القيود الواردة والصادرة عبر المستأجرين
إشعار
إن مركز مسؤولي Power Platformالجديد والمحسن موجود الآن في إصدار أولي للاستخدام العام! لقد صممنا مركز الإدارة الجديد ليكون أسهل في الاستخدام، مع التنقل الموجه نحو المهام الذي يساعدك على تحقيق نتائج محددة بشكل أسرع. سننشر وثائق جديدة ومحدثة مع انتقال مركز مسؤولي Power Platform الجديد إلى التوفر العام.
Microsoft Power Platform لديه نظام بيئي غني من الموصلات القائمة على Microsoft Entra التي تسمح أذن Microsoft Entra للمستخدمين إنشاء تطبيقات وتدفقات مقنعة لإنشاء اتصالات ببيانات الأعمال المتاحة من خلال مخازن البيانات هذه. يسهّل عزل المستأجر على المسؤولين ضمان إمكانية استخدام هذه الموصلات بطريقة آمنة ومأمونة داخل المستأجر مع تقليل مخاطر اختراق البيانات خارج المستأجر. يسمح عزل المستأجر Power Platform للمسؤولين للتحكم بشكل فعال في حركة بيانات المستأجر من Microsoft Entra مصادر البيانات المعتمدة من وإلى المستأجر.
يختلف عزل المستأجر في Power Platform يختلف عن قيد المستأجر على مستوى Microsoft Entra ID. وهو لا يؤثر على الوصول القائم على معرف Microsoft Entra خارج Power Platform. لا يعمل عزل المستأجر في Power Platform إلا للموصلات التي تستخدم المصادقة المستندة إلى معرف Microsoft Entra مثل Office 365 Outlook أو SharePoint.
التحذير
هناك مشكلة معروفة في Azure DevOps الموصل تؤدي إلى عدم فرض سياسة عزل المستأجر على الاتصالات التي تم إنشاؤها باستخدام هذا الموصل. إذا كان متجه هجوم داخلي يمثل مصدر قلق، فنُوصيك بالحد من استخدام الموصل أو إجراءاته باستخدام سياسات البيانات.
التكوين الافتراضي في Power Platform مع إيقاف تشغيل عزل المستأجر هدفه السماح بإنشاء اتصالات عبر المستأجرين بسلاسة، إذا كان المستخدم من المستأجر A الذي ينشئ الاتصال بالمستأجر B يقدم بيانات اعتماد Microsoft Entra مناسبة. إذا أراد المسؤولون السماح فقط لمجموعة معينة من المستأجرين بإنشاء اتصالات إلى أو من المستأجر التابع لهم، فيمكنهم تشغيل عزل المستأجر.
مع عزل المستأجر، يكون المستأجرين في، كافة مقيدين. يتم حظر الاتصالات الواردة (الاتصالات إلى المستأجر من المستأجرين الخارجيين) والصادرة (الاتصالات من المستأجر إلى المستأجرين الخارجيين) عبر المستأجرين بواسطة Power Platform حتى لو قدم المستخدم بيانات اعتماد صالحة إلى مصدر البيانات الآمن في Microsoft Entra. يمكنك استخدام القواعد لإضافة استثناءات.
بإمكان المسؤولين تحديد قائمة سماح صريحة للمستأجرين الذين يريدون السماح بقائمة السماح الواردة أو الصادرة، أو الإثنتين، مما يؤدي إلى تجاوز عناصر تحكم عزل المستأجر عند تكوينها. بإمكان المسؤولين استخدام نمط خاص “*” لتمكين جميع المستأجرين في اتجاه معين عند تشغيل عزل المستأجر. أما جميع الاتصالات الأخرى عبر المستأجرين، باستثناء الاتصالات الموجودة في قائمة السماح، فيتم رفضها بواسطة Power Platform.
يمكن تكوين عزل المستأجر في مركز مسؤولي Power Platform. إنه يؤثر على تطبيقات اللوحة في Power Platform ومهام سير العمل في Power Automate. لإعداد عزل المستأجر، يلزم أن تكون مسؤول مستأجر.
