Bérlők közötti bejövő és kimenő korlátozások
Feljegyzés
Az új és továbbfejlesztett Power Platform felügyeleti központ mostantól nyilvános előzetes verzióban érhető el! Az új felügyeleti központot úgy terveztük, hogy könnyebben használható legyen, feladatorientált navigációval, amely segít gyorsabban elérni bizonyos eredményeket. Új és frissített dokumentációt fogunk közzétenni, amint az új Power Platform felügyeleti központ általánosan elérhetővé válik.
Microsoft Power Platform Az összekötők gazdag ökoszisztémájával rendelkezik, amely lehetővé Microsoft Entra teszi a jogosult Microsoft Entra felhasználók számára, hogy lenyűgöző alkalmazásokat és folyamatokat hozzanak létre, amelyek kapcsolatokat létesítenek az adattárakon keresztül elérhető üzleti adatokkal. A bérlők elszigetelése megkönnyíti a rendszergazdák számára ezeknek az összekötőknek a biztonságos kihasználását a bérlőn belül, miközben minimálisra csökkentik az adatok bérlőn kívüli kiszivárgásának kockázatát. A bérlők elkülönítése lehetővé teszi a Power Platform rendszergazdák számára, hogy hatékonyan szabályozzák a bérlői adatok áthelyezését Microsoft Entra az engedélyezett adatforrásokból a bérlőbe és a bérlőből.
Power Platform A bérlők elkülönítése eltér az Microsoft Entra azonosító egészére kiterjedő bérlői korlátozástól. Ez nem befolyásolja az azonosító alapú hozzáférést Microsoft Entra Power Platform. Power Platform A bérlői elkülönítés csak az azonosítóalapú hitelesítést használó Microsoft Entra összekötők, például Office 365 az Outlook vagy SharePoint a .
Figyelmeztetés:
Van egy ismert probléma az Azure DevOps összekötővel , amely azt eredményezi, hogy a bérlői elkülönítési szabályzat nem lesz kényszerítve az összekötővel létrehozott kapcsolatokra. Ha egy belső támadási vektor aggodalomra ad okot, javasoljuk, hogy korlátozza az összekötő vagy annak műveleteinek használatát adatszabályzatok használatával.
Az alapértelmezett konfiguráció Power Platform a bérlők elkülönítésével Ki az, hogy lehetővé teszi a bérlők közötti kapcsolatok zökkenőmentes létrehozását, ha a B bérlővel kapcsolatot létesítő A bérlő felhasználója megfelelő hitelesítő adatokat mutat be Microsoft Entra . Ha a rendszergazdák csak kiválasztott bérlők számára engedélyezik kapcsolat létrehozását a bérlőből, illetve a bérlővel, akkor bekapcsoltathatják a bérlők elszigetelését.
Ha a bérlők elszigetelése be van kapcsolva, az összes bérlő korlátozva van. A bejövő (a bérlőhöz külső bérlőkből való kapcsolatok) és a kimenő (a bérlő és a külső bérlők közötti kapcsolatok) bérlők közötti kapcsolatokat akkor is blokkolják Power Platform , ha a felhasználó érvényes hitelesítő adatokat mutat be a Microsoft Entra biztonságos adatforráshoz. A szabályok segítségével kivételeket adhat hozzá.
A rendszergazdák megadhatják a bejövő, kimenő vagy mindkettőt engedélyeznikívánt bérlők explicit engedélyezési listáját, amely a konfiguráláskor megkerüli a bérlőelkülönítési vezérlőket. A rendszergazdák egy speciális minta segítségével („*”) engedélyezhetik az összes bérlőt egy adott irányba, amikor be van kapcsolva a bérlők elszigetelése. Az engedélyezési listán szereplők kivételével minden más bérlőközi kapcsolatot elutasít Power Platform.
A bérlők elszigetelése a Power Platform felügyeleti központban konfigurálható. Ez érinti a Power Platform vászonalapú alkalmazásokat és a Power Automate folyamatokat. A bérlők elszigetelésének beállításához bérlői rendszergazdának kell lennie.
Power Platform bérlői elszigetelési képesség két beállítással érhető el: egyirányú vagy kétirányú korlátozással.
A bérlők elkülönítési forgatókönyveinek és hatásainak ismertetése
A bérlői elkülönítési korlátozások konfigurálásának megkezdése előtt tekintse át az alábbi listát, hogy megértse a bérlői elkülönítés forgatókönyveit és hatását.
- A rendszergazda be szeretné kapcsolni a bérlők elkülönítését.
- A rendszergazda aggódik amiatt, hogy a bérlők közötti kapcsolatokat használó meglévő alkalmazások és folyamatok nem működnek.
- A rendszergazda úgy dönt, hogy engedélyezi a bérlők elkülönítését, és kivételszabályokat ad hozzá a hatás kiküszöbölése érdekében.
