Ograniczenia przychodzące i wychodzące między dzierżawcami
Microsoft Power Platform posiada bogaty ekosystem łączników opartych na Microsoft Entra, które umożliwiają autoryzowanym użytkownikom Microsoft Entra budowanie atrakcyjnych aplikacji i przepływów tworzących połączenia z danymi biznesowymi dostępnymi poprzez te magazyny danych. Izolacja dzierżawy ułatwia administratorom zapewnienie, że te łącza mogą być wykorzystywane w bezpieczny sposób w obrębie dzierżawy, minimalizując jednocześnie ryzyko wydostania się danych poza dzierżawę. Izolacja dzierżawy umożliwia administratorom globalnym i administratorom Power Platform efektywne zarządzanie ruchem danych dzierżawy z autoryzowanych źródeł danych Microsoft Entra do i z ich dzierżawy.
Należy pamiętać, że izolacja dzierżawy Power Platform różni się od ograniczenia dzierżawy Microsoft Entra ID-wide. Nie ma to wpływu na dostęp oparty na identyfikatorze Microsoft Entra poza Power Platform. Izolacja dzierżawy Power Platform działa tylko w przypadku łączników korzystających z uwierzytelniania opartego na identyfikatorze Microsoft Entra, takich jak Office 365 Outlook lub SharePoint.
Ostrzeżenie
Istnieje znany problem z łącznikiem,Azure DevOps który powoduje, że zasady izolacji dzierżawcy nie są wymuszane w przypadku połączeń ustanowionych przy użyciu tego łącznika. Jeśli test zabezpieczeń informacji poufnych został przechowany, zaleca się ograniczenie używania łącznika lub jego akcji przy użyciu zasad danych.
Domyślna konfiguracja w Power Platform z izolacją najemców Wyłączona pozwala na bezproblemowe nawiązywanie połączeń między najemcami, jeśli użytkownik z najemcy A nawiązujący połączenie z najemcą B przedstawi odpowiednie poświadczenia Microsoft Entra. Jeśli administratorzy chcą zezwolić tylko wybranym dzierżawcom na nawiązywanie połączeń do lub z ich dzierżawcy, mogą włączyć izolację dzierżawców Włączoną.
Przy Włączonej izolacji dzierżawy wszyscy dzierżawcy są ograniczeni. Przychodzące (połączenia do dzierżawcy z zewnętrznych dzierżawców) i wychodzące (połączenia z dzierżawcy do zewnętrznych dzierżawców) połączenia między dzierżawcami są blokowane przez Power Platform, nawet jeśli użytkownik przedstawi prawidłowe dane uwierzytelniające do źródła danych zabezpieczonego przez Microsoft Entra. Do dodawania wyjątków można użyć reguł.
Administratorzy mogą określić jawną listę dzierżawców, którym chcą umożliwić wejście, wyjście lub obie te opcje, co spowoduje ominięcie kontroli izolacji dzierżawców, gdy zostanie ona skonfigurowana. Administratorzy mogą użyć specjalnego wzorca "*", aby umożliwić wszystkim dzierżawy w określonym kierunku po włączeniu izolacji dzierżawy. Wszystkie inne połączenia cross-tenant poza tymi z listy dozwolonych są odrzucane przez Power Platform.
Izolację dzierżawców można skonfigurować w centrum administracyjnym Power Platform. Wpływa na aplikacje kanwy Power Platform i przepływy Power Automate. Aby skonfigurować izolację dzierżawy, musisz być jej administratorem.
Możliwość izolacji dzierżawy Power Platform jest dostępna z dwiema opcjami: ograniczenie jednokierunkowe lub dwukierunkowe.
Opis scenariuszy izolacji dzierżawy i ich wpływu
Przed rozpoczęciem konfigurowania ograniczeń izolacji dzierżawcy należy zapoznać się z następującą listą w celu zrozumienia scenariuszy i wpływu izolacji dzierżawcy.
- Administrator chce włączyć izolacji dzierżawcy.
- Administrator obawia się, że istniejące aplikacje i przepływy korzystające z połączeń między dzierżawami przestaną działać.
- Administrator decyduje się na włączenie izolacji dzierżawcy i dodanie reguł wyjątków, aby wyeliminować jego wpływ.
- Administrator uruchamia raporty o izolacji między dzierżawami w celu określenia dzierżawców, których należy zwolnić. Więcej informacji: Samouczek: Tworzenie raportów o izolacji między dzierżawami (wersja zapoznawcza)
Dwukierunkowa izolacja dzierżawy (ograniczenie połączeń przychodzących i wychodzących)
Dwukierunkowa izolacji dzierżawy spowoduje zablokowanie próby połączenia między dzierżawą, a innymi dzierżawami. Dodatkowo, dwukierunkowa izolacja dzierżawy zablokuje także próby ustanowienia połączenia pochodzące z dzierżawcy użytkownika z innym dzierżawcą.
