Ulazna i izlazna ograničenja među klijentima
Microsoft Power Platform Ima bogat ekosustav poveznika koji Microsoft Entra omogućuju Microsoft Entra ovlaštenim korisnicima izradu privlačnih aplikacija i tijekova uspostavljajući veze s poslovnim podacima dostupnima putem tih spremišta podataka. Izolacija klijenta olakšava administratorima da osiguraju da se ovi poveznici mogu koristiti na siguran i zaštićen način unutar klijenta, istovremeno smanjujući rizik od eksfiltracije podataka izvan klijenta. Izolacija klijenta administratorima omogućuje Power Platform učinkovito upravljanje premještanjem podataka o klijentima iz Microsoft Entra ovlaštenih izvora podataka u i od klijenta.
Imajte na umu da Power Platform se izolacija klijenta razlikuje od Microsoft Entra ograničenja klijenta na razini ID-a. To ne utječe na pristup temeljen na ID-u izvan Microsoft Entra Power Platform. Power Platform izolacija klijenta funkcionira samo za poveznike koji koriste Microsoft Entra Provjera autentičnosti na temelju ID-a, kao što je Office 365 Outlook ili SharePoint.
Upozorenje
Postoji poznati problem s Azure DevOps poveznikom koji rezultira time da se pravila izolacije klijenta ne provode za veze uspostavljene s pomoću ovog poveznika. Ako je vektor napada iznutra zabrinjavajući, preporučuje se ograničiti korištenje poveznika ili njegovih radnji pomoću pravila o podacima.
Zadana konfiguracija s Power Platform isključenom izolacijom klijenta je dopuštanje besprijekornog uspostavljanja veza između klijenata ako korisnik iz klijenta A koji uspostavlja vezu s klijentom B predoči odgovarajuće Microsoft Entra vjerodajnice. Ako administratori žele dopustiti samo odabranom skupu klijenata da uspostave veze do ili od svog klijenta, mogu Uključiti izolaciju klijenta.
S Uključenom izolacijom klijenta svi klijenti su ograničeni. Dolazne (veze s klijentom od vanjskih klijenata) i odlazne (veze od klijenta do vanjskih klijenata) veze između klijenata blokirane su Power Platform čak i ako korisnik predoči valjane vjerodajnice zaštićenom Microsoft Entra izvoru podataka. Možete koristiti pravila za dodavanje iznimaka.
Administratori mogu odrediti eksplicitnu listu dopuštenih klijenata za koje žele omogućiti ulazni, izlazni ili oboje, što će zaobići kontrole izolacije klijenta kada su konfigurirane. Administratori mogu koristiti poseban uzorak "*" kako bi dopustili svim klijentima u određenom smjeru kada je izolacija klijenta uključena. Power Platform odbija sve druge veze između klijenata osim onih na listi dopuštenih.
Izolacija klijenta može se konfigurirati u Power Platform admin centru. To utječe na aplikacije od gotovih gradivnih elemenata Power Platform i tokove usluge Power Automate. Da biste postavili izolaciju klijenta, morate biti administrator klijenta.
Mogućnost izolacije klijenta platforme Power Platform dostupna je s dvije opcije: jednosmjernim ili dvosmjernim ograničenjem.
Objašnjenje scenarija i utjecaja izolacija klijenta
Prije nego što počnete konfigurirati ograničenja izolacije klijenta, pregledajte sljedeći popis da biste razumjeli scenarije i utjecaj izolacije klijenta.
- Administrator želi uključiti izolacija klijenta.
- Administrator je zabrinut da će postojeće aplikacije i tijekovi koji koriste veze između klijenata prestati funkcionirati.
- Administrator odlučuje omogućiti izolacija klijenta i dodati pravila iznimaka kako bi uklonio utjecaj.
- Administrator pokreće izvješća o izolaciji između klijenata kako bi odredio klijente koje je potrebno izuzeti. Dodatne informacije: Vodič: Stvaranje izvješća o izolacija klijenta (pretpregled)
Dvosmjerna izolacija klijenta (ograničenje ulazne i izlazne veze)
Dvosmjerna izolacija klijenta blokirat će pokušaje uspostavljanja veze s vašim klijentom od ostalih klijenata. Osim toga, dvosmjerna izolacija klijenta također će blokirati pokušaje uspostavljanja veze vašeg klijenta s ostalim klijentima.
