Vairāku nomnieku ienākošie un izejošie ierobežojumi
Piezīmes
Jaunais un uzlabotais Power Platform administrēšanas centrs tagad ir pieejams publiskajā priekšskatījumā! Mēs izstrādājām jauno administrēšanas centru, lai tas būtu vieglāk lietojams, izmantojot uz uzdevumiem orientētu navigāciju, kas palīdz ātrāk sasniegt noteiktus rezultātus. Mēs publicēsim jaunu un atjauninātu dokumentāciju, kad jaunais Power Platform administrēšanas centrs pāries uz vispārēju pieejamību.
Microsoft Power Platform ir bagātīga savienotāju ekosistēma, kuras pamatā Microsoft Entra ir autorizēti lietotāji, kas ļauj autorizētiem Microsoft Entra lietotājiem veidot pārliecinošas programmas un plūsmas, izveidojot savienojumus ar biznesa datiem, kas pieejami, izmantojot šīs datu krātuves. Nomnieka izoléśana ļauj administratoriem ērti nodrošināt, ka savienotājus var izmantot drošā un aizsargātā veidā no nomnieka puses, vienlaikus samazinot datu noplūdes risku ārpus nomnieka. Nomnieka izolācija ļauj Power Platform administratoriem efektīvi pārvaldīt nomnieka datu pārvietošanu no Microsoft Entra pilnvarotiem datu avotiem uz nomnieku un no tā.
Power Platform nomnieka izolācija atšķiras no Microsoft Entra ID mēroga nomnieka ierobežojuma. Tas neietekmē Microsoft Entra uz ID balstītu piekļuvi ārpus tās Power Platform. Power Platform nomnieka izolācija darbojas tikai savienotājiem, kas izmanto Microsoft Entra ID autentifikāciju, piemēram, Office 365 Outlook vai SharePoint.
Brīdinājums.
Ir zināma problēma ar savienotāju , kuras dēļ nomnieka izolācijas politika netiek piemērota savienojumiem, kas izveidoti, izmantojot šo savienotāju. Azure DevOps Ja iekšējās informācijas uzbrukuma vektors rada bažas, ieteicams ierobežot savienotāja vai tā darbību izmantošanu, izmantojot datu politikas.
Noklusējuma konfigurācija Power Platform ar nomnieka izolāciju Izslēgta ir ļaut nemanāmi izveidot starpnomnieku savienojumus, ja lietotājs no nomnieka A, kas izveidojis savienojumu ar nomnieku B, uzrāda atbilstošus Microsoft Entra akreditācijas datus. Ja administratori vēlas atļaut tikai atlasītu nomnieku kopu, lai izveidotu savienojumus ar nomnieku vai no tā, viņi var pārvērst nomnieka izoléśanu uz reźímu Ieslégts.
Ar nomnieku izoléśanas rezímu Ieslégtsvisiem nomniekiem tiek ierobežotas tiesības. Ienākošie (ārējo nomnieku savienojumi ar nomnieku) un izejošie (savienojumi no nomnieka uz ārējiem nomniekiem) starpnomnieku savienojumi tiek bloķēti pat tad Power Platform , ja lietotājs drošajā Microsoft Entra datu avotā uzrāda derīgus akreditācijas datus. Jús varat lietot noteikumus, lai pievienotu izńémumus.
Administratori var norādīt skaidru atļauju sarakstu ar nomniekiem, kurus viņi vēlas atļaut ienākošajiem, izejošajiem vai abiem, kas konfigurējot apiet nomnieka izolācijas vadīklas. Administratori var izmantot īpašu modeli "* lai sniegtu atļauju "visiem nomniekiem noteiktā virzienā, kad ir ieslēgta nomnieka izolēšana. Visi pārējie nomnieku savstarpējie savienojumi, izņemot tos, kas ir atļauto pakalpojumu sarakstā, tiek noraidīti Power Platform.
Nomnieka izoléśanu var konfigurēt Power Platform administratora centrā. Tas ietekmē Power Platform audekla programmas un Power Automate plūsmas. Lai iestatītu nomnieku izoléśanu, jums ir jābūt nomnieka administratoram.
Power Platform nomnieka izolācijas iespēja ir pieejama divās opcijās: vienvirziena vai divvirzienu ierobežojums.
Nomnieka izolācijas scenāriju un ietekmes izprašana
Pirms sākat konfigurēt nomnieka izolācijas ierobežojumus, pārskatiet tālāk sniegto sarakstu, lai izprastu nomnieka izolācijas scenārijus un ietekmi.
- Administrators vēlas ieslēgt nomnieka izolāciju.
- Administrators ir nobažījies, ka esošās programmas un plūsmas, kas izmanto starpnomnieku savienojumus, pārstāj darboties.
- Administrators nolemj iespējot nomnieka izolāciju un pievienot izņēmumu kārtulas, lai novērstu ietekmi.
