Қатысушы аралық кіріс және шығыс шектеулері
Ескертпе
жаңа және жақсартылған Power Platform басқару орталығы қазір жалпыға қолжетімді! Біз жаңа басқару орталығын нақты нәтижелерге тезірек қол жеткізуге көмектесетін тапсырмаларға бағытталған навигация арқылы пайдалану оңай болатындай етіп жасадық. Жаңа Power Platform басқару орталығы жалпы қолжетімділікке ауысқанда, біз жаңа және жаңартылған құжаттаманы жариялайтын боламыз.
Microsoft Power Platform рұқсаты бар Microsoft Entra пайдаланушыларға осы деректер қоймалары арқылы қолжетімді іскери деректерге қосылымдар орнататын әсерлі қолданбалар мен ағындарды құруға мүмкіндік беретін Microsoft Entra негізделген қосқыштардың бай экожүйесі бар. Қатысушыларды ажырату әрекеті әкімшілерге осы қосқыштарды қатысушының ішінде қауіпсіз жолмен пайдалану мүмкіндігін қамтамасыз етуді жеңілдетеді, сонымен бірге қатысушыдан тыс деректерді ұрлау қаупін азайтады. Жалға алушыны оқшаулау Power Platform әкімшілерге Microsoft Entra рұқсат етілген деректер көздерінен жалға алушыға және одан жалға алушы деректерінің қозғалысын тиімді басқаруға мүмкіндік береді.
Power Platform жалға алушының оқшаулануы Microsoft Entra ID бойынша жалға алушы шектеуінен ерекшеленеді. Ол әсер етпейді Microsoft Entra ID негізіндегі қатынас Power Platformден тыс. Power Platform қатысушыны оқшаулау Microsoft Entra ID негізіндегі аутентификацияны пайдаланатын қосқыштар үшін ғана жұмыс істейді, мысалы, Office 365 Outlook немесе SharePoint.
Ескерту
белгілі мәселеAzure DevOps қосқышы оның нәтижесінде жалға алушының оқшаулау саясаты осы қосқыш арқылы орнатылған қосылымдар үшін орындалмайтын болады. Егер инсайдерлік шабуыл векторы алаңдаушылық тудырса, деректер саясаттарын пайдаланып қосқышты немесе оның әрекеттерін пайдалануды шектеуге кеңес береміз.
Power Platform жалға алушы оқшаулауымен Өшірулі әдепкі конфигурация, егер жалға алушы B-мен қосылымды орнататын пайдаланушы A қатысушысының пайдаланушысы сәйкес Microsoft Entra тіркелгі деректерін ұсынса, жалға берушілер арасындағы қосылымдарды үздіксіз орнатуға мүмкіндік береді. Әкімшілер қатысушыларға немесе қатысушылардан қосылымдарды орнату үшін тек таңдаулы қатысушылар жиынына рұқсат бергісі келсе, олар қатысушыларды ажырату мүмкіндігін Қосулы күйге қоя алады.
Қатысушыларды ажырату Қосулы кезінде барлық қатысушыға шектеу қойылады. Кіріс (сыртқы жалға алушылардан жалға алушыға қосылымдар) және шығыс (жалға алушыдан сыртқы жалға алушыларға қосылымдар) жалға алушы қосылымдары Power Platform тіпті пайдаланушы қорғалған деректер көзіне жарамды тіркелгі деректерін ұсынса да, бұғатталады. Microsoft Entra Ерекшеліктерді қосу үшін ережелерді пайдалануға болады.
Әкімшілер конфигурацияланған кезде жалға алушының оқшаулау басқару элементтерін айналып өтетін кіріс, шығыс рұқсат бергісі келетін жалға алушылардың нақты рұқсат тізімін көрсете алады. Әкімшілер қатысушыларды ажырату қосулы кезде барлық қатысушыға белгілі бір бағытта рұқсат беру үшін арнайы "*" үлгісін пайдалана алады. Рұқсат етілген тізімдегілерден басқа барлық басқа жалға алушы қосылымдарын Power Platform қабылдамайды.
