Bagikan melalui

Pemfilteran titik akhir konektor (pratinjau)

  • Artikel

Catatan

Pusat Power Platform admin yang baru dan ditingkatkan sekarang dalam pratinjau publik! Kami merancang pusat admin baru agar lebih mudah digunakan, dengan navigasi berorientasi tugas yang membantu Anda mencapai hasil tertentu dengan lebih cepat. Kami akan menerbitkan dokumentasi baru dan yang diperbarui saat pusat admin baru Power Platform beralih ke ketersediaan umum.

[Artikel ini adalah dokumentasi prarilis dan dapat berubah.]

Pemfilteran titik akhir konektor memungkinkan admin untuk mengatur titik akhir tertentu yang dapat dihubungkan oleh pembuat saat membangun aplikasi, alur, atau chatbot. Ini dikonfigurasi dalam kebijakan pencegahan kehilangan data (DLP), dan tersedia secara eksklusif untuk enam konektor:

  • HTTP
  • HTTP dengan Microsoft Entra ID (AD)
  • HTTP Webhook
  • SQL Server (termasuk menggunakan Konektor SQL Server untuk mengakses Azure Synapse gudang data)
  • Azure Blob Storage
  • SMTP

Saat pembuat mencoba menyambungkan aplikasi, alur, atau chatbot mereka ke titik akhir yang diblokir, mereka akan menemukan pesan kesalahan DLP.

Peringatan

Aturan pemfilteran titik akhir tidak diberlakukan pada variabel lingkungan, input kustom, atau titik akhir apa pun yang dibuat secara dinamis pada run-time. Hanya titik akhir statis yang dievaluasi dalam perancang aplikasi, alur, atau chatbot. Untuk informasi selengkapnya, lihat Batasan yang diketahui.

Penting

Fitur pratinjau tidak dibuat untuk penggunaan produksi dan mungkin memiliki fungsionalitas yang dibatasi. Fitur ini tersedia sebelum rilis resmi agar pelanggan bisa memperoleh akses awal dan memberikan tanggapan.

Menambahkan aturan pemfilteran titik akhir ke kebijakan DLP Anda

Kolom Titik Akhir yang dapat dikonfigurasi , pada halaman Konektor Bawaan di Kebijakan Data, menunjukkan apakah kemampuan pemfilteran titik akhir didukung untuk konektor.

Titik akhir dapat dikonfigurasi di halaman Konektor bawaan.

Jika nilai kolom titik akhir dapat dikonfigurasi adalah Ya, Anda dapat menggunakan kemampuan ini dengan mengeklik kanan dan kemudian Konfigurasikan Konektor>titik akhir Konektor.

Konfigurasikan titik > akhir konektor Connector.

Ini akan membuka panel sisi dengan Anda dapat menentukan daftar urut pola Izinkan atau Tolak URL. Baris terakhir dalam daftar akan selalu menjadi aturan untuk karakter wildcard (*), yang berlaku untuk semua titik akhir di konektor tersebut. Secara default, pola * diatur sebagai Izinkan untuk kebijakan DLP baru, namun Anda dapat menandainya sebagai Izinkan atau Tolak.

Tentukan daftar pola URL yang diizinkan dan tolak untuk konektor kustom.

Menambahkan aturan baru

Anda dapat menambahkan aturan baru dengan memilih Tambah titik akhir. Aturan baru ditambahkan ke akhir daftar pola sebagai aturan kedua hingga terakhir. Ini karena * akan selalu menjadi entri terakhir dalam daftar. Namun, Anda dapat memperbarui urutan pola dengan menggunakan daftar drop-down Urutan atau memilih Pindahkan ke atas atau Pindahkan ke bawah.

Pilih Tambahkan titik akhir untuk menambahkan aturan baru.

Setelah pola ditambahkan, Anda dapat mengedit atau menghapus pola ini dengan memilih baris tertentu lalu memilih Hapus.

Hapus pola.