- Administrators palaiž nomnieku savstarpējās izolācijas atskaites, lai noteiktu nomniekus, kuri ir jāatbrīvo. PapildinformācijaApmācība: starpnomnieku izolācijas atskaišu izveide (priekšskatījums)
Divvirzienu nomnieka izolācija (ienākošā un izejošā savienojuma ierobežojums)
Divvirzienu nomnieka izolācija bloķē savienojuma izveides mēģinājumus ar jūsu nomnieku no citiem nomniekiem. Turklāt divvirzienu nomnieka izolācija bloķē arī savienojuma izveides mēģinājumus no nomnieka uz citiem nomniekiem.
Šādā gadījumā nomnieka administrators Contoso nomniekā atļauj divvirzienu nomnieka izolāciju, kamēr ārējais Fabrikam nomnieks nav pievienots atļauju sarakstam.
Lietotāji, kas Power Platform ir pieteikušies Contoso nomniekā, nevar izveidot izejošos Microsoft Entra ID savienojumus ar datu avotiem Fabrikam nomniekā, lai gan viņi uzrāda atbilstošus Microsoft Entra akreditācijas datus savienojuma izveidei. Tá ir izejoša nomnieka izoléśana Contoso nomniekam.
Tāpat lietotāji, kas Power Platform ir pieteikušies Fabrikam nomniekā, nevar izveidot ienākošos Microsoft Entra ID savienojumus ar datu avotiem Contoso nomniekā, lai gan savienojuma izveidošanai tiek uzrādīti atbilstoši Microsoft Entra akreditācijas dati. Tá ir ienákośá nomnieka izoléśana Contoso nomniekam.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) | Fabrikam | Nē (izejošs) |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) | Nē (ienākošs) |
| Fabrikam | Fabrikam | Jā |
Piezīmes
Nomnieka izolācijas kārtulas nenovērtē savienojuma mēģinājumu, ko iniciējis vieslietotājs no sava resursdatora nomnieka, kura mērķauditorija ir datu avoti tajā pašā resursdatora nomniekā.
Nomnieka izolācija ar atļautajiem sarakstiem
Vienvirziena nomnieka izolācija vai ienākošā izolācija bloķē savienojuma izveides mēģinājumus ar jūsu nomnieku no citiem nomniekiem.
Scenārijs: izejošo atļauju saraksts — Fabrikam tiek pievienots Contoso nomnieka izejošo atļauju sarakstam
Šādā gadījumā administrators pievieno Fabrikam nomnieku izejošo atļauju sarakstā, kamēr nomnieka izolācija ir Ieslēgta.
Lietotāji, kas Power Platform ir pieteikušies Contoso nomniekā, var izveidot izejošos Microsoft Entra ID savienojumus ar datu avotiem Fabrikam nomniekā, ja viņi uzrāda atbilstošus Microsoft Entra akreditācijas datus, lai izveidotu savienojumu. Izejošā savienojuma izveide ar Fabrikam nomnieku ir atļauta, pamatojoties uz konfigurēto allowl ist ierakstu.
Tomēr lietotāji, kas Power Platform ir pieteikušies Fabrikam nomniekā, joprojām nevar izveidot ienākošos Microsoft Entra ID savienojumus ar datu avotiem Contoso nomniekā, lai gan ir uzrādījuši atbilstošus Microsoft Entra akreditācijas datus, lai izveidotu savienojumu. Ienākošā savienojuma izveide no Fabrikam nomnieka joprojām nav atļauta, pat ja atļauju saraksta ieraksts ir konfigurēts un atļauj izejošos savienojumus.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) Fabrikam pievienots izejošo atļauju sarakstam |
Fabrikam | Jā |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) Fabrikam pievienots izejošo atļauju sarakstam |
Nē (ienākošs) |
| Fabrikam | Fabrikam | Jā |
Scenārijs: divvirzienu atļauju saraksts — Fabrikam tiek pievienots Contoso nomnieka ienākošo un izejošo atļauju sarakstiem
Šajā scenārijā administrators pievieno Fabrikam nomnieku gan ienākošo, gan izejošo atļauju sarakstiem, kamēr nomnieka izolācija ir Ieslēgta.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) Fabrikam pievienots abiem atļautajiem sarakstiem |
Fabrikam | Jā |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) Fabrikam pievienots abiem atļautajiem sarakstiem |
Jā |
| Fabrikam | Fabrikam | Jā |
Atļaut nomnieka izolāciju un konfigurēt atļauto sarakstu
Dodieties uz Power Platform administrēšanas centru.
Navigācijas rūtī atlasiet Drošība.
Rūtī Drošība atlasiet Identitāte un piekļuve.
Lapā Identitātes un piekļuves pārvaldība atlasiet Nomnieka izolācija.
Lai atļautu nomnieka izolāciju, ieslēdziet opciju Ierobežot starpnomnieku savienojumus .
