מגבלות נכנסות ויוצאות בין דייר

ל- Microsoft Power Platform יש אקוסיסטמה עשירה של מחברים המבוססת על Microsoft Entra המאפשרים למשתמשים מורשים של Microsoft Entra לבנות יישומים וזרימות יעילות ליצירת חיבורים לנתונים העסקיים הזמינים דרך מאגרי הנתונים הללו. בידוד הדייר מקל על מנהלי המערכת לוודא שניתן יהיה לרתום את המחברים הללו בצורה בטוחה ומאובטחת בתוך הדייר תוך מזעור הסיכון של חילוץ נתונים מחוץ לדייר. בידוד דייר מאפשר למנהלי מערכת של Power Platform לשלוט ביעילות על תנועת נתוני הדייר ממקורות נתונים מורשים של Microsoft Entra לדייר וממנו.

בידוד דייר ב- Power Platform שונה מהגבלת דייר כוללת ב- Microsoft Entra ID. אין פגיעה בגישה מבוססת Microsoft Entra ID מחוץ ל- Power Platform. בידוד דייר של Power Platform פועל רק עבור מחברים באמצעות אימות מבוסס Microsoft Entra ID כגון Office 365 Outlook או SharePoint.

אזהרה

יש בעיה ידועה במחבר Azure DevOps שגורמת לכך שמדיניות בידוד הדיירים אינה נאכפת עבור חיבורים שנוצרו באמצעות מחבר זה. אם וקטור התקפה פנימי מהווה בעיה, אנחנו ממליצים להגביל את השימוש במחבר או בפעולות שלו באמצעות מדיניות נתונים.

תצורת ברירת המחדל ב- Power Platform עם בידוד דייר כבוי היא לאפשר יצירת קשרים בין דייר בצורה חלקה, אם המשתמש מדייר A שיוצר את החיבור לדייר B מציג אישורי Microsoft Entra מתאימים. אם מנהלי מערכת רוצים לאפשר רק לקבוצה נבחרת של דייר ליצור קשרים לדייר שלהם או ממנו, הם יכולים לשנות את בידוד הדייר למצב פועל.

כאשר בידוד הדיירים מופעל, כל הדיירים מוגבלים. חיבורים בין דיירים נחסמים על-ידי חיבורים נכנסים (חיבורים לדייר מדיירים חיצוניים) ויוצאים (חיבורים מהדייר לדיירים חיצוניים) של Power Platform, גם אם המשתמש מציג אישורים חוקיים למקור נתונים מאובטח של Microsoft Entra. אפשר להשתמש בכללים כדי להוסיף יוצאים מהכלל.

מנהלי מערכת יכולים לציין רשימת הרשאות מפורשת של דיירים שהם רוצים להרשות למצב נכנס, יוצא, או שניהם, שיעקפו את בקרות בידוד הדיירים כאשר הם מוגדרים. מנהלי המערכת יכולים להשתמש בדפוס מיוחד "*" כדי לאפשר את כל הדיירים בכיוון מסוים כאשר בידוד הדייר מופעל. כל שאר החיבורים בין דיירים מלבד אלו ברשימת ההיתרים נדחים על-ידי Power Platform.

ניתן להגדיר בידוד דייר במרכז הניהול של Power Platform. זה משפיע על יישומי בד ציור של Power Platform וזרימות Power Automate. כדי להגדיר בידוד דייר, עליך להיות מנהל דייר.

יכולת בידוד הדייר של Power Platform זמינה עם שתי אפשרויות: הגבלה חד-כיוונית או דו-כיוונית.

הבנה של התרחישים וההשפעה של בידוד דייר

לפני שתתחיל להגדיר את המגבלות של בידוד דייר, עיין ברשימה הבאה כדי להבין את התרחישים וההשפעה של בידוד דייר.