Қатысушыларды ажырату мүмкіндігін Power Platform басқару орталығында конфигурациялауға болады. Ол Power Platform кенеп бағдарламаларына және Power Automate ағындарына әсер етеді. Қатысушыларды ажырату мүмкіндігін реттеу үшін қатысушы әкімшісі болуыңыз керек.
Power Platform қатысушыны оқшаулау мүмкіндігі екі нұсқада қолжетімді: бір жақты немесе екі жақты шектеу.
Жалға алушының оқшаулану сценарийлері мен әсерін түсініңіз
Жалға алушыны оқшаулау шектеулерін теңшеуді бастамас бұрын, жалға алушының оқшаулануының сценарийлері мен әсерін түсіну үшін келесі тізімді қарап шығыңыз.
- Әкімші жалға алушыны оқшаулауды қосқысы келеді.
- Әкімші жалға алушы қосылымдарын пайдаланатын бар қолданбалар мен ағындардың жұмысын тоқтататынына алаңдайды.
- Әкімші әсерді жою үшін жалға алушының оқшаулануын қосуды және ерекшелік ережелерін қосуды шешеді.
- Әкімші босатылуы қажет жалға алушыларды анықтау үшін жалға берушілер арасындағы оқшаулау есептерін іске қосады. Қосымша ақпарат: Оқулық: жалға алушыларды оқшаулау есептерін жасау (алдын ала қарау)
Қатысушыны екі жақты оқшаулау (кіріс және шығыс қосылымын шектеу)
Жалға алушыны екі жақты оқшаулау жалға алушыға басқа жалға алушылардан қосылу әрекетін блоктайды. Сонымен қатар, екі жақты жалға алушы оқшаулауы жалға алушыдан басқа жалға алушыларға қосылу әрекеттерін блоктайды.
Бұл сценарийде жалға алушы әкімшісі Контосо жалға алушысында екі жақты жалға алушыны оқшаулауға рұқсат береді, ал сыртқы Fabrikam қатысушысы рұқсаттар тізіміне қосылмаған.
Contoso қатысушысында Power Platform жүйеге кірген пайдаланушылар қосылымды орнату үшін сәйкес Microsoft Entra тіркелгі деректерін ұсынғанына қарамастан, Fabrikam қатысушысындағы деректер көздеріне шығыс Microsoft Entra ID негізіндегі қосылымдарды орната алмайды. Бұл – Contoso қатысушысы үшін шығыс қатысушыларды ажырату әрекеті.
Сол сияқты, Fabrikam қатысушысында Power Platform жүйеге кірген пайдаланушылар қосылымды орнату үшін сәйкес Microsoft Entra тіркелгі деректерін ұсынғанына қарамастан Contoso қатысушысындағы деректер көздеріне кіріс Microsoft Entra ID негізіндегі қосылымдарды орната алмайды. Бұл – Contoso қатысушысы үшін кіріс қатысушыларды ажырату әрекеті.
| Қосылым жасаушының қатысушысы | Жүйеге қосылуға арналған қатысушы | Кіруге рұқсат берілді ме? |
|---|---|---|
| Contoso | Contoso | Иә |
| Contoso (қатысушыларды ажырату Қосулы) | Fabrikam | Жоқ (Шығыс) |
| Fabrikam | Contoso (қатысушыларды ажырату Қосулы) | Жоқ (кіріс) |
| Fabrikam | Fabrikam | Иә |
Ескертпе
Қонақ пайдаланушысы, сол хост қатысушысындағы деректер көздеріне бағытталған хост қатысушысынан басталатын қосылым әрекеті қатысушыны оқшаулау ережелерімен бағаланбайды.
Рұқсат етілген тізімдермен жалға алушының оқшаулануы
Жалға алушыны бір жақты оқшаулау немесе кіріс оқшаулау жалға алушыға басқа жалға алушылардан қосылу әрекетін блоктайды.
Сценарий: шығыс рұқсаттар тізімі – Fabrikam Contoso жалға алушысының шығыс рұқсат тізіміне қосылады.
Бұл сценарийде әкімші жалға алушыны оқшаулау қосулы кезде шығыс рұқсаттар тізіміне Fabrikam жалға алушысын қосады.
