Restricții de intrare și de ieșire a entității găzduite
Notă
Noul și îmbunătățit Power Platform Centrul de administrare este acum în previzualizare publică! Am proiectat noul centru de administrare pentru a fi mai ușor de utilizat, cu o navigare orientată către sarcini care vă ajută să obțineți mai rapid rezultate specifice. Vom publica documentație nouă și actualizată pe măsură ce noul Power Platform centru de administrare va trece la disponibilitate generală.
Microsoft Power Platform are un ecosistem bogat de conectori bazat pe Microsoft Entra care permit utilizatorilor Microsoft Entra autorizați să creeze aplicații și fluxuri convingătoare care stabilesc conexiuni la datele de afaceri disponibile prin aceste magazine de date. Izolarea entităților găzduite permite administratorilor să se asigure într-un mod mai simplu că acești conectori pot fi valorificați într-un mod sigur și securizat în interiorul entității găzduite, minimizând în același timp riscul de exfiltrare a datelor în afara entității găzduite. Izolarea chiriașilor permite Power Platform administratorilor să guverneze în mod eficient mișcarea datelor chiriașilor din Microsoft Entra surse de date autorizate către și de la chiriașul lor.
Power Platform izolarea chiriașilor este diferită de Microsoft Entra restricția chiriașilor la nivelul întregii ID. Acesta nu afectează Microsoft Entra accesul bazat pe ID în afara Power Platform. Power Platform Izolarea locatarului funcționează numai pentru conectorii care folosesc Microsoft Entra autentificarea bazată pe ID, cum ar fi Office 365 Outlook sau SharePoint.
Avertisment
Există o problemă cunoscută cu Azure DevOps conector care are ca rezultat politica de izolare a chiriașilor să nu fie aplicată pentru conexiunile stabilite folosind acest conector. Dacă un vector de atac din interior este o problemă, vă recomandăm să limitați utilizarea conectorului sau acțiunile acestuia folosind politicile de date.
Configurația implicită în Power Platform cu izolarea locatarului Off este să permită stabilirea perfectă a conexiunilor între chiriași, dacă utilizatorul de la chiriașul A care stabilește conexiunea cu chiriașul B prezintă acreditările Microsoft Entra corespunzătoare. Dacă administratorii doresc să permită doar unui set selectat de entități găzduite să stabilească conexiuni la sau de la entitatea lor găzduită, pot activa izolarea entităților găzduite, setând opțiunea la Activat.
Cu izolarea entităților găzduite setată la Activat, toate entitățile găzduite sunt restricționate. Conexiunile de intrare (conexiuni la chiriaș de la chiriași externi) și de ieșire (conexiuni de la chiriaș la chiriași externi) conexiunile între chiriași sunt blocate de Power Platform chiar dacă utilizatorul prezintă acreditări valide la sursa de date securizată Microsoft Entra. Puteți folosi reguli pentru a adăuga excepții.
Administratorii pot specifica o listă explicită de permise de chiriași pe care doresc să le permită inbound, outbound sau ambele, care ocolește controalele de izolare a chiriașilor atunci când sunt configurate. Administratorii pot folosi un model special „*” pentru a permite toate entitățile găzduite într-o anumită direcție, atunci când este activată izolarea entităților găzduite. Toate celelalte conexiuni între chiriași, cu excepția celor din lista de permise, sunt respinse de Power Platform.
Izolarea entităților găzduite poate fi configurată în centrul de administrare Power Platform. Aceasta afectează aplicațiile Power Platform create pe planșă și fluxurile Power Automate. Pentru a configura izolarea entităților găzduite, trebuie să fiți administrator al entităților găzduite.
Capacitatea de izolare a entității găzduite Power Platform este disponibilă cu două opțiuni: restricție unidirecțională sau bidirecțională.
Înțelegeți scenariile de izolare a chiriașilor și impactul
Înainte de a începe configurarea restricțiilor de izolare a chiriașilor, examinați următoarea listă pentru a înțelege scenariile și impactul izolării chiriașilor.
- Administratorul dorește să activeze izolarea chiriașilor.
- Administratorul este îngrijorat de faptul că aplicațiile și fluxurile existente care folosesc conexiuni între chiriași nu mai funcționează.
