Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
Notă
Centrul de administrare *noul și îmbunătățitul* este acum disponibil pentru public. Power Platform În prezent, actualizăm documentația pentru a reflecta aceste modificări, așa că reveniți pentru a vă asigura că primiți cele mai recente actualizări.
Microsoft Power Platform are un ecosistem bogat de conectori bazați pe Microsoft Entra care permit utilizatorilor Microsoft Entra autorizați să construiască aplicații și fluxuri convingătoare, stabilind conexiuni la datele de afaceri disponibile prin intermediul acestor depozite de date. Izolarea entităților găzduite permite administratorilor să se asigure într-un mod mai simplu că acești conectori pot fi valorificați într-un mod sigur și securizat în interiorul entității găzduite, minimizând în același timp riscul de exfiltrare a datelor în afara entității găzduite. Izolarea entității găzduite permite administratorilor să guverneze eficient mutarea datelor entității găzduite de la sursele de date autorizate către și de la entitatea găzduită. Power Platform Microsoft Entra
Power Platform Izolarea chiriașilor este diferită de restricția chiriașilor la nivel de ID. Microsoft Entra Nu are impact asupra accesului bazat pe ID în afara . Microsoft Entra Power Platform Power Platform Izolarea chiriașilor funcționează doar pentru conectorii care utilizează autentificarea bazată pe ID, cum ar fi Outlook sau. Microsoft Entra Office 365 SharePoint
Avertisment
Există o *problemă cunoscută* cu *conectorul* care are ca rezultat neaplicarea politicii de izolare a chiriașilor pentru conexiunile stabilite folosind acest conector. ...Azure DevOps Dacă un vector de atac din interior reprezintă o problemă, vă recomandăm să limitați utilizarea conectorului sau a acțiunilor sale prin intermediul politicilor de date.
Configurația implicită în Power Platform cu izolarea chiriașului Oprită este de a permite stabilirea fără probleme a conexiunilor între chiriași, dacă utilizatorul de la chiriașul A care stabilește conexiunea la chiriașul B prezintă acreditări Microsoft Entra corespunzătoare. Dacă administratorii doresc să permită doar unui set selectat de entități găzduite să stabilească conexiuni la sau de la entitatea lor găzduită, pot activa izolarea entităților găzduite, setând opțiunea la Activat.
Cu izolarea entităților găzduite setată la Activat, toate entitățile găzduite sunt restricționate. Conexiunile între entități chiriașe, de intrare (conexiunile către entitatea găzduită de la entități găzduite externe) și de ieșire (conexiunile de la entitatea găzduită la entități găzduite externe), sunt blocate chiar dacă utilizatorul prezintă acreditări valide pentru sursa de date securizată. Power Platform Microsoft Entra Puteți folosi reguli pentru a adăuga excepții.
Administratorii pot specifica o listă explicită de permisiuni pentru entități găzduite cărora doresc să le permită accesul intrare, ieșire sau ambele, ceea ce ocolește controalele de izolare a entităților găzduite atunci când este configurat. Administratorii pot folosi un model special „*” pentru a permite toate entitățile găzduite într-o anumită direcție, atunci când este activată izolarea entităților găzduite. Toate celelalte conexiuni cross-tenant, cu excepția celor din lista de permisiuni, sunt respinse de Power Platform.
Izolarea entităților găzduite poate fi configurată în centrul de administrare Power Platform. Aceasta afectează aplicațiile Power Platform create pe planșă și fluxurile Power Automate. Pentru a configura izolarea entităților găzduite, trebuie să fiți administrator al entităților găzduite.
Capacitatea de izolare a entității găzduite Power Platform este disponibilă cu două opțiuni: restricție unidirecțională sau bidirecțională.
Înțelegerea scenariilor de izolare a chiriașilor și a impactului acestora
Înainte de a începe configurarea restricțiilor de izolare a entității găzduite, consultați lista următoare pentru a înțelege scenariile și impactul izolării entității găzduite.
- Administratorul dorește să activeze izolarea chiriașilor.
- Administratorul este îngrijorat că aplicațiile și fluxurile existente care utilizează conexiuni între entități găzduite nu mai funcționează.
- Administratorul decide să activeze izolarea chiriașilor și să adauge reguli de excepție pentru a elimina impactul.
