Входящие и исходящие ограничения между клиентами
Microsoft Power Platform имеет богатую экосистему соединителей на основе Microsoft Entra, которые позволяют авторизованным пользователям Microsoft Entra создавать привлекательные приложения и потоки, устанавливающие связи с бизнес-данными, которые доступны посредством этих хранилищ данных. Изоляция клиента упрощает для администраторов обеспечение безопасного и надежного использования этих соединителей внутри клиента, сводя при этом к минимуму риск утечки данных за пределы клиента. Изоляция клиентов позволяет глобальным администраторам и администраторам Power Platform эффективно управлять перемещением данных клиентов из авторизованных источников данных Microsoft Entra для своего клиента и от него.
Обратите внимание, что изоляция клиента Power Platform отличается от ограничения клиентов в масштабе Microsoft Entra ID. Это не влияет на доступ на основе Microsoft Entra ID вне Power Platform. Изоляция клиента Power Platform работает только для соединителей, использующих аутентификацию на основе Microsoft Entra ID, например Office 365 Outlook или SharePoint.
Предупреждение
Есть известная проблема с соединителем Azure DevOps, которая приводит к тому, что политика изоляции клиента не применяется для подключений, установленных с помощью этого соединителя. Если вас беспокоит вектор внутренней атаки, рекомендуется ограничить использование соединителя или его действий с помощью политик данных.
Конфигурация по умолчанию в Power Platform с изоляцией клиентов Выключено заключается в том, чтобы позволить беспрепятственно устанавливать соединения между клиентами, если пользователь из клиента A, устанавливающий соединение с клиентом B, представляет соответствующие учетные данные Microsoft Entra. Если администраторы хотят разрешить только избранному набору клиентов устанавливать подключения к своему клиенту или от него, они могут включить изоляцию клиентов Включено.
С изоляцией клиента в состоянии Вкл.все клиенты ограничены. Входящие (подключения к клиенту от внешних клиентов) и исходящие (подключения от клиента к внешним клиентами) соединения между клиентами блокируются со стороны Power Platform, даже если пользователь предоставляет действительные учетные данные для источника данных с защитой Microsoft Entra. Вы можете использовать правила для добавления исключений.
Администраторы могут указать явный список разрешений клиентов, для которых они хотят включить, входящие, исходящие или и те, и другие подключения, что позволит обойти элементы управления изоляцией клиентов при настройке. Администраторы могут использовать специальный шаблон "*", чтобы разрешить всех клиентов в определенном направлении, когда включена изоляция клиентов. Все остальные соединения между клиентами кроме тех, что указаны в белом списке, отклоняются со стороны Power Platform.
Изоляцию клиентов можно настроить в центре администрирования Power Platform. Это влияет на приложения на основе холста Power Platform и потоки Power Automate. Чтобы настроить изоляцию клиентов, вы должны быть администратором клиента.
Возможность изоляции клиента Power Platform доступна с двумя вариантами: одностороннее или двустороннее ограничение.
Понимание сценариев изоляции клиентов и их последствий
Прежде чем приступить к настройке ограничений изоляции клиентов, просмотрите следующий список, чтобы понять сценарии и влияние изоляции клиентов.
- Администратор хочет включить изоляцию клиента.
- Администратор обеспокоен тем, что существующие приложения и потоки, использующие перекрестные подключения клиентов, перестанут работать.
- Администратор решает включить изоляцию клиентов и добавить правила исключений, чтобы устранить влияние.
- Администратор запускает отчеты об изоляции между клиентами, чтобы определить клиентов, которых необходимо исключить. Дополнительные сведения: Учебник. Создание отчетов об изоляции между клиентами (предварительная версия)
Двусторонняя изоляция клиента (ограничение входящего и исходящего соединения)
Двусторонняя изоляция клиентов заблокирует попытки подключения к вашему клиенту от других клиентов. Дополнительно, двусторонняя изоляция клиента также заблокирует попытки установления соединения от вашего клиента к другим клиентам.
В этом сценарии администратор клиента включил двустороннюю изоляцию клиента для клиента Contoso, а внешний клиент Fabrikam не был добавлен в список разрешений.
