Bağlayıcı uç nokta filtrelemesi (önizleme)

[Bu makale, yayın öncesi belgelerine dahildir ve değiştirilebilir.]

Bağlayıcı uç noktası filtrelemesi yöneticilerin uygulama, akış veya sohbet botları oluştururken oluşturucuların hangi uç noktalara bağlanabileceğini denetlemesine olanak tanır. Bir veri ilkesi içinde yapılandırılır ve yalnızca aşağıdaki bağlayıcılar için kullanılabilir:

  • HTTP
  • Microsoft Entra Id (AD) ile HTTP
  • HTTP Web Kancası
  • SQL Server (Azure Synapse veri ambarına erişmek için SQL Server Bağlayıcısı kullanmayı içerir)
  • Azure Blob Storage
  • SMTP
  • Tarayıcı Otomasyonu
  • UI Otomasyonu

Oluşturucu, uygulamasını, akışını veya sohbet botlarını engellenen bir uç noktaya bağladığında bir veri ilkesi hata iletisi görür.

Uyarı

Uç nokta filtreleme kuralları ortam değişkenlerine, özel girişlere veya çalışma zamanında dinamik olarak oluşturulan uç noktalara uygulanmaz. Uygulama, akış veya sohbet botu tasarımcılarında yalnızca statik uç noktalar değerlendirilir. Daha fazla bilgi için bkz. Bilinen kısıtlamalar.

Önemli

  • Bu bir önizleme özelliğidir.
  • Önizleme özellikleri, üretimde kullanıma yönelik değildir ve sınırlı işlevselliğe sahip olabilir. Bu özellikler ek kullanım koşullarına tabidir ve müşterilerin erken erişime ulaşabilmesi ve geri bildirimde bulunabilmesi için resmi yayın öncesi mevcuttur.

Veri ilkelerinize uç nokta filtreleme kuralları ekleme

Veri İlkeleri sayfasındaki Önceden Oluşturulmuş Bağlayıcılar sayfasındaki Uç nokta yapılandırılabilir sütunu, uç nokta filtreleme özelliğinin bağlayıcı için desteklenip desteklenmediğini gösterir.

Önceden Oluşturulmuş Bağlayıcılar sayfasındaki yapılandırılabilir uç nokta.

Son Nokta yapılandırılabilir sütununun değeri Evet ise, sağ tıklayıp Bağlayıcıyı yapılandır>Bağlayıcı uç noktaları öğesini seçerek bu özelliği kullanabilirsiniz.

Bağlayıcıyı yapılandır > Bağlayıcı uç noktaları.

Bu, URL'ye İzin Ver veya Reddet desenlerinin sıralı listesini belirttiğiniz bir yan panel açar. Listedeki son satır, bu bağlayıcıdaki tüm uç noktalar için geçerli olan joker karakter (*) kuralıdır. Varsayılan olarak, * desen Yeni veri ilkeleri için İzin Ver olarak ayarlanır, ancak bunu İzin Ver veya Reddet olarak etiketleyebilirsiniz.

Özel bağlayıcılar için İzin Ver ve Reddet URL desenlerinin sıralı listesini belirtin.

Yeni kural ekleme

Yeni kuralları Uç nokta ekle'yi seçerek ekleyebilirsiniz. Desen listesinin sonuna ikinciden son kural olarak yeni kurallar eklenir. Bunun nedeni * listedeki son girdi olmasıdır. Ancak, Düzen açılır listesini kullanarak veya Yukarı Taşı ya da Aşağı Taşı seçeneğini belirleyerek desenlerin sırasını güncelleyebilirsiniz.

Yeni kural eklemek için Uç nokta ekle'yi seçin.

Desen ekledikten sonra belirli bir satırı seçip Sil'i seçerek düzeni düzenleyebilir veya silebilirsiniz.

Deseni silin.

Bağlayıcı uç noktası filtreleme kurallarınızı ve tanımlandığı veri politikasını kaydettikten sonra, bunlar hedeflenen ortamlarda anında uygulanır. Aşağıdaki görüntüde, bir oluşturucunun bulut akışını izin verilmeyen bir HTTP uç noktasına bağlamaya çalıştığı bir örnek gösterilmektedir.

Uç nokta filtreleme kuralları nedeniyle veri ilkesi hatası.

Bilinen sınırlamalar

  • Çalışma zamanı sırasında ortam değişkenleri, özel girdiler ve dinamik olarak bağlanan uç noktalar üzerinde uç nokta filtreleme kuralları uygulanmaz. Yalnızca tasarım zamanında uygulama, akış veya sohbet botu oluşturulurken bilinen ve seçilen statik uç noktalar uygulanır. Bu, bağlantıların Kimliğinin Microsoft Entra Id ile doğrulanması durumunda SQL Server ve Azure Blob Depolama için bağlayıcı uç noktası filtreleme kurallarının zorunlu kılınmamasını sağlar. Aşağıdaki iki ekran görüntüsünde, oluşturucu değişkenlerin içinde SQL Server'ı ve veritabanını tanımlayan bir bulut akışı oluşturur ve ardından bu değişkenleri bağlantı tanımına giriş olarak kullanır. Sonuç olarak uç nokta filtreleme kuralları değerlendirilmez ve bulut akışı başarıyla yürütülür.

    SQL'e bağlanmak için değişkenleri kullanan bulut akışının ekran görüntüsü.

    Başarıyla çalışan bir bulut akışının ekran görüntüsü.

  • 1 Ekim 2020'ye kadar yayımlanan Power Apps'in, veri ilkesi bağlayıcısı eylem kurallarının ve uç nokta kurallarının uygulanması için yeniden yayımlanması gerekir. Aşağıdaki betik, yöneticilerin ve oluşturucuların bu yeni veri ilkesi ayrıntılı denetim kurallarına uymak için yeniden yayımlanması gereken uygulamaları tanımlamasına olanak tanır:

    Add-PowerAppsAccount

$GranularDLPDate = Get-Date -Date "2020-10-01 00:00:00Z"

ForEach ($app in Get-AdminPowerApp){

    $versionAsDate = [datetime]::Parse($app.LastModifiedTime)

    $olderApp = $versionAsDate -lt $GranularDLPDate

    $wasBackfilled = $app.Internal.properties.executionRestrictions -ne $null -and $app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult -ne $null -and ![string]::IsNullOrEmpty($app.Internal.properties.executionRestrictions.dataLossPreventionEvaluationResult.lastAdvancedBackfillDate) 

    If($($olderApp -and !$wasBackfilled)){
        Write-Host "App must be republished to comply with granular data policy: " $app.AppName " "  $app.Internal.properties.displayName " " $app.Internal.properties.owner.email
    } 
    Else{ 
        Write-Host "App is already Granular data policy compliant: " $app.AppName 
    }
}

Uç nokta giriş biçimleri ve örnekleri

Her bağlayıcı bir uç noktayı farklı tanımlar ve bazı uç noktalar birden çok biçimde olabilir. Bu nedenle, uygulama ve akış oluştururken oluşturucuların bunları kullanmasını engellemek için tüm olası biçimlerde uç noktaları girmeniz gerekir. Yöneticiler, uç nokta filtreleme kuralı oluşturmak için tam uç nokta adını girebilir veya joker karakterle (*) eşleşen deseni kullanabilir. Bu kurallar, uç nokta desenlerinin sıralı bir listesine girilir ve sunulur; bu da sayıya göre artan düzende değerlendirildikleri anlamına gelir. Herhangi bir bağlayıcı için son kural her zaman * İzin Ver veya * Reddet'tir. İzin Ver varsayılan değerdir ve bu değer Reddet olarak değiştirilebilir.

Aşağıdaki kılavuzda, izin vermek veya reddetmek için kural oluştururken bağlayıcı bitiş noktalarının nasıl girileceği açıklanmaktadır.

SQL Server

SQL Server bağlantı uç noktalarını <Server_name, database_name> formatında listeleyin. Dikkat edilmesi gereken birkaç nokta:

  • Oluşturucular sunucu adını çeşitli biçimlerde girebilir. Bir uç noktayı ele almak için bunu tüm olası biçimlerde girin. Örneğin, şirket içi kurulumlar <machine_name\named_instance, database_name> veya <IP address, custom port, database_name> biçiminde olabilir. Bu durumda, uç nokta için iki biçimde izin ver veya engelle kuralları uygulamanız gerekir. Örneğin:

    • WS12875676\Servername1,MktingDB öğesini engelle
    • 11.22.33.444,1401,MktingDB öğesini engelle

  • Özel bir mantık localhost gibi göreli adresleri işlemez. Bu nedenle, *localhost* öğesini engellerseniz geliştiricilerin SQL Server uç noktasının parçası olarak localhost öğesi ile uç noktaları kullanması engellenir. Ancak mutlak adres de yönetici tarafından engellenmedikçe mutlak adresi kullanarak uç noktaya erişmeleri durdurulmayacaktır.

Aşağıda bazı örnekler verilmiştir:

  • Yalnızca Azure SQL Server kurulumlarına izin verin:

    1. *.database.windows.net* adresine izin ver
    2. * öğesini reddet

  • Yalnızca belirli bir IP aralığına izin ver: (İzin verilmeyen IP adresleri yine de <machine_name\named_instance> oluşturucu tarafından biçiminde girilebilir.)

    1. 11.22.33* adresine izin ver
    2. * öğesini reddet

Dataverse

Dataverse uç noktaları 00aa00aa-bb11-cc22-dd33-44ee44ee44eee gibi kuruluş kimliğiyle temsil edilir. Şu anda uç nokta filtrelemesi için yalnızca normal Dataverse bağlayıcısının kapsam dahilinde olduğunu unutmayın. Dataverse Dinamikler ve Dataverse akım bağlayıcıları kapsam dahilinde değildir. Ayrıca Dataverse'in yerel kurulumunun (geçerli ortam olarak da bilinir) hiçbir zaman bir ortam içindeki kullanımı engellenemez. Bu, üreticilerin herhangi bir ortamda Dataverse'in mevcut ortamına her zaman erişebileceği anlamına gelir.

Bu nedenle, şunu söyleyen bir kural:

  1. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee adresine izin ver
  2. * öğesini reddet

Bu aslında şu anlama gelir:

  1. Dataverse current environment adresine izin ver
  2. 00aa00aa-bb11-cc22-dd33-44ee44ee44ee adresine izin ver
  3. * öğesini reddet

Dataverse current environment öğesine izin ver, her zaman açıkça belirli bir ortam için uç noktası filtreleme listesindeki ilk kuraldır.

Azure Blob Storage

Azure Blob Depolama uç noktaları Azure depolama hesabı adını kullanır.

SMTP

SMTP uç noktaları, <SMTP server address, port number> biçiminde temsil edilir.

Aşağıda bir örnek senaryo verilmiştir:

  1. smtp.gmail.com,587 öğesini reddet
  2. * adresine izin ver

HTTP with Microsoft Entra ID, HTTP Web Kancası ve HTTP bağlayıcılar

HTTP bağlayıcısı uç noktaları url deseni kullanır. Microsoft Entra bağlayıcısının HTTP ile Web kaynağını al eylemi kapsam dışındadır.

Bir örnek senaryo aşağıda verilmiştir:

Yalnızca https://management.azure.com/ içindeki Azure abonelikleri sayfasına erişime izin verin.

  1. https://management.azure.com/subscriptions* adresine izin ver
  2. https://management.azure.com/* öğesini reddet
  3. * öğesini reddet

Tarayıcı Otomasyonu

Bu özellik, masaüstü için Power Automate'te bir masaüstü akışının eriştiği web sayfalarını denetlemenize olanak tanır. Uç noktalar URL biçiminde veya web sayfası adı biçiminde temsil edilir ve dinamik URL veya sayfa adı eşleştirmesi için joker karakterler kullanabilirsiniz. Doğrulama, bir masaüstü akışı tarayıcı etkileşimleriyle devam etmeden önce "Web Tarayıcısını Başlat" veya "Web sayfasına git" eylemleri sırasında gerçekleşir.

Not

"Web Tarayıcısını Başlat" eylemleri ön plan penceresine eklenecek şekilde yapılandırıldığında uç nokta filtreleme doğrulanmaz. Bu gibi durumlarda, tüm web sayfalarına erişim reddedilmediği sürece eylem engellenmez.

Aşağıda bir örnek senaryo verilmiştir:

https://www.microsoft.com/ URL'si ve powerplatform dizesini içeren tüm URL'ler veya web sayfaları hariç tüm web sayfalarına erişime izin ver.

  1. https://www.microsoft.com/ öğesini reddet
  2. *powerplatform* öğesini reddet
  3. * adresine izin ver

UI Otomasyonu

Bu özellik, masaüstü için Power Automate'te bir masaüstü akışının etkileşim kurabileceği uygulamaları ve ekranları tanımlamanızı sağlar. Uç noktalar uygulamanın işlem adı kullanılarak belirtilir. İşlem adı ApplicationFrameHost, Java veya Javaw olduğunda (birden çok örneğin aynı adı paylaşabileceği Evrensel Windows Platformu (UWP) veya Java uygulamasını gösterir), masaüstü için Power Automate hedefi doğru bir şekilde tanımlamak için hem işlem adını hem de pencere görünen adını kullanır. Joker karakterler esnek eşleştirme için desteklenir.

Doğrulama, UI otomasyon grubundaki herhangi bir eylemde gerçekleşir. Hedeflenen ekranın seçicisinde (görüntüdeki ok tarafından gösterildiği gibi) İşlem özniteliğini (görüntüdeki 1 sayısıyla gösterilir) veya Name özniteliğini (görüntüdeki 2 sayısıyla gösterilir) denetler. Etkileşime izin verilip izin verilmediğini belirlemek için genellikle ilgili kullanıcı arabirimi öğelerinin üst öğesi kullanılır.

Ekran seçicisi

Uç nokta filtreleme kuralları değişkenlere veya dinamik olarak bağlı uç noktalara uygulanmaz. Bir ifade salt metin ifadesi dışında bir şey içeriyorsa, filtreleme atlanır—bu da kısıtlanmış bağlayıcı bağımsız değişkenlerine erişim izni verebilir. Varsayılan ilke davranışı, tüm uç nokta filtreleme ilkelerinin bir çekirdek kuralı (İzin Ver * veya Reddet *) içermesi ve varsayılan olarak İzin Ver * (Tümüne İzin Ver) olmasıdır.

  • İzin Ver * kullanıldığında: Dinamik değerler filtrelenmez. Belirli uygulamalar kısıtlanmış olsa bile tüm dinamik ifadeler uç nokta filtrelemesini atlar.
  • Reddet * kullanıldığında: Tüm dinamik değerler varsayılan olarak engellenir ve daha sıkı uygulama sağlanır.

Not

  • İlgili öznitelikler (İşlem veya Ad) seçicinin parçası değilse uç nokta filtreleme uygulanmaz.
  • Uç nokta filtrelemesi masaüstü simgeleri, görev çubuğu düğmeleri ve Başlat menüsündeki bileşenler de dahil olmak üzere belirli Windows işletim sistemi kullanıcı arabirimi öğeleri için desteklenmez.

Örnek bir senaryo aşağıda verilmiştir. İşlem veya Ad özniteliğinin tam olarak Hesap Makinesi olduğu veya Java dizesini içerdiği durumlar dışında tüm uygulama ve ekranlara erişime izin vermek için aşağıdaki kuralları yapılandırabilirsiniz:

  1. Calculator öğesini reddet
  2. *Java* öğesini reddet
  3. * adresine izin ver

Uç nokta filtreleme için PowerShell desteği

İlke için uç nokta filtreleme kurallarını yapılandırma

İlke için uç nokta filtreleme kuralları içeren nesneye bağlayıcı yapılandırmaları adı verilir.

Bağlayıcı yapılandırmaları nesnesi aşağıdaki yapıya sahiptir:

$ConnectorConfigurations = @{ 
  connectorActionConfigurations = @() # used for connector action rules
  endpointConfigurations = @( # array – one entry per 
    @{  
      connectorId # string
      endpointRules = @( # array – one entry per rule 
        @{ 
          order # number 
          endpoint # string
          behavior # supported values: Allow/Deny
        }
      ) 
    }
  ) 
}

Notlar

  • Tüm URL'lerin kurallar kapsamında olduğundan emin olmak için her bağlayıcının son kuralı her zaman URL'ye * uygulanmalıdır.
  • Her bağlayıcı için kuralların order özelliği 1 ile N arasında bir sayı kullanmalıdır; burada N, bağlayıcının kural sayısıdır.

Veri ilkesi için mevcut bağlayıcı yapılandırmalarını alma

Get-PowerAppDlpPolicyConnectorConfigurations

Veri ilkesi için bağlayıcı yapılandırmaları oluşturma

New-PowerAppDlpPolicyConnectorConfigurations

Veri ilkesi için bağlayıcı yapılandırmalarını güncelleştirme

Set-PowerAppDlpPolicyConnectorConfigurations

Örnek

Hedef:

SQL Server bağlayıcısı için:

  • "myservername.database.windows.net" sunucusunun "testdatabase" veritabanını reddet
  • "myservername.database.windows.net" sunucusunun diğer tüm veritabanlarına izin ver
  • Diğer tüm sunucuları reddet

SMTP bağlayıcısı için:

  • Gmail'e izin ver (sunucu adresi: smtp.gmail.com, bağlantı noktası: 587)
  • Diğer tüm sunucuları reddet

HTTP bağlayıcısı için:

  • https://mywebsite.com/allowedPath1ve https://mywebsite.com/allowedPath2 uç noktalarına izin ver
  • Diğer tüm URL'leri reddet

Not

Aşağıdaki cmdlet'te, PolicyName benzersiz GUID'i ifade eder. Get-DlpPolicy cmdlet'ini çalıştırarak veri ilkesi GUID'sini alın.

$ConnectorConfigurations = @{ 
  endpointConfigurations = @(
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_sql" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "myservername.database.windows.net,testdatabase" 
          behavior = "Deny"
        }, 
        @{ 
          order = 2 
          endpoint = "myservername.database.windows.net,*" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    }, 
    @{  
      connectorId = "/providers/Microsoft.PowerApps/apis/shared_smtp" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "smtp.gmail.com,587" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2 
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    },
    @{  
      connectorId = "http" 
      endpointRules = @(
        @{ 
          order = 1 
          endpoint = "https://mywebsite.com/allowedPath1" 
          behavior = "Allow"
        }, 
        @{ 
          order = 2
          endpoint = "https://mywebsite.com/allowedPath2" 
          behavior = "Allow"
        }, 
        @{ 
          order = 3
          endpoint = "*" 
          behavior = "Deny"
        } 
      ) 
    } 
  ) 
}
New-PowerAppDlpPolicyConnectorConfigurations -TenantId $TenantId -PolicyName $PolicyName -NewDlpPolicyConnectorConfigurations $ConnectorConfigurations
  • Last updated on