Nota
Capaian ke halaman ini memerlukan kebenaran. Anda boleh cuba mendaftar masuk atau menukar direktori.
Capaian ke halaman ini memerlukan kebenaran. Anda boleh cuba menukar direktori.
Nota
Pusat pentadbiran Power Platform baharu dan dipertingkatkan kini tersedia secara umum. Kami sedang mengemas kini dokumentasi untuk mencerminkan perubahan ini, jadi semak semula untuk memastikan anda mendapat kemas kini terkini.
Microsoft Power Platform mempunyai ekosistem penyambung yang kaya berdasarkan Microsoft Entra yang membolehkan pengguna yang dibenarkan Microsoft Entra membina apl dan aliran yang menarik mewujudkan sambungan ke data perniagaan yang tersedia melalui stor data ini. Pengasingan penyewa memudahkan pentadbir untuk memastikan penyambung ini boleh dimanfaatkan dengan cara yang selamat dan terjamin dalam penyewa sambil meminimumkan risiko penyusutan data di luar penyewa. Pengasingan penyewa membolehkan Power Platform pentadbir mengawal pergerakan data penyewa dengan berkesan daripada Microsoft Entra sumber data yang dibenarkan ke dan dari penyewa mereka.
Power Platform pengasingan penyewa berbeza daripada Microsoft Entra sekatan penyewa seluruh ID. Ia tidak memberi kesan Microsoft Entra kepada akses berasaskan ID di luar. Power Platform Power Platform pengasingan penyewa hanya berfungsi untuk penyambung menggunakan Microsoft Entra pengesahan berasaskan ID seperti Office 365 Outlook atau SharePoint.
Amaran
Terdapat isu yang diketahui dengan penyambung Azure DevOps yang mengakibatkan dasar pengasingan penyewa tidak dikuatkuasakan untuk sambungan yang diwujudkan menggunakan penyambung ini. Jika vektor serangan orang dalam menjadi kebimbangan, kami mengesyorkan agar anda mengehadkan penggunaan penyambung atau tindakannya menggunakan dasar data.
Konfigurasi lalai dalam Power Platform dengan pengasingan penyewa Mati adalah untuk membenarkan sambungan rentas penyewa diwujudkan dengan lancar, jika pengguna daripada penyewa A mewujudkan sambungan kepada penyewa B membentangkan kelayakan yang sesuai Microsoft Entra . Jika pentadbir mahu membenarkan hanya set penyewa yang dipilih untuk mewujudkan sambungan kepada atau daripada penyewa mereka, mereka boleh Hidupkan pengasingan penyewa.
Dengan pengasingan penyewa, Hidup, semua penyewa adalah terhad. Sambungan merentas penyewa masuk (sambungan kepada penyewa daripada penyewa luaran) dan keluar (sambungan daripada penyewa kepada penyewa luaran) disekat oleh Power Platform walaupun pengguna membentangkan bukti kelayakan yang sah kepada Microsoft Entra sumber data yang selamat. Anda boleh menggunakan peraturan untuk menambah pengecualian.
Pentadbir boleh menentukan senarai penyewa yang dibenarkan secara eksplisit yang mereka mahu benarkan masuk, keluar atau kedua-duanya, yang memintas kawalan pengasingan penyewa apabila dikonfigurasikan. Pentadbir boleh menggunakan corak khas "*" untuk membenarkan semua penyewa dalam arah tertentu apabila pengasingan penyewa dihidupkan. Semua sambungan rentas penyewa lain kecuali yang ada dalam senarai yang dibenarkan ditolak oleh Power Platform.
Pengasingan penyewa boleh dikonfigurasikan dalam pusat pentadbir Power Platform. Ini menjejaskan aplikasi kanvas Power Platform dan aliran Power Automate. Untuk menyediakan pengasingan penyewa, anda perlu menjadi pentadbir penyewa.
Keupayaan pengasingan penyewa Power Platform boleh didapati dengan dua pilihan: sekatan sehala atau dua hala.
Fahami senario dan kesan pengasingan penyewa
Sebelum anda mula mengkonfigurasi sekatan pengasingan penyewa, semak senarai berikut untuk memahami senario dan kesan pengasingan penyewa.
- Pentadbir mahu menghidupkan pengasingan penyewa.
- Pentadbir bimbang bahawa apl dan aliran sedia ada menggunakan sambungan rentas penyewa berhenti berfungsi.
- Pentadbir memutuskan untuk mendayakan pengasingan penyewa dan menambah peraturan pengecualian untuk menghapuskan kesannya.