Contoso қатысушысында Power Platform жүйеге кірген пайдаланушылар қосылымды орнату үшін сәйкес Microsoft Entra тіркелгі деректерін ұсынса, Fabrikam қатысушысындағы деректер көздеріне шығыс Microsoft Entra ID негізіндегі қосылымдарды орната алады. Fabrikam жалға алушысына шығыс қосылым орнатуға конфигурацияланған рұқсат етілген жазбаның арқасында рұқсат етіледі.
Дегенмен, Fabrikam қатысушысында Power Platform жүйеге кірген пайдаланушылар қосылымды орнату үшін сәйкес Microsoft Entra тіркелгі деректерін көрсеткенімен, Contoso қатысушысындағы деректер көздеріне кіріс Microsoft Entra ID негізіндегі қосылымдарды әлі орната алмайды. Рұқсат ету тізімінің жазбасы конфигурацияланған және шығыс қосылымдарға рұқсат етілгендіктен, Fabrikam жалға алушысынан кіріс қосылым орнатуға әлі де рұқсат етілмейді.
| Қосылым жасаушының қатысушысы | Жүйеге қосылуға арналған қатысушы | Кіруге рұқсат берілді ме? |
|---|---|---|
| Contoso | Contoso | Иә |
| Contoso (қатысушыларды ажырату Қосулы) Фабрикам шығыс рұқсаттар тізіміне қосылды |
Fabrikam | Иә |
| Fabrikam | Contoso (қатысушыларды ажырату Қосулы) Фабрикам шығыс рұқсаттар тізіміне қосылды |
Жоқ (кіріс) |
| Fabrikam | Fabrikam | Иә |
Сценарий: екі жақты рұқсаттар тізімі – Fabrikam Contoso жалға алушысының кіріс және шығыс рұқсат тізімдеріне қосылады.
Бұл сценарийде әкімші жалға алушыны оқшаулау Қосулы болған кезде кіріс және шығыс рұқсат тізімдерінің екеуіне де Fabrikam жалға алушысын қосады.
| Қосылым жасаушының қатысушысы | Жүйеге қосылуға арналған қатысушы | Кіруге рұқсат берілді ме? |
|---|---|---|
| Contoso | Contoso | Иә |
| Contoso (қатысушыларды ажырату Қосулы) Фабрикам рұқсат етілген тізімдерге қосылды |
Fabrikam | Иә |
| Fabrikam | Contoso (қатысушыларды ажырату Қосулы) Фабрикам рұқсат етілген тізімдерге қосылды |
Иә |
| Fabrikam | Fabrikam | Иә |
Жалға алушының оқшаулануына рұқсат етіңіз және рұқсат етілген тізімді теңшеңіз
Power Platform басқару орталығы тармағына өтіңіз.
Шарлау тақтасында Қауіпсіздік таңдаңыз.
Қауіпсіздік тамасында Идентификатор және кіру таңдаңыз.
Сәйкестікті және кіруді басқару бетінде Жалгерді оқшаулау таңдаңыз.
Жалға алушыны оқшаулауға рұқсат беру үшін, Керегерлердің арасындағы қосылымдарды шектеу опциясын қосыңыз.
Жалға берушілер арасындағы байланысқа рұқсат беру үшін, Жалға алушыны оқшаулау тақтасында Ерекшеліктер қосу таңдаңыз.
Жалға алушыны оқшаулау Өшірулі болса, ерекше жағдайлар тізімін қосуға немесе өңдеуге болады. Дегенмен, сіз жалға алушыны оқшаулауды қоспайынша, ерекше жағдайлар тізімдері орындалмайды.
Рұқсат етілген бағыт ашылмалы тізімнен рұқсат етілген тізім жазбасының бағытын таңдаңыз.
Рұқсат етілген жалға алушының мәнін жалға алушы домені немесе жалға алушы идентификаторы ретінде Жалға алушы идентификаторы өрісіне енгізіңіз. Сақталғаннан кейін жазба басқа рұқсат етілген жалға алушылармен бірге рұқсат етілген тізімге қосылады. Рұқсат етілген тізім жазбасын қосу үшін жалға алушы доменін пайдалансаңыз, Power Platform басқару орталығы автоматты түрде қатысушы идентификаторын есептейді.
Жалға алушыны оқшаулау қосулы кезде барлық жалға алушыларға белгіленген бағытта рұқсат етілгенін білдіру үшін арнайы таңба ретінде «*» қолдануға болады.
Сақтау опциясын таңдаңыз.
Ескертпе
Жалға алушыны оқшаулау саясатын көру және орнату үшін сізде Power Platform әкімші рөлі болуы керек.
Ескертпе
Жалға алушының оқшаулануы пайдаланылған кезде ешбір қоңырауды блоктамайтынына көз жеткізу үшін, жалға алушы оқшаулауын Қосулы қосыңыз, жаңа жалға алушы ережесін қосыңыз, Жалгер идентификаторын "*" етіп орнатыңыз және рұқсат етілген бағытты кіру және шығыс деп орнатыңыз .
Жалға алушыны оқшаулау Қосулы немесе Өшірулі күйінде қосу, өңдеу және жою сияқты барлық рұқсат етілген тізім әрекеттерін орындауға болады. Рұқсат ету тізімінің жазбалары жалға алушының оқшаулануы Өшірулі кезінде қосылым әрекетіне әсер етеді, өйткені барлық жалға алушы қосылымдарына рұқсат етіледі.
Бағдарламалар мен ағындарға жобалау уақытының әсері
Пайдаланушыны оқшаулау саясаты әсер ететін ресурсты жасайтын немесе өңдейтін пайдаланушылар қатысты қате туралы хабарды көреді. Мысалы, Power Apps жасаушылар жалға алушының оқшаулау саясаттарымен блокталған қолданбада жалға алушы қосылымдарын пайдаланған кезде келесі қатені көреді. Қолданба қосылымды қоспайды.
Сол сияқты, Power Automate жасаушылар жалға алушының оқшаулау саясаттарымен блокталған ағындағы қосылымдарды пайдаланатын ағынды сақтауға әрекет жасағанда келесі қатені көреді. Ағынның өзі сақталады, бірақ ол "Тоқтатылды" деп белгіленеді және жасаушы деректердің жоғалуын болдырмау саясатын (DLP) бұзуды шешпейінше орындалмайды.
Бағдарламалар мен ағындарға жүзеге асыру уақытының әсері
Әкімші ретінде сіз кез келген уақытта қатысушыңызға арналған қатысушыларды ажырату саясаттарын өзгерту туралы шешім қабылдай аласыз. Егер бағдарламалар мен ағындар бұрынғы қатысушыларды ажырату саясаттарына сәйкес жасалған және орындалған болса, олардың кейбіріне сіз жасаған саясаттың кез келген өзгерісі теріс әсер етуі мүмкін. Жалға алушының оқшаулау саясатын бұзатын қолданбалар немесе ағындар сәтті іске қосылмайды. Мысалы, Power Automate ішіндегі іске қосу журналы ағындық орындалу сәтсіздігін көрсетеді. Әрі қарай, сәтсіз іске қосуды таңдау қате туралы мәліметтерді көрсетеді.
Соңғы қатысушыларды ажырату саясатына байланысты сәтті іске қосылмайтын бар ағындар үшін Power Automate ішіндегі іске қосу журналы ағындық орындалу сәтсіз екенін көрсетеді.
Сәтсіз орындалуды таңдау сәтсіз орындалу туралы мәліметтерді көрсетеді.
Ескертпе
Қатысушыларды оқшаулау саясатының соңғы өзгерістерін белсенді бағдарламалар мен ағындарға қатысты бағалау үшін шамамен бір сағат қажет. Бұл өзгеріс бірден орындалмайды.
Белгілі мәселелер
Azure DevOps қосқыш идентификатор провайдері ретінде Microsoft Entra аутентификацияны пайдаланады, бірақ таңбалауышты рұқсат ету және шығару үшін өзінің OAuth ағыны мен STS пайдаланады. Осы қосқыштың конфигурациясына негізделген ADO ағынынан қайтарылған таңбалауыш Microsoft Entra ID емес болғандықтан, жалға алушыны оқшаулау саясаты орындалмайды. Жеңілдету ретінде қосқышты немесе оның әрекеттерін пайдалануды шектеу үшін деректер саясатының басқа түрлерін пайдалануды ұсынамыз.