Udostępnij za pośrednictwem

Zarządzanie dzierżawami dozwolonymi do rejestrowania lokalnej bramy danych

  • Artykuł

Możesz użyć nowych ustawień ograniczeń dzierżawy, aby kontrolować, które dzierżawy mogą rejestrować lokalną aplikację bramy danych. Na przykład organizacja może zezwolić tylko dzierżawcom w organizacji na zapobieganie eksfiltracji danych. Domyślnie nie ma żadnych ograniczeń dotyczących dzierżaw.

Ważne

Chociaż te kroki są dobrym środkiem bezpieczeństwa do podjęcia, nie gwarantuje całkowitej ochrony przed eksfiltracją danych.

Po zdefiniowaniu listy dozwolonych dzierżaw wykonaj następujące kroki, aby dodać je do rejestru zarówno dla wersji bramy osobistej, jak i przedsiębiorstwa.

Ograniczanie bramy danych przedsiębiorstwa i osobistej lokalnej bramy danych

  1. Znajdź identyfikator dzierżawy.

  2. Uruchom Edytor rejestru za pomocą menu Start systemu Windows (regedit.exe).

  3. Przejdź do folderu \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

  4. Wybierz i przytrzymaj (lub kliknij prawym przyciskiem myszy) w folderze Microsoft i wybierz pozycję Nowy>klucz. Utwórz klucz o nazwie Lokalna brama danych dla bramy przedsiębiorstwa lub lokalna brama danych (tryb osobisty) dla bramy osobistej.

  5. Wybierz i przytrzymaj (lub kliknij prawym przyciskiem myszy) w utworzonym folderze "lokalna brama danych", a następnie ponownie wybierz pozycję Nowy>klucz. Nadaj temu kluczowi nazwę Rejestracja.

  6. Wybierz i przytrzymaj (lub kliknij prawym przyciskiem myszy) w oknie po prawej stronie i wybierz pozycję Nowa>wartość ciągu. Nazwij wartość AllowedRegistrationTenants (upewnij się, że jest to liczba mnoga i wszystko jest poprawnie napisane). Wybierz i przytrzymaj (lub kliknij prawym przyciskiem myszy) na wartości AllowedRegistrationTenants i wybierz polecenie Modyfikuj. Ustaw jego dane na rozdzielaną przecinkami listę identyfikatorów dzierżawy, na które powinna zezwalać maszyna. Dzierżawy są identyfikowane przez identyfikator TenantID, który jest identyfikatorem GUID. Wyniki powinny być wyświetlane jak na poniższych zrzutach ekranu.

    Screenshot of the registry editor with required keys added for the enterprise gateway.

    Screenshot of the registry editor with required keys added for the personal gateway.

Ustawienia dzierżawy rejestracji lokalnej bramy danych

Podczas rejestrowania bramy przedsiębiorstwa dzierżawa używana do rejestrowania jest zapisywana w folderze \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\On-premises data gateway\Registration\RegistrationTenant.

Podczas rejestrowania bramy osobistej dzierżawa używana do rejestrowania jest zapisywana w \HKEY_CURRENT_USER\SOFTWARE\Microsoft\On-premises data gateway (tryb osobisty)\Registration\RegistrationTenant.

Screenshot of the registry editor with key of tenant used to register the gateway.

Błąd skojarzony z używaniem dzierżawy, która nie znajduje się na liście dozwolonych

Jeśli klucz rejestru jest ustawiony na ograniczenie dozwolonych dzierżaw, a użytkownik próbuje zarejestrować bramę przy użyciu poświadczeń z dzierżawy, która nie jest w szczególności dozwolona, ta akcja generuje błąd, a brama nie może zarejestrować lub uruchomić.

W takim przypadku do dzienników bramy jest zapisywany błąd z informacją [DM.GatewayServiceHost] Not starting transfer service because 'onmicrosoft.com' is not in tenant allow list. Użytkownik otrzymuje You cannot login with this email address. Please contact your tenant administrator for help with allowed registration tenants. komunikat Ten wskazuje, że użytkownik próbował się zarejestrować lub zalogować przy użyciu dzierżawy, która nie znajduje się na liście dozwolonych rejestracji dzierżawy.

Screenshot of the error shown when using a tenant not in the registry to register the gateway.