Rentnikevahelised sissetulevad ja väljaminevad piirangud
Microsoft Power Platform Sellel on rikkalik konnektorite Microsoft Entra ökosüsteem, mis võimaldab volitatud Microsoft Entra kasutajatel luua veenvaid rakendusi ja vooge, luues ühendusi nende andmesalvede kaudu saadaolevate äriandmetega. Rentniku isoleerimine muudab administraatorite jaoks lihtsaks selle, et neid konnektoreid saaks rentnikus ohutul ja turvalisel viisil säilitada, vähendades andmete rentnikust väljapoole väljafiltreerimise riski. Rentniku isoleerimine võimaldab üldadministraatoritel ja administraatoritel tõhusalt reguleerida rentnikuandmete Power Platform liikumist volitatud andmeallikatest rentnikusse ja Microsoft Entra rentnikust.
Pange tähele, et Power Platform rentniku isoleerimine erineb ID-ülesest rentnikupiirangust Microsoft Entra . See ei mõjuta Microsoft Entra ID-põhist juurdepääsu väljaspool Power Platform. Power Platform rentniku isoleerimine toimib ainult ID-põhist autentimist kasutavate Microsoft Entra konnektorite puhul, näiteks Office 365 Outlook või SharePoint.
Hoiatus
Leidub teadaolev probleemAzure DevOpsi konnektoriga, mille tulemuseks on rentniku isoleerimise poliitika mitte jõustamine ühenduste jaoks, mis on loodud seda konnektorit kasutades. Kui siseringi ründevektor on murettekitav, on soovitatav piirata konnektori kasutamist või selle toiminguid andmepoliitikate abil.
Vaikekonfiguratsioon sisse Power Platform koos rentniku eraldamisega Väljas võimaldab rentnikevaheliste ühenduste sujuvat loomist, kui rentniku A kasutaja, kes loob ühenduse rentniku B-ga, esitab asjakohased Microsoft Entra mandaadid. Kui administraatorid soovivad lubada ainult valitud rentnike rühmal luua ühendusi oma rentnikuga, saavad nad lülitada rentniku isoleerimise sisse.
Kui rentniku isoleerimine on sees, on kõik rentnikud piiratud. Sissetulevad (ühendused rentnikuga välistelt rentnikelt) ja väljaminevad (ühendused rentnikust väliste rentnikega) rentnikevahelised ühendused blokeeritakse Power Platform isegi siis, kui kasutaja esitab turvatud Microsoft Entra andmeallikas-le kehtiva mandaadi. Saate kasutada reegleid, et lisada erandeid.
Administraatorid saavad määrata konkreetse lubatud rentnike loendi, kelle nad soovivad lubada sissetulevate, väljaminevate või mõlema jaoks, mis konfigureerimisel möödub rentniku isoleerimise juhtelementidest. Administraatorid saavad kasutada erimustrit „*“, et lubada kõigil rentnikel olla kindlas suunas, kui rentniku isoleerimine on sisse lülitatud. Kõik muud rentnikuvahelised ühendused peale lubatute loendis olevad lükkab Power Platform tagasi.
Rentniku isoleerimise saab konfigureerida Power Platformi halduskeskuses. See mõjutab Power Platformi lõuendrakendusi ja Power Automate’i voogusid. Rentniku isoleerimise häälestamiseks peate olema rentniku administraator.
Power Platformi rentniku isoleerimise võimalus on saadaval kahesugusena: ühesuunaline või kahesuunaline piirang.
Rentniku isolatsioonistsenaariumide ja mõju mõistmine
Enne rentniku isolatsioonipiirangute konfigureerimist vaadake üle järgmine loend, et mõista rentniku isoleerimise stsenaariume ja mõju.
- Administraator soovib rentniku isoleerimise sisse lülitada.
- Administraator on mures, et olemasolevad rakendused ja vood, mis kasutavad rentnikuüleseid ühendusi, lakkavad töötamast.
- Administraator otsustab lubada rentniku isoleerimise ja lisada mõju kõrvaldamiseks erandireeglid.
- Administraator käitab rentnikevahelisi isolatsiooniaruandeid, et määrata rentnikud, kes tuleb vabastada. Lisateave: Õpetus: rentnikuüleste isolatsiooniaruannete loomine (eelvaade)
Kahesuunaline rentniku isolatsioon (sissetuleva ja väljamineva ühenduse piirang)
Kahesuunaline rentniku isoleerimine blokeerib ka teie rentnikuga ühenduse loomise katsed teistelt rentnikelt. Kahesuunaline rentniku isoleerimine blokeerib samuti teie rentniku ühenduse loomise katsed teiste rentnikega.