- Administratorul decide să activeze izolarea chiriașilor și să adauge reguli de excepție pentru a elimina impactul.
- Administratorul rulează rapoartele de izolare între chiriași pentru a determina chiriașii care trebuie să fie scutiți. Mai multe informații: Tutorial: Creați rapoarte de izolare între locatari (previzualizare)
Izolarea entității găzduite bidirecționale (restricția conexiunii de intrare și de ieșire)
Izolarea chiriașilor în două sensuri blochează încercările de stabilire a conexiunii cu chiriașul dvs. de la alți chiriași. În plus, izolarea în două sensuri a chiriașilor blochează și încercările de stabilire a conexiunii de la chiriașul dvs. la alți chiriași.
În acest scenariu, administratorul locatarului permite izolarea chiriașului în două sensuri pe chiriașul Contoso, în timp ce chiriașul extern Fabrikam nu a fost adăugat la lista de permise.
Utilizatorii conectați la Power Platform în chiriașul Contoso nu pot stabili conexiuni de ieșire Microsoft Entra pe bază de ID la sursele de date din chiriașul Fabrikam, deși prezintă acreditările Microsoft Entra corespunzătoare pentru a stabili conexiunea. Aceasta este izolarea de ieșire a entităților găzduite, pentru entitatea găzduită Contoso.
În mod similar, utilizatorii conectați la Power Platform în chiriașul Fabrikam nu pot stabili conexiuni de intrare Microsoft Entra pe bază de ID la sursele de date din chiriașul Contoso, deși prezintă acreditările Microsoft Entra corespunzătoare pentru a stabili conexiunea. Aceasta este izolarea de intrare a entităților găzduite, pentru entitatea găzduită Contoso.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) | Fabrikam | Nr (de ieșire) |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) | Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Notă
O încercare de conectare inițiată de un utilizator invitat, de la chiriașul său gazdă, care vizează surse de date din același chiriaș gazdă, nu este evaluată de regulile de izolare a locatarului.
Izolarea chiriașilor cu liste de permis
Izolarea unidirecțională a chiriașilor sau izolarea la intrare blochează încercările de stabilire a conexiunii cu chiriașul dvs. de la alți chiriași.
Scenariu: Listă de ieșire permisă – Fabrikam este adăugat la lista de ieșire permisă a chiriașului Contoso
În acest scenariu, administratorul adaugă chiriașul Fabrikam în lista de permise de ieșire în timp ce izolarea locatarului este Activă.
Utilizatorii conectați la Power Platform în chiriașul Contoso pot stabili conexiuni de ieșire Microsoft Entra pe bază de ID la sursele de date din chiriașul Fabrikam dacă prezintă acreditările Microsoft Entra corespunzătoare pentru a stabili conexiunea. Stabilirea conexiunii de ieșire către chiriașul Fabrikam este permisă în virtutea intrării de autorizare configurată.
Cu toate acestea, utilizatorii conectați la Power Platform în chiriașul Fabrikam încă nu pot stabili conexiuni de intrare Microsoft Entra pe bază de ID la sursele de date din chiriașul Contoso, deși prezintă acreditările Microsoft Entra corespunzătoare pentru a stabili conexiunea. Stabilirea conexiunii de intrare de la chiriașul Fabrikam este în continuare interzisă, chiar dacă este configurată intrarea în lista de permise și permite conexiuni de ieșire.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a adăugat la lista de permise de ieșire |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a adăugat la lista de permise de ieșire |
Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Scenariu: listă de permisiuni bidirecționale – Fabrikam este adăugat la listele de permise de intrare și de ieșire ale chiriașului Contoso
În acest scenariu, administratorul adaugă chiriașul Fabrikam la listele de permise de intrare și de ieșire, în timp ce izolarea locatarului este Activă.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a adăugat la ambele liste de permis |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a adăugat la ambele liste de permis |
Da |
| Fabrikam | Fabrikam | Da |
Permiteți izolarea chiriașilor și configurați lista de permise
Accesați Centrul de Administrare Power Platform.
În panoul de navigare, selectați Securitate.
În panoul Securitate , selectați Identitate și acces.
În pagina Gestionarea identității și a accesului , selectați Izolarea chiriașului.
Pentru a permite izolarea chiriașilor, activați opțiunea Restricționați conexiunile între chiriași .
Pentru a permite comunicarea între chiriași, selectați Adăugați excepții în panoul Izolare chiriași .
Dacă izolarea locatarilor este Dezactivată, puteți în continuare să adăugați sau să editați lista de excepții. Cu toate acestea, listele de excepții nu sunt aplicate până când nu activați izolarea chiriașilor.
Din lista drop-down Direcție permisă , selectați direcția intrării listei permise.
Introduceți valoarea chiriașului permis ca domeniu sau ID de chiriaș în câmpul ID de chiriaș . Odată salvată, intrarea este adăugată la lista de permise împreună cu alți chiriași autorizați. Dacă utilizați domeniul locatarului pentru a adăuga intrarea în lista permisă, Power Platform centrul de administrare calculează automat ID-ul locatarului.
Puteți folosi „*” ca caracter special pentru a semnifica că toți chiriașii au voie în direcția desemnată atunci când izolarea chiriașilor este activată.
Selectați Salvați.
Notă
Trebuie să aveți un Power Platform rol de administrator pentru a vedea și a seta politica de izolare a chiriașilor.
Notă
Pentru a vă asigura că izolarea chiriașilor nu blochează niciun apel atunci când este utilizată, activați On, adăugați o nouă regulă pentru chiriași, setați IDul chiriașului ca „*” și setați direcția permisă la inbound i outbound.
Puteți efectua toate operațiunile listei de permise, cum ar fi adăugarea, editarea și ștergerea, în timp ce izolarea locatarilor este activată On sau Dezactivată. Intrările din listă de permise au un efect asupra comportamentului conexiunii atunci când izolarea locatarului este dezactivată Dezactivată deoarece sunt permise toate conexiunile între chiriași.
Impactul duratei proiectare asupra aplicațiilor și a fluxurilor
Utilizatorii care creează sau editează o resursă, afectați de politica de izolare a chiriașilor, văd un mesaj de eroare asociat. De exemplu, Power Apps producătorii văd următoarea eroare atunci când folosesc conexiuni între chiriași într-o aplicație care este blocată de politicile de izolare a chiriașilor. Aplicația nu adaugă conexiunea.
În mod similar, Power Automate producătorii văd următoarea eroare atunci când încearcă să salveze un flux care utilizează conexiuni într-un flux care este blocat de politicile de izolare a chiriașilor. Fluxul în sine este salvat, dar este marcat ca „Suspendat” și nu este executat decât dacă producătorul rezolvă încălcarea politicii de prevenire a pierderii datelor (DLP).
Impactul rulării asupra aplicațiilor și a fluxurilor
Ca administrator, puteți decide în orice moment să modificați izolarea entităților găzduite pentru entitatea dvs. găzduită. Dacă aplicațiile și fluxurile au fost create și executate în conformitate cu o politică anterioară de izolare a entităților găzduite, unele dintre ele ar putea fi afectate în mod negativ de orice modificări de politică pe care le faceți. Aplicațiile sau fluxurile care încalcă politica de izolare a chiriașilor nu rulează cu succes. De exemplu, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat. În plus, selectarea executării eșuate arată detalii despre eroare.
Pentru fluxurile existente care nu rulează din cauza celei mai recente politici de izolare a entităților găzduite, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat.
Selectarea rulării eșuate arată detalii despre rularea eșuată.
Notă
Este nevoie de aproximativ o oră pentru ca cele mai recente modificări ale politicii de izolare a entităților găzduite să fie evaluate în raport cu aplicațiile și fluxurile active. Această schimbare nu este instantanee.
Probleme cunoscute
Azure DevOps connector folosește Microsoft Entra autentificarea ca furnizor de identitate, dar folosește propriul flux OAuth și STS pentru autorizarea și emiterea unui token. Deoarece jetonul returnat din fluxul ADO pe baza configurației respectivului conector nu este de la Microsoft Entra ID, politica de izolare a chiriașilor nu este aplicată. Ca măsură de atenuare, vă recomandăm să utilizați alte tipuri de politici de date pentru a limita utilizarea conectorului sau acțiunile acestuia.