Vairāku nomnieku ienākošie un izejošie ierobežojumi
Microsoft Power Platform ir bagātīga savienotāju ekosistēma, kuras pamatā Microsoft Entra ir autorizēti lietotāji, kas ļauj autorizētiem Microsoft Entra lietotājiem veidot pārliecinošas programmas un plūsmas, izveidojot savienojumus ar biznesa datiem, kas pieejami, izmantojot šīs datu krātuves. Nomnieka izoléśana ļauj administratoriem ērti nodrošināt, ka savienotājus var izmantot drošā un aizsargātā veidā no nomnieka puses, vienlaikus samazinot datu noplūdes risku ārpus nomnieka. Nomnieku izolēšana ļauj Power Platform administratoriem efektīvi pārvaldīt nomnieka datu pārvietošanu no Microsoft Entra pilnvarotiem datu avotiem uz nomnieku un no tā.
Ņemiet vērā, ka Power Platform nomnieku izolēšana atšķiras no Microsoft Entra ID mēroga nomnieka ierobežojuma. Tas neietekmē Microsoft Entra uz ID balstītu piekļuvi ārpus tās Power Platform. Power Platform nomnieku izolēšana darbojas tikai savienotājiem, kas izmanto Microsoft Entra Uz ID balstīta autentifikācija, piemēram, Office 365 Outlook vai SharePoint.
Brīdinājums.
Ir zināma problēma ar savienotāju Azure DevOps ,, kā rezultātā īrnieka izoléśanas politika netiek piemērota savienojumiem, kas izveidoti, izmantojot šo savienotāju. Ja iekšējās informācijas uzbrukuma vektors rada bažas, ieteicams ierobežot savienotāja vai tā darbību izmantošanu, izmantojot datu politikas.
Noklusējuma konfigurācija ar Power Platform nomnieku izolēšana Off ir ļaut nemanāmi izveidot starpnomnieku savienojumus, ja lietotājs no nomnieka A, kas izveidojis savienojumu ar nomnieku B, uzrāda atbilstošus Microsoft Entra akreditācijas datus. Ja administratori vēlas atļaut tikai atlasītu nomnieku kopu, lai izveidotu savienojumus ar nomnieku vai no tā, viņi var pārvērst nomnieka izoléśanu uz reźímu Ieslégts.
Ar nomnieku izoléśanas rezímu Ieslégts visiem nomniekiem tiek ierobežotas tiesības. Ienākošie (ārējo nomnieku savienojumi ar nomnieku) un izejošie (savienojumi no nomnieka uz ārējiem nomniekiem) starpnomnieku savienojumi tiek bloķēti pat tad Power Platform , ja lietotājs secured datu avots uzrāda derīgus Microsoft Entra akreditācijas datus. Jús varat lietot noteikumus, lai pievienotu izńémumus.
Administratori var norādīt skaidru nomnieku sarakstu, kuriem vińi vēlas aktivizét ienākošos, izejošos vai abas opcijas, kas apiet nomnieka izoléśanas kontroli, kad konfigurētas. Administratori var izmantot īpašu modeli "* lai sniegtu atļauju "visiem nomniekiem noteiktā virzienā, kad ir ieslēgta nomnieka izolēšana. Visus pārējos starpnomnieku savienojumus, izņemot tos, kuri ir atļauto savienojumu sarakstā, noraida Power Platform.
Nomnieka izoléśanu var konfigurēt Power Platform administratora centrā. Tas ietekmē Power Platform audekla programmas un Power Automate plūsmas. Lai iestatītu nomnieku izoléśanu, jums ir jābūt nomnieka administratoram.
Power Platform nomnieka izolācijas iespēja ir pieejama divās opcijās: vienvirziena vai divvirzienu ierobežojums.
Izprotiet nomnieku izolēšana scenārijus un ietekmi
Pirms sākat konfigurēt nomnieku izolēšana ierobežojumus, pārskatiet šo sarakstu, lai izprastu nomnieku izolēšana scenārijus un ietekmi.
- Administrators vēlas ieslēgt nomnieku izolēšana.
- Administrators ir nobažījies, ka esošās programmas un plūsmas, kas izmanto starpnomnieku savienojumus, pārtrauks darboties.
- Administrators nolemj iespējot nomnieku izolēšana un pievienot izņēmumu kārtulas, lai novērstu ietekmi.
- Administrators palaiž nomnieku savstarpējās izolācijas atskaites, lai noteiktu nomniekus, kuri ir jāatbrīvo. Papildinformācija: Apmācība: krustenisko nomnieku izolēšana atskaišu izveide (priekšskatījums)
Divvirzienu nomnieka izolācija (ienākošā un izejošā savienojuma ierobežojums)
Turklāt divvirzienu nomnieka izoléśana bloķēs arī savienojuma izveides mēģinājumus pie jūsu nomnieka no citiem nomniekiem. Turklāt divvirzienu nomnieka izolācija bloķēs arī savienojuma izveides mēģinājumus no jūsu nomnieka ar citiem nomniekiem.
