Vstupné a výstupné obmedzenia v rámci nájomníkov
Poznámka
nové a vylepšené Power Platform centrum správcov je teraz vo verejnej ukážke! Nové centrum spravovania sme navrhli tak, aby bolo jednoduchšie na používanie, s navigáciou orientovanou na úlohy, ktorá vám pomôže rýchlejšie dosiahnuť konkrétne výsledky. Keď sa nové Power Platform centrum spravovania presunie na všeobecnú dostupnosť, budeme zverejňovať novú a aktualizovanú dokumentáciu.
Microsoft Power Platform má bohatý ekosystém konektorov založených na Microsoft Entra , ktoré umožňujú autorizovaným Microsoft Entra používateľom vytvárať pôsobivé aplikácie a toky vytvárajúce spojenia s obchodnými údajmi dostupnými prostredníctvom týchto dátových úložísk. Izolácia nájomníka uľahčuje správcom zabezpečiť, aby tieto konektory mohli byť využívané bezpečným a zabezpečeným spôsobom v rámci nájomníka, pričom sa minimalizuje riziko úniku údajov mimo nájomníka. Izolácia nájomníkov umožňuje Power Platform správcom efektívne riadiť pohyb údajov o nájomcoch z Microsoft Entra autorizovaných zdrojov údajov k ich nájomníkom a od nich.
Power Platform izolácia nájomníkov sa líši od Microsoft Entra obmedzenia nájomníkov v rámci celého ID. nemá vplyv Microsoft Entra prístup založený na ID mimo Power Platform. Power Platform izolácia nájomníkov funguje iba pre konektory používajúce Microsoft Entra overenie založené na ID, ako napríklad Office 365 Outlook alebo SharePoint.
Upozornenie
Existuje známy problém s Azure DevOps konektor , ktorý vedie k tomu, že politika izolácie nájomníkov sa nebude presadzovať pre pripojenia vytvorené pomocou tohto konektora. Ak ide o vektor útoku zasvätených osôb, odporúčame vám obmedziť používanie konektora alebo jeho akcií pomocou zásad údajov.
Predvolená konfigurácia v Power Platform s izoláciou nájomníka Vypnutá umožňuje bezproblémové vytváranie pripojení medzi nájomníkmi, ak používateľ z nájomníka A, ktorý vytvára pripojenie k nájomníkovi B, predloží vhodné Microsoft Entra poverenia. Ak chcú správcovia povoliť iba vybranej skupine nájomníkov vytvárať pripojenia k ich nájomníkom alebo od nich, môžu zapnúť izoláciu nájomníka.
Pri zapnutej izolácii nájomníka sú všetci nájomníci obmedzení. Prichádzajúce (pripojenia k nájomníkovi od externých nájomníkov) a odchádzajúce (pripojenia od nájomníka k externým nájomníkom) prepojenia medzi nájomníkmi sú blokované Power Platform aj keď používateľ predloží platné poverenia k Microsoft Entra-zabezpečenému zdroju údajov. Na pridávanie výnimiek môžete použiť pravidlá.
Správcovia môžu špecifikovať explicitný zoznam povolených nájomníkov, ktorým chcú povoliť prichádzajúce, odchádzajúce alebo oboje, čím sa pri konfigurácii obídu ovládacie prvky izolácie nájomníkov. Správcovia môžu použiť špeciálny vzor "*" na povolenie všetkých nájomníkom v určitom smere, keď je zapnutá izolácia nájomníkov. Všetky ostatné pripojenia medzi nájomníkmi okrem tých, ktoré sú v zozname povolených, zamietne Power Platform.
Izoláciu nájomníkov je možné nakonfigurovať v centre spravovania Power Platform. Ovplyvňuje aplikácie plátna Power Platform a postupy Power Automate. Ak chcete nastaviť izoláciu nájomníka, musíte byť správcom nájomníka.
Funkcia izolácie nájomníka Power Platform je k dispozícii s dvoma možnosťami: jednosmerné alebo obojsmerné obmedzenie.
Pochopte scenáre izolácie nájomníkov a ich vplyv
Skôr než začnete s konfiguráciou obmedzení izolácie nájomníkov, prečítajte si nasledujúci zoznam, aby ste pochopili scenáre a vplyv izolácie nájomníkov.