Selle stsenaariumis on rentniku administraator lubanud Contoso rentnikus kahesuunalise isoleerimise, samas kui Fabrikami rentnik on lisatud lubatute loendisse.
Contoso rentnikku sisse logitud Power Platform kasutajad ei saa luua väljaminevaid Microsoft Entra ID-põhiseid ühendusi Fabrikami rentniku andmeallikatega, hoolimata ühenduse loomiseks vastava Microsoft Entra mandaadi esitamisest. See on Contoso rentniku väljamineva rentniku isoleerimine.
Samamoodi ei saa Fabrikami rentnikusse sisse logitud Power Platform kasutajad luua sissetulevaid Microsoft Entra ID-põhiseid ühendusi Contoso rentniku andmeallikatega, hoolimata ühenduse loomiseks sobiva Microsoft Entra mandaadi esitamisest. See on Contoso rentniku sissetuleva rentniku isoleerimine.
| Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (rentniku isoleerimine sees) | Fabrikam | Ei (väljaminev) |
| Fabrikam | Contoso (rentniku isoleerimine sees) | Ei (sissetulev) |
| Fabrikam | Fabrikam | Ja |
Märkus.
Ühenduskatset, mille on algatanud külaliskasutaja oma hostrentnikust, sihtides andmeallikaid samas hostirentnikus, ei hinda rentniku isolatsioonireeglid.
Rentniku isoleerimine koos lubatute loendiga
Ühesuunaline rentniku isoleerimine või sissetulev isoleerimine blokeerib teie rentniku ühenduse loomise katsed teiste rentnikega.
Stsenaarium: väljaminev lubatute loend – Fabrikam lisatakse Contoso rentniku väljaminevasse lubatute loendisse
Selles stsenaariumis lisab administraator Fabrikami rentniku väljaminevasse lubatute loendisse, samas kui rentniku isoleerimine on sees.
Kasutajad, kes on Contoso rentnikku sisse logitud, saavad luua väljaminevaid Power Platform ID-põhiseid ühendusi Fabrikami rentniku andmeallikatega, Microsoft Entra kui nad esitavad ühenduse loomiseks vastava Microsoft Entra identimisteabe. Fabrikami rentnikuga väljamineva ühenduse loomine on lubatud lubab konfigureeritud lubatute loendi võimalusega.
Fabrikami rentnikku sisse logitud Power Platform kasutajad ei saa siiski luua sissetulevaid Microsoft Entra ID-põhiseid ühendusi Contoso rentniku andmeallikatega, hoolimata ühenduse loomiseks vajalike Microsoft Entra mandaatide esitamisest. Fabrikami rentniku kaudu sissetuleva ühenduse loomine on endiselt keelatud, isegi kui lubatute loendi kirje on konfigureeritud ja lubab väljaminevaid ühendusi.
| Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (rentniku isoleerimine sees) Fabrikam on lisatud väljaminevasse lubatute loendisse |
Fabrikam | Ja |
| Fabrikam | Contoso (rentniku isoleerimine sees) Fabrikam on lisatud väljaminevasse lubatute loendisse |
Ei (sissetulev) |
| Fabrikam | Fabrikam | Ja |
Stsenaarium: kahesuunaline lubatute loend – Fabrikam lisatakse Contoso rentniku sissetulevasse ja väljaminevasse lubatute loendisse
Selles stsenaariumis lisab administraator Fabrikami rentniku nii sissetulevasse kui ka väljaminevasse lubatute loendisse, samas kui rentniku isoleerimine on sees.
| Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (rentniku isoleerimine sees) Fabrikam on lisatud mõlemasse lubatute loendisse |
Fabrikam | Ja |
| Fabrikam | Contoso (rentniku isoleerimine sees) Fabrikam on lisatud mõlemasse lubatute loendisse |
Ja |
| Fabrikam | Fabrikam | Ja |
Rentniku isoleerimise lubamine ja lubatute loendi konfigureerimine
Power Platformi halduskeskuses on rentniku isoleerimine määratud suvandiga Poliitikad>Rentniku isoleerimine.
Märkus.
Rentniku isolatsioonipoliitika vaatamiseks ja määramiseks peab teil olema üldadministraatori või administraatori roll Power Platform .