- Administratorul rulează rapoartele de izolare între entități găzduite pentru a determina entitățile găzduite care trebuie scutite. Mai multe informații: Tutorial: Crearea de rapoarte de izolare între entități găzduite (previzualizare)
Izolarea entității găzduite bidirecționale (restricția conexiunii de intrare și de ieșire)
Izolarea bidirecțională a entității găzduite blochează încercările de stabilire a conexiunii către entitatea găzduită de la alte entități găzduite. În plus, izolarea bidirecțională a entității găzduite blochează și încercările de stabilire a conexiunii de la entitatea găzduită la alte entități găzduite.
În acest scenariu, administratorul entității găzduite permite izolarea bidirecțională a entității găzduite pe entitatea găzduită Contoso, în timp ce entitatea găzduită externă Fabrikam nu a fost adăugată la lista de permisiuni.
Utilizatorii conectați în entitatea găzduită Contoso nu pot stabili conexiuni de ieșire bazate pe ID către surse de date din entitatea găzduită Fabrikam, în ciuda prezentării acreditărilor corespunzătoare pentru a stabili conexiunea. Power Platform Microsoft Entra Microsoft Entra Aceasta este izolarea de ieșire a entităților găzduite, pentru entitatea găzduită Contoso.
În mod similar, utilizatorii conectați în entitatea găzduită Fabrikam nu pot stabili conexiuni de intrare bazate pe ID către surse de date din entitatea găzduită Contoso, în ciuda prezentării acreditărilor corespunzătoare pentru a stabili conexiunea. Power Platform Microsoft Entra Microsoft Entra Aceasta este izolarea de intrare a entităților găzduite, pentru entitatea găzduită Contoso.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) | Fabrikam | Nr (de ieșire) |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) | Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Notă
O încercare de conectare inițiată de un utilizator invitat, de la entitatea găzduită gazdă care vizează surse de date din cadrul aceleiași entități găzduite gazdă, nu este evaluată de regulile de izolare a entității găzduite.
Izolarea chiriașilor cu liste de permisiuni
Izolarea unidirecțională a entității găzduite sau izolarea de intrare blochează încercările de stabilire a conexiunii către entitatea găzduită de la alte entități găzduite.
Scenariu: Listă de permisiuni de ieșire – Fabrikam este adăugat la lista de permisiuni de ieșire a entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam în lista de permisiuni pentru ieșire, în timp ce izolarea entității găzduite este activată.
Utilizatorii conectați în entitatea găzduită Contoso pot stabili conexiuni de ieșire bazate pe ID către surse de date din entitatea găzduită Fabrikam dacă prezintă acreditările corespunzătoare pentru a stabili conexiunea. Power Platform Microsoft Entra Microsoft Entra Stabilirea unei conexiuni de ieșire către entitatea găzduită Fabrikam este permisă prin intrarea configurată allowlist.
Cu toate acestea, utilizatorii conectați în entitatea găzduită Fabrikam tot nu pot stabili conexiuni de intrare bazate pe ID către surse de date din entitatea găzduită Contoso, în ciuda prezentării acreditărilor corespunzătoare pentru a stabili conexiunea. Power Platform Microsoft Entra Microsoft Entra Stabilirea conexiunilor de intrare din entitatea găzduită Fabrikam este încă interzisă, chiar dacă intrarea din lista de permise este configurată și permite conexiunile de ieșire.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam adăugat la lista de permisiuni pentru ieșiri |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam adăugat la lista de permisiuni pentru ieșiri |
Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Scenariu: Listă de permisiuni bidirecțională – Fabrikam este adăugat la listele de permisiuni de intrare și ieșire ale entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam atât la lista de permisiuni de intrare, cât și la cea de ieșire, în timp ce izolarea entității găzduite este activată.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam adăugat la ambele liste de permisiuni |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam adăugat la ambele liste de permisiuni |
Da |
| Fabrikam | Fabrikam | Da |
Permiteți izolarea chiriașilor și configurați lista de permisiuni
Accesați Centrul de Administrare Power Platform.
În panoul de navigare, selectați Securitate.
În panoul Securitate , selectați Identitate și acces.
În pagina Gestionarea identității și a accesului , selectați Izolarea chiriașilor.
Pentru a permite izolarea chiriașilor, activați opțiunea *Restricționați conexiunile între chiriași*.