• מנהל המערכת רוצה להפעיל בידוד דייר.
• מנהל המערכת מודאג מכך שאפליקציות וזרימות קיימות המשתמשות בחיבורים חוצי דיירים מפסיקות לפעול.
• מנהל המערכת מחליט לאפשר בידוד דייר ולהוסיף כללי חריגים כדי לבטל את ההשפעה.
• מנהל המערכת מפעיל את דוחות בידוד דייר כדי לקבוע מיהם הדיירים שצריכים לקבל פטור. מידע נוסף: מדריך: צור דוחות בידוד דייר (Preview)

בידוד דייר דו-כיווני (הגבלת חיבור נכנס ויוצא)

בידוד דייר דו-כיווני חוסם את ניסיונות יצירת החיבור לדייר שלך מדיירים אחרים. בנוסף, בידוד דייר דו-כיווני חוסם גם את ניסיונות יצירת החיבור מהדייר שלך לדיירים אחרים.

בתרחיש זה, מנהל הדייר מאפשר בידוד דייר דו-כיווני בדייר של Contoso בעוד שהדייר החיצוני של Fabrikam לא נוסף לרשימת ההיתרים.

משתמשים שהתחברו ל- Power Platform בדייר של Contoso לא יכולים לקבוע חיבורים יוצאים המבוססים על Microsoft Entra ID למקורות נתונים בדייר Fabrikam למרות שהם מציגים אישורי Microsoft Entra מתאימים כדי ליצור את החיבור. זהו בידוד דייר יוצא עבור דייר Contoso.

באופן דומה, משתמשים שהתחברו ל- Power Platform בדייר של Fabrikam עדיין לא יכולים לקבוע חיבורים נכנסים המבוססים על Microsoft Entra ID למקורות נתונים בדייר Contoso למרות שהם מציגים אישורי Microsoft Entra מתאימים כדי ליצור את החיבור. זהו בידוד דייר נכנס עבור דייר Contoso.

דייר יוצר חיבור	דייר כניסה לחיבור	גישה מורשית?
Contoso	Contoso	כן
Contoso (בידוד דייר מופעל)	Fabrikam‎	לא (יוצא)
Fabrikam‎	Contoso (בידוד דייר מופעל)	לא (נכנס)
Fabrikam‎	Fabrikam‎	‏‏כן‬

הערה

ניסיון חיבור שיוזם משתמש אורח מהדייר המארח שלו שמתמקד במקורות נתונים בתוך אותו דייר מארח אינו מוערך על-ידי כללי בידוד הדייר.

בידוד דייר עם רשימות היתרים

בידוד דייר חד-כיווני או בידוד נכנס יחסמו את ניסיונות יצירת החיבור לדייר שלך מדיירים אחרים.

תרחיש: רשימת היתרים יוצאת - Fabrikam מתווספת לרשימת ההיתרים היוצאת של דייר Contoso

בתרחיש זה, המנהל מוסיף את הדייר Fabrikam לרשימת ההיתרים היוצאת בזמן שבידוד הדייר מופעל.

משתמשים שהתחברו ל- Power Platform בדייר של Contoso יכולים לקבוע חיבורים יוצאים המבוססים על Microsoft Entra ID למקורות נתונים בדייר Fabrikam אם הם מציגים אישורי Microsoft Entra מתאימים כדי ליצור את החיבור. יצירת חיבור יוצא לדייר Fabrikam מותרת הודות לכניסת רשימת ההיתרים שהוגדרה.

עם זאת, משתמשים שהתחברו ל- Power Platform בדייר של Fabrikam עדיין לא יכולים לקבוע חיבורים נכנסים המבוססים על Microsoft Entra ID למקורות נתונים בדייר Contoso למרות שהם מציגים אישורי Microsoft Entra מתאימים כדי ליצור את החיבור. יצירת חיבורים נכנסים מהדייר של Fabrikam עדיין אסורה גם כשהכניסה לרשימת ההיתרים מוגדרת ומאפשרת חיבורים יוצאים.

דייר יוצר חיבור	דייר כניסה לחיבור	גישה מורשית?
Contoso	Contoso	כן
Contoso (בידוד דייר מופעל) Fabrikam נוסף לרשימת ההיתרים ליציאה	Fabrikam‎	כן
Fabrikam‎	Contoso (בידוד דייר מופעל) Fabrikam נוסף לרשימת ההיתרים ליציאה	לא (נכנס)
Fabrikam‎	Fabrikam‎	כן

תרחיש: רשימת היתרים דו-כיווניים - Fabrikam מתווספת לרשימות ההיתרים הנכנסות של דייר Contoso

בתרחיש זה, המנהל מוסיף את הדייר Fabrikam לרשימות ההיתרים הנכנסות והיוצאות בזמן שבידוד הדייר מופעל.