- A rendszergazda futtatja a bérlők közötti elkülönítési jelentéseket a mentesítendő bérlők meghatározásához. További információ: Oktatóanyag: Bérlők közötti elkülönítési jelentések létrehozása (előzetes verzió)
Kétirányú bérlői elkülönítés (bejövő és kimenő kapcsolat korlátozása)
A kétirányú bérlőelkülönítés blokkolja a bérlővel való kapcsolatlétesítési kísérleteket más bérlőktől. Emellett a kétirányú bérlőelkülönítés blokkolja a bérlő és a többi bérlő közötti kapcsolatlétesítési kísérleteket is.
Ebben a forgatókönyvben a bérlői rendszergazda engedélyezi a kétirányú bérlőelkülönítést a Contoso-bérlőn, miközben a külső Fabrikam-bérlő nincs hozzáadva az engedélyezési listához.
A Contoso-bérlőbe bejelentkezett Power Platform felhasználók nem tudnak kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Fabrikam-bérlő adatforrásaihoz, annak ellenére, hogy a kapcsolat létrehozásához megfelelő Microsoft Entra hitelesítő adatokat mutatnak be. Ez a kimenő bérlői elszigetelés a Contoso bérlőhöz.
Hasonlóképpen, a Fabrikam-bérlőbe bejelentkezett Power Platform felhasználók nem hozhatnak létre bejövő Microsoft Entra azonosítóalapú kapcsolatokat a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy a kapcsolat létrehozásához megfelelő Microsoft Entra hitelesítő adatokat mutatnak be. Ez a bejövő bérlői elszigetelés a Contoso bérlőhöz.
| Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
|---|---|---|
| Contoso | Contoso | Igen |
| Contoso (bérlői elszigetelés bekapcsolva) | Fabrikam | Nincs (kimenő) |
| Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) | Nincs (bejövő) |
| Fabrikam | Fabrikam | Igen |
Feljegyzés
A vendégfelhasználó által kezdeményezett csatlakozási kísérletet a gazdagép-bérlőből, amely ugyanazon gazdagép-bérlőn belüli adatforrásokat célozza meg, a bérlőelkülönítési szabályok nem értékelik ki.
Bérlői elkülönítés engedélyezési listákkal
Az egyirányú bérlőelkülönítés vagy a bejövő elkülönítés blokkolja a bérlőhöz való csatlakozási kísérleteket más bérlőktől.
Forgatókönyv: Kimenő engedélyezési lista – A Fabrikam hozzá van adva a Contoso-bérlő kimenő engedélyezési listájához
Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam-bérlőt a kimenő engedélyezési listához, miközben a bérlői elkülönítés be van kapcsolva.
A Contoso-bérlőbe bejelentkezett Power Platform felhasználók kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíthetnek a Fabrikam-bérlő adatforrásaival, ha megfelelő hitelesítő adatokat mutatnak Microsoft Entra be a kapcsolat létrehozásához. A Fabrikam-bérlőhöz való kimenő kapcsolat létesítése a konfigurált allowl ist bejegyzés alapján engedélyezett.
A Fabrikam-bérlőbe bejelentkezett Power Platform felhasználók azonban továbbra sem tudnak bejövő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy a kapcsolat létrehozásához megfelelő Microsoft Entra hitelesítő adatokat mutatnak be. A Fabrikam-bérlőből származó bejövő kapcsolat létrehozása továbbra is nem engedélyezett, még akkor sem, ha az engedélyezési lista bejegyzése konfigurálva van, és engedélyezi a kimenő kapcsolatokat.
| Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
|---|---|---|
| Contoso | Contoso | Igen |
| Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva a kimenő engedélyezési listához |
Fabrikam | Igen |
| Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva a kimenő engedélyezési listához |
Nincs (bejövő) |
| Fabrikam | Fabrikam | Igen |
Forgatókönyv: Kétirányú engedélyezési lista – A Fabrikam hozzá lesz adva a Contoso-bérlő bejövő és kimenő engedélyezési listáihoz
Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam-bérlőt a bejövő és a kimenő engedélyezési listákhoz, miközben a bérlői elkülönítés be van kapcsolva.
| Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
|---|---|---|
| Contoso | Contoso | Igen |
| Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva mindkét engedélyezési listához |
Fabrikam | Igen |
| Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva mindkét engedélyezési listához |
Igen |
| Fabrikam | Fabrikam | Igen |
Bérlői elkülönítés engedélyezése és az engedélyezési lista konfigurálása
Lépjen be a Power Platform felügyeleti központba.
A navigációs ablakban válassza a Biztonság lehetőséget.
A Biztonság panelen válassza az Identitás és hozzáférés lehetőséget.
Az Identitás- és hozzáférés-kezelés lapon válassza a Bérlőelkülönítés lehetőséget.
A bérlők elkülönítésének engedélyezéséhez kapcsolja be a Bérlők közötti kapcsolatok korlátozása lehetőséget.
A bérlők közötti kommunikáció engedélyezéséhez válassza a Kivételek hozzáadása lehetőséget a Bérlőelkülönítés panelen.