تتوفر إمكانية عزل مستأجر Power Platform بخيارين: تقييد أحادي الاتجاه أو ثنائي الاتجاه.
فهم سيناريوهات عزل المستأجر وتأثيرها
قبل أن تبدأ في تكوين قيود عزل المستأجر، راجع القائمة التالية لفهم السيناريوهات وتأثير عزل المستأجر.
- يريد المسؤول تشغيل عزل المستأجر.
- يشعر المسؤول بالقلق من توقف التطبيقات والتدفقات الموجودة باستخدام اتصالات عبر المستأجرين عن العمل.
- ويقرر المسؤول تمكين عزل المستأجر وإضافة قواعد استثناء لإزالة التأثير.
- ويقوم المسؤول بتشغيل تقارير العزل بين المستأجرين لتحديد المستأجرين الذين يحتاجون إلى الإعفاء. مزيد من المعلومات: البرنامج التعليمي: إنشاء تقارير عزل المستأجرين (إصدار أولي)
عزل مستأجر ثنائي الاتجاه (قيد الاتصال الوارد والصادر)
يؤدي عزل المستأجر في اتجاهين إلى منع محاولات إنشاء اتصال بالمستأجر لديك من المستأجرين الآخرين. وبالإضافة إلى ذلك، يؤدي عزل المستأجر ثنائي الاتجاه أيضًا إلى حظر محاولات إنشاء اتصال من مستأجرك إلى مستأجرين آخرين.
في هذا السيناريو، يسمح مسؤول المستأجر ببعزل المستأجر ثنائي الاتجاه على مستأجر Contoso بينما لم تتم إضافة مستأجر Fabrikam الخارجي إلى قائمة السماح.
يتعذر على المستخدمين الذين سجلوا دخولهم إلى Power Platform في مستأجر Contoso إنشاء اتصالات صادرة قائمة على معرف Microsoft Entra بمصادر البيانات في مستأجر Fabrikam على الرغم من تقديم بيانات اعتماد Microsoft Entra مناسبة لإنشاء الاتصال. هذا عزل مستأجر صادر لمستأجر Contoso.
وبالمثل، قام المستخدمون بتسجيل الدخول إلى Power Platform في مستأجر Fabrikam إنشاء اتصالات واردة قائمة على معرف Microsoft Entra بمصادر البيانات في مستأجر Contoso على الرغم من تقديم بيانات اعتماد Microsoft Entra مناسبة لإنشاء الاتصال. هذا عزل مستأجر وارد لمستأجر Contoso.
| مستأجر منشئ الاتصال | مستأجر تسجيل الدخول إلى الاتصال | هل مسموح بالوصول؟ |
|---|---|---|
| Contoso | Contoso | نعم |
| Contoso (عزل المستأجر تشغيل) | Fabrikam | لا (صادر) |
| Fabrikam | Contoso (عزل المستأجر تشغيل) | لا (وارد) |
| Fabrikam | Fabrikam | نعم |
إشعار
لا يتم تقييم محاولة الاتصال التي بدأها مستخدم ضيف من المستأجر المضيف الذي يستهدف مصادر البيانات داخل نفس المستأجر المضيف بواسطة قواعد عزل المستأجر.
عزل المستأجر باستخدام قوائم السماح
يؤدي عزل المستأجر أحادي الاتجاه أو العزل الوارد إلى حظر محاولات إنشاء اتصال بالمستأجر من مستأجرين آخرين.
السيناريو: قائمة السماح الصادرة – تمت إضافة Fabrikam إلى قائمة السماح الصادرة لمستأجر Contoso
في هذا السيناريو، يضيف المسؤول مستأجر Fabrikam في قائمة السماح الصادرة بينما عزل المستأجر في وضع التشغيل.