דייר יוצר חיבור	דייר כניסה לחיבור	גישה מורשית?
Contoso	Contoso	כן
Contoso (בידוד דייר מופעל) Fabrikam נוסף לשתי רשימות ההיתרים	Fabrikam‎	כן
Fabrikam‎	Contoso (בידוד דייר מופעל) Fabrikam נוסף לשתי רשימות ההיתרים	‏‏כן‬
Fabrikam‎	Fabrikam‎	‏‏כן‬

אפשר בידוד דייר והגדר את רשימת ההיתרים

מרכז ניהול חדש

1. עבור אל מרכז הניהול של Power Platform.

2. בחלונית הניווט, בחר אבטחה.

3. בחלונית אבטחה, בחר זהות וגישה.

4. בדף ניהול זהות וגישה, בחר בידוד דייר.

5. כדי לאפשר בידוד דיירים, הפעל את האפשרות הגבל חיבורים בין דיירים.

6. כדי לאפשר תקשורת בין דיירים, בחר הוסף חריגים בחלונית בידוד דייר.

   אם בידוד הדייר כבוי, ניתן להוסיף או לערוך את רשימת החריגים. עם זאת, לא תהיה אכיפה של רשימת החריגים עד שתפעיל את בידוד הדייר.

7. מהרשימה הנפתחת כיוון מותר, בחר את הכיוון של רשימת ההיתרים.

8. הזן את הערך של הדייר המורשה בתור תחום הדייר או מזהה הדייר בשדה מזהה דייר. לאחר השמירה, הערך מתווסף לרשימת הערכים המותרים יחד עם דיירים מורשים אחרים. אם אתה משתמש בתחום הדייר כדי להוסיף את הערך ברשימת ההיתרים, מרכז הניהול של Power Platform מחשב אוטומטית את מזהה הדייר.

   באפשרותך להשתמש ב- "*" כסמל מיוחד המציין שכל הדיירים מאושרים בכיוון המיועד כאשר בידוד הדייר מופעל.

9. בחר שמור.

מרכז הניהול הקלאסי

1. עבור אל מרכז הניהול של Power Platform.

2. בחלונית הניווט, בחר מדיניות > בידוד דייר. הדף בידוד דייר מופיע.

3. כדי לאפשר בידוד דייר, שנה את המתג שיהיה במצב מופעל.

   אם בידוד הדייר כבוי, תוכל להוסיף או לערוך את הכללים ברשימה. עם זאת, לא תהיה אכיפה של הכללים עד שתשנה את בידוד הדייר לפעיל.

4. כדי לאפשר תקשורת בין דיירים, בחר כלל דייר חדש כדי לקבוע את תצורת רשימת היתרי בידוד הדייר.

5. בחלונית כללי דייר חדש, בחר את הרשימה הנפתחת כיוון. בחר את הכיוון של ערך רשימת ההיתרים.

6. הזן את הערך של הדייר המורשה בתור תחום הדייר או מזהה הדייר בשדה תחום או מזהה של דייר. לאחר השמירה, הערך מתווסף לרשימת הכללים יחד עם דיירים מורשים אחרים.

   אם אתה משתמש בתחום הדייר כדי להוסיף את הערך ברשימת ההיתרים, מרכז הניהול של Power Platform מחשב אוטומטית את מזהה הדייר.

   לאחר שהערך יופיע ברשימה, מזהה הדייר ושם הדייר ב- Microsoft Entra יוצגו. ב- Microsoft Entra, שם הדייר שונה מתחום הדייר. שם הדייר הוא ייחודי עבור הדייר, אך לדייר יכול להיות יותר משם תחום אחד.

   באפשרותך להשתמש ב- "*" כסמל מיוחד המציין שכל הדיירים מאושרים בכיוון המיועד כאשר בידוד הדייר מופעל.