Setelah menyimpan aturan pemfilteran titik akhir konektor Anda dan kebijakan DLP di mana aturan tersebut ditentukan, aturan tersebut akan langsung diberlakukan pada lingkungan yang ditargetkan. Di bawah ini adalah contoh di mana pembuat mencoba menghubungkan alur cloud mereka ke titik akhir HTTP yang tidak diizinkan.

Kesalahan DLP karena aturan pemfilteran titik akhir.

Pembatasan yang diketahui

  • Aturan pemfilteran titik akhir tidak diberlakukan pada variabel lingkungan, input kustom, dan titik akhir yang terikat secara dinamis selama runtime. Hanya titik akhir statis yang diketahui dan dipilih saat membuat aplikasi, aliran, atau chatbot selama waktu desain yang diterapkan. Ini menyiratkan bahwa aturan pemfilteran titik akhir konektor untuk SQL Server dan Azure Blob Storage tidak diberlakukan jika koneksi diautentikasi dengan Microsoft Entra ID. Dalam dua cuplikan layar di bawah ini, pembuat telah membangun alur cloud yang mendefinisikan SQL Server dan database di dalam variabel, lalu menggunakan variabel tersebut sebagai input ke definisi koneksi. Oleh karena itu, aturan pemfilteran titik akhir tidak dievaluasi dan alur cloud dapat berjalan dengan sukses.

    Cloud flow menggunakan variabel untuk terhubung ke SQL. Alur cloud berhasil berjalan.

  • Beberapa yang Power Apps diterbitkan sebelum 1 Oktober 2020, perlu diterbitkan ulang agar aturan tindakan konektor DLP dan aturan titik akhir diterapkan. Skrip berikut memungkinkan admin dan pembuat mengidentifikasi aplikasi yang harus dipublikasikan ulang untuk mengikuti aturan kontrol rinci DLP baru ini:

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to be Granular DLP compliant: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular DLP compliant: " $app.AppName 
    }
}

Contoh dan Format input Titik akhir

Setiap konektor memiliki gagasan yang berbeda tentang titik akhir konektor. Lebih lanjut, beberapa titik akhir dapat ditentukan dalam beberapa format. Karena itu, titik akhir harus dimasukkan dalam semua format yang mungkin agar pembuat tidak menggunakannya saat membuat aplikasi dan alur. Admin dapat memasukkan nama titik akhir lengkap atau menggunakan pencocokan pola dengan karakter wildcard (*) saat membuat aturan pemfilteran titik akhir. Aturan ini dimasukkan dan disajikan dalam daftar urutan pola titik akhir, yang berarti bahwa aturan tersebut akan dievaluasi dalam urutan menaik berdasarkan angka. Perhatikan bahwa aturan terakhir untuk konektor tertentu selalu * Izinkan atau * Tolak. Izinkan adalah default, yang dapat diubah menjadi Tolak.

Panduan berikut menjelaskan cara memasukkan titik akhir konektor saat membuat aturan untuk mengizinkan atau menolaknya.

SQL Server

Titik akhir sambungan SQL Server harus tercantum dalam format <Server_name, database_name>. Beberapa hal yang perlu diingat:

  • Nama server dapat dimasukkan dalam berbagai format oleh pembuat. Oleh karena itu, untuk menangani akhir, aplikasi ini harus dimasukkan dalam semua format yang mungkin. Contohnya, instans lokal dapat dalam format <machine_name\named_instance, database_name> atau <IP address, custom port, database_name>. Dalam kasus ini, Anda harus menerapkan aturan izinkan atau blokir di kedua format untuk titik akhir. Contoh:

    • Blokir WS12875676\Servername1,MktingDB
    • Blokir 11.22.33.444,1401,MktingDB

  • Tidak ada logika khusus untuk menangani alamat relatif seperti localhost. Oleh karena itu, jika Anda memblokir *localhost*, ini akan memblokir pembuat agar tidak menggunakan titik akhir apa pun dengan menggunakan localhost sebagai bagian dari titik akhir SQL Server. Namun, hal ini tidak akan menghentikan mereka mengakses titik akhir menggunakan alamat absolut, kecuali jika alamat absolut juga telah diblokir oleh admin.

