Restricții de intrare și de ieșire a entității găzduite
Microsoft Power Platform are un ecosistem bogat de conectori bazat pe Microsoft Entra care permit utilizatorilor Microsoft Entra autorizați să creeze aplicații și fluxuri convingătoare care stabilesc conexiuni la datele de afaceri disponibile prin aceste magazine de date. Izolarea entităților găzduite permite administratorilor să se asigure într-un mod mai simplu că acești conectori pot fi valorificați într-un mod sigur și securizat în interiorul entității găzduite, minimizând în același timp riscul de exfiltrare a datelor în afara entității găzduite. Izolarea entităților găzduite permite Power Platform administratorilor să guverneze în mod eficient mișcarea datelor chiriașilor din Microsoft Entra surse de date autorizate către și de la chiriașul lor.
Rețineți că Power Platform izolarea entităților găzduite este diferit de Microsoft Entra restricția chiriașilor la nivel de ID. Acesta nu afectează Microsoft Entra accesul bazat pe ID în afara Power Platform. Power Platform izolarea entităților găzduite funcționează numai pentru conectorii care utilizează Microsoft Entra autentificare bazată pe ID, cum ar fi Office 365 Outlook sau SharePoint.
Avertisment
Există o problemă cunoscută cu conectorul Azure DevOps, care are ca rezultat situația în care politica de izolare a entității găzduite nu este aplicată pentru conexiunile stabilite folosind acest conector. Dacă un vector de atac din interior este o problemă, se recomandă limitarea utilizării conectorului sau a acțiunilor acestuia folosind politicile de date.
Configurația implicită în Power Platform cu izolarea entităților găzduite Off este să permită stabilirea perfectă a conexiunilor între chiriași, dacă utilizatorul de la chiriașul A stabilește conexiunea chiriașului B prezintă acreditările Microsoft Entra corespunzătoare. Dacă administratorii doresc să permită doar unui set selectat de entități găzduite să stabilească conexiuni la sau de la entitatea lor găzduită, pot activa izolarea entităților găzduite, setând opțiunea la Activat.
Cu izolarea entităților găzduite setată la Activat, toate entitățile găzduite sunt restricționate. Conexiunile de intrare (conexiuni la chiriaș de la chiriași externi) și de ieșire (conexiuni de la chiriaș la chiriași externi) conexiunile între chiriași sunt blocate de Power Platform chiar dacă utilizatorul prezintă acreditări valide la Microsoft Entra-securizat sursă de date. Puteți folosi reguli pentru a adăuga excepții.
Administratorii pot specifica o listă explicită de entități găzduite pe care doresc să le activeze pentru intrare, pentru ieșire sau în ambele direcții, care vor ocoli controalele de izolare a entităților găzduite atunci când sunt configurate. Administratorii pot folosi un model special „*” pentru a permite toate entitățile găzduite într-o anumită direcție, atunci când este activată izolarea entităților găzduite. Toate celelalte conexiuni între entitățile găzduite, cu excepția celor din lista permisă, sunt respinse de Power Platform.
Izolarea entităților găzduite poate fi configurată în centrul de administrare Power Platform. Aceasta afectează aplicațiile Power Platform create pe planșă și fluxurile Power Automate. Pentru a configura izolarea entităților găzduite, trebuie să fiți administrator al entităților găzduite.
Capacitatea de izolare a entității găzduite Power Platform este disponibilă cu două opțiuni: restricție unidirecțională sau bidirecțională.
Înțelegeți scenariile și impactul izolarea entităților găzduite
Înainte de a începe configurarea restricțiilor izolarea entităților găzduite, examinați următoarea listă pentru a înțelege scenariile și impactul izolarea entităților găzduite.
- Administratorul dorește să activeze izolarea entităților găzduite.
- Administratorul este îngrijorat de faptul că aplicațiile și fluxurile existente care folosesc conexiuni între chiriași nu vor mai funcționa.
- Administratorul decide să activeze izolarea entităților găzduite și să adauge reguli de excepție pentru a elimina impactul.
