Rentnikevahelised sissetulevad ja väljaminevad piirangud
Microsoft Power Platform Sellel on rikkalik konnektorite Microsoft Entra ökosüsteem, mis võimaldab volitatud Microsoft Entra kasutajatel luua veenvaid rakendusi ja vooge, luues ühendusi nende andmesalvede kaudu saadaolevate äriandmetega. Rentniku isoleerimine muudab administraatorite jaoks lihtsaks selle, et neid konnektoreid saaks rentnikus ohutul ja turvalisel viisil säilitada, vähendades andmete rentnikust väljapoole väljafiltreerimise riski. Rentniku isoleerimine võimaldab Power Platform administraatoritel tõhusalt reguleerida rentnikuandmete Microsoft Entra liikumist volitatud andmeallikatest rentnikusse ja rentnikust.
Pange tähele, et Power Platform rentniku isoleerimine erineb ID-ülesest rentnikupiirangust Microsoft Entra . See ei mõjuta Microsoft Entra ID-põhist juurdepääsu väljaspool Power Platform. Power Platform rentniku isoleerimine töötab ainult konnektorite puhul, mis kasutavad Microsoft Entra ID-põhine autentimine näiteks Office 365 Outlook või SharePoint.
Hoiatus
Leidub teadaolev probleem Azure DevOpsi konnektoriga, mille tulemuseks on rentniku isoleerimise poliitika mitte jõustamine ühenduste jaoks, mis on loodud seda konnektorit kasutades. Kui siseringi ründevektor on murettekitav, on soovitatav piirata konnektori kasutamist või selle toiminguid andmepoliitikate abil.
Väljalülitatud Power Platform rentniku isoleerimine vaikekonfiguratsioon võimaldab rentnikevaheliste ühenduste sujuvat loomist, kui rentniku A kasutaja, kes loob ühenduse rentnikukontoga B, esitab asjakohase Microsoft Entra mandaadi. Kui administraatorid soovivad lubada ainult valitud rentnike rühmal luua ühendusi oma rentnikuga, saavad nad lülitada rentniku isoleerimise sisse.
Kui rentniku isoleerimine on sees, on kõik rentnikud piiratud. Sissetulevad (ühendused rentnikuga välistest rentnikest) ja väljaminevad (ühendused rentnikust väliste rentnikega) rentnikevahelised ühendused blokeeritakse Power Platform isegi siis, kui kasutaja esitab turvatud andmeallikas jaoks kehtiva mandaadi Microsoft Entra. Saate kasutada reegleid, et lisada erandeid.
Administraatorid saavad määrata konkreetse lubatud rentnike loendi, kelle nad soovivad lubada sissetulevate, väljaminevate või mõlema jaoks, mis konfigureerimisel möödub rentniku isoleerimise juhtelementidest. Administraatorid saavad kasutada erimustrit „*“, et lubada kõigil rentnikel olla kindlas suunas, kui rentniku isoleerimine on sisse lülitatud. Kõik muud rentnikuvahelised ühendused peale lubatute loendis olevad lükkab Power Platform tagasi.
Rentniku isoleerimise saab konfigureerida Power Platformi halduskeskuses. See mõjutab Power Platformi lõuendrakendusi ja Power Automate’i voogusid. Rentniku isoleerimise häälestamiseks peate olema rentniku administraator.
Power Platformi rentniku isoleerimise võimalus on saadaval kahesugusena: ühesuunaline või kahesuunaline piirang.
Rentniku isoleerimine stsenaariumide ja mõju mõistmine
Enne rentniku isoleerimine piirangute konfigureerimist vaadake läbi järgmine loend, et mõista rentniku isoleerimine stsenaariume ja mõju.
- Administraator soovib rentniku isoleerimine sisse lülitada.
- Administraator on mures, et olemasolevad rakendused ja vood, mis kasutavad rentnikuüleseid ühendusi, lakkavad töötamast.
- Administraator otsustab rentniku isoleerimine lubada ja lisada mõju kõrvaldamiseks erandireeglid.
- Administraator käitab rentnikevahelisi isolatsiooniaruandeid, et määrata rentnikud, kes tuleb vabastada. Lisateave: Õpetus: rist- rentniku isoleerimine aruannete loomine (eelversioon)
Kahesuunaline rentniku isolatsioon (sissetuleva ja väljamineva ühenduse piirang)
Kahesuunaline rentniku isoleerimine blokeerib ka teie rentnikuga ühenduse loomise katsed teistelt rentnikelt. Kahesuunaline rentniku isoleerimine blokeerib samuti teie rentniku ühenduse loomise katsed teiste rentnikega.