Šādā gadījumā nomnieka administrators ir aktivizéjis divvirzienu nomnieka izoléśanu uz Contoso nomnieku, kámér ārējais Fabrikam nomnieks nav bijis pievienots atļauto sarakstam.
Lietotāji, kas Power Platform ir pieteikušies Contoso nomniekā, nevar izveidot izejošos Microsoft Entra ID savienojumus ar datu avotiem Fabrikam nomniekā, lai gan viņi uzrāda atbilstošus Microsoft Entra akreditācijas datus savienojuma izveidei. Tá ir izejoša nomnieka izoléśana Contoso nomniekam.
Tāpat lietotāji, kas Power Platform ir pieteikušies Fabrikam nomniekā, nevar izveidot ienākošos Microsoft Entra ID savienojumus ar datu avotiem Contoso nomniekā, lai gan savienojuma izveidošanai tiek uzrādīti atbilstoši Microsoft Entra akreditācijas dati. Tá ir ienákośá nomnieka izoléśana Contoso nomniekam.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) | Fabrikam | Nē (izejošs) |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) | Nē (ienākošs) |
| Fabrikam | Fabrikam | Jā |
Piezīmes
Savienojuma mēģinājums, ko iniciējis vieslietotājs no sava resursdatora nomnieka, mērķējot uz datu avotiem tajā pašā resursdatora nomniekā, netiek novērtēts saskaņā ar nomnieku izolēšana kārtulām.
Nomnieka izoléśana ar atļauto sarakstiem
Vienvirziena nomnieka izolācija vai ienākoša izolācija bloķēs savienojuma izveides mēģinājumus jūsu nomniekam no citiem nomniekiem.
Scenārijs: Izejošo atļauju saraksts — Fabrikam tiek pievienots Contoso nomnieka izejošo atļauju sarakstā
Šādā gadījumā administrators pievieno Fabrikam nomnieku izejošo atļauju sarakstā, kamēr nomnieka izoléśana ir reźímá Ieslēgts.
Lietotāji, kas Power Platform ir pieteikušies Contoso nomniekā, var izveidot izejošos Microsoft Entra ID savienojumus ar datu avotiem Fabrikam nomniekā, ja viņi uzrāda atbilstošus Microsoft Entra akreditācijas datus, lai izveidotu savienojumu. Izejošo savienojumu izveide ar Fabrikam nomnieku ir atļauta, pamatojoties uz konfigurētá atĺauju saraksta ierakstiem.
Tomēr lietotāji, kas Power Platform ir pieteikušies Fabrikam nomniekā, joprojām nevar izveidot ienākošos Microsoft Entra ID savienojumus ar datu avotiem Contoso nomniekā, lai gan ir uzrādījuši atbilstošus Microsoft Entra akreditācijas datus, lai izveidotu savienojumu. Ienākošā savienojuma izveide no Fabrikam nomnieka joprojām ir aizslégta pat tad, ja atļauju saraksta ieraksts ir konfigurēts un atļauj izejošos savienojumus.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) Fabrikam ir pievienots izejošo atļauju sarakstam |
Fabrikam | Jā |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) Fabrikam ir pievienots izejošo atļauju sarakstam |
Nē (ienākošs) |
| Fabrikam | Fabrikam | Jā |
Scenārijs: Abu virzienu atļauju saraksts — Fabrikam ir pievienots Contoso nomnieka ienákośo un izejošo atļauju sarakstos
Šājā gadījumā administrators pievieno Fabrikam nomnieku abiem - ienákośo un izejošo atļauju sarakstiem, un nomnieka izoléśana ir uzstádíta reźímá Ieslēgts.
| Savienojuma veidotājs nomnieks | Savienojuma pierakstīšanās nomnieks | Vai piekļuve ir atļauta? |
|---|---|---|
| Contoso | Contoso | Jā |
| Contoso (nomnieka izoléśana Ieslēgta) Fabrikam ir pievienots abiem atļauju sarakstiem |
Fabrikam | Jā |
| Fabrikam | Contoso (nomnieka izoléśana Ieslēgta) Fabrikam ir pievienots abiem atļauju sarakstiem |
Jā |
| Fabrikam | Fabrikam | Jā |
Aktivizét nomnieka izoléśanu un konfigurēt atļauju sarakstu
Administratora centrā Power Platform nomnieka izoléśana ir iestata ar Nomnieka izoléśanas>Noteikumiem.
Piezīmes
Jums ir jābūt administratora lomai Power Platform , lai skatītu un iestatītu nomnieku izolēšana politiku.
Nomnieka izoléśanas atļauju sarakstu var konfigurēt, izmantojot Jauná nomnieka noteikumus uz Nomnieka izoléśanas lapas. Ja nomnieka izoléśana ir uzstádíta reźímá Izslēgts, jús varat pievienot vai rediģēt noteikumus sarakstā. Tádá veidá śie noteikumi netiks ieviesti, kamēr nebūsit izmainíts nomnieka izoléśanas reźíms uz Ieslēgts.
