Περιορισμοί για εισερχόμενους και εξερχόμενους διασταυρωμένους μισθωτές

  • Άρθρο

Το Microsoft Power Platform έχει ένα εμπλουτισμένο οικοσυστημα συνδέσεων που βασίζονται στο Microsoft Entra που επιτρέπουν σε εξουσιοδοτημένους χρήστες του Microsoft Entra να δημιουργήσουν συναρπαστικές εφαρμογές και ροές δημιουργίας συνδέσεων στα επιχειρηματικά δεδομένα που είναι διαθέσιμα μέσω αυτών των χώρων αποθήκευσης δεδομένων. Η απομόνωση μισθωτή διευκολύνει τους διαχειριστές να εξασφαλίσουν ότι αυτές οι συνδέσεις μπορούν να χρησιμοποιηθούν με ασφαλή τρόπο εντός του μισθωτή ελαχιστοποιώντας τον κίνδυνο εξαγωγής δεδομένων εκτός του μισθωτή. Η απομόνωση μισθωτή επιτρέπει στους Καθολικούς διαχειριστές και τους διαχειριστές του Power Platform να διαχειρίζονται αποτελεσματικά την κυκλοφορία των δεδομένων μισθωτή από εξουσιοδοτημένες Microsoft Entra προελεύσεις δεδομένων προς και από τον μισθωτή τους.

Σημειώστε ότι η Power Platform απομόνωση μισθωτή είναι διαφορετική από τον περιορισμό Microsoft Entra ID μισθωτή για όλα τα δεδομένα. Δεν επηρεάζει την πρόσβαση που βασίζεται στο Microsoft Entra ID εκτός του Power Platform. Η απομόνωση μισθωτή του Power Platform λειτουργεί μόνο για τις συνδέσεις που χρησιμοποιούν έλεγχο ταυτότητας βάσει Microsoft Entra ID, όπως το Office 365 Outlook ή το SharePoint.

Προειδοποίηση

Υπάρχει ένα γνωστό ζήτημα με τη σύνδεση Azure DevOps που έχει ως αποτέλεσμα την μη εφαρμογή της πολιτικής απομόνωσης μισθωτή για τις συνδέσεις που εφαρμόζονται με χρήση αυτής της σύνδεσης. Εάν υπάρχει ανησυχία για εφαλτήριο επίθεσης εκ των έσω, συνιστάται ο περιορισμός της χρήσης του συνδέσμου ή των ενεργειών του με τη χρήση πολιτικών δεδομένων.

Η προεπιλεγμένη ρύθμιση παραμέτρων στο Power Platform με απομόνωση μισθωτή Ανενεργή είναι να επιτρέπονται οι συνδέσεις μεταξύ μισθωτή για απρόσκοπτη δημιουργία, εάν ο χρήστης από τον μισθωτή Α που δημιουργεί τη σύνδεση με τον μισθωτή Β παρουσιάζει τα κατάλληλα διαπιστευτήρια Microsoft Entra. Εάν οι διαχειριστές θέλουν να επιτρέπουν μόνο σε ένα επιλεγμένο σύνολο μισθωτών τη δημιουργία συνδέσεων προς ή από τον μισθωτή τους, μπορούν να επιλέξουν Ενεργοποίηση της απομόνωσης μισθωτή.

Με την απομόνωση μισθωτή στο Ενεργή, όλοι οι μισθωτές είναι περιορισμένοι. Οι εισερχόμενες (συνδέσεις στον μισθωτή από εξωτερικούς μισθωτές) και οι εξερχόμενες (συνδέσεις από τον μισθωτή σε εξωτερικούς μισθωτές) συνδέσεις μεταξύ μισθωτών μπλοκάρονται από το Power Platform ακόμα και αν ο χρήστης παρουσιάσει έγκυρα διαπιστευτήρια στην προέλευση δεδομένων με ασφάλεια Microsoft Entra. Μπορείτε να χρησιμοποιήσετε κανόνες για να προσθέσετε εξαιρέσεις.

Οι διαχειριστές μπορούν να καθορίσουν μια ρητή λίστα επιτρεπόμενων μισθωτών, την οποία θέλουν να ενεργοποιήσουν για τα εισερχόμενα, τα εξερχόμενα ή και τα δύο, γεγονός που θα παρακάμψει τα στοιχεία ελέγχου απομόνωσης μισθωτή όταν ρυθμιστεί. Οι διαχειριστές μπορούν να χρησιμοποιήσουν ένα ειδικό μοτίβο "*" για να επιτρέπουν σε όλους τους μισθωτές προς μια συγκεκριμένη κατεύθυνση, όταν είναι ενεργοποιημένη η απομόνωση μισθωτή. Όλες οι άλλες συνδέσεις μεταξύ μισθωτών, εκτός από εκείνες που βρίσκονται στη λίστα επιτρεπόμενων, απορρίπτονται από το Power Platform.