Lai atļautu saziņu starp nomniekiem, nomnieka izolācijas rūtī atlasiet Pievienot izņēmumus .
Ja nomnieka izolācija ir Izslēgta, joprojām varat pievienot vai rediģēt izņēmumu sarakstu. Tomēr izņēmumu saraksti netiek ieviesti, kamēr nav ieslēgta nomnieka izolācija.
Nolaižamajā sarakstā Atļautais virziens atlasiet atļautā saraksta ieraksta virzienu.
Laukā Nomnieka ID ievadiet atļautā nomnieka vērtību kā nomnieka domēnu vai nomnieka ID . Pēc saglabāšanas ieraksts tiek pievienots atļauju sarakstam kopā ar citiem atļautajiem nomniekiem. Ja izmantojat nomnieka domēnu, lai pievienotu atļauju saraksta ierakstu, administrēšanas Power Platform centrs automātiski aprēķina nomnieka ID.
Varat izmantot "*" kā īpašu rakstzīmi, lai norādītu, ka visi nomnieki ir atļauti norādītajā virzienā, kad ir ieslēgta nomnieka izolācija.
Atlasiet vienumu Saglabāt.
Piezīmes
Jums ir jābūt administratora lomai, lai skatītu un iestatītu nomnieka Power Platform izolācijas politiku.
Piezīmes
Lai nodrošinātu, ka nomnieka izolācija nebloķē nevienu zvanu, kad to izmanto, ieslēdziet nomnieka izolāciju , pievienojiet jaunu nomnieka kārtulu, iestatiet nomnieka ID kā "*" un iestatiet atļauto virzienu uz ienākošo un izejošo.
Varat veikt visas atļautā saraksta darbības, piemēram, pievienot, rediģēt un dzēst, kamēr nomnieka izolācija ir ieslēgta vai izslēgta. Atļautie saraksta ieraksti ietekmē savienojuma darbību, ja nomnieka izolācija ir izslēgta , jo visi nomnieku savstarpējie savienojumi ir atļauti.
Noformēšanas laika ietekme uz programmām un plūsmām.
Lietotājiem, kuri izveido vai rediģē resursu, uz kuru attiecas nomnieka izolācijas politika, tiek parādīts saistīts kļūdas ziņojums. Piemēram, veidotāji redz šādu kļūdu, Power Apps kad viņi izmanto nomnieku savstarpējos savienojumus programmā, kuru bloķē nomnieka izolācijas politikas. Programma nepievieno savienojumu.
Līdzīgi veidotāji redz šādu kļūdu, Power Automate mēģinot saglabāt plūsmu, kas izmanto savienojumus plūsmā, kuru bloķē nomnieka izolācijas politikas. Pati plūsma tiek saglabāta, bet tā ir atzīmēta kā "Aizturēta" un netiek izpildīta, ja vien veidotājs nenovērš datu zuduma novēršanas politikas (DLP) pārkāpumu.
Izpildes laika ietekme uz programmām un plūsmām
Jūs kā administrators varat lemt pārveidot nomnieka izoléśanas noteikumus savam nomniekam jebkurā punktā. Ja programmas un plūsmas tika izveidotas un izpildītas atbilstoši agrākiem nomnieka izoléśanas noteikumiem, dažas no tām var bút negatīvi skartas ar jebkādám ar jums veiktajám noteikumu izmaiņám. Programmas vai plūsmas, ar kurām tiek pārkāpta nomnieka izolācijas politika, nedarbojas veiksmīgi. Piemēram, izpildes vēsture Power Automate nozīmē, ka plūsmas palaišana neizdevās. Turklāt, atlasot neveiksmīgo izpildi, tiek parādīta detalizēta informācija par kļūdu.
Esošajām plūsmām, kuras netiek veiksmīgi palaistas, jo ir izveidoti jaunākie nomnieka izoléśanas noteikumi, izpildes vēsture Power Automate norāda, ka plūsmas palaišana neizdevās.
Atlasot nesekmīgo izpildi, tiek parādīta detalizēta informācija par nesekmīgo plūsmas izpildi.
Piezīmes
Lai aktīvás programmas un plūsmas novértétu un pieńemtu nomnieka izoléśanas noteikumu jaunākás izmaiņas, nepieciešama aptuveni stunda. Šīs izmaiņas nenotiek tūlītēji.
Zināmās problēmas
Azure DevOps savienotājs izmanto Microsoft Entra autentifikāciju kā identitātes nodrošinātājs, bet izmanto savu OAuth plūsmu un STS, lai autorizētu un izsniegtu marķieri. Tā kā no ADO plūsmas atgrieztā pilnvara, pamatojoties uz savienotāja konfigurāciju, nav no Microsoft Entra ID, nomnieka izolācijas politika netiek īstenota. Kā seku mazināšanu mēs iesakām izmantot cita veida datu politikas , lai ierobežotu savienotāja vai tā darbību izmantošanu.