- Administratorul rulează rapoartele de izolare între chiriași pentru a determina chiriașii care trebuie să fie scutiți. Mai multe informații: Tutorial: Creați rapoarte încrucișate izolarea entităților găzduite (versiune preliminară)
Izolarea entității găzduite bidirecționale (restricția conexiunii de intrare și de ieșire)
Izolarea bidirecțională a entităților găzduite va bloca și încercările de stabilire a conexiunii către entitatea dvs. găzduită, de la alte entități găzduite. Mai mult, izolarea bidirecțională a entității găzduite va bloca de asemenea și încercările de stabilire a conexiunii de la entitatea dvs. găzduită la alte entități găzduite.
În acest scenariu, administratorul entității găzduite a activat izolarea entităților găzduite în două sensuri pe entitatea găzduită Contoso, iar entitatea găzduită externă Fabrikam nu a fost adăugată la lista permisă.
Utilizatorii conectați la Power Platform în chiriașul Contoso nu pot stabili conexiuni de ieșire Microsoft Entra pe bază de ID la sursele de date din chiriașul Fabrikam, deși prezintă acreditările Microsoft Entra corespunzătoare pentru stabiliți legătura. Aceasta este izolarea de ieșire a entităților găzduite, pentru entitatea găzduită Contoso.
În mod similar, utilizatorii conectați la Power Platform în chiriașul Fabrikam nu pot stabili conexiuni de intrare Microsoft Entra pe bază de ID la sursele de date din chiriașul Contoso, deși prezintă Microsoft Entra adecvat. acreditările pentru a stabili conexiunea. Aceasta este izolarea de intrare a entităților găzduite, pentru entitatea găzduită Contoso.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) | Fabrikam | Nr (de ieșire) |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) | Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Notă
O încercare de conectare inițiată de un utilizator invitat de la chiriașul gazdă care vizează sursele de date din același chiriaș gazdă nu este evaluată de regulile izolarea entităților găzduite.
Izolarea entităților găzduite cu liste permise
Izolarea unidirecțională a entității găzduite sau izolarea la intrare va bloca încercările de stabilire a conexiunii către entitatea dvs. găzduită de la alte entități găzduite.
Scenariu: Listă permisă de ieșire – Fabrikam este adăugat la lista permisă de ieșire a entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam în lista permisă de ieșire, în timp ce izolarea entităților găzduite este Activă.
Utilizatorii conectați la Power Platform în chiriașul Contoso pot stabili conexiuni de ieșire Microsoft Entra pe bază de ID la sursele de date din chiriașul Fabrikam, dacă prezintă acreditările Microsoft Entra corespunzătoare pentru a stabili conexiunea. Stabilirea conexiunii de ieșire către entitatea găzduită Fabrikam este permisă în virtutea intrării configurate în lista de permisiuni.
Cu toate acestea, utilizatorii conectați la Power Platform în chiriașul Fabrikam încă nu pot stabili conexiuni de intrare Microsoft Entra pe bază de ID la sursele de date din chiriașul Contoso, deși prezintă Microsoft Entra acreditările pentru a stabili conexiunea. Stabilirea conexiunii de intrare de la entitatea găzduită Fabrikam este în continuare interzisă, chiar dacă intrarea în lista de permisiuni este configurată și permite conexiuni de ieșire.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la lista de permisiuni de ieșire |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la lista de permisiuni de ieșire |
Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Scenariu: Listă permisă bidirecțională – Fabrikam este adăugat la lista permisă de intrare și la cea de ieșire ale entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam în lista permisă de ieșire și în lista permisă de intrare, iar izolarea entităților găzduite este Activă.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la ambele liste de permisiuni |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la ambele liste de permisiuni |
Da |
| Fabrikam | Fabrikam | Da |
Activați izolarea entităților găzduite și configurați lista permisă
În centrul de administrare Power Platform, izolarea entităților găzduite este setată cu Politici>Izolarea entităților găzduite.
Notă
Trebuie să aveți un Power Platform rol de administrator pentru a vedea și a seta politica izolarea entităților găzduite.
Lista permisă pentru izolarea entităților găzduite poate fi configurată utilizând Regulă nouă pentru entitate găzduită, din pagina Izolarea entităților găzduite. Dacă izolarea entităților găzduite este Dezactivată, puteți adăuga sau edita regulile din listă. Dar aceste reguli nu vor fi aplicate până când nu activați izolarea entităților găzduite, setând-o la Activat.