W tym scenariuszu administrator dzierżawcy włączył dwukierunkową izolację dzierżawcy Contoso, podczas gdy zewnętrzny dzierżawca Fabrikam nie został dodany do listy dozwolonych.
Użytkownicy zalogowani do Power Platform w dzierżawie Contoso nie mogą nawiązywać połączeń wychodzących opartych na identyfikatorach Microsoft Entra ze źródłami danych w dzierżawie Fabrikam, pomimo przedstawienia odpowiednich poświadczeń Microsoft Entra w celu nawiązania połączenia. To jest izolacja dzierżawców wychodzących dla dzierżawcy Contoso.
Podobnie, użytkownicy zalogowani do Power Platform w dzierżawie Fabrikam nie mogą nawiązywać połączeń przychodzących opartych na identyfikatorach Microsoft Entra do źródeł danych w dzierżawie Contoso, pomimo przedstawienia odpowiednich poświadczeń Microsoft Entra w celu nawiązania połączenia. To jest izolacja dzierżawców przychodzących dla dzierżawcy Contoso.
| Kreator połączenia z dzierżawą | Dzierżawa logowanie się połączenia | Dostęp dozwolony? |
|---|---|---|
| Contoso | Contoso | Tak |
| Contoso (izolacja dzierżawcy Wł.) | Fabrikam | Nie (wychodzące) |
| Fabrikam | Contoso (izolacja dzierżawcy Wł.) | Nie (przychodzące) |
| Fabrikam | Fabrikam | Tak |
Uwaga
Próba połączenia zainicjowana przez użytkownika domeny z poziomu dzierżawcy hosta służącego do grupowania źródeł danych w ramach tej samej dzierżawy hosta nie jest oceniana przez reguły izolacji dzierżawy.
Izolacja dzierżawców za pomocą lity dozwolonych
Jednokierunkowa izolacja dzierżawy lub inaczej ograniczenie połączeń przychodzących blokuje próby ustanowienia połączenia z dzierżawą użytkownika z innych dzierżaw.
Scenariusz: Lista dozwolonych wychodzących — Fabrikam jest dodawane do listy dozwolonych wychodzących dzierżawcy firmy Contoso
W tym scenariuszu administrator dodaje dzierżawcę Fabrikam do wychodzącej listy zezwoleń, gdy izolacja dzierżawców jest Wł.
Użytkownicy zalogowani do Power Platform w dzierżawie Contoso nie mogą nawiązywać połączeń wychodzących opartych na identyfikatorach Microsoft Entra ze źródłami danych w dzierżawie Fabrikam, pomimo przedstawienia odpowiednich poświadczeń Microsoft Entra w celu nawiązania połączenia. Nawiązywanie połączeń wychodzących z dzierżawcą Fabrikam jest dozwolone na podstawie skonfigurowanego wpisu na liście dozwolonych.
Podobnie, użytkownicy zalogowani do Power Platform w dzierżawie Fabrikam nie mogą nawiązywać połączeń przychodzących opartych na identyfikatorach Microsoft Entra do źródeł danych w dzierżawie Contoso, pomimo przedstawienia odpowiednich poświadczeń Microsoft Entra w celu nawiązania połączenia. Nawiązywanie połączeń przychodzących z dzierżawcy Fabrikam jest nadal zabronione, mimo że skonfigurowano wpis listy dozwolonych, który zezwala na połączenia wychodzące.
| Kreator połączenia z dzierżawą | Dzierżawa logowanie się połączenia | Dostęp dozwolony? |
|---|---|---|
| Contoso | Contoso | Tak |
| Contoso (izolacja dzierżawcy Wł.) Fabrikam dodano do wychodzącej listy dozwolonych |
Fabrikam | Tak |
| Fabrikam | Contoso (izolacja dzierżawcy Wł.) Fabrikam dodano do wychodzącej listy dozwolonych |
Nie (przychodzące) |
| Fabrikam | Fabrikam | Tak |
Scenariusz: Lista dozwolonych wychodzących — Fabrikam jest dodawane do listy dozwolonych wychodzących dzierżawcy firmy Contoso
W tym scenariuszu administrator dodaje dzierżawcę Fabrikam zarówno na liście przychodzącej, jak i wychodzącej, podczas gdy izolacja dzierżawców jestWł.
| Kreator połączenia z dzierżawą | Dzierżawa logowanie się połączenia | Dostęp dozwolony? |
|---|---|---|
| Contoso | Contoso | Tak |
| Contoso (izolacja dzierżawcy Wł.) Fabrikam dodano do obydwu list dozwolonych |
Fabrikam | Tak |
| Fabrikam | Contoso (izolacja dzierżawcy Wł.) Fabrikam dodano do obydwu list dozwolonych |
Tak |
| Fabrikam | Fabrikam | Tak |
Włącz izolację dzierżawców i skonfiguruj listę dozwolonych
W centrum administracyjnym Power Platform izolacja dzierżawcy jest modyfikowana w Zasady>Izolacja dzierżawców.