يتعذر على المستخدمين الذين سجلوا دخولهم إلى Power Platform في مستأجر Contoso إنشاء اتصالات صادرة قائمة على معرف Microsoft Entra بمصادر البيانات في مستأجر Fabrikam إذا قدموا بيانات اعتماد Microsoft Entra مناسبة لإنشاء الاتصال. يُسمح بإنشاء اتصال صادر بمستأجر Fabrikam عن طريق إدخال قائمة السماح المكونة.
ومع ذلك، يتعذر على المستخدمين الذين سجلوا دخولهم إلى Power Platform في مستأجر Fabrikam إنشاء اتصالات واردة قائمة على معرف Microsoft Entra بمصادر البيانات في مستأجر Contoso على الرغم من تقديم بيانات اعتماد Microsoft Entra مناسبة لإنشاء الاتصال. لا يزال إنشاء اتصال وارد من مستأجر Fabrikam غير مسموح به حتى أثناء تكوين إدخال قائمة السماح ويُسمح بالاتصالات الصادرة.
| مستأجر منشئ الاتصال | مستأجر تسجيل الدخول إلى الاتصال | هل مسموح بالوصول؟ |
|---|---|---|
| Contoso | Contoso | نعم |
| Contoso (عزل المستأجر تشغيل) تمت إضافة Fabrikam إلى قائمة السماح الصادرة |
Fabrikam | نعم |
| Fabrikam | Contoso (عزل المستأجر تشغيل) تمت إضافة Fabrikam إلى قائمة السماح الصادرة |
لا (وارد) |
| Fabrikam | Fabrikam | نعم |
السيناريو: قائمة سماح ثنائية الاتجاه - تمت إضافة Fabrikam إلى قائمتي السماح الصادرة والواردة لمستأجر Contoso
في هذا السيناريو، يضيف المسؤول مستأجر Fabrikam إلى قائمتي السماح الواردة والصادرة بينما يتم عزل المستأجر في وضع التشغيل.
| مستأجر منشئ الاتصال | مستأجر تسجيل الدخول إلى الاتصال | هل مسموح بالوصول؟ |
|---|---|---|
| Contoso | Contoso | نعم |
| Contoso (عزل المستأجر تشغيل) تمت إضافة Fabrikam إلى قائمتي السماح |
Fabrikam | نعم |
| Fabrikam | Contoso (عزل المستأجر تشغيل) تمت إضافة Fabrikam إلى قائمتي السماح |
نعم |
| Fabrikam | Fabrikam | نعم |
السماح بعزل المستأجر وتكوين قائمة السماح
انتقل إلى مركز إدارة Power Platform.
في جزء التنقل، حدد الأمان.
في جزء الأمان، حدد الهوية والوصول.
في الصفحة إدارة الهوية والوصول، حدد عزل المستأجر.
للسماح بعزل المستأجر، قم بتشغيل الخيار تقييد الاتصالات بين المستأجرين.
للسماح بالاتصال عبر المستأجرين، حدد إضافة استثناءات في الجزء عزل المستأجر.
إذا كان عزل المستأجر في وضع إيقاف التشغيل، فلا يزال بإمكانك إضافة قائمة الاستثناء أو تحريرها. ومع ذلك، لن يتم فرض قواعد الاستثناء حتى يتم تشغيل عزل المستأجر .
من القائمة المنسدلة الاتجاهالمسموح، اختر اتجاه إدخال قائمة السماح.
أدخل قيمة المستأجر المسموح به على أنه إما مجال مستأجر أو معرف مستأجر في الحقل مُعرف المستأجر. يُضاف الإدخال، بعد حفظه، إلى قائمة السماح مع المستأجرين الآخرين المسموح لهم. إذا كنت تستخدم مجال المستأجر لإضافة إدخال قائمة السماح، فإن مركز مسؤولي Power Platform يحسب معرف المستأجر تلقائيًا.
يمكنك استخدام "*" كحرف خاص للإشارة إلى أنه يُسمح بجميع المستأجرين في الاتجاه المعين عند تشغيل عزل المستأجر.
حَدِّد حِفظ.
إشعار
يجب أن يكون لديك Power Platform دور مسؤول لرؤية سياسة عزل المستأجر وتعيينها.
إشعار
للتأكد من أن عزل المستأجر لا يمنع أي مكالمات عند استخدامها، قم بتشغيل عزل المستأجر، وأضف قاعدة مستأجر جديدة، وقم بتعيينمعرف المستأجر على أنه "*"، وقم بتعيين الاتجاه المسموح به إلى الوارد والصادر.
يمكنك تنفيذ جميع عمليات قائمة السماح مثل الإضافة والتحرير والحذف أثناء تشغيل عزل المستأجر أو إيقاف تشغيله. يوجد لدى الإدخالات في قائمة السماح تأثير على سلوك الاتصال عند إيقاف تشغيل عزل المستأجر بما أن جميع الاتصالات عبر المستأجرين مسموح بها.
تأثير وقت التصميم على التطبيقات وعمليات سير المهام
يشاهد المستخدمون الذين يقوموا بإنشاء أو تحرير موردا متأثر بسياسة عزل المستأجر أو رسالة خطأ ذات صلة. على سبيل المثال، يرى المنشئون في Power Apps الخطأ التالي عندما يستخدمون الاتصالات عبر المستأجرين في تطبيق تم حظره من خلال سياسات عزل المستأجر. التطبيق لا يضيف الاتصال.
بطريقة مماثلة، يرى المنشئون في Power Automate الخطأ التالي عندما يحاولون حفظ سير عمل يستخدم الاتصالات في سير عمل تم حظره من خلال سياسات عزل المستأجر. يتم حفظ سير العمل بحد ذاته، ولكن يوضع علامة عليه على أنه "معلق" ولا يتم تنفيذه ما لم يقم المنشئ بحل انتهاك سياسة منع فقدان البيانات (DLP).
تأثير وقت التشغيل على التطبيقات وعمليات سير المهام
كمسؤول، يمكنك أن تقرر تعديل سياسات عزل المستأجر للمستأجر في أي مرحلة. إذا تم إنشاء التطبيقات ومهام سير العمل وتنفيذها وفقًا لسياسات عزل المستأجر السابقة، فقد يتأثر بعضها سلبًا بأي تغييرات تقوم بإدخالها على السياسة. لا يتم تشغيل التطبيقات أو مهام سير العمل التي تنتهك سياسة عزل المستأجر بنجاح. على سبيل المثال، تشير محفوظات التشغيل داخل Power Automate إلى فشل تشغيل سير العمل. علاوة على ذلك، يؤدي تحديد التشغيل الفاشل إلى إظهار تفاصيل الخطأ.
بالنسبة لمهام سير العمل الحالية التي لا تعمل بنجاح بسبب سياسة عزل المستأجر الأخيرة، تشير محفوظات التشغيل داخل Power Automate إلى فشل تشغيل سير العمل.
يؤدي تحديد التشغيل الفاشل إلى إظهار تفاصيل تشغيل سير العمل الفاشل.
إشعار
يستغرق تقييم أحدث التغييرات في سياسة عزل المستأجر في مقابل التطبيقات ومهام سير العمل النشطة حوالي الساعة. هذا التغيير غير فوري.
المشكلات المعروفة
Azure DevOps يستخدم الموصل Microsoft Entra الموصل المصادقة كموفر الهوية، ولكنه يستخدم التدفق الخاص OAuth به وSTS لتخويل رمز مميز وإصداره. نظرا لأن الرمز المميز الذي تم إرجاعه من تدفق ADO استنادا إلى تكوين الموصل هذا ليس من Microsoft Entra المعرف، فلن يتم فرض سياسة عزل المستأجر. كتخفيف من حدته، نوصي باستخدام أنواع أخرى من سياسات البيانات للحد من استخدام الموصل أو إجراءاته.