Η απομόνωση μισθωτή μπορεί να ρυθμιστεί στο κέντρο διαχείρισης του Power Platform. Επηρεάζει τις εφαρμογές καμβά Power Platform και τις ροές Power Automate. Για να ρυθμίσετε την απομόνωση μισθωτή, θα πρέπει να είστε διαχειριστής μισθωτή.

Η δυνατότητα απομόνωσης μισθωτών του Power Platform είναι διαθέσιμη με δύο επιλογές: μονόδρομος ή αμφίδρομος περιορισμός.

Κατανόηση των σεναρίων απομόνωσης μισθωτή και του αντίκτυπου

Πριν αρχίσετε να ρυθμίζετε τις παραμέτρους των περιορισμών απομόνωσης μισθωτή, διαβάστε την παρακάτω λίστα για να κατανοήσετε τα σενάρια και τις συνέπειες της απομόνωσης του μισθωτή.

  • Ο διαχειριστής θέλει να ενεργοποιήσετε την απομόνωση μισθωτή.
  • Ο διαχειριστής ανησυχεί ότι οι υπάρχουσες εφαρμογές και ροές με χρήση συνδέσεων μεταξύ μισθωτή θα σταματήσουν να λειτουργούν.
  • Ο διαχειριστής αποφασίζει να ενεργοποιήσει την απομόνωση μισθωτή και προσθέτει κανόνες εξαίρεσης για την κατάργηση της επίδρασης.
  • Ο διαχειριστής εκτελεί τις αναφορές απομόνωσης μεταξύ μισθωτή για να προσδιορίσει τους μισθωτές που πρέπει να εξαιρεθούν. Περισσότερες πληροφορίες: Εκπαιδευτικό βοήθημα: Δημιουργία αναφορών απομόνωσης μεταξύ μισθωτή (έκδοση προεπισκόπησης)

Αμφίδρομη απομόνωση μισθωτή (περιορισμός εισερχόμενης και εξερχόμενης σύνδεσης)

Η αμφίδρομη απομόνωση θα αποκλείσει τις προσπάθειες διαχείρισης σύνδεσης στον μισθωτή σας από άλλους μισθωτές. Επιπλέον, η αμφίδρομη απομόνωση μισθωτή θα εμποδίσει επίσης τις προσπάθειες εγκατάστασης σύνδεσης από τον μισθωτή σας σε άλλους μισθωτές.

Σε αυτό το σενάριο, ο διαχειριστής μισθωτή έχει ενεργοποιήσει την αμφίδρομη απομόνωση μισθωτή στον μισθωτή Contoso, ενώ ο εξωτερικός μισθωτής Fabrikam δεν έχει προστεθεί στη λίστα επιτρεπόμενων.

Οι χρήστες που είναι συνδεδεμένοι στο Power Platform στον μισθωτή Contoso δεν μπορούν να κάνουν συνδέσεις που βασίζονται στο Microsoft Entra ID σε εξερχόμενες προελεύσεις δεδομένων του μισθωτή Fabrikam παρά τα κατάλληλα διαπιστευτήρια Microsoft Entra για τη δημιουργία της σύνδεσης. Πρόκειται για απομόνωση μισθωτή εξερχομένων για τον μισθωτή Contoso.

Παρομοίως, οι χρήστες που είναι συνδεδεμένοι στο Power Platform στον μισθωτή Fabrikam δεν μπορούν να κάνουν εισερχόμενες συνδέσεις που βασίζονται στο Microsoft Entra ID σε προελεύσεις δεδομένων του μισθωτή Contoso παρά τα κατάλληλα διαπιστευτήρια Microsoft Entra για τη δημιουργία της σύνδεσης. Πρόκειται για απομόνωση μισθωτή εισερχομένων για τον μισθωτή Contoso.

Μισθωτής δημιουργού σύνδεσης Μισθωτής εισόδου σύνδεσης Η πρόσβαση επιτρέπεται;
Contoso Contoso Ναι
Contoso (απομόνωση μισθωτή Ενεργή) Fabrikam Όχι (εξερχόμενη)
Fabrikam Contoso (απομόνωση μισθωτή Ενεργή) Όχι (εισερχόμενη)
Fabrikam Fabrikam Όχι

Περιορισμός πρόσβασης εξερχόμενων και εισερχόμενων μεταξύ μισθωτών.