Ha a bérlői elkülönítés ki van kapcsolva, továbbra is hozzáadhatja vagy szerkesztheti a kivétellistát. A kivétellisták azonban csak akkor lesznek kényszerítve, ha bekapcsolja a bérlők elkülönítését.
Az Engedélyezett irány legördülő listából válassza ki az engedélyezési lista bejegyzésének irányát.
Adja meg az engedélyezett bérlő értékét bérlői tartományként vagy bérlőazonosítóként a Bérlőazonosító mezőben . A mentés után a bejegyzés hozzáadódik az engedélyezési listához a többi engedélyezett bérlővel együtt. Ha a bérlői tartományt használja az engedélyezési lista bejegyzésének hozzáadásához, a Power Platform felügyeleti központ automatikusan kiszámítja a bérlőazonosítót.
A "*" speciális karakterként azt jelezheti, hogy a bérlők elkülönítése bekapcsolva az összes bérlő a kijelölt irányban engedélyezett.
Válassza a Mentés parancsot.
Feljegyzés
A bérlői elkülönítési szabályzat megtekintéséhez és beállításához rendszergazdai szerepkörrel kell rendelkeznie Power Platform .
Feljegyzés
Annak érdekében, hogy a bérlői elkülönítés ne blokkolja a hívásokat, kapcsolja be a bérlőelkülönítést , adjon hozzá egy új bérlői szabályt, állítsaa bérlőazonosítót "*" értékre, és állítsa az engedélyezett irányt bejövő és kimenő értékre .
Az engedélyezési lista összes műveletét, például a hozzáadást, a szerkesztést és a törlést végrehajthatja, miközben a bérlői elkülönítés be vagy ki van kapcsolva. Az engedélyezési lista bejegyzései hatással vannak a kapcsolat viselkedésére, ha a bérlői elkülönítés ki van kapcsolva , mivel az összes bérlők közötti kapcsolat engedélyezett.
Hatása az alkalmazásokra és a folyamatokra a tervezés során
A bérlőelkülönítési szabályzat által érintett erőforrást létrehozó vagy szerkesztő felhasználók kapcsolódó hibaüzenetet látnak. A készítők például a következő hibát látják, amikor bérlők közötti kapcsolatokat használnak egy olyan alkalmazásban, Power Apps amelyet a bérlői elkülönítési szabályzatok blokkolnak. Az alkalmazás nem adja hozzá a kapcsolatot.
Hasonlóképpen,a készítők a következő hibát látják, amikor olyan folyamatot próbálnak menteni, amely kapcsolatokat használ egy olyan folyamatban, Power Automate amelyet a bérlői elkülönítési szabályzatok blokkolnak. Maga a folyamat mentésre kerül, de "Felfüggesztve" jelöléssel van megjelölve, és csak akkor kerül végrehajtásra, ha a készítő megoldja az adatveszteség-megelőzési szabályzat (DLP) megsértését.
Hatása az alkalmazásokra és a folyamatokra futási időben
Rendszergazdaként bármikor dönthet úgy, hogy módosítja a bérlő bérlői elszigetelési házirendjeit. Ha egy korábbi bérlői elszigetelési házirendekkel összhangban hoznak létre és hajtanak végre alkalmazásokat és folyamatokat, akkor előfordulhat, hogy némelyikükre negatív hatással van valamely elvégzett házirend-módosítás. A bérlői elkülönítési szabályzatot sértő alkalmazások vagy folyamatok nem futnak sikeresen. A Power Automate futtatási előzményei például jelzik, hogy a folyamatfuttatás sikertelen volt. Továbbá a sikertelen futtatás kiválasztása a hiba részleteit jeleníti meg.
Olyan meglévő folyamatok esetén, amelyek a legújabb bérlői elszigetelési házirend miatt nem futnak sikeresen, a Power Automate futtatási előzményei jelzik, hogy a folyamatfuttatás sikertelen volt.
A sikertelen futtatás kiválasztása a sikertelen folyamatfuttatás részleteit jeleníti meg.
Feljegyzés
A legújabb bérlői elszigetelési házirendváltozások esetén körülbelül egy órára van szükség ahhoz, hogy a rendszer kiértékelje azokat az aktív alkalmazásokra és folyamatokra vonatkozóan. Ez a módosítás nem azonnali.
Ismert problémák
Azure DevOps Az összekötő hitelesítést használ Microsoft Entra identitásszolgáltatóként, de a saját OAuth folyamatát és STS-ét használja a jogkivonat engedélyezéséhez és kiadásához. Mivel az ADO-folyamat által az összekötő konfigurációja alapján visszaadott jogkivonat nem az Microsoft Entra azonosítóból származik, a bérlőelkülönítési szabályzat nincs kényszerítve. Megoldásként javasoljuk, hogy más típusú adatszabályzatokat használjon az összekötő vagy műveleteinek használatának korlátozására.