Selle stsenaariumis on rentniku administraator lubanud Contoso rentnikus kahesuunalise isoleerimise, samas kui Fabrikami rentnik on lisatud lubatute loendisse.
Contoso rentnikku sisse logitud Power Platform kasutajad ei saa luua väljaminevaid Microsoft Entra ID-põhiseid ühendusi Fabrikami rentniku andmeallikatega, hoolimata ühenduse loomiseks vastava Microsoft Entra mandaadi esitamisest. See on Contoso rentniku väljamineva rentniku isoleerimine.
Samamoodi ei saa Fabrikami rentnikusse sisse logitud Power Platform kasutajad luua sissetulevaid Microsoft Entra ID-põhiseid ühendusi Contoso rentniku andmeallikatega, hoolimata ühenduse loomiseks vajalike Microsoft Entra mandaatide esitamisest. See on Contoso rentniku sissetuleva rentniku isoleerimine.
Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
---|---|---|
Contoso | Contoso | Ja |
Contoso (rentniku isoleerimine sees) | Fabrikam | Ei (väljaminev) |
Fabrikam | Contoso (rentniku isoleerimine sees) | Ei (sissetulev) |
Fabrikam | Fabrikam | Ja |
Märkus.
Ühenduse loomise katset, mille külaliskasutaja on algatanud oma hostrentnikust ja mis sihib andmeallikaid samas hostirentnikus, ei hinnata rentniku isoleerimine reeglite alusel.
Rentniku isoleerimine koos lubatute loendiga
Ühesuunaline rentniku isoleerimine või sissetulev isoleerimine blokeerib teie rentniku ühenduse loomise katsed teiste rentnikega.
Stsenaarium: väljaminev lubatute loend – Fabrikam lisatakse Contoso rentniku väljaminevasse lubatute loendisse
Selles stsenaariumis lisab administraator Fabrikami rentniku väljaminevasse lubatute loendisse, samas kui rentniku isoleerimine on sees.
Kasutajad, kes Power Platform on Contoso rentnikku sisse loginud, saavad luua väljaminevaid Microsoft Entra ID-põhiseid ühendusi Fabrikami rentniku andmeallikatega, kui nad esitavad ühenduse loomiseks vastava Microsoft Entra identimisteabe. Fabrikami rentnikuga väljamineva ühenduse loomine on lubatud lubab konfigureeritud lubatute loendi võimalusega.
Fabrikami rentnikusse sisse logitud Power Platform kasutajad ei saa siiski luua sissetulevaid Microsoft Entra ID-põhiseid ühendusi Contoso rentniku andmeallikatega, hoolimata sellest, et nad esitavad ühenduse loomiseks asjakohase Microsoft Entra identimisteabe. Fabrikami rentniku kaudu sissetuleva ühenduse loomine on endiselt keelatud, isegi kui lubatute loendi kirje on konfigureeritud ja lubab väljaminevaid ühendusi.
Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
---|---|---|
Contoso | Contoso | Ja |
Contoso (rentniku isoleerimine sees) Fabrikam on lisatud väljaminevasse lubatute loendisse |
Fabrikam | Ja |
Fabrikam | Contoso (rentniku isoleerimine sees) Fabrikam on lisatud väljaminevasse lubatute loendisse |
Ei (sissetulev) |
Fabrikam | Fabrikam | Ja |
Stsenaarium: kahesuunaline lubatute loend – Fabrikam lisatakse Contoso rentniku sissetulevasse ja väljaminevasse lubatute loendisse
Selles stsenaariumis lisab administraator Fabrikami rentniku nii sissetulevasse kui ka väljaminevasse lubatute loendisse, samas kui rentniku isoleerimine on sees.
Ühenduse looja rentnik | Ühenduse sisselogimise rentnik | Lubada juurdepääs? |
---|---|---|
Contoso | Contoso | Ja |
Contoso (rentniku isoleerimine sees) Fabrikam on lisatud mõlemasse lubatute loendisse |
Fabrikam | Ja |
Fabrikam | Contoso (rentniku isoleerimine sees) Fabrikam on lisatud mõlemasse lubatute loendisse |
Ja |
Fabrikam | Fabrikam | Ja |
Rentniku isoleerimise lubamine ja lubatute loendi konfigureerimine
Power Platformi halduskeskuses on rentniku isoleerimine määratud suvandiga Poliitikad>Rentniku isoleerimine.
Märkus.
Rentniku isoleerimine poliitika vaatamiseks ja määramiseks peab teil olema Power Platform administraatoriroll.
