Поділитися через

Вхідні та вихідні обмеження, що діють між клієнтами

  • Стаття

Microsoft Power Platform Має багату екосистему конекторів, що дозволяють Microsoft Entra авторизованим Microsoft Entra користувачам створювати привабливі програми та потоки, встановлюючи з’єднання з бізнес-даними, доступними через ці сховища даних. Ізоляція клієнта спрощує для адміністраторів процес забезпечення безпечного та надійного доступу до з’єднувачів в межах клієнта, мінімізуючи ризик просочування даних поза межі клієнта. Ізоляція орендаря дає Power Platform змогу адміністраторам ефективно керувати переміщенням даних орендаря з Microsoft Entra авторизованих джерел даних до та від орендаря.

Power Platform Ізоляція орендаря відрізняється від Microsoft Entra обмеження орендаря для всього ID. Це не впливає на Microsoft Entra доступ Power Platform за межами ідентифікатора. Power Platform Ізоляція клієнта працює лише для конекторів, що використовують Microsoft Entra автентифікацію на основі ідентифікатора, таких як Office 365 Outlook або SharePoint.

Попередження

Існує відома проблема з Azure DevOps конектором , яка призводить до того, що політика ізоляції клієнта не застосовується для підключень, встановлених за допомогою цього з’єднувача. Якщо вектор інсайдерської атаки викликає занепокоєння, ми рекомендуємо обмежити використання конектора або його дії за допомогою політик даних.

Конфігурація за замовчуванням у Power Platform разі вимкнення ізоляції клієнта дозволяє безперешкодно встановлювати з’єднання між клієнтами, якщо користувач від клієнта А, який встановлює з’єднання, до клієнта Б надає відповідні Microsoft Entra облікові дані. Якщо адміністратори бажають дозволити лише обраному набору клієнтів встановлювати підключення до свого клієнта або він нього, вони можуть увімкнути ізоляцію клієнта.

Якщо ізоляцію клієнта ввімкнуто, всіх клієнтів обмежено. Вхідні (підключення до клієнта від зовнішніх клієнтів) і вихідні (підключення від клієнта до зовнішніх клієнтів) міжклієнтські підключення блокуються, Power Platform навіть якщо користувач надає дійсні облікові дані захищеному джерелу Microsoft Entra даних. Для додавання винятків можна використати правила.

Адміністратори можуть вказати чіткий список дозволених клієнтів, яким вони хочуть дозволити вхідний, вихідний або обидва, який обходить елементи керування ізоляцією клієнта під час налаштування. Адміністратори можуть використовувати спеціальний шаблон «*» , щоб дозволитивсіх клієнтів у певному напрямку, якщо ізоляцію клієнта ввімкнуто. Усі інші з’єднання між користувачами, крім тих, що зі списку дозволених, відхиляються Power Platform.

Ізоляцію клієнта можна настроювати в Центрі адміністрування Power Platform. Вона впливає на компоновані програми Power Platform та цикли Power Automate. Щоб настроїти ізоляцію клієнта, потрібно бути адміністратором клієнта.

Функціонал ізоляції клієнта Power Platform доступний в двох варіантах: одностороннє або двостороннє обмеження.

Розуміння сценаріїв ізоляції орендарів і їх впливу

Перш ніж почати налаштовувати обмеження ізоляції орендаря, перегляньте наведений нижче список, щоб зрозуміти сценарії та наслідки ізоляції орендаря.

  • Адміністратор хоче ввімкнути ізоляцію клієнта.
  • Адміністратор занепокоєний тим, що наявні додатки та потоки, які використовують з’єднання між клієнтами, перестають працювати.
  • Адміністратор вирішує ввімкнути ізоляцію клієнта та додати правила винятків, щоб усунути цей вплив.
  • Адміністратор створює звіти про ізоляцію між орендарями, щоб визначити орендарів, яких потрібно звільнити від сплати податків. Додаткова інформація: Навчальний посібник: Створення звітів про ізоляцію між клієнтами (попередній перегляд)

Двостороння ізоляція клієнта (обмеження вхідних та вихідних підключень)

Двостороння ізоляція орендаря блокує спроби встановлення з’єднання з вашим орендарем від інших орендарів. Крім того, двостороння ізоляція орендаря також блокує спроби встановлення з’єднання від вашого орендаря до інших орендарів.