Berikut ini adalah contohnya:

  • Bolehkan hanya instans Azure SQL Server:

    1. Bolehkan *.database.windows.net*
    2. Tolak *

  • Izinkan hanya rentang IP tertentu: (Perhatikan bahwa alamat IP yang tidak diizinkan masih dapat dimasukkan oleh pembuat dalam format <machine_name\named_instance> .)

    1. Bolehkan 11.22.33*
    2. Tolak *

Dataverse

Dataverse titik akhir diwakili oleh ID organisasi, seperti,. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee Perlu diketahui bahwa hanya konektor Dataverse biasa yang saat ini ada dalam cakupan untuk pemfilteran titik akhir. Konektor Dataverse dynamics dan Dataverse saat ini tidak berada dalam cakupan. Selain itu, instans lokal Dataverse (juga dikenal sebagai lingkungan saat ini) tidak akan pernah diblokir untuk digunakan dalam lingkungan. Ini berarti bahwa dalam lingkungan apa pun, pembuat selalu dapat mengakses lingkungan saat ini Dataverse.

Oleh karena itu, aturan yang menyatakan berikut:

  1. Memperbolehkan 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
  2. Tolak *

Sebenarnya berarti:

  1. Bolehkan Dataverse current environment
  2. Memperbolehkan 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
  3. Tolak *

Izinkan Dataverse current environment selalu secara implisit menjadi aturan pertama dalam daftar pemfilteran titik akhir Dataverse untuk lingkungan tertentu.

Azure Blob Storage

Titik akhir Azure Blob Storage ditunjukkan dengan nama akun penyimpanan Azure.

SMTP

Titik akhir SMTP dinyatakan dalam format <SMTP server address, port number>.

Berikut ini adalah contoh skenario:

  1. Tolak smtp.gmail.com,587
  2. Bolehkan *

HTTP dengan Microsoft Entra ID, HTTP Webhook, dan konektor HTTP

Titik akhir untuk semua konektor HTTP ditunjukkan oleh pola URL. Tindakan Dapatkan sumber daya web dari HTTP dengan Microsoft Entra konektor berada di luar cakupan.

Berikut ini adalah contoh skenario:

Bolehkan akses hanya ke halaman langganan Azure dalam https://management.azure.com/.

  1. Bolehkan https://management.azure.com/subscriptions*
  2. Tolak https://management.azure.com/*
  3. Tolak *

Dukungan PowerShell untuk pemfilteran titik akhir

Mengkonfigurasi pemfilteran titik akhir untuk kebijakan

Objek yang berisi aturan pemfilteran titik akhir untuk kebijakan disebut bawah ini sebagai konfigurasi konektor.

Objek konfigurasi konektor memiliki struktur berikut:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Catatan

  • Aturan terakhir untuk setiap konektor harus selalu diterapkan ke URL *, untuk memastikan bahwa semua URL tercakup dalam aturan.
  • Properti order aturan untuk setiap konektor harus diisi dengan angka 1 hingga N, di mana N adalah jumlah aturan untuk konektor tersebut.

Mengambil konfigurasi konektor yang ada untuk kebijakan DLP

Get-PowerAppDlpPolicyConnectorConfigurations

Membuat konfigurasi konektor untuk kebijakan DLP

New-PowerAppDlpPolicyConnectorConfigurations

Memperbarui konfigurasi konektor untuk kebijakan DLP

Set-PowerAppDlpPolicyConnectorConfigurations

Contoh

Sasaran:

Untuk konektor SQL Server:

  • Database tolak "testdatabase" server "myservername.database.windows.net"
  • Izinkan semua database lain server "myservername.database.windows.net"
  • Tolak semua server lain

Untuk Konektor SMTP:

  • Bolehkan Gmail (alamat server: smtp.gmail.com, port: 587)
  • Tolak semua alamat lain

Untuk Konektor HTTP:

  • Izinkan titik akhir https://mywebsite.com/allowedPath1 dan https://mywebsite.com/allowedPath2
  • Tolak semua URL lain

Catatan

Di cmdlet berikut, PolicyName mengacu pada GUID unik. Anda dapat mengambil DLP GUID dengan menjalankan cmdlet Get-DlpPolicy.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations