Freigeben über

Neue Konnektoren standardmäßig deaktivieren in GCC High und DoD

  • Artikel

Alle neuen Konnektoren, die von Microsoft und Partnern Power Platform eingeführt werden, sind für Kunden, die in den folgenden Clouds der US-Regierung arbeiten, standardmäßig deaktiviert: GCC High und DoD. Administratoren können diese neuen Connectors überprüfen, bevor sie ihre Verwendung in der gesamten Organisation auf der Seite Datenrichtlinie des Power Platform Admin Centers autorisieren. Bereits in GCC High und DoD veröffentlichte Konnektoren bleiben aktiviert.

Power Platform und Drittanbieter veröffentlichen kontinuierlich neue Connectors und Administratoren können für diese Connectors eine Standardklassifizierung über ihre DLP-Richtlinien einrichten. Je nachdem, wie diese DLP-Richtlinien im Mandanten des Kunden konfiguriert sind, können neue Connectors unbeabsichtigt Erstellern in bestimmten Umgebungen zur Verfügung gestellt werden, ohne dass Administratoren ihre Verwendung genehmigen. Solche Vorkommnisse müssen in Clouds der amerikanischen Behörden vermieden werden, wo eine strikte Einhaltung vorgeschrieben ist. Administratoren können sich auf diesen Schutzmechanismus im GCC High und im US-Verteidigungsministerium verlassen, um die Verwendung von Konnektoren besser zu kontrollieren.

Anmerkung

  • Benutzerdefinierte Connectors können über dieses neue DLP-Steuerelement nicht deaktiviert werden.
  • Wenn ein Connector deaktiviert ist, klassifiziert und konfiguriert der Administrator den Connector in den DLP-Richtlinien trotzdem. Die Verwendung wird jedoch in Power Apps und Power Automate blockiert.

Verfügbarkeit

Diese Funktion wird schrittweise freigegeben, und alle in GCC High und dem US-Verteidigungsministerium tätigen Kunden werden bis Ende März 2022 Zugriff darauf haben. Anmeldung ist nicht erforderlich.

Workflow

Schritt 1: Zeigen Sie den neuen Connector an

  1. Wählen Sie die Registerkarte Datenrichtlinien aus, auf der sich alle DLP-Richtlinien befinden.

  2. Wählen Sie in der Symbolleiste Connectors aktivieren aus.

  3. Neue Connectors (diejenigen, die noch nicht überprüft wurden) haben den Status „Als überprüft kennzeichnen“.

  4. Connectors, die bereits überprüft und autorisiert wurden, haben den Status „Überprüft“.

Connector aktiviert

Schritt 2: Aktivieren oder deaktivieren Sie den neuen Connector

  1. Wenn Sie den Connector deaktiviert lassen möchten, wählen Sie Als überprüft kennzeichnen aus.

  2. Wenn Sie den Connector aktivieren möchten, wählen Sie die Umschalttaste Aktivieren aus.

  3. In beiden Fällen ändert sich der Status auf „Wird überprüft“.

  4. Wählen Sie Speichern. Der Status des Connectors wird nun auf „Überprüft“ gesetzt.

Deaktivierter, als überprüft gekennzeichneter Connector

Schritt 3: Zeigen Sie einen deaktivierten Connector in einer DLP-Richtlinie an

  1. Wählen Sie eine Datenrichtlinie auf der Seite Datenrichtlinien aus.

  2. Rufen Sie die Registerkarte Vordefinierte Connectors auf. Deaktivierte Connectors haben den Status „Deaktiviert“.

Connector deaktiviert

Schritt 4: Versuchen Sie, einen deaktivierten Connector in einer Power App hinzuzufügen

  1. Öffnen Sie eine beliebige Power App.

  2. Fügen Sie einen deaktivierten Connector hinzu. Sie erhalten eine Fehlermeldung.

Fehlermeldung bei deaktiviertem Connector

Notiz

  • Diese neue Einstellung auf Mandantenebene wird auch für vorhandene Apps und Flows erzwungen, die mit jetzt deaktivierten Connectors erstellt wurden.

PowerShell-Unterstützung

Das neue DLP-Steuerelement hat in PowerShell die folgende Struktur. Das Objekt connectorSettings ist ein Array von Connectors, die angeben, ob es aktiviert oder deaktiviert ist („behavior“) und ob es überprüft wurde oder nicht („isReviewed“).

$connectorBlockingDefinition = [pscustomobject] @{ 
  ConnectorSettings= @( 
    [pscustomobject] @{ 
 			id  # connectorId -- string 
 			behavior # connector behavior -- “Allow”/”Deny” 
 			isReviewed # whether connector has been reviewed -- boolean 
 		} 
  ) 
}

Abrufen der vorhandenen Connector-Blockierungsrichtlinie für den Mandanten

Get-PowerAppDlpConnectorBlockingPolicies

Beispiel:

Get-PowerAppDlpConnectorBlockingPolicies -TenantId “aaaabbbb-0000-cccc-1111-dddd2222eeee”

Das obige Cmdlet gibt die Connectors aus, die für die Auswertung blockiert/erlaubt sind, und die policyId.

Erstellen einer neuen Connector-Blockierungsrichtlinie für den Mandanten

New-PowerAppDlpConnectorBlockingPolicy –TenantId “aaaabbbb-0000-cccc-1111-dddd2222eeee” -ConnectorBlockingDefinition $connectorBlockingDefinition
  Where $connectorBlockingDefinition = [pscustomobject] @{
    ConnectorSettings= @
      [pscustomobject] @{
        id  = “/providers/Microsoft.PowerApps/apis/connector1”
        behavior = “Allow”
        isReviewed = $true
      },
      [pscustomobject] @{
        id = “/providers/Microsoft.PowerApps/apis/connector2”
        behavior=”Deny”
        IsReviewed=$false
      }
    )
  }

Aktualisieren der Connector-Blockierungsrichtlinie für den Mandanten

Set-PowerAppDlpConnectorBlockingPolicy -TenantId “aaaabbbb-0000-cccc-1111-dddd2222eeee” -PolicyId “1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5” -ConnectorBlockingDefinition $connectorBlockingDefinition

Rufen Sie die Connector-Blockierungsrichtlinie mithilfe der Richtlinien-ID ab

Get-PowerAppDlpConnectorBlockingPolicy -TenantId “aaaabbbb-0000-cccc-1111-dddd2222eeee” -PolicyId “1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5”