У цьому сценарії адміністратор клієнта дозволяє двосторонню ізоляцію клієнта Contoso, тоді як зовнішнього клієнта Fabrikam не додано до списку дозволених.

Користувачі, які ввійшли в Power Platform клієнт Contoso, не можуть встановлювати Microsoft Entra вихідні з’єднання на основі ідентифікатора до джерел даних у клієнті Fabrikam, незважаючи на те, що вони надали відповідні Microsoft Entra облікові дані для встановлення з’єднання. Це вихідна ізоляція клієнта для клієнта Contoso.

Аналогічно, користувачі, які ввійшли в Power Platform клієнт Fabrikam, не можуть встановлювати Microsoft Entra підключення до джерел даних у клієнті Contoso на основі вхідного ідентифікатора, незважаючи на те, що вони надали відповідні Microsoft Entra облікові дані для встановлення з’єднання. Це вхідна ізоляція клієнта для клієнта Contoso.

Клієнт, що створює підключення Клієнт, до якого здійснюється вхід Доступ дозволено?
Contoso Contoso Так
Contoso (ізоляція клієнта Увімк.) Fabrikam Ні (вихідні)
Fabrikam Contoso (ізоляція клієнта Увімк.) Ні (вхідні)
Fabrikam Fabrikam Так

Обмежити вихідний і вхідний доступ між орендарями.

Нотатка

Спроба підключення, ініційована гостьовим користувачем від свого хост-клієнта, націлена на джерела даних у межах одного хост-клієнта, не оцінюється правилами ізоляції клієнта.

Ізоляція орендаря зі списками дозволів

Одностороння ізоляція або вхідна ізоляція блокує спроби встановлення з’єднання з вашим орендарем від інших орендарів.

Сценарій: список дозволів на вихідні зв’язки: Fabrikam додається до списку дозволів на вихідну мережу клієнта Contoso.

У цьому сценарії адміністратор додає клієнта Fabrikam до списку дозволів на вихідні виходи, коли ізоляцію клієнта ввімкнено .

Користувачі, які ввійшли в Power Platform клієнт Contoso, можуть встановлювати Microsoft Entra вихідні з’єднання на основі ідентифікатора до джерел даних у клієнті Fabrikam, якщо вони нададуть відповідні Microsoft Entra облікові дані для встановлення з’єднання. Встановлення вихідного приєднання до орендаря Fabrikam дозволяється на підставі налаштованого дозволеного входу.

Однак користувачі, які ввійшли в Power Platform клієнт Fabrikam, все одно не можуть встановити підключення на основі вхідного Microsoft Entra ідентифікатора до джерел даних у клієнті Contoso, незважаючи на те, що вони надали відповідні Microsoft Entra облікові дані для встановлення з’єднання. Встановлення вхідного з’єднання від клієнта Fabrikam все ще заборонено, навіть якщо вхід до списку дозволів налаштовано та дозволяє вихідні з’єднання.

Клієнт, що створює підключення Клієнт, до якого здійснюється вхід Доступ дозволено?
Contoso Contoso Так
Contoso (ізоляція клієнта Увімк.)
Fabrikam додано до списку дозволених вихідних повідомлень		 Fabrikam Так
Fabrikam Contoso (ізоляція клієнта Увімк.)
Fabrikam додано до списку дозволених вихідних повідомлень		 Ні (вхідні)
Fabrikam Fabrikam Так

Обмежити вхідне з’єднання.

Сценарій: Двонаправлений список дозволів – Fabrikam додається до списків вхідних і вихідних дозволів клієнта Contoso.

У цьому сценарії адміністратор додає клієнта Fabrikam до списків вхідних і вихідних дозволів, коли ізоляцію клієнта ввімкнено .

Клієнт, що створює підключення Клієнт, до якого здійснюється вхід Доступ дозволено?
Contoso Contoso Так
Contoso (ізоляція клієнта Увімк.)
Fabrikam додано до обох списків дозволених		 Fabrikam Так
Fabrikam Contoso (ізоляція клієнта Увімк.)
Fabrikam додано до обох списків дозволених		 Так
Fabrikam Fabrikam Так

Двонаправлені списки дозволів.

Дозвольте ізоляцію клієнта та налаштуйте список дозволених

  1. Перейдіть до Центру адміністрування Power Platform.

  2. В області переходів виберіть пункт Безпека.

  3. В області «Безпека » виберіть « Ідентифікація та доступ».

  4. На сторінці Керування ідентифікацією та доступом виберіть Ізоляція клієнта.

  5. Щоб дозволити ізоляцію клієнтів, увімкніть опцію Обмежити з’єднання між клієнтами.

  6. Щоб дозволити обмін даними між клієнтами, виберіть пункт Додати винятки в області Ізоляція клієнта.

    Якщо ізоляцію клієнта вимкнено , ви все одно можете додати або змінити список винятків. Однак списки винятків не застосовуватимуться, доки ви не ввімкнете ізоляцію орендаря.

  7. У розкривному списку Дозволений напрямок виберіть напрямок запису списку дозволених.

  8. Введіть значення дозволеного клієнта як домен клієнта або ідентифікатор клієнта в поле Ідентифікатор клієнта. Після збереження запис додається до списку дозволених разом з іншими дозволеними орендарями. Якщо ви використовуєте домен клієнта для додавання запису списку дозволених, Power Platform Центр адміністрування автоматично обчислює ідентифікатор клієнта.

    Ви можете використовувати «*» як спеціальний символ для позначення того, що всім орендарям дозволено рухатися у вказаному напрямку, коли ввімкнено ізоляцію орендаря.

  9. Виберіть Зберегти.

Нотатка

Ви повинні мати Power Platform роль адміністратора, щоб переглядати та встановлювати політику ізоляції клієнтів.

Нотатка

Щоб ізоляція клієнта не блокувала дзвінки під час використання, увімкніть функцію «Ізоляція клієнта», додайте нове правило клієнта, встановіть ідентифікатор клієнта як «*» і встановіть дозволений напрямок вхідного та вихідного зв’язку.

Ви можете виконувати всі операції зі списком дозволених, як-от додавати, редагувати та видаляти, коли ізоляцію клієнта ввімкнуто або вимкнено. Дозволені записи списку впливають на поведінку з’єднання, коли ізоляцію клієнта вимкнено Вимкнуто , оскільки дозволено всі з’єднання між клієнтами.

Вплив на розробку програм і циклів

Користувачі, які створюють або редагують ресурс, на який поширюється політика ізоляції клієнтів, бачать пов’язане повідомлення про помилку. Наприклад, виробники бачать наведену нижче помилку, Power Apps коли використовують з’єднання між клієнтами в додатку, який заблоковано політикою ізоляції клієнтів. Додаток не додає з’єднання.

Помилка: дані завантажилися неправильно. Будь ласка, спробуйте ще раз.

Подібним чином виробники бачать наступну помилку, коли намагаються зберегти потік, Power Automate який використовує з’єднання в потоці, заблокованій політикою ізоляції клієнтів. Сам потік зберігається, але він позначений як «Призупинено» і не виконується, якщо виробник не усуне порушення політики запобігання втраті даних (DLP).

Помилка: не вдалося отримати значення. Запит динамічного виклику не вдалося виконати з текстом помилки - помилки.

Вплив на виконання програм і потоків

Адміністратор може в будь-який момент змінити політики ізоляції клієнта для клієнта. Якщо програми та цикли було створено та виконано у відповідності до попередніх політик ізоляції клієнта, то зміни, внесені до політики можуть негативно вплинути на деякі з них. Додатки або потоки, які порушують політику ізоляції клієнта, не працюють успішно. Наприклад, журнал виконання в Power Automate указує на збій виконання циклу. Крім того, вибір невдалого запуску показує деталі помилки.

Для наявних циклів, які не виконуються належним чином через останню політику ізоляції клієнта, у журналі виконання в Power Automate буде зазначено збій виконання циклу.

Список історії виконання ланцюжка.

Вибір невдалого запуску показує деталі невдалого запуску потоку.

Деталі збою пробігу потоку.

Нотатка

Оцінювання останньої політики ізоляції клієнта щодо активних програм і циклів триває приблизно годину. Ці змінення не є миттєвими.

Відомі проблеми

Azure DevOps конектор використовує Microsoft Entra аутентифікацію як постачальник ідентифікації, але використовує власний OAuth потік та STS для авторизації та випуску токена. Оскільки токен, повернутий із потоку ADO на основі конфігурації цього з’єднувача, не з Microsoft Entra ID, політика ізоляції клієнта не застосовується. Як пом’якшення, ми рекомендуємо використовувати інші типи політик даних, щоб обмежити використання з’єднувача або його дій.