Σημείωμα

Μια προσπάθεια σύνδεσης που εκκινήθηκε από έναν χρήστη επισκέπτη από τον κεντρικό υπολογιστή με προορισμό προελεύσεις δεδομένων εντός του ίδιου μισθωτή κεντρικού υπολογιστή δεν αξιολογείται από τους κανόνες απομόνωσης μισθωτή.

Απομόνωση μισθωτή με λίστες επιτρεπόμενων

Η μονόδρομη απομόνωση μισθωτή ή η απομόνωση εισερχόμενων θα εμποδίσει τις προσπάθειες εγκατάστασης σύνδεσης στο μισθωτή σας από άλλους μισθωτές.

Σενάριο: Λίστα επιτρεπόμενων εξερχομένων – Η Fabrikam προστίθεται στη λίστα επιτρεπόμενων εξερχομένων του μισθωτή Contoso

Σε αυτό το σενάριο, ο διαχειριστής προσθέτει τον μισθωτή Fabrikam στη λίστα εξερχόμενων επιτρεπόμενων επιλογών ενώ η απομόνωση μισθωτή είναι Ενεργή.

Οι χρήστες που είναι συνδεδεμένοι στο Power Platform στον μισθωτή Contoso δεν μπορούν να κάνουν συνδέσεις που βασίζονται στο Microsoft Entra ID σε εξερχόμενες προελεύσεις δεδομένων του μισθωτή Fabrikam παρά τα κατάλληλα διαπιστευτήρια Microsoft Entra για τη δημιουργία της σύνδεσης. Η ρύθμιση παραμέτρων της εξερχόμενης σύνδεσης στον μισθωτή Fabrikam επιτρέπεται μέσω της ρυθμισμένης καταχώρησης λίστας επιτρεπόμενων.

Ωστόσο, οι χρήστες που είναι συνδεδεμένοι στο Power Platform στον μισθωτή Fabrikam δεν μπορούν να κάνουν εισερχόμενες συνδέσεις που βασίζονται στο Microsoft Entra ID σε προελεύσεις δεδομένων του μισθωτή Contoso παρά τα κατάλληλα διαπιστευτήρια Microsoft Entra για τη δημιουργία της σύνδεσης. Η ρύθμιση παραμέτρων της εισερχόμενης σύνδεσης από τον μισθωτή Fabrikam εξακολουθεί να μην χρησιμοποιείται ακόμα, καθώς η καταχώρηση λίστας επιτρεπόμενων έχει ρυθμιστεί και επιτρέπει τις εξερχόμενες συνδέσεις.

Μισθωτής δημιουργού σύνδεσης Μισθωτής εισόδου σύνδεσης Η πρόσβαση επιτρέπεται;
Contoso Contoso Ναι
Contoso (απομόνωση μισθωτή Ενεργή)
Η Fabrikam προστέθηκε στη λίστα επιτρεπόμενων εξερχομένων		 Fabrikam Ναι
Fabrikam Contoso (απομόνωση μισθωτή Ενεργή)
Η Fabrikam προστέθηκε στη λίστα επιτρεπόμενων εξερχομένων		 Όχι (εισερχόμενη)
Fabrikam Fabrikam Ναι

Περιορισμός εισερχόμενης σύνδεσης.

Σενάριο: Λίστα επιτρεπόμενων αμφίδρομων – Η Fabrikam προστίθεται στη λίστα επιτρεπόμενων εισερχόμενων και εξερχομένων του μισθωτή Contoso

Σε αυτό το σενάριο, ο διαχειριστής προσθέτει τον μισθωτή Fabrikam στις λίστες επιτρεπόμενων εισερχόμενων και εξερχόμενων ενώ η απομόνωση μισθωτή είναι Ενεργή.

Μισθωτής δημιουργού σύνδεσης Μισθωτής εισόδου σύνδεσης Η πρόσβαση επιτρέπεται;
Contoso Contoso Ναι
Contoso (απομόνωση μισθωτή Ενεργή)
Η Fabrikam προστέθηκε και στις δύο λίστες επιτρεπόμενων		 Fabrikam Ναι
Fabrikam Contoso (απομόνωση μισθωτή Ενεργή)
Η Fabrikam προστέθηκε και στις δύο λίστες επιτρεπόμενων		 Ναι
Fabrikam Fabrikam Ναι

Αμφίδρομες λίστες επιτρεπόμενων.