U ovom je scenariju administrator klijenta omogućio dvosmjernu izolaciju klijenta na klijentu Contoso, a vanjski klijent Fabrikam nije dodan na popis dopuštenih.
Korisnici prijavljeni u Power Platform klijentu Contoso ne mogu uspostaviti Microsoft Entra izlazne veze temeljene na ID-u s izvorima podataka u klijentu Fabrikam unatoč predstavljanju odgovarajućih Microsoft Entra vjerodajnica za uspostavljanje veze. Ovo je izlazna izolacija klijenta za klijenta Contoso.
Slično tome, korisnici prijavljeni u Power Platform klijentu Fabrikam ne mogu uspostaviti dolazne Microsoft Entra veze temeljene na ID-u s izvorima podataka u klijentu Contoso unatoč predstavljanju odgovarajućih Microsoft Entra vjerodajnica za uspostavljanje veze. Ovo je ulazna izolacija klijenta za klijenta Contoso.
| Klijent stvaratelja veze | Klijent prijave na vezu | Pristup dopušten? |
|---|---|---|
| Contoso | Contoso | Jest |
| Contoso (izolacija klijenta Uključena) | Fabrikam | Ne (izlazno) |
| Fabrikam | Contoso (izolacija klijenta Uključena) | Ne (ulazno) |
| Fabrikam | Fabrikam | Jest |
Napomena
Pokušaj povezivanja koji je pokrenuo gost korisnik sa svog klijenta glavnog računala koji cilja izvore podataka unutar istog klijenta glavnog računala ne procjenjuje se pravilima izolacija klijenta.
Izolacija klijenta s popisima dopuštenih
Jednosmjerna izolacija klijenta ili ulazna izolacija blokirat će pokušaje uspostavljanja veze s vašim klijentom od ostalih klijenata.
Scenarij: izlazni popis dopuštenih – Fabrikam se dodaje na izlazni popis dopuštenih klijenta Contoso
U ovom scenariju administrator dodaje klijenta Fabrikam na izlazni popis dopuštenih dok je izolacija klijenta Uključena.
Korisnici prijavljeni u Power Platform klijentu Contoso mogu uspostaviti Microsoft Entra izlazne veze temeljene na ID-u s izvorima podataka u klijentu Fabrikam ako predoče odgovarajuće Microsoft Entra vjerodajnice za uspostavljanje veze. Uspostavljanje izlazne veze s klijentom Fabrikam dopušteno je na temelju konfiguriranog unosa na listi dopuštenih.
Međutim, korisnici prijavljeni u Power Platform klijentu Fabrikam i dalje ne mogu uspostaviti dolazne Microsoft Entra veze temeljene na ID-u s izvorima podataka u klijentu Contoso unatoč predstavljanju odgovarajućih Microsoft Entra vjerodajnica za uspostavljanje veze. Uspostavljanje ulazne veze iz klijenta Fabrikam i dalje nije dopušteno čak i ako je unos na listi dopuštenih konfiguriran i dopušta izlazne veze.
| Klijent stvaratelja veze | Klijent prijave na vezu | Pristup dopušten? |
|---|---|---|
| Contoso | Contoso | Jest |
| Contoso (izolacija klijenta Uključena) Fabrikam dodan na izlazni popis dopuštenih |
Fabrikam | Jest |
| Fabrikam | Contoso (izolacija klijenta Uključena) Fabrikam dodan na izlazni popis dopuštenih |
Ne (ulazno) |
| Fabrikam | Fabrikam | Jest |
Scenarij: dvosmjerni popis dopuštenih – Fabrikam se dodaje na ulazni i izlazni popis dopuštenih klijenta Contoso
U ovom scenariju administrator dodaje klijenta Fabrikam na ulazni i izlazni popis dopuštenih dok je izolacija klijenta Uključena.
| Klijent stvaratelja veze | Klijent prijave na vezu | Pristup dopušten? |
|---|---|---|
| Contoso | Contoso | Jest |
| Contoso (izolacija klijenta Uključena) Fabrikam dodan na oba popisa dopuštenih |
Fabrikam | Jest |
| Fabrikam | Contoso (izolacija klijenta Uključena) Fabrikam dodan na oba popisa dopuštenih |
Jest |
| Fabrikam | Fabrikam | Jest |
Omogućivanje izolacije klijenta i konfiguriranje popisa dopuštenih
U Power Platform admin centru izolacija klijenta postavljena je s pomoću Pravila>Izolacija klijenta.