Пользователи, вошедшие в Power Platform в клиенте Contoso, не могут установить исходящие подключения на основе Microsoft Entra ID к источникам данных в клиенте Fabrikam, хотя они предоставляют правильные учетные данные Microsoft Entra для установления соединения. Это исходящая изоляция клиента для клиента Contoso.
Аналогичным образом, пользователи, вошедшие в Power Platform в клиенте Fabrikam, не могут установить входящие подключения на основе Microsoft Entra ID к источникам данных в клиенте Contoso, хотя они предоставляют правильные учетные данные Microsoft Entra для установления соединения. Это входящая изоляция клиента для клиента Contoso.
| Клиент создателя подключения | Клиент входа в подключение | Доступ разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изоляция клиента Вкл) | Fabrikam | Нет (исходящее) |
| Fabrikam | Contoso (изоляция клиента Вкл) | Нет (входящее) |
| Fabrikam | Fabrikam | Да |
Заметка
Попытка подключения, инициированная пользователем-гостем из узла клиента, нацеленная на источники данных в пределах того же узла клиента, не оценивается правилами изоляции арендатора.
Изоляция клиента с помощью списков разрешений
Односторонняя изоляция клиента или входящая изоляция заблокирует попытки установления соединения вашего клиента от других клиентов.
Ситуация. Исходящий список разрешений — Fabrikam добавляется в исходящий список разрешений клиента Contoso
В этом сценарии администратор добавляет клиента Fabrikam в исходящий список разрешений, в то время как изоляция клиента включена.
Пользователи, вошедшие в Power Platform в клиенте Contoso, могут установить исходящие подключения на основе Microsoft Entra ID к источникам данных в клиенте Fabrikam, если они предоставляют правильные учетные данные Microsoft Entra для установления соединения. Установление исходящего подключения к клиенту Fabrikam разрешено на основании настроенной записи списка разрешений.
Однако пользователи, вошедшие в Power Platform в клиенте Fabrikam, по-прежнему не могут установить входящие подключения на основе Microsoft Entra ID к источникам данных в клиенте Contoso, хотя они предоставляют правильные учетные данные Microsoft Entra для установления соединения. Установление входящего соединения от клиента Fabrikam по-прежнему запрещено, даже если запись списка разрешений настроена и разрешает исходящие соединения.
| Клиент создателя подключения | Клиент входа в подключение | Доступ разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изоляция клиента Вкл) Fabrikam добавлен в исходящий список разрешений |
Fabrikam | Да |
| Fabrikam | Contoso (изоляция клиента Вкл) Fabrikam добавлен в исходящий список разрешений |
Нет (входящее) |
| Fabrikam | Fabrikam | Да |
Ситуация. Двунаправленный список разрешений — Fabrikam добавляется в исходящий и входящий списки разрешений клиента Contoso
В этом сценарии администратор добавляет клиента Fabrikam в исходящий и входящий списки разрешений, в то время как изоляция клиента включена.
| Клиент создателя подключения | Клиент входа в подключение | Доступ разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изоляция клиента Вкл) Fabrikam добавлен в оба списка разрешений |
Fabrikam | Да |
| Fabrikam | Contoso (изоляция клиента Вкл) Fabrikam добавлен в оба списка разрешений |
Да |
| Fabrikam | Fabrikam | Да |
Включить изоляцию клиента и настроить список разрешений
В центре администрирования Power Platform изоляция клиента установлена с помощью Политики>Изоляция клиента.
Заметка
У вас должна быть роль "Глобальный администратор" или роль "Администратор Power Platform", чтобы просматривать и настраивать политику изоляции клиента.
Список разрешений изоляции клиента можно настроить с помощью Создать правило клиента на странице Изоляция клиента. Если изоляция клиента выключена, вы можете добавлять или редактировать правила в списке. Однако эти правила не будут применяться, пока вы не включите изоляцию клиента.
В раскрывающемся списке Создать правило клиента выберите направление записи списка разрешений.
Вы также можете ввести значение разрешенного клиента в качестве домена клиента или идентификатора клиента. После сохранения запись добавляется в список правил вместе с другими разрешенными клиентами. Если вы используете домен клиента для добавления записи в список разрешений, центр администрирования Power Platform автоматически вычисляет идентификатор клиента.
Как только запись появится в списке, отображаются поля Идентификатор клиента и Имя клиента