Ενεργοποίηση απομόνωσης μισθωτή και ρύθμιση παραμέτρων λίστας επιτρεπόμενων

Στο κέντρο διαχείρισης του Power Platform, η απομόνωση μισθωτή ορίζεται με Πολιτικές>Απομόνωση μισθωτή.

Σημείωμα

Πρέπει να έχετε ρόλο καθολικού διαχειριστή ή ρόλο διαχειριστή του Power Platform για να δείτε και να ορίσετε την πολιτική απομόνωσης μισθωτή.

Ενεργοποίηση απομόνωσης μισθωτή.

Η λίστα επιτρεπόμενων απομόνωσης μισθωτή μπορεί να ρυθμιστεί με χρήση του Νέου κανόνα μισθωτή στη σελίδα Απομόνωση μισθωτή. Εάν η απομόνωση μισθωτή είναι Απενεργοποιημένη, μπορείτε να προσθέσετε ή να επεξεργαστείτε τους κανόνες στη λίστα. Ωστόσο, αυτοί οι κανόνες δεν θα εφαρμοστούν μέχρι να Ενεργοποιήσετε την απομόνωση μισθωτή.

Νέος κανόνας μισθωτή για προσθήκη κανόνα στην λίστα επιτρεπόμενων.

Από την αναπτυσσόμενη λίστα Κατεύθυνση νέου κανόνα μισθωτή, επιλέξτε την κατεύθυνση της καταχώρησης λίστας επιτρεπόμενων.

Επιλέξτε την κατεύθυνση για τον νέο κανόνα μισθωτή.

Μπορείτε επίσης να καταχωρήσετε την τιμή του επιτρεπόμενου μισθωτή ως τομέα μισθωτή ή αναγνωριστικό μισθωτή. Μόλις αποθηκευτεί, η καταχώρηση προστίθεται στη λίστα κανόνων μαζί με άλλους επιτρεπόμενους μισθωτές. Εάν χρησιμοποιείτε τον τομέα μισθωτή για να προσθέσετε την καταχώρηση λίστας επιτρεπόμενων, το κέντρο διαχείρισης του Power Platform υπολογίζει αυτόματα το αναγνωριστικό μισθωτή.

Επιλέξτε τον τομέα μισθωτή ή το αναγνωριστικό μισθωτή για τον νέο κανόνα μισθωτή.

Μόλις εμφανιστεί η καταχώρηση στη λίστα, εμφανίζονται τα πεδία Αναγνωριστικό μισθωτή και Όνομα μισθωτή Microsoft Entra. Σημειώστε ότι στο Microsoft Entra ID, το όνομα μισθωτή είναι διαφορετικό από τον τομέα μισθωτή. Το όνομα μισθωτή είναι μοναδικό για τον μισθωτή, αλλά ένας μισθωτής μπορεί να έχει περισσότερα από ένα ονόματα τομέα.

Ο νέος κανόνας μισθωτή εμφανίζεται στη λίστα επιτρεπόμενων.

Μπορείτε να χρησιμοποιήσετε το "*" ως ειδικό χαρακτήρα για να επισημάνετε ότι όλοι οι μισθωτές επιτρέπονται στην καθορισμένη κατεύθυνση, όταν η απομόνωση μισθωτή είναι Ενεργή.

Όλοι οι μισθωτές επιτρέπονται στην καθορισμένη κατεύθυνση όταν είναι ενεργοποιημένη η απομόνωση μισθωτή.

Μπορείτε να επεξεργαστείτε την κατεύθυνση της καταχώρησης λίστας επιτρεπόμενων μισθωτή βάσει των επιχειρηματικών απαιτήσεων. Λάβετε υπόψη ότι το πεδίο Τομέας ή αναγνωριστικό μισθωτή δεν μπορεί να τεθεί υπό επεξεργασία στη σελίδα Επεξεργασία κανόνα μισθωτή.

Επεξεργασία κανόνα μισθωτή.

Μπορείτε να εκτελέσετε όλες τις λειτουργίες λίστας επιτρεπόμενων, όπως προσθήκη, επεξεργασία και διαγραφή, ενώ η απομόνωση μισθωτή είναι Ενεργή ή Απενεργοποιημένη. Οι καταχωρήσεις λίστας επιτρεπόμενων έχουν κάποιο αποτέλεσμα στη συμπεριφορά σύνδεσης όταν η απομόνωση μισθωτή είναι Απενεργοποιημένη, καθώς επιτρέπονται όλες οι συνδέσεις μεταξύ μισθωτή.