Pentru a permite comunicarea între entități găzduite, selectați Adăugați excepții în panoul Izolarea entității găzduite .
Dacă izolarea chiriașilor este dezactivată, puteți adăuga sau edita în continuare lista de excepții. Totuși, listele de excepții nu sunt aplicate până când nu activați izolarea entității găzduite.
Din lista derulantă Direcție permisă , selectați direcția intrării din lista de permise.
Introduceți valoarea chiriașului permis fie ca domeniu al chiriașului, fie ca ID al chiriașului în câmpul ID chiriaș . După salvare, intrarea este adăugată la lista de permisiuni împreună cu alte entități găzduite permise. Dacă utilizați domeniul entității găzduite pentru a adăuga intrarea din lista de permisiuni, centrul de administrare calculează automat ID-ul entității găzduite. Power Platform
Puteți utiliza „*” ca și caracter special pentru a indica faptul că toți chiriașii au acces în direcția desemnată atunci când izolarea chiriașilor este activată.
Selectați Salvați.
Notă
- Trebuie să aveți un rol de administrator pentru a vedea și seta politica de izolare a entității găzduite. Power Platform
- Pentru a vă asigura că izolarea chiriașului nu blochează niciun apel atunci când este utilizată, activați izolarea chiriașului , adăugați o nouă regulă pentru chiriaș, setați ID-ul chiriașului la „*” și setați direcția permisă la intrare și ieșire.
- Din cauza limitărilor tehnice, limita pentru reguli este de 500.
Puteți efectua toate operațiunile din lista de permisiuni, cum ar fi adăugarea, editarea și ștergerea, în timp ce izolarea chiriașilor este activată sau dezactivată. Intrările din lista de permisiuni au un efect asupra comportamentului conexiunii atunci când izolarea entității găzduite este dezactivată, deoarece toate conexiunile între entități găzduite sunt permise.
Impactul duratei proiectare asupra aplicațiilor și a fluxurilor
Utilizatorii care creează sau editează o resursă afectată de politica de izolare a entității găzduite văd un mesaj de eroare asociat. De exemplu, creatorii de aplicații Power Apps văd următoarea eroare atunci când utilizează conexiuni între entități într-o aplicație blocată de politicile de izolare a entităților găzduite. Aplicația nu adaugă conexiunea.
În mod similar, creatorii de Power Automate văd următoarea eroare atunci când încearcă să salveze un flux care utilizează conexiuni într-un flux blocat de politicile de izolare a entităților găzduite. Fluxul în sine este salvat, dar este marcat ca „Suspendat” și nu este executat decât dacă creatorul rezolvă încălcarea politicii de prevenire a pierderii datelor (DLP).
Impactul rulării asupra aplicațiilor și a fluxurilor
Ca administrator, puteți decide în orice moment să modificați izolarea entităților găzduite pentru entitatea dvs. găzduită. Dacă aplicațiile și fluxurile au fost create și executate în conformitate cu o politică anterioară de izolare a entităților găzduite, unele dintre ele ar putea fi afectate în mod negativ de orice modificări de politică pe care le faceți. Aplicațiile sau fluxurile care încalcă politica de izolare a entității găzduite nu rulează cu succes. De exemplu, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat. În plus, selectarea rulării eșuate afișează detalii despre eroare.
Pentru fluxurile existente care nu rulează din cauza celei mai recente politici de izolare a entităților găzduite, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat.
Selectarea execuției eșuate afișează detalii despre execuția fluxului eșuat.
Notă
Este nevoie de aproximativ o oră pentru ca cele mai recente modificări ale politicii de izolare a entităților găzduite să fie evaluate în raport cu aplicațiile și fluxurile active. Această schimbare nu este instantanee.
Probleme cunoscute
Azure DevOps Conectorul folosește Microsoft Entra autentificarea ca furnizor de identitate, dar folosește propriul OAuth flux și STS pentru autorizarea și emiterea unui token. Întrucât tokenul returnat de fluxul ADO pe baza configurației conectorului respectiv nu este de la ID-ul Microsoft Entra , politica de izolare a entității găzduite nu este aplicată. Ca măsură de atenuare, recomandăm utilizarea altor tipuri de *politici de date* pentru a limita utilizarea conectorului sau a acțiunilor acestuia. ...