Napomena
Morate imati administratorsku Power Platform ulogu da biste vidjeli i postavili pravilnik o izolacija klijenta.
Popis dopuštenih izolacije klijenta može se konfigurirati korištenjem Novog pravila klijenta na stranici Izolacija klijenta . Ako je izolacija klijenta Isključena, možete dodati ili urediti pravila na popisu. Međutim, ova se pravila neće primijeniti sve dok ne Uključite izolaciju klijenta.
S padajućeg popisa Smjer novog pravila klijenta odaberite smjer unosa popisa dopuštenih.
Također možete unijeti vrijednost dopuštenog klijenta kao domenu klijenta ili ID klijenta. Nakon spremanja unos se dodaje na popis pravila zajedno s drugim dopuštenim klijentima. Ako koristite domenu klijenta za dodavanje unosa popisa dopuštenih, Power Platform admin centar automatski izračunava ID klijenta.
Nakon što se unos pojavi na popisu, prikazuju se polja ID klijenta i naziv Microsoft Entra klijenta . Imajte na umu da se u ID-u Microsoft Entra naziv klijenta razlikuje od domene klijenta. Naziv klijenta jedinstven je za klijenta, ali klijent može imati više od jednog naziva domene.
Možete koristiti "*" kao poseban znak da označite da su svi klijenti dopušteni u naznačenom smjeru kada je izolacija klijenta Uključena.
Možete urediti smjer unosa popisa dopuštenih klijenata na temelju poslovnih zahtjeva. Imajte na umu da se polje Domena ili ID klijenta ne može uređivati na stranici Uređivanje pravila klijenta .
Možete izvoditi sve operacije popisa dopuštenih kao što su dodavanje, uređivanje i brisanje dok je izolacija klijenta Uključena ili Isključena. Unosi popisa dopuštenih utječu na ponašanje veze kada je izolacija klijenta Isključena jer su dopuštene sve veze između klijenata.
Učinak vremena dizajna na aplikacije i tokove
Korisnicima koji stvaraju ili uređuju resurs na koji utječe pravilo izolacije klijenta prikazuje se povezana poruka o pogrešci. Na primjer, autorima na platformi Power Apps prikazuje se sljedeća pogreška kada upotrebljavaju veze između klijenata u aplikaciji koja je blokirana pravilima izolacije klijenta. Aplikacija neće dodati vezu.
Slično tome, autorima na platformi Power Automate prikazuje se sljedeća pogreška kada pokušaju spremiti tok koji upotrebljava veze u toku koji je blokiran pravilima izolacije klijenta. Tok će biti spremljen, ali će biti označen kao "Obustavljen" te se neće izvršiti ako autor ne riješi kršenje pravila o sprečavanju gubitka podataka (DLP).
Učinak vremena izvođenja na aplikacije i tijekove
Kao administrator u bilo kojem trenutku možete promijeniti pravila izolacije klijenta za svog klijenta. Ako su aplikacije i tokovi stvoreni i izvršeni u skladu s prethodnim pravilima izolacije klijenta, na neke od njih mogu negativno utjecati promjene pravila koje unesete. Aplikacije ili tokovi koji krše pravila izolacije klijenta neće se uspješno izvršavati. Na primjer, povijest pokretanja unutar Power Automate ukazuje na to da izvršavanje toka nije uspjelo. Nadalje, odabirom neuspjelog izvršavanja prikazat će se detalji pogreške.
Za postojeće tokove koji se ne izvršavaju uspješno zbog najnovijeg pravila izolacije klijenta povijest izvršavanja unutar Power Automate ukazuje na to da izvršavanje toka nije uspjelo.
Odabirom neuspjelog izvršavanja prikazat će se detalji neuspjelog izvršavanja toka.
Napomena
Potrebno je oko sat vremena da se najnovije promjene pravila izolacije klijenta ocijene u odnosu na aktivne aplikacije i tokove. Ova promjena ne nastupa odmah.
Poznati problemi
Azure DevOps Poveznik koristi Microsoft Entra provjeru autentičnosti kao davatelja identiteta, ali koristi vlastiti OAuth tijek i STS za autorizaciju i izdavanje tokena. Budući da token vraćen iz ADO tijeka na temelju konfiguracije tog poveznika nije iz Microsoft Entra ID-a, pravilnik o izolacija klijenta se ne provodi. Kao ublažavanje, preporučujemo korištenje drugih vrsta pravilnika o podacima da biste ograničili upotrebu poveznika ili njegovih akcija.