Nolaižamajā sarakstā Jauna nomnieka noteikumi Virzieni izvēlieties atļauju saraksta virzienu.
Varat arī ievadīt atļautā nomnieka vērtību, pieméram, nomnieka domēnu vai nomnieka ID. Kad ieraksts ir saglabāts, tas tiek pievienots noteikumu sarakstam kopā ar citiem atļautajiem nomniekiem. Ja izmantojat nomnieka domēnu, lai pievienotu atļauju saraksta ierakstu, Power Platform administratora centrs automātiski nosaka nomnieka ID.
Kad ieraksts parādās sarakstā, tiek parādīti nomnieka ID un Microsoft Entra nomnieka nosaukuma lauki. Ņemiet vērā, ka programmā Microsoft Entra ID nomnieka nosaukums atšķiras no nomnieka domēna. Nomnieka várds ir unikāls, bet nomniekam var būt vairāki domēna nosaukumi.
Varat izmantot "*" kā īpašu rakstzīmi, lai norādītu, ka visiem nomniekiem ir atļauta kustíba norādītajā virzienā, kad nomnieka izoléśana ir Ieslēgta.
Varat rediģēt nomnieka atļauju saraksta virzienu, pamatojoties uz biznesa prasībām. Ņemiet vērā, ka Nomnieka domēna vai ID lauku nevar rediģēt uz Nomnieku noteikumu rediģēšanas lapas.
Varat veikt visas atĺauju saraksta operācijas, piemēram, pievienot, rediģēt un dzēst, laiká kad nomnieka izoléśana ir Ieslēgta vai Izslégta. Atĺauju sarasta ieraksti ietekmē savienojuma uzvedību, kad nomnieka izoléśana ir Izslēgta , jo visi starpnomnieku savienojumi ir atļauti.
Noformēšanas laika ietekme uz programmām un plūsmām.
Lietotāji, kuri izveido vai rediģē resursu, kuru ietekmé nomnieka izoléśanas noteikumi, redzēs atbilstošas kļūdas ziņojumu. Piemēram, Power Apps veidotāji redzēs kļūdu, ja viņi programmā izmantos starpnomnieku savienojumus, kuri ir bloķēti ar nomnieku izoléśanas noteikumiem. PRogramma nepievienos savienojumu.
Līdzīgi Power Automate veidotāji redzēs šādu kļūdu, ja viņi mēģinās saglabāt plūsmu, kura izmanto savienojumus plúsmá, kuri ir bloķēti ar nomnieku izoléśanas noteikumiem. Pati plūsma tiks saglabāta, taču tā bús atzīmēta kā "Aizturēta" un netiks izpildīta, ja vien veidotājs neatrisinās datu zudumu novēršanas noteikumu (DZN) pārkāpumu.
Izpildes laika ietekme uz programmām un plūsmām
Jūs kā administrators varat lemt pārveidot nomnieka izoléśanas noteikumus savam nomniekam jebkurā punktā. Ja programmas un plūsmas tika izveidotas un izpildītas atbilstoši agrākiem nomnieka izoléśanas noteikumiem, dažas no tām var bút negatīvi skartas ar jebkādám ar jums veiktajám noteikumu izmaiņám. Programmas vai plūsmas, kas pārkāpj nomnieku izoléśanas noteikumus., netiks veiksmīgi palaistas. Piemēram, izpildes vēsture Power Automate nozīmē, ka plūsmas palaišana neizdevās. Tálák. izvéloties neizdevušas izpildes darbības, tiks parādīta detalizēta informācija par kļūdu.
Esošajām plūsmām, kuras netiek veiksmīgi palaistas, jo ir izveidoti jaunākie nomnieka izoléśanas noteikumi, izpildes vēsture Power Automate norāda, ka plūsmas palaišana neizdevās.
Izvéloties neizdevušas izpildes darbības, tiks parādīta detalizēta informācija par kļūdu.
Piezīmes
Lai aktīvás programmas un plūsmas novértétu un pieńemtu nomnieka izoléśanas noteikumu jaunākás izmaiņas, nepieciešama aptuveni stunda. Šīs izmaiņas nenotiek tūlītēji.
Zināmās problēmas
Azure DevOps savienotājs izmanto Microsoft Entra autentifikāciju kā identitātes nodrošinātājs, bet izmanto savu OAuth plūsmu un STS, lai autorizētu un izsniegtu marķieri. Tā kā no ADO plūsmas atgrieztā pilnvara, pamatojoties uz savienotāja konfigurāciju, nav no Microsoft Entra ID, nomnieku izolēšana politika netiek īstenota. Kā seku mazināšanu mēs iesakām izmantot cita veida datu politikas , lai ierobežotu savienotāja vai tā darbību izmantošanu.