Rentniku isoleerimise lubatute loendit saab konfigureerida suvandiga Uus rentniku reegel lehel Rentniku isoleerimine. Kui rentniku isoleerimine on Väljas, saate reegleid loendisse lisada või neid seal redigeerida. Samas neid reegleid ei jõustata enne, kui lülitate rentniku isoleerimise sisse.
Valige ripploendist Uue rentniku reegli suund lubatute loendi kirje suund.
Samuti saate sisestada lubatud rentniku väärtuse kas rentniku domeeni või rentniku ID-na. Kui kirje on salvestatud, lisatakse see koos muude lubatud rentnikega reeglite loendisse. Kui kasutate lubatute loendi kirje lisamiseks rentniku domeeni, arvutab Power Platformi halduskeskus rentniku ID automaatselt.
Kui kirje kuvatakse loendis, kuvatakse väljad Rentniku ID ja Microsoft Entra rentniku nimi . Pange tähele, et ID-s Microsoft Entra erineb rentniku nimi rentniku domeenist. Rentniku nimi on rentniku jaoks kordumatu, kuid rentnikul võib olla rohkem kui üks domeeninimi.
Saate kasutada erimärki „*“, et märkida kõik rentnikud, kellel on lubatud määratud suund, kui rentniku isoleerimine on sisse lülitatud.
Saate rentniku lubatute loendi kirje suunda muuta vastavalt ettevõtte nõuetele. Pange tähele, et välja Rentniku domeen või ID ei saa redigeerida lehel Rentniku reegli muutmine.
Saate kõiki lubatute loendi toiminguid (nagu lisamine, muutmine ja kustutamine), kui rentniku isoleerimine on lülitatud sisse või välja. Lubatute loendi kirjed ei mõjuta ühenduse käitumist, kui rentniku isoleerimine on lülitatud välja, kuna kõik rentnikuülesed ühendused on lubatud.
Kujundamisaegne mõju rakendustele ja voogudele
Kasutajatele, kes loovad või redigeerivad rentniku isoleerimise poliitikast mõjutatud ressurssi, näevad seotud tõrketeadet. Näiteks Power Appsi loojatele kuvatakse järgmine tõrge, kui nad kasutavad rakenduses rentniku üleseid ühendusi, mis on rentniku isoleerimise poliitikatega blokeeritud. Rakendus ei lisa ühendust.
Sarnaselt kuvatakse Power Automate’i loojatele järgmine tõrge, kui nad püüavad salvestada voogu, mis kasutab ühendusi voos, mis on rentniku isoleerimise poliitikatega blokeeritud. Voog ise salvestatakse, kuid selle olekuks märgitakse „Peatatud“ ja seda ei käivitata enne, kui koostaja lahendab andmekao ennetamise poliitika (DLP) rikkumise.
Käitusaja mõju rakendustele ja voogudele
Administraatorina saate igal hetkel otsustada muuta oma rentniku rentniku isoleerimise poliitikaid. Kui rakendused ja vood loodi ja käivitati vastavuses varasema rentniku isoleerimise poliitikatega, võivad teie tehtud poliitikamuudatused osasid neist negatiivselt mõjutada. Rakendused või vood, mis on rentniku isoleerimise poliitikat rikkunud, ei tööta edukalt. Näiteks näitab Power Automate’i käitusajalugu, et voo käitamine nurjus. Lisaks kuvatakse nurjunud käituse valimine tõrke üksikasju.
Olemasolevate voogude puhul, mis ei tööta uusima rentniku isoleerimise poliitika tõttu edukalt, näitab Power Automate’i käitusajalugu, et voo käivitus nurjus.
Nurjunud käivitamise valimine näitab nurjunud voo käivituse üksikasju.
Märkus.
Selleks kulub umbes tund, kuni uusima rentniku isoleerimise poliitika muudatusi saab hinnata uuesti aktiivsete rakenduste ja voogude suhtes. See muudatus ei toimu kohe.
Teadaolevad probleemid
Azure DevOps konnektor kasutab Microsoft Entra identiteedipakkujana autentimist, kuid kasutab tokeni autoriseerimiseks ja väljastamiseks oma OAuth voogu ja STS-i. Kuna selle konnektori konfiguratsioonil põhinev ADO-voost tagastatud luba ei pärine ID-lt Microsoft Entra , siis rentniku isoleerimine poliitikat ei jõustata. Leevenduseks soovitame konnektori või selle toimingute kasutamise piiramiseks kasutada muud tüüpi andmepoliitikaid .