Din lista verticală Direcție regulă nouă entitate găzduită, alegeți direcția intrării în lista de permisiuni.
De asemenea, puteți introduce valoarea entității găzduite permise ca domeniu de entitate găzduită sau ca ID de entitate găzduită. Odată salvată, intrarea este adăugată la lista de reguli împreună cu alte entități găzduite permise. Dacă utilizați domeniul entității găzduite pentru a adăuga intrarea în lista permisă, centrul de administrare Power Platform calculează automat ID-ul entității găzduite.
Odată ce intrarea apare în listă, sunt afișate câmpurile ID locatar și Microsoft Entra nume locatar . Rețineți că în Microsoft Entra ID, numele chiriașului este diferit de domeniul chiriașului. Numele entității găzduite este unic pentru entitatea găzduită, dar o entitate găzduită poate avea mai multe nume de domeniu.
Puteți folosi „*” drept caracter special pentru a semnifica că toate entitățile găzduite au permisiune în direcția desemnată, atunci când izolarea entităților găzduite este setată la Activat.
Puteți edita direcția intrării în lista de permisiuni a entității găzduite, în funcție de cerințele companiei. Rețineți că câmpul Domeniu sau ID entitate găzduită nu poate fi editat în pagina Editați regula entității găzduite.
Puteți efectua toate operațiunile în lista de permisiuni, cum ar fi adăugarea, editarea și ștergerea, când este Activată sau Dezactivată izolarea entităților găzduite. Intrările din lista de permisiuni au un efect asupra comportamentului conexiunii atunci când izolarea entităților găzduite este Dezactivată, deoarece sunt permise toate conexiunile între entitățile găzduite.
Impactul duratei proiectare asupra aplicațiilor și a fluxurilor
Utilizatorii care creează sau editează o resursă afectată de politica de izolare a entităților găzduite vor vedea un mesaj de eroare corespunzător. De exemplu, creatorii Power Apps vor vedea următoarea eroare atunci când utilizează conectori între entități găzduite, într-o aplicație care este exclusă de politicile de izolare a entităților găzduite. Aplicația nu va adăuga conexiunea.
În mod similar, creatorii Power Automate vor vedea următoarea eroare atunci când vor încerca să salveze un flux care utilizează conexiuni dintr-un flux blocat de politicile de izolare a entităților găzduite. Fluxul în sine va fi salvat, dar va fi marcat ca „Suspendat” și nu va fi executat decât dacă creatorul soluționează încălcarea politicii de prevenire a pierderii datelor (DLP).
Impactul rulării asupra aplicațiilor și a fluxurilor
Ca administrator, puteți decide în orice moment să modificați izolarea entităților găzduite pentru entitatea dvs. găzduită. Dacă aplicațiile și fluxurile au fost create și executate în conformitate cu o politică anterioară de izolare a entităților găzduite, unele dintre ele ar putea fi afectate în mod negativ de orice modificări de politică pe care le faceți. Aplicațiile sau fluxurile care încalcă politica de izolare a entităților găzduite nu vor rula. De exemplu, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat. În plus, selectarea executării eșuate va afișa detalii despre eroare.
Pentru fluxurile existente care nu rulează din cauza celei mai recente politici de izolare a entităților găzduite, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat.
Selectarea rulării eșuate va afișa detalii despre rularea de flux eșuată.
Notă
Este nevoie de aproximativ o oră pentru ca cele mai recente modificări ale politicii de izolare a entităților găzduite să fie evaluate în raport cu aplicațiile și fluxurile active. Această schimbare nu este instantanee.
Probleme cunoscute
Azure DevOps connector folosește Microsoft Entra autentificarea ca furnizor de identitate, dar folosește propriul flux OAuth și STS pentru autorizarea și emiterea unui token. Deoarece jetonul returnat din fluxul ADO pe baza configurației respectivului conector nu este de la Microsoft Entra ID, politica izolarea entităților găzduite nu este aplicată. Ca măsură de atenuare, vă recomandăm să utilizați alte tipuri de politici de date pentru a limita utilizarea conectorului sau acțiunile acestuia.