataverse A végpontokat a szervezeti azonosító jelöli, például: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee. Ne feledje, hogy jelenleg csak a normál Dataverse-összekötőre terjed ki a végpontok szűrése. A Dataverse dinamikus és Dataverse aktuális összekötők nincsenek a hatókörben. Emellett a Dataverse helyi példánya (más néven az aktuális környezet) soha nem tiltható le környezetben való használatra. Ez azt jelenti, hogy bármelyik környezeten belül a döntéshozók bármikor elérhetik az aktuális Dataverse környezetet.

Ezért egy szabály a következőt határozza meg:

  1. Enged 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
  2. Letiltás *

Azt jelenti, hogy:

  1. Engedélyezés Dataverse current environment
  2. Enged 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
  3. Letiltás *

A Dataverse current environment engedélyezése mindig implicit módon az első szabály a Dataverse végpont szűrési listában egy adott környezetben.

Azure Blob Storage

Az Azure Blob Storage végpontokat az Azure tárfiók neve képviseli.

SMTP

Az SMTP-végpontok <SMTP server address, port number> formátumban vannak jelölve.

Lásd a következő esetpéldát:

  1. Letiltás smtp.gmail.com,587
  2. Engedélyezés *

HTTP Microsoft Entra azonosítóval, HTTP-webhook és HTTP-összekötők

Az összes HTTP-összekötő végpontját egy URL-minta képviseli. A HTTP és összekötő webes erőforrás Microsoft Entra lekérése művelete nem tartozik a hatókörbe.

Lásd a következő esetpéldát:

Csak az Azure előfizetések oldalának engedélyezése a https://management.azure.com/ helyen.

  1. Engedélyezés https://management.azure.com/subscriptions*
  2. Letiltás https://management.azure.com/*
  3. Letiltás *

A PowerShell-támogatás végpontszűréshez

Az végpontszűrési-szabályok konfigurálása egy házirendhez

Az objektum, amely tartalmazza egy házirend végpontszűrési-szabályait, amelyet alább összekötőkonfigurációnak nevezünk.

Az összekötőkonfigurációs objektum a következő felépítésű:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Notes

  • Az egyes összekötők utolsó szabályát mindig az URL-címre * kell alkalmazni, hogy a szabályok minden URL-címre vonatkozzanak.
  • Az egyes összekötőkhöz tartozó szabályok sorrend tulajdonságát 1-től N-ig terjedő számokkal kell feltölteni, ahol N az összekötő szabályainak száma.

Meglévő összekötő-konfigurációk lekérése DLP-szabályzathoz

Get-PowerAppDlpPolicyConnectorConfigurations

Összekötő-konfigurációk létrehozása DLP-szabályzathoz

New-PowerAppDlpPolicyConnectorConfigurations

DLP-szabályzat összekötő-konfigurációinak frissítése

Set-PowerAppDlpPolicyConnectorConfigurations

Példa

Cél:

Az SQL Server connector összekötőhöz:

  • Tiltsa le a “testdatabase” adatbázist a “myservername.database.windows.net” szervertől
  • Engedélyezzen minden adatbázist a “myservername.database.windows.net” szervertől
  • Az összes többi kiszolgálót tiltsa le

Az SMTP-összekötőhöz:

  • Gmail engedélyezése (kiszolgálócím: smtp.gmail.com, port: 587)
  • Az összes többi címet tiltsa le

Az HTTP-összekötőhöz:

  • Végpontok engedélyezése https://mywebsite.com/allowedPath1 és https://mywebsite.com/allowedPath2
  • Az összes többi URL-t tiltsa le

Feljegyzés

A következő parancsmagban a PolicyName az egyedi GUID-ra hivatkozik. A DLP GUID-ja a Get-DlpPolicy parancsmag futtatásával kérhető le.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations