Kelių nuomotojų gavimo ir siuntimo apribojimai
Pastaba.
Naujas ir patobulintas Power Platform administravimo centras dabar yra viešoje peržiūroje! Sukūrėme naująjį administravimo centrą, kad jį būtų lengviau naudoti su į užduotis orientuotu naršymu, kuris padeda greičiau pasiekti konkrečių rezultatų. Publikuosime naujus ir atnaujintus dokumentus, kai naujasis Power Platform administravimo centras taps visuotinai pasiekiamas.
Microsoft Power Platform turi turtingą jungčių ekosistemą, pagrįstą Microsoft Entra tuo, kad įgaliotieji Microsoft Entra vartotojai gali kurti patrauklias programas ir srautus, užmezgančius ryšius su verslo duomenimis, pasiekiamais per šias duomenų saugyklas. Naudojant nuomotojo atskyrimą administratoriai gali lengvai užtikrinti, kad šias jungtis nuomotojas galėtų naudoti saugiai ir patikimai, tuo pačiu sumažinant duomenų nutekėjimo iš nuomotojo riziką. Nuomotojo izoliacija leidžia Power Platform administratoriams efektyviai valdyti nuomotojo duomenų judėjimą iš Microsoft Entra įgaliotųjų duomenų šaltinių į nuomotoją ir iš jo.
Power Platform nuomotojo izoliacija skiriasi nuo Microsoft Entra ID masto nuomotojo apribojimo. Tai neturi įtakos Microsoft Entra ID pagrįstai prieigai už jos Power Platform ribų. Power Platform nuomotojo atskyrimas veikia tik jungtims, naudojančioms Microsoft Entra ID pagrįstą autentifikavimą, pvz., Office 365 "Outlook" arba SharePoint.
Įspėjimas
Yra žinoma su jungtimi susijusi Azure DevOps problema , dėl kurios nuomotojo izoliacijos strategija negali būti taikoma ryšiams, sukurtiems naudojant šią jungtį. Jei vidinis atakos vektorius kelia susirūpinimą, rekomenduojame apriboti jungties ar jos veiksmų naudojimą naudojant duomenų politiką.
Numatytoji konfigūracija su Power Platform nuomotojo izoliacija Išjungta yra leisti sklandžiai užmegzti kelių nuomotojų ryšius, jei vartotojas iš nuomotojo A, užmezgantis ryšį su nuomotoju B, pateikia atitinkamus Microsoft Entra kredencialus. Jei administratoriai nori leisti nuomotojams priimti ir siųsti ryšius tik atrinktų nuomotojų rinkiniui, jie nuomotojo atskyrimo nuostatą gali pakeisti į Įjungta.
Nuomotojo atskyrimo nuostatai esant būsenoje Įjunta, visi nuomotojai yra ribojami. Gaunami (ryšiai su nuomotoju iš išorinių nuomotojų) ir siunčiami (ryšiai iš nuomotojo į išorinius nuomotojus) kelių nuomotojų ryšiai blokuojami Power Platform , net jei vartotojas saugiam duomenų šaltiniui Microsoft Entra pateikia galiojančius kredencialus. Galite naudoti taisykles išimtims įtraukti.
Administratoriai gali nurodyti aiškų nuomotojų, kuriuos jie nori leisti gauti, siųsti arba abu, leidžiamų sąrašą, kuris apeina nuomotojo izoliavimo valdiklius, kai yra sukonfigūruotas. Norėdami leisti visiems nuomotojams tam tikrą kryptį, kai nuomotojo atskyrimas yra įjungtas, administratoriai gali naudoti specialų šabloną „*”. Visus kitus kelių nuomotojų ryšius, išskyrus tuos, kurie yra leidžiamųjų sąraše, atmeta Power Platform.
Nuomotojo atskyrimą galima sukonfigūruoti „Power Platform” administravimo centre. Tai turi įtakos „Power Platform“ drobės programoms ir „Power Automate“ srautams. Norėdami nustatyti nuomotojo atskyrimą, turite būti nuomotojų administratorius.
„Power Platform” nuomotojo izoliavimo galimybę galima naudotis dviem parinktimis: vienpusio arba dvipusio apribojimo.
Nuomotojo atskyrimo scenarijų ir poveikio supratimas
Prieš pradėdami konfigūruoti nuomotojo izoliacijos apribojimus, peržiūrėkite toliau pateiktą sąrašą, kad suprastumėte nuomotojo izoliavimo scenarijus ir poveikį.
- Administratorius nori įjungti nuomotojo izoliaciją.
- Administratorius yra susirūpinęs, kad esamos programos ir srautai, naudojantys kelių nuomotojų ryšius, nustoja veikti.
- Administratorius nusprendžia įgalinti nuomotojo atskyrimą ir įtraukti išimčių taisykles, kad pašalintų poveikį.
- Administratorius vykdo kelių nuomotojų izoliacijos ataskaitas, kad nustatytų nuomotojus, kuriems reikia taikyti išimtį. Daugiau informacijos: Vadovėlis: Kryžminio nuomotojo izoliavimo ataskaitų kūrimas (peržiūra)
Dvipusis nuomotojo apribojimas (gaunamų siunčiamų ryšių apribojimas)
Dvipusis nuomotojo izoliavimas blokuoja bandymus užmegzti ryšį su jūsų nuomotoju iš kitų nuomininkų. Be to, dvipusio nuomotojo izoliacija taip pat blokuoja jūsų nuomotojo bandymus užmegzti ryšį su kitais nuomotojais.
Pagal šį scenarijų nuomotojo administratorius leidžia dvipusę nuomotojo izoliaciją "Contoso" nuomotojuje, kol išorinis "Fabrikam" nuomotojas nebuvo įtrauktas į leidžiamųjų sąrašą.
Vartotojai, prisijungę prie Power Platform "Contoso" nuomotojo, negali užmegzti siunčiamu Microsoft Entra ID pagrįstų ryšių su "Fabrikam" nuomotojo duomenų šaltiniais, nepaisant to, kad pateikia atitinkamus Microsoft Entra kredencialus ryšiui užmegzti. Tai yra išeinantis nuomotojo atskyrimas, taikomas „Contoso” nuomotojui.
Panašiai vartotojai, prisijungę prie Power Platform "Fabrikam" nuomotojo, negali užmegzti gaunamais Microsoft Entra ID pagrįstų ryšių su "Contoso" nuomotojo duomenų šaltiniais, nepaisant to, kad pateikia atitinkamus Microsoft Entra kredencialus ryšiui užmegzti. Tai yra įeinantis nuomotojo atskyrimas, taikomas „Contoso” nuomotojui.
| Ryšio kūrėjo nuomotojas | Nuomotojo prisijungimo ryšys | Ar prieiga leidžiama? |
|---|---|---|
| „Contoso“ | „Contoso“ | Taip |
| „Contoso” (nuomotojų atskyrimas Įjunta) | „Fabrikam” | Ne (siunčiama) |
| „Fabrikam” | „Contoso” (nuomotojų atskyrimas Įjunta) | Ne (gaunama) |
| „Fabrikam” | „Fabrikam” | Taip |
Pastaba.
Svečio vartotojo inicijuotas bandymas prisijungti iš pagrindinio nuomotojo, kuris taikomas pagal to paties pagrindinio nuomotojo duomenų šaltinius, nėra vertinamas pagal nuomotojo atskyrimo taisykles.
Nuomotojo izoliacija su leidžiamųjų sąrašais
Vienpusis nuomotojo izoliavimas arba gaunamo srauto izoliavimas blokuoja ryšio užmezgimo bandymus su jūsų nuomotoju iš kitų nuomininkų.
Scenarijus: siuntimo leidžiamųjų sąrašas – "Fabrikam" įtraukiama į "Contoso" nuomotojo siuntimo leidimų sąrašą
Pagal šį scenarijų administratorius įtraukia "Fabrikam" nuomotoją į siuntimo leidimų sąrašą, kai nuomotojo atskyrimas įjungtas .
Vartotojai, prisijungę prie Power Platform "Contoso" nuomotojo, gali užmegzti siunčiamu Microsoft Entra ID pagrįstus ryšius su "Fabrikam" nuomotojo duomenų šaltiniais, jei jie pateikia atitinkamus Microsoft Entra kredencialus ryšiui užmegzti. Siuntimo ryšio nustatymas su "Fabrikam" nuomotoju leidžiamas pagal sukonfigūruotą allowl ist įrašą.
Tačiau vartotojai, prisijungę prie Power Platform "Fabrikam" nuomotojo, vis tiek negali užmegzti gaunamais Microsoft Entra ID pagrįstų ryšių su "Contoso" nuomotojo duomenų šaltiniais, nepaisant to, kad pateikia atitinkamus Microsoft Entra kredencialus ryšiui užmegzti. Gavimo ryšio nustatymas iš "Fabrikam" nuomotojo vis tiek neleidžiamas, net jei leidimo sąrašo įrašas sukonfigūruotas ir leidžia siunčiamus ryšius.
| Ryšio kūrėjo nuomotojas | Nuomotojo prisijungimo ryšys | Ar prieiga leidžiama? |
|---|---|---|
| „Contoso“ | „Contoso“ | Taip |
| „Contoso” (nuomotojų atskyrimas Įjunta) "Fabrikam" įtraukta į siuntimo leidžiamųjų sąrašą |
„Fabrikam” | Taip |
| „Fabrikam” | „Contoso” (nuomotojų atskyrimas Įjunta) "Fabrikam" įtraukta į siuntimo leidžiamųjų sąrašą |
Ne (gaunama) |
| „Fabrikam” | „Fabrikam” | Taip |
Scenarijus: dvikryptis leidimų sąrašas – "Fabrikam" įtraukiama į "Contoso" nuomotojo gavimo ir siuntimo leidimų sąrašus
Pagal šį scenarijų administratorius įtraukia "Fabrikam" nuomotoją į gavimo ir siuntimo leidimų sąrašus, kai nuomotojo atskyrimas įjungtas .
| Ryšio kūrėjo nuomotojas | Nuomotojo prisijungimo ryšys | Ar prieiga leidžiama? |
|---|---|---|
| „Contoso“ | „Contoso“ | Taip |
| „Contoso” (nuomotojų atskyrimas Įjunta) "Fabrikam" įtraukta į abu leidžiamųjų sąrašus |
„Fabrikam” | Taip |
| „Fabrikam” | „Contoso” (nuomotojų atskyrimas Įjunta) "Fabrikam" įtraukta į abu leidžiamųjų sąrašus |
Taip |
| „Fabrikam” | „Fabrikam” | Taip |
Leisti nuomotojo atskyrimą ir konfigūruoti leidžiamųjų sąrašą
Eikite į „Power Platform“ administravimo centrą.
Naršymo srityje pasirinkite Sauga.
Srityje Sauga pasirinkite Tapatybė ir prieiga.
Puslapyje Tapatybės ir prieigos valdymas pasirinkite Nuomotojo atskyrimas.
Norėdami leisti nuomotojo atskyrimą, įjunkite parinktį Apriboti kelių nuomotojų ryšius .
Norėdami leisti bendrauti su keliais nuomotojais, srityje Nuomotojo atskyrimo srityje pasirinkite Įtraukti išimčių .
Jei nuomotojo atskyrimas yra Išjungtas, vis tiek galite įtraukti arba redaguoti išimčių sąrašą. Tačiau išimčių sąrašai nevykdomi, kol neįjungiate nuomotojo izoliacijos.
Išplečiamajame sąraše Leidžiama kryptis pasirinkite leidimo sąrašo įrašo kryptį.
Lauke Nuomotojo ID įveskite leidžiamo nuomotojo reikšmę kaip nuomotojo domeną arba nuomotojo ID. Įrašius įrašą, jis įtraukiamas į leidžiamųjų sąrašą kartu su kitais leidžiamais nuomotojais. Jei leidžiamųjų sąrašo įrašui įtraukti naudojate nuomotojo domeną Power Platform , administravimo centras automatiškai apskaičiuoja nuomotojo ID.