Αντίκτυπος χρόνου σχεδίασης στις εφαρμογές και τις ροές

Οι χρήστες που δημιουργούν ή επεξεργάζονται έναν πόρο που επηρεάζεται από την πολιτική απομόνωσης μισθωτή θα βλέπουν ένα σχετικό μήνυμα σφάλματος. Για παράδειγμα, οι δημιουργοί του Power Apps θα δουν το παρακάτω σφάλμα όταν χρησιμοποιούν συνδέσεις μεταξύ μισθωτών σε μια εφαρμογή που μπλοκάρεται από τις πολιτικές απομόνωσης μισθωτή. Η εφαρμογή δεν θα προσθέσει τη σύνδεση.

Σφάλμα: Η φόρτωση των δεδομένων δεν ήταν σωστή. Προσπαθήστε ξανά.

Ομοίως, οι δημιουργοί του Power Automate θα δουν το παρακάτω σφάλμα όταν προσπαθούν να αποθηκεύσουν μια ροή που χρησιμοποιεί συνδέσεις σε μια ροή που μπλοκάρεται από τις πολιτικές απομόνωσης μισθωτή. Η ίδια η ροή θα αποθηκευτεί, αλλά θα επισημανθεί ως "Σε αναστολή" και δεν θα εκτελεστεί, εκτός εάν ο δημιουργός επιλύσει την παραβίαση της πολιτικής αποτροπής απώλειας δεδομένων (DLP).

Σφάλμα: Δεν ήταν δυνατή η ανάκτηση τιμών. Η αίτηση δυναμικής κλήσης απέτυχε με σφάλμα - κείμενο σφάλματος.

Αντίκτυπος χρόνου εκτέλεσης στις εφαρμογές και τις ροές

Ως διαχειριστής, μπορείτε να αποφασίσετε να τροποποιήσετε τις πολιτικές απομόνωσης μισθωτή για τον μισθωτή σας ανά πάσα στιγμή. Εάν οι εφαρμογές και οι ροές δημιουργήθηκαν και εκτελέστηκαν σύμφωνα με προηγούμενες πολιτικές απομόνωσης μισθωτή, ορισμένες από αυτές ενδέχεται να επηρεαστούν αρνητικά από οποιεσδήποτε αλλαγές πολιτικής κάνετε. Οι εφαρμογές ή οι ροές που αποτελούν παραβίαση της πολιτικής απομόνωσης μισθωτή δεν θα εκτελούνται με επιτυχία. Για παράδειγμα, το ιστορικό εκτέλεσης εντός του Power Automate υποδεικνύει ότι η εκτέλεση ροής απέτυχε. Επιπλέον, η επιλογή της αποτυχημένης εκτέλεσης θα σας δείξει λεπτομέρειες του σφάλματος.

Για υπάρχουσες ροές που δεν εκτελούνται με επιτυχία λόγω της πιο πρόσφατης πολιτικής απομόνωσης μισθωτή εντός του Power Automate υποδεικνύει ότι η εκτέλεση ροής απέτυχε.

Λίστα ιστορικού εκτέλεσης ροής.

Η επιλογή της αποτυχημένης εκτέλεσης θα σας δείξει λεπτομέρειες της αποτυχημένης εκτέλεσης ροής.

Λεπτομέρειες αποτυχίας εκτέλεσης ροής.

Σημείωμα

Απαιτείται περίπου μία ώρα για να εφαρμοστούν οι τελευταίες αλλαγές στην πολιτική απομόνωσης μισθωτή έναντι των ενεργών εφαρμογών και ροών. Αυτή η αλλαγή δεν είναι στιγμιαία.

Γνωστά προβλήματα

Η σύνδεση Azure DevOps χρησιμοποιεί έλεγχο ταυτότητας του Microsoft Entra ως πάροχο ταυτότητας, αλλά χρησιμοποιεί τη δική του ροή OAuth και STS για τη σύνταξη και την επαλήθευση ενός διακριτικού. Εφόσον το διακριτικό που επιστράφηκε από τη ροή ADO με βάση τη διαμόρφωση αυτής της εφαρμογής σύνδεσης δεν προέρχεται από το Microsoft Entra ID, η πολιτική απομόνωσης μισθωτή δεν επιβάλλεται. Ως λύση, συνιστούμε τη χρήση άλλων τύπων πολιτικών δεδομένων για τον περιορισμό της χρήσης της σύνδεσης ή των ενεργειών της.