Uwaga
Trzeba mieć rolę administratora globalnego lub rolę administratora Power Platform, aby móc widzieć i ustawiać zasady izolacji dzierżawy.
Listę dozwolonych izolacji dzierżawców można skonfigurować za pomocą Nowej reguły dzierżawców na stronie Izolacja dzierżawcy. Jeśli izolacja dzierżawcy jest Wył., można dodać lub wyedytować reguły z listy. Zasady te nie będą jednak egzekwowane, dopóki nie włączysz izolacji dzierżawcy na Wł..
Z listy rozwijanej Zasada nowego dzierżawcy Kierunek wybierz kierunek wpisu na liście zezwoleń.
Możesz także wprowadzić wartość dozwolonego dzierżawcy jako domenę dzierżawcy lub identyfikator dzierżawcy. Po zapisaniu wpis jest dodawany do listy reguł wraz z innymi dozwolonymi dzierżawcami. Jeśli do dodania wpisu na liście dozwolonych używasz domeny dzierżawcy, centrum administracyjne Power Platform automatycznie oblicza identyfikator dzierżawcy.
Po pojawieniu się wpisu na liście wyświetlane są pola Identyfikator dzierżawcy i Nazwa dzierżawcy Microsoft Entra. Należy pamiętać, że w Microsoft Entra ID nazwa dzierżawy różni się od domeny dzierżawy. Nazwa dzierżawcy jest unikalna dla danego dzierżawcy, ale dzierżawca może mieć więcej niż jedną nazwę domeny.
Możesz użyć "*" jako znaku specjalnego oznaczającego, że wszyscy dzierżawcy mogą poruszać się w wyznaczonym kierunku, gdy izolacja dzierżawców jest Wł.
Możesz edytować kierunek wpisu na liście zezwoleń dla dzierżawców w zależności od wymagań biznesowych. Pamiętaj, że pole Domena lub ID dzierżawcy nie może być edytowane na stronie Edytuj regułę dzierżawcy.
Możesz wykonywać wszystkie operacje związane z listami zezwoleń, takie jak dodawanie, edytowanie i usuwanie, gdy izolacja dzierżawców jest Wł. lub Wył. Wpisy na liście dozwolonych mają wpływ na zachowanie połączenia, gdy izolacja dzierżawców jest Wył., ponieważ wszystkie połączenia między dzierżawcami są dozwolone.
Wpływ na czas projektowania aplikacji i przepływów
Użytkownicy, którzy tworzą lub edytują zasób objęty polityką izolacji dzierżawcy, zobaczą odpowiedni komunikat o błędzie. Na przykład twórcy Power Apps zobaczą następujący błąd, jeśli użyją połączeń między dzierżawcami w aplikacji, która jest zablokowana przez polityki izolacji dzierżawców. Aplikacja nie doda połączenia.
Podobnie, twórcy Power Automate zobaczą następujący błąd, gdy spróbują zapisać przepływ, który używa połączeń w przepływie zablokowanym przez polityki izolacji dzierżawców. Sam przepływ zostanie zapisany, ale będzie oznaczony jako Zawieszony i nie zostanie wykonany, dopóki twórca nie rozwiąże problemu naruszenia polityki zapobiegania utracie danych (DLP).
Wpływ na środowisko uruchomieniowe aplikacji i przepływów
Jako administrator można w dowolnym momencie zmodyfikować zasady izolacji dzierżawcy. Jeśli aplikacje i przepływy były tworzone i wykonywane zgodnie z wcześniejszymi zasadami izolacji dzierżawców, zmiany wprowadzane przez ciebie mogą mieć negatywny wpływ na niektóre z nich. Aplikacje lub przepływy, które łamią zasady izolacji dzierżawcy, nie zostaną pomyślnie uruchomione. Na przykład, historia uruchomień w Power Automate wskazuje, że uruchomienie przepływu nie powiodło się. Ponadto wybranie nieudanego przebiegu spowoduje wyświetlenie szczegółów dotyczących błędu.
W przypadku istniejących przepływów, które nie zostały uruchomione pomyślnie z powodu najnowszej polityki izolacji dzierżawców, historia uruchomień w Power Automate wskazuje, że uruchomienie przepływu nie powiodło się.
Wybranie nieudanego przebiegu spowoduje wyświetlenie szczegółów nieudanego przepływu.
Uwaga
Ocena najnowszych zmian w polityce izolacji dzierżawców w odniesieniu do aktywnych aplikacji i przepływów trwa około godziny. Zmiana nie jest natychmiastowa.
Znane problemy
Łącznik Azure DevOps używa uwierzytelniania Microsoft Entra jako dostawcy tożsamości, ale do tworzenia i odświeżania tokenu używa własnego przepływu i zabezpieczeń OAuth. Ponieważ token zwrócony z przepływu ADO na podstawie konfiguracji tego łącznika nie pochodzi z identyfikatora Microsoft Entra, zasady izolacji dzierżawy nie są egzekwowane. Zaleca się użycie innych typów zasad danych w celu ograniczenia korzystania z łącznika lub jego akcji.