Galite naudoti "*" kaip specialųjį simbolį, nurodantį, kad visi nuomotojai leidžiami nurodyta kryptimi, kai įjungtas nuomotojo izoliavimas.
Pasirinkite Įrašyti.
Pastaba.
Turite turėti administratoriaus Power Platform vaidmenį, kad galėtumėte peržiūrėti ir nustatyti nuomotojo izoliavimo strategiją.
Pastaba.
Norėdami užtikrinti, kad nuomotojo izoliacija neblokuotų jokių naudojamų skambučių, įjunkite nuomotojo izoliaciją , įtraukite naują nuomotojo taisyklę, nustatykitenuomotojo ID kaip "*" ir nustatykite leidžiamą gavimo ir siuntimo kryptį .
Galite atlikti visas leidžiamųjų sąrašo operacijas, pvz., įtraukti, redaguoti ir naikinti, kai nuomotojo atskyrimas įjungtas arba išjungtas. Leisti sąrašo įrašus turi įtakos ryšio veikimui, kai nuomotojo atskyrimas yra išjungtas , nes leidžiami visi kelių nuomotojų ryšiai.
Kūrimo poveikis programoms ir srautams
Vartotojai, kurie kuria arba redaguoja išteklių, kuriam taikoma nuomotojo izoliavimo strategija, mato susijusį klaidos pranešimą. Pavyzdžiui, kūrėjai mato šią klaidą, Power Apps kai naudoja kelių nuomotojų ryšius programoje, kurią blokuoja nuomotojo izoliavimo strategijos. Programa neprideda ryšio.
Panašiai kūrėjai mato šią klaidą, Power Automate kai bando įrašyti srautą, kuris naudoja ryšius sraute, kurį blokuoja nuomotojo izoliavimo strategijos. Pats srautas išsaugomas, tačiau jis pažymėtas kaip "Sustabdytas" ir nevykdomas, nebent kūrėjas išspręstų duomenų praradimo prevencijos politikos (DLP) pažeidimą.
Vykdymo poveikis programoms ir srautams
Kaip administratorius galite nuspręsti bet kada modifikuoti nuomotojo atskyrimo strategijas savo nuomotojui. Jei programos ir srautai buvo sukurti ir vykdomi laikantis ankstesnių nuomotojo atskyrimo strategijų, kai kuriuos iš jų pakeista strategija gali paveikti neigiamai. Programos ar srautai, pažeidžiantys nuomotojo atskyrimo politiką, sėkmingai neveikia. Pavyzdžiui, „Power Automate” vykdymo istorija nurodo, kad srautinis vykdymas nepavyko. Be to, pasirinkus nepavykusį paleidimą, rodoma išsami klaidos informacija.
Esamų srautų, kurie sėkmingai neveikia dėl naujausios nuomotojo atskyrimo strategijos, vykdymo istorija „Power Automate” nurodo, kad srauto įvykdyti nepavyko.
Pasirinkus nepavykusį vykdymą, rodoma nepavykusio srauto vykdymo išsami informacija.
Pastaba.
Naujausi nuomotojo atskyrimo strategijos pakeitimai įvertinami pagal aktyvias programas ir srautus maždaug per valandą. Šis pakeitimas pritaikomas ne iš karto.
Žinomos problemos
Azure DevOps jungtis naudoja Microsoft Entra autentifikavimą kaip tapatybės teikėją, bet naudoja savo OAuth srautą ir STS atpažinimo ženklui autorizuoti ir išduoti. Kadangi prieigos raktas, grąžintas iš ADO srauto, atsižvelgiant į tos jungties konfigūraciją, nėra iš Microsoft Entra ID, nuomotojo izoliavimo strategija netaikoma. Kaip švelninimą rekomenduojame naudoti kitų tipų duomenų strategijas , kad apribotumėte jungties ar jos veiksmų naudojimą.