Улазна и излазна ограничења у више закупаца
Microsoft Power Platform има богат екосистем конектора заснованих на Microsoft Entra томе да омогућавају овлашћеним Microsoft Entra корисницима да изграде убедљиве апликације и токове успостављајући везе са пословним подацима доступним путем ових продавница података. Изолација закупца олакшава администраторима да обезбеде да се ови конектори могу упослити на безбедан и безбедан начин унутар закупца, истовремено минимизујући ризик од извлачења података изван закупца. Изолација станара омогућава Power Platform администраторима да ефикасно управљају кретањем података станара из Microsoft Entra овлашћених извора података до и од свог станара.
Power Platform изолација станара се разликује од Microsoft Entra ограничења станара широм ИД-а. То не утиче на приступ заснован на ИД-у ван Microsoft Entra Power Platform. Power Platform Изолација станара ради само за конекторе који користе Microsoft Entra аутентификацију засновану на ИД-у, као што су Office 365 Оутлоок или SharePoint.
Упозорење
Постоји познати проблем са конектором Azure DevOps који резултира политиком изолације станара која се не примењује за везе успостављене помоћу овог конектора. Ако је вектор инсајдерског напада забрињавајући, препоручујемо да ограничите коришћење конектора или његових радњи користећи политике података.
Подразумевана конфигурација у Power Platform са искљученом изолацијом станара је да се омогући беспрекорно успостављање веза између станара, ако корисник из станара А успоставља везу са станаром Б представља одговарајуће Microsoft Entra акредитиве. Ако администратори желе да дозволе само одабраном скупу закупаца да успоставе везе до свог закупца или од њега, могу да укључе изолацију закупца.
Када је изолација закупца укључена, сви закупци су ограничени. Долазни (везе са станаром од спољних станара) и одлазни (везе од станара до спољних станара) унакрсне везе станара су блокиране Power Platform чак и ако корисник представи важеће акредитиве за Microsoft Entra заштићени извор података. Можете да користите правила за додавање изузетака.
Администратори могу да наведу експлицитну листу дозвољених станара које желе да омогуће долазни , одлазни или обоје, који заобилази контроле изолације станара када је конфигурисан. Администратори могу да користе посебан образац „*“ како би омогућили свим закупцима у одређеном смеру када је укључена изолација закупаца. Све остале везе унакрсних станара, осим оних на листи дозвољених су одбијене Power Platform.
Изолација закупца се може конфигурисати у Power Platform центру администрације. Она утиче на Power Platform апликације са подлогом и Power Automate токове. Да бисте подесили изолацију закупца, потребно је да будете администратор закупца.
Могућност Power Platform изолације закупаца доступна је са две опције: једносмерним или двосмерним ограничењем.
Разумети сценарије изолације станара и утицај
Пре него што почнете да конфигуришете ограничења изолације станара, прегледајте следећу листу да бисте разумели сценарије и утицај изолације станара.
- Администратор жели да укључи изолацију станара.
- Администратор је забринут да постојеће апликације и токови који користе унакрсне везе станара престају да раде.
- Администратор одлучује да омогући изолацију станара и дода правила изузетака како би елиминисао утицај.
- Администратор покреће извештаје о изолацији унакрсних станара како би одредио станаре који треба да буду изузети. Додатне информације: Водич: Креирање извештаја о изолацији унакрсних клијената (преглед)
Двоосмерна изолација закупца (ограничење улазне и излазне везе)
Двосмерна изолација станара блокира покушаје успостављања везе са вашим станаром од других станара. Поред тога, двосмерна изолација станара такође блокира покушаје успостављања везе од вашег станара до других станара.
У овом сценарију, администратор станара дозвољава двосмерну изолацију станара на Цонтосо клијенту, док спољни Фабрикам клијент није додат на листу дозвољених.
Корисници пријављени у Power Platform Цонтосо тенанту не могу успоставити одлазне Microsoft Entra везе засноване на ИД-у са изворима података у закупцу Фабрикам упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. То је одлазна изолација закупца за закупца Contoso.
Слично томе, корисници пријављени у Power Platform Фабрикам тенант не могу успоставити долазне Microsoft Entra везе засноване на ИД-у са изворима података у Цонтосо клијенту упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. Ово је улазна изолација закупца за закупца Contoso.
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) | Fabrikam | Не (излазни) |
| Fabrikam | Contoso (изолација закупца је укључена) | Не (улазни) |
| Fabrikam | Fabrikam | Да |
Белешка
Покушај повезивања који је покренуо гост корисник, из свог клијента домаћина који циља изворе података унутар истог клијента домаћина, не процењује се правилима изолације станара.
Изолација станара са листама дозвољених
Једносмерна изолација станара или долазна изолација блокира покушаје успостављања везе са вашим станаром од других станара.
Сценарио : Одлазна листа дозвољених – Фабрикам се додаје на одлазну листу дозвољених Цонтосо клијента
У овом сценарију, администратор додаје Фабрикам тенанта у одлазну листу дозвољених док је изолација клијента укључена .
Корисници пријављени у Power Platform Цонтосо клијенту могу успоставити одлазне Microsoft Entra везе засноване на ИД-у са изворима података у закупцу Фабрикам ако представе одговарајуће Microsoft Entra акредитиве за успостављање везе. Успостављање одлазне везе са Фабрикам клијентом је дозвољено на основу конфигурисаног уноса аллоwл ист.
Међутим, корисници пријављени у Power Platform Фабрикам тенант и даље не могу да успоставе долазне Microsoft Entra ИД-басед везе са изворима података у Цонтосо тенант упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. Успостављање долазне везе из Фабрикам клијента је и даље забрањено чак и ако је унос листе дозвољених је конфигурисан и дозвољава одлазне везе.
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) Фабрикам је додат на листу одлазних дозвољених |
Fabrikam | Да |
| Fabrikam | Contoso (изолација закупца је укључена) Фабрикам је додат на листу одлазних дозвољених |
Не (улазни) |
| Fabrikam | Fabrikam | Да |
Сценарио : Двосмерна листа дозвољених – Фабрикам се додаје на долазне и одлазне листе дозвољених Цонтосо клијента
У овом сценарију, администратор додаје Фабрикам клијента на долазне и одлазне листе дозвољених док је изолација клијента укључена .
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) Фабрикам је додат на обе листе дозвола |
Fabrikam | Да |
| Fabrikam | Contoso (изолација закупца је укључена) Фабрикам је додат на обе листе дозвола |
Да |
| Fabrikam | Fabrikam | Да |
Дозволите изолацију станара и конфигуришите листу дозвољених
Идите у Power Platform центар администрације.
У окну за навигацију изаберите Безбедност.
У окну Безбедност изаберите Идентитет и приступ.
На страници Управљање идентитетом и приступом изаберите Изолација станара.
Да бисте омогућили изолацију станара, укључите опцију Ограничи везе између станара.
Да бисте омогућили унакрсну комуникацију станара, изаберите Додај изузетке у окну Изолација станара.
Ако је изолација станара искључена , и даље можете додати или уредити листу изузетака. Међутим, листе изузетака се не примењују док не укључите изолацију станара.
Из падајуће листе Дозвољени правац изаберите правац уноса листе дозвољених.
Унесите вредност дозвољеног станара као домен или ИД клијента у поље ИД станара. Када се сачува, унос се додаје на листу дозвољених заједно са другим дозвољеним станарима. Ако користите домен станара да бисте додали унос листе дозвољених, центар за администраторе Power Platform аутоматски израчунава ИД станара.
Можете користити "*" као посебан знак који означава да су сви станари дозвољени у одређеном правцу када је укључена изолација станара.
Изаберите ставку Сачувај.
Белешка
Морате имати улогу администратора Power Platform да бисте видели и поставили политику изолације станара.
Белешка
Да бисте осигурали да изолација станара не блокира позиве када се користи, укључите изолацију станара, додајте ново правило станара, поставите ИД станара као "*" и поставите дозвољени правац за долазни и одлазни.
Можете извршити све операције листе дозвољених као што су додавање, уређивање и брисање док је изолација станара укључена или искључена. Дозвољени уноси листе имају утицај на понашање везе када је изолација станара искључена , јер су дозвољене све везе са унакрсним станарима.
Утицај времена израде на апликације и токове
Корисници који креирају или уређују ресурс, на које утиче политика изолације станара, виде повезану поруку о грешци. На пример, Power Apps произвођачи виде следећу грешку када користе везе са унакрсним станарима у апликацији која је блокирана политикама изолације станара. Апликација не додаје везу.
Слично томе, Power Automate произвођачи виде следећу грешку када покушају да сачувају ток који користи везе у току који је блокиран политиком изолације станара. Сам ток је сачуван, али је означен као "Суспендован" и не извршава се осим ако произвођач не реши кршење политике спречавања губитка података (ДЛП).
Утицај извршавања на апликације и токове
Као администратор, у било ком тренутку можете одлучити да измените смернице за изолацију закупца за свог закупца. Ако су апликације и токови креирани и извршени у складу са старијим смерницама за изолацију закупца, на неке од њих могу негативно утицати све промене смерница које унесете. Апликације или токови који крше политику изолације станара не раде успешно. На пример, покретање историје у услузи Power Automate указује на то да покретање тока није успело. Даље, одабир неуспелог покретања приказује детаље грешке.
За постојеће токове који се не извршавају успешно због најновијих смерница за изолацију закупца, покретање историје у оквиру услуге Power Automate указује на то да ток није успео.
Одабир неуспелог покретања приказује детаље о неуспелом покретању протока.
Белешка
Потребно је око сат времена да се најновије измене смерница за изолацију закупца спроведу у односу на активне апликације и токове. Ова промена се не примењује тренутно.
Познати проблеми
Azure DevOps конектор користи Microsoft Entra аутентификацију као провајдера идентитета, али користи сопствени OAuth ток и СТС за овлашћење и издавање токена. Пошто је токен враћен из АДО тока на основу конфигурације тог конектора није из Microsoft Entra ИД-а, политика изолације станара се не примењује. Као ублажавање, препоручујемо да користите друге врсте политика података како бисте ограничили употребу конектора или његових акција.