- Pentadbir menjalankan laporan pengasingan merentas penyewa untuk menentukan penyewa yang perlu dikecualikan. Maklumat lanjut: Tutorial: Mencipta laporan pengasingan rentas penyewa (pratonton)
Pengasingan penyewa dua hala (sekatan sambungan masuk dan keluar)
Pengasingan penyewa dua hala menyekat percubaan penubuhan sambungan kepada penyewa anda daripada penyewa lain. Selain itu, pengasingan penyewa dua hala juga menyekat percubaan penubuhan sambungan daripada penyewa anda kepada penyewa lain.
Dalam senario ini, pentadbir penyewa membenarkan pengasingan penyewa dua hala pada penyewa Contoso manakala penyewa Fabrikam luaran belum ditambahkan pada senarai yang dibenarkan.
Pengguna yang log masuk Power Platform dalam penyewa Contoso tidak boleh mewujudkan sambungan berasaskan ID keluar Microsoft Entra ke sumber data dalam penyewa Fabrikam walaupun membentangkan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Ini merupakan pengasingan penyewa keluar untuk penyewa Contoso.
Begitu juga, pengguna yang log masuk ke Power Platform dalam penyewa Fabrikam tidak boleh mewujudkan sambungan berasaskan ID masuk Microsoft Entra ke sumber data dalam penyewa Contoso walaupun membentangkan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Ini merupakan pengasingan penyewa yang keluar untuk penyewa Contoso.
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) | Fabrikam | Tidak (keluar) |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) | Tidak (masuk) |
| Fabrikam | Fabrikam | Ya |
Nota
Percubaan sambungan yang dimulakan oleh pengguna tetamu, daripada penyewa hos mereka yang menyasarkan sumber data dalam penyewa hos yang sama, tidak dinilai oleh peraturan pengasingan penyewa.
Pengasingan penyewa dengan senarai yang dibenarkan
Pengasingan penyewa sehala atau pengasingan masuk menyekat percubaan penubuhan sambungan kepada penyewa anda daripada penyewa lain.
Senario: Senarai kebenaran keluar – Fabrikam ditambah pada senarai kebenaran keluar penyewa Contoso
Dalam senario ini, pentadbir menambah penyewa Fabrikam dalam senarai kebenaran keluar semasa pengasingan penyewa dihidupkan .
Pengguna yang log masuk dalam Power Platform penyewa Contoso boleh mewujudkan sambungan berasaskan ID keluar Microsoft Entra ke sumber data dalam penyewa Fabrikam jika mereka mengemukakan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Penubuhan sambungan keluar kepada penyewa Fabrikam dibenarkan berdasarkan kemasukan yang dibenarkan yang dikonfigurasikan.
Walau bagaimanapun, pengguna yang log masuk dalam Power Platform penyewa Fabrikam masih tidak dapat mewujudkan sambungan berasaskan ID masuk Microsoft Entra ke sumber data dalam penyewa Contoso walaupun membentangkan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Penubuhan sambungan masuk daripada penyewa Fabrikam masih tidak dibenarkan walaupun entri senarai yang dibenarkan dikonfigurasikan dan membenarkan sambungan keluar.
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke senarai kebenaran keluar |
Fabrikam | Ya |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke senarai kebenaran keluar |
Tidak (masuk) |
| Fabrikam | Fabrikam | Ya |
Senario: Senarai kebenaran dua arah – Fabrikam ditambah pada senarai kebenaran masuk dan keluar penyewa Contoso
Dalam senario ini, pentadbir menambah penyewa Fabrikam pada kedua-dua senarai kebenaran masuk dan keluar semasa pengasingan penyewa dihidupkan .
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah kepada kedua-dua senarai yang dibenarkan |
Fabrikam | Ya |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah kepada kedua-dua senarai yang dibenarkan |
Ya |
| Fabrikam | Fabrikam | Ya |
Benarkan pengasingan penyewa dan konfigurasikan senarai yang dibenarkan
Pergi ke Pusat pentadbir Power Platform.
Dalam anak tetingkap navigasi, pilih Keselamatan.
Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.
Dalam halaman Pengurusan identiti dan capaian, pilih Pengasingan penyewa.
Untuk membenarkan pengasingan penyewa, hidupkan pilihan Hadkan sambungan rentas penyewa.
Untuk membenarkan komunikasi merentas penyewa, pilih Tambah pengecualian dalam anak tetingkap Pengasingan penyewa.