7. באפשרותך לערוך את הכיוון של רישום רשימת ההיתרים של הדייר בהתאם לדרישות העסקיות. לא ניתן לערוך את השדה תחום או מזהה דייר בדף ערוך את כלל הדייר.

8. באפשרותך לבצע את כל פעולות רשימת ההיתרים כגון 'הוספה', 'עריכה' ו'מחיקה' בזמן שבידוד הדייר מופעל או כבוי. לערכים של רשימת ההיתרים יש השפעה על התנהגות החיבור כאשר בידוד הדייר כבוי מכיוון שכל החיבורים בין דיירים מותרים.

9. בחר שמור.

הערה

דרוש לך תפקיד מנהל מערכת ב- Power Platform כדי לראות ולהגדיר את מדיניות בידוד הדייר.

הערה

כדי להבטיח שבידוד הדייר לא יחסום שיחות בעת שימוש, הפעל את בידוד הדייר, הוסף כלל דייר חדש, הגדר את מזהה הדייר שיהיה "*" והגדר את הכיוון המותר לכניסה וליציאה.

באפשרותך לבצע את כל פעולות רשימת ההיתרים כגון 'הוספה', 'עריכה' ו'מחיקה' בזמן שבידוד הדייר מופעל או כבוי. לערכים של רשימת ההיתרים יש השפעה על התנהגות החיבור כאשר בידוד הדייר כבוי מכיוון שכל החיבורים בין דיירים מותרים.

השפעת זמן עיצוב על יישומים וזרימות

משתמשים שיוצרים או עורכים משאב המושפע ממדיניות בידוד הדייר יראו הודעת שגיאה קשורה. לדוגמה, יוצרים ב- Power Apps יראו את השגיאה הבאה כאשר הם ישתמשו בחיבורים בין דיירים ביישום שנחסם על-ידי מדיניות בידוד דייר. האפליקציה אינה מוסיפה את החיבור.

באופן דומה, יוצרים ב- Power Automate יראו את השגיאה הבאה כאשר הם ינסו לשמור זרימה שמשתמשת בחיבורים בזרימה שחסומה על-ידי מדיניות בידוד דייר. הזרימה עצמה נשמרת, אך היא תסומן כ"מושעית" ולא תתבצע אלא אם היוצר יפתור את ההפרה של מדיניות מניעת אובדן נתונים (DLP).

השפעת זמן ריצה על יישומים וזרימות

כמנהל מערכת, אתה יכול להחליט לשנות את מדיניות בידוד הדייר עבור הדייר שלך בכל שלב. אם היישומים והזרימות נוצרו והוצאו לפועל בהתאם למדיניות קודמת של בידוד דייר, חלקן עשויות להיות מושפעות לרעה מכל שינויי מדיניות שתבצע. יישומים או זרימות שמפרים את מדיניות בידוד הדייר לא יופעלו בהצלחה. לדוגמה, היסטוריית ההפעלה ב- Power Automate מציינת שהפעלת הזרימה נכשלה. יתרה מכך, בחירה בהפעלה שנכשלה תציג פרטים על השגיאה.

עבור זרימות קיימות שלא פועלות בהצלחה בגלל מדיניות בידוד הדייר העדכנית, היסטוריית ההפעלה בתוך Power Automate מציינת שהפעלת הזרימה נכשלה.

בחירת ההפעלה שנכשלה תציג פרטים על הפעלת הזרימה שנכשלה.

הערה

נדרשת כשעה כדי להעריך את השינויים האחרונים במדיניות בידוד הדייר מול יישומים וזרימות פעילים. שינוי זה אינו מיידי.

בעיות ידועות

מחבר Azure DevOps משתמש באימות Microsoft Entra כספק הזהויות, אך משתמש בזרימת OAuth וב- STS משלו לצורך אישור והנפקת אסימון. מאחר שהאסימון המוחזר מזרימת ADO בהתבסס על תצורת מחבר זה אינו מ'מזהה Microsoft Entra', מדיניות בידוד הדיירים אינה נאכפת. כאמצעי להפחתת הסיכון, מומלץ להשתמש בסוגים אחרים של מדיניות נתונים כדי להגביל את השימוש במחבר או בפעולותיו.