Rentniku isoleerimise lubatute loendit saab konfigureerida suvandiga Uus rentniku reegel lehel Rentniku isoleerimine. Kui rentniku isoleerimine on Väljas, saate reegleid loendisse lisada või neid seal redigeerida. Samas neid reegleid ei jõustata enne, kui lülitate rentniku isoleerimise sisse.
Valige ripploendist Uue rentniku reegli suund lubatute loendi kirje suund.
Samuti saate sisestada lubatud rentniku väärtuse kas rentniku domeeni või rentniku ID-na. Kui kirje on salvestatud, lisatakse see koos muude lubatud rentnikega reeglite loendisse. Kui kasutate lubatute loendi kirje lisamiseks rentniku domeeni, arvutab Power Platformi halduskeskus rentniku ID automaatselt.
Kui kirje kuvatakse loendis, kuvatakse väljad Rentniku ID ja Microsoft Entra rentniku nimi . Pange tähele, et ID-s Microsoft Entra erineb rentniku nimi rentniku domeenist. Rentniku nimi on rentniku jaoks kordumatu, kuid rentnikul võib olla rohkem kui üks domeeninimi.
Saate kasutada erimärki „*“, et märkida kõik rentnikud, kellel on lubatud määratud suund, kui rentniku isoleerimine on sisse lülitatud.
Saate rentniku lubatute loendi kirje suunda muuta vastavalt ettevõtte nõuetele. Pange tähele, et välja Rentniku domeen või ID ei saa redigeerida lehel Rentniku reegli muutmine.
Saate kõiki lubatute loendi toiminguid (nagu lisamine, muutmine ja kustutamine), kui rentniku isoleerimine on lülitatud sisse või välja. Lubatute loendi kirjed ei mõjuta ühenduse käitumist, kui rentniku isoleerimine on lülitatud välja, kuna kõik rentnikuülesed ühendused on lubatud.
Kujundamisaegne mõju rakendustele ja voogudele
Kasutajatele, kes loovad või redigeerivad rentniku isoleerimise poliitikast mõjutatud ressurssi, näevad seotud tõrketeadet. Näiteks Power Appsi loojatele kuvatakse järgmine tõrge, kui nad kasutavad rakenduses rentniku üleseid ühendusi, mis on rentniku isoleerimise poliitikatega blokeeritud. Rakendus ei lisa ühendust.
Sarnaselt kuvatakse Power Automate’i loojatele järgmine tõrge, kui nad püüavad salvestada voogu, mis kasutab ühendusi voos, mis on rentniku isoleerimise poliitikatega blokeeritud. Voog ise salvestatakse, kuid selle olekuks märgitakse „Peatatud“ ja seda ei käivitata enne, kui koostaja lahendab andmekao ennetamise poliitika (DLP) rikkumise.
Käitusaja mõju rakendustele ja voogudele
Administraatorina saate igal hetkel otsustada muuta oma rentniku rentniku isoleerimise poliitikaid. Kui rakendused ja vood loodi ja käivitati vastavuses varasema rentniku isoleerimise poliitikatega, võivad teie tehtud poliitikamuudatused osasid neist negatiivselt mõjutada. Rakendused või vood, mis on rentniku isoleerimise poliitikat rikkunud, ei tööta edukalt. Näiteks näitab Power Automate’i käitusajalugu, et voo käitamine nurjus. Lisaks kuvatakse nurjunud käituse valimine tõrke üksikasju.
Olemasolevate voogude puhul, mis ei tööta uusima rentniku isoleerimise poliitika tõttu edukalt, näitab Power Automate’i käitusajalugu, et voo käivitus nurjus.
Nurjunud käivitamise valimine näitab nurjunud voo käivituse üksikasju.
Märkus.
Selleks kulub umbes tund, kuni uusima rentniku isoleerimise poliitika muudatusi saab hinnata uuesti aktiivsete rakenduste ja voogude suhtes. See muudatus ei toimu kohe.
Teadaolevad probleemid
Azure DevOps konnektor kasutab identiteedipakkujana autentimist, kuid kasutab Microsoft Entra tokeni autoriseerimiseks ja väljastamiseks oma OAuthi voogu ja STS-i. Kuna selle konnektori konfiguratsioonil põhinev ADO-voost tagastatud luba ei pärine ID-st Microsoft Entra , siis rentniku isolatsioonipoliitikat ei jõustata. Soovitame ajutise lahendusena kasutada teist tüüpi andmepoliitikaid, et piirata konnektori kasutust või selle toiminguid.