Jika pengasingan penyewa dimatikan , anda masih boleh menambah atau mengedit senarai pengecualian. Walau bagaimanapun, senarai pengecualian tidak dikuatkuasakan sehingga anda menghidupkan pengasingan penyewa.
Daripada senarai juntai bawah arah yang dibenarkan, pilih arah entri senarai yang dibenarkan.
Masukkan nilai penyewa yang dibenarkan sama ada domain penyewa atau ID penyewa dalam medan ID Penyewa. Setelah disimpan, entri akan ditambahkan ke senarai yang dibenarkan bersama-sama dengan penyewa lain yang dibenarkan. Jika anda menggunakan domain penyewa untuk menambah entri senarai yang dibenarkan, pusat pentadbiran Power Platform secara automatik mengira ID penyewa.
Anda boleh menggunakan "*" sebagai aksara khas untuk menandakan semua penyewa dibenarkan ke arah yang ditetapkan apabila pengasingan penyewa dihidupkan.
Pilih Simpan.
Nota
- Anda mesti mempunyai Power Platform peranan pentadbir untuk melihat dan menetapkan dasar pengasingan penyewa.
- Untuk memastikan pengasingan penyewa tidak menyekat sebarang panggilan apabila digunakan, hidupkan pengasingan penyewa, tambah peraturan penyewa baharu, tetapkan ID Penyewa sebagai "*" dan tetapkan arah yang dibenarkan untuk masuk dan keluar.
- Oleh kerana batasan teknikal, had ambang untuk peraturan ialah 500.
Anda boleh melaksanakan semua operasi senarai yang dibenarkan seperti tambah, edit dan padam semasa pengasingan penyewa dihidupkan atau dimatikan . Entri senarai yang dibenarkan mempunyai kesan ke atas tingkah laku sambungan apabila pengasingan penyewa dimatikan kerana semua sambungan merentas penyewa dibenarkan.
Masa reka bentuk memberi kesan pada aplikasi dan aliran
Pengguna yang mencipta atau mengedit sumber, yang terjejas oleh dasar pengasingan penyewa, melihat mesej ralat yang berkaitan. Sebagai contoh, Power Apps pembuat melihat ralat berikut apabila mereka menggunakan sambungan rentas penyewa dalam aplikasi yang disekat oleh dasar pengasingan penyewa. Apl tidak menambah sambungan.
Begitu juga, Power Automate pembuat melihat ralat berikut apabila mereka cuba menyimpan aliran yang menggunakan sambungan dalam aliran yang disekat oleh dasar pengasingan penyewa. Aliran itu sendiri disimpan, tetapi ia ditandakan sebagai "Digantung" dan tidak dilaksanakan melainkan pembuat menyelesaikan pelanggaran dasar pencegahan kehilangan data (DLP).
Kesan masa jalanan pada aplikasi dan aliran
Sebagai pentadbir, anda boleh memutuskan untuk mengubah suai dasar pengasingan penyewa bagi penyewa anda pada bila-bila masa. Jika aplikasi dan aliran dicipta dan dilaksanakan dalam pematuhan dengan dasar pengasingan penyewa sebelumnya, beberapa daripadanya mungkin dipengaruhi secara negatif oleh perubahan dasar yang anda buat. Apl atau aliran yang melanggar dasar pengasingan penyewa tidak berjaya dijalankan. Sebagai contoh, jalankan sejarah dalam petunjuk Power Automate bahawa larian aliran gagal. Selanjutnya, memilih larian yang gagal menunjukkan butiran ralat.
Untuk aliran sedia ada yang tidak berjaya berjalan kerana dasar pengasingan penyewa terkini, jalankan sejarah dalam Power Automate menunjukkan bahawa larian aliran gagal.
Memilih larian yang gagal menunjukkan butiran larian aliran yang gagal.
Nota
Ia mengambil masa kira-kira sejam untuk perubahan dasar pengasingan penyewa yang terkini dinilai terhadap aplikasi dan aliran aktif. Perubahan ini tidak seketika.
Isu yang diketahui
Azure DevOps penyambung menggunakan Microsoft Entra pengesahan sebagai pembekal identiti, tetapi menggunakan alirannya sendiri OAuth dan STS untuk membenarkan dan mengeluarkan token. Memandangkan token yang dikembalikan daripada aliran ADO berdasarkan konfigurasi Penyambung itu bukan daripada Microsoft Entra ID, dasar pengasingan penyewa tidak dikuatkuasakan. Sebagai mitigasi, kami mengesyorkan menggunakan jenis dasar data lain untuk mengehadkan penggunaan penyambung atau tindakannya.