- Správca chce zapnúť izoláciu nájomníkov.
- Správca sa obáva, že existujúce aplikácie a toky využívajúce pripojenia medzi nájomníkmi prestávajú fungovať.
- Správca sa rozhodne povoliť izoláciu nájomníkov a pridať pravidlá výnimiek, aby eliminoval dopad.
- Správca spúšťa správy o izolácii medzi nájomníkmi, aby určil nájomníkov, ktorých je potrebné vyňať. Ďalšie informácie: Návod: Vytváranie správ o izolácii medzi nájomníkmi (ukážka)
Obojsmerná izolácia nájomníka (obmedzenie prichádzajúceho a odchádzjaúceho pripojenia)
Obojsmerná izolácia nájomníkov blokuje pokusy o vytvorenie pripojenia k vášmu nájomníkovi od iných nájomníkov. Okrem toho obojsmerná izolácia nájomníkov blokuje aj pokusy o vytvorenie pripojenia od vášho nájomníka k iným nájomníkom.
V tomto scenári správca nájomníka povolí obojsmernú izoláciu nájomníka na nájomníkovi Contoso, zatiaľ čo externý nájomník Fabrikam nebol pridaný do zoznamu povolených.
Používatelia prihlásení do Power Platform v nájomníkovi Contoso nemôžu nadviazať odchádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Fabrikam napriek tomu, že predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Toto je izolácia odchádzajúceho nájomníka pre nájomníka Contoso.
Podobne používatelia prihlásení do Power Platform v nájomníkovi Fabrikam nemôžu vytvoriť prichádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložia vhodné Microsoft Entra poverenia na vytvorenie pripojenia. Toto je izolácia prichádzajúceho nájomníka pre nájomníka Contoso.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) | Fabrikam | Nie (odchádzajúce) |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) | Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Poznámka
Pokus o pripojenie iniciovaný hosťom z jeho nájomníka hostiteľa, ktorý sa zameriava na zdroje údajov v rámci toho istého nájomníka hostiteľa, nie je hodnotený pravidlami izolácie nájomníkov.
Izolácia nájomníkov so zoznamami povolených
Jednosmerná izolácia nájomníka alebo izolácia prichádzajúcich blokuje pokusy o vytvorenie pripojenia k vášmu nájomníkovi od iných nájomníkov.
Scenár: Zoznam povolených pre výstupy – Fabrikam sa pridá do zoznamu povolených pre výstupy nájomníka Contoso
V tomto scenári správca pridá nájomníka Fabrikam do zoznamu povolených pre výstup, zatiaľ čo izolácia nájomníka je Zapnutá.
Používatelia prihlásení do Power Platform v nájomníkovi Contoso môžu vytvoriť odchádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Fabrikam, ak predložia vhodné Microsoft Entra poverenia na vytvorenie pripojenia. Vytvorenie odchádzajúceho pripojenia k nájomcovi Fabrikam je povolené na základe nakonfigurovanej položky povolenia.
Používatelia prihlásení do Power Platform v nájomníkovi Fabrikam však stále nemôžu nadviazať prichádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Vytvorenie prichádzajúceho pripojenia od nájomcu Fabrikam je stále zakázané, aj keď je položka zoznamu povolených nakonfigurovaná a povoľuje odchádzajúce pripojenia.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených výstupov |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených výstupov |
Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Scenár: Obojsmerný zoznam povolení – Fabrikam sa pridá do zoznamov povolených prichádzajúcich a odchádzajúcich nájomníkov Contoso
V tomto scenári správca pridá nájomníka Fabrikam do zoznamov povolených prichádzajúcich aj odchádzajúcich, zatiaľ čo izolácia nájomníka je Zapnutá.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Áno |
| Fabrikam | Fabrikam | Áno |
Povoľte izoláciu nájomníkov a nakonfigurujte zoznam povolených
Prejdite na centrum spravovania platformy Power Platform.
Na navigačnej table vyberte Zabezpečenie.
Na table Zabezpečenie vyberte Identita a prístup.
Na stránke Správa identity a prístupu vyberte Izolácia nájomníkov.
Ak chcete povoliť izoláciu nájomníkov, zapnite možnosť Obmedziť pripojenia medzi nájomníkmi .
Ak chcete povoliť komunikáciu medzi nájomníkmi, vyberte Pridať výnimky na table Izolácia nájomníkov .
Ak je izolácia nájomníkov Vypnutá, stále môžete pridávať alebo upravovať zoznam výnimiek. Zoznamy výnimiek sa však nevynútia, kým nezapnete izoláciu nájomníkov.
V rozbaľovacom zozname Povolený smer vyberte smer položky zoznamu povolených.
Do poľa ID nájomníka zadajte hodnotu povoleného nájomníka ako doménu nájomníka alebo ID nájomníka. Po uložení sa položka pridá do zoznamu povolených spolu s ostatnými povolenými nájomníkmi. Ak na pridanie položky zoznamu povolení použijete doménu nájomníka, Power Platform centrum spravovania automaticky vypočíta ID nájomníka.
Ak je zapnutá izolácia nájomníkov, môžete použiť „*“ ako špeciálny znak na označenie všetkých nájomníkov v určenom smere.
Vyberte položku Uložiť.
Poznámka
Na zobrazenie a nastavenie politiky izolácie nájomníkov musíte mať Power Platform rolu správcu.
Poznámka
Ak chcete zabezpečiť, aby izolácia nájomníka pri použití neblokovala žiadne hovory, zapnite izoláciu nájomníka Zapnuté, pridajte nové pravidlo nájomníka, nastavte ID nájomníka na „*“ a nastavte povolený smer na odchádzajúci a6 .
Môžete vykonávať všetky operácie so zoznamom povolených, ako je pridávanie, úprava a odstraňovanie, keď je izolácia nájomníkov zapnutá Zapnuté alebo Vypnuté. Položky zoznamu povolení majú vplyv na správanie pripojenia, keď je izolácia nájomníkov vypnutá Vypnuté , pretože sú povolené všetky pripojenia medzi nájomníkmi.
Vplyv času návrhu na aplikácie a postupy
Používatelia, ktorí vytvárajú alebo upravujú zdroj ovplyvnený politikou izolácie nájomníkov, vidia súvisiace chybové hlásenie. Napríklad Power Apps tvorcom sa pri používaní pripojení medzi nájomníkmi v aplikácii, ktorá je blokovaná pravidlami izolácie nájomníkov, zobrazí nasledujúca chyba. Aplikácia nepridáva pripojenie.
Podobne Power Automate tvorcom sa pri pokuse o uloženie toku, ktorý používa pripojenia v toku, ktorý je blokovaný politikami izolácie nájomníkov, zobrazí nasledujúca chyba. Samotný tok sa uloží, ale je označený ako „Pozastavený“ a nespustí sa, pokiaľ tvorca nevyrieši porušenie zásad ochrany pred stratou údajov (DLP).
Vplyv času spustenia na aplikácie a postupy
Ako správca sa môžete kedykoľvek rozhodnúť, že zmeníte politiky izolácie nájomníka pre svojho nájomníka v akomkoľvek bode. Ak boli aplikácie a postupy vytvorené a spustené v súlade s predchádzajúcimi politikami izolácie nájomníka, niektoré z nich môžu byť negatívne ovplyvnené vykonanými zmenami v rámci politiky. Aplikácie alebo toky, ktoré porušujú politiku izolácie nájomníkov, sa nespustia úspešne. Napríklad história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo. Okrem toho výber neúspešného spustenia zobrazí podrobnosti o chybe.
Pre existujúce postupy, ktoré sa nespúšťajú úspešne z dôvodu najnovšej politiky izolácie nájomníka, história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo.
Výber neúspešného cyklu zobrazí podrobnosti o neúspešnom spustení.
Poznámka
Posúdenie najnovších zmien politiky izolácie nájomníka pre aktívne aplikácie a postupy trvá približne hodinu. Táto zmena nebude okamžitá.
Známe problémy
Azure DevOps konektor používa Microsoft Entra overenie ako poskytovateľ identity, ale na autorizáciu a vydanie tokenu používa vlastný OAuth tok a STS. Keďže token vrátený z toku ADO na základe konfigurácie tohto konektora nepochádza z Microsoft Entra ID, politika izolácie nájomníkov sa neuplatňuje. Ako zmiernenie odporúčame použiť iné typy pravidiel údajov na obmedzenie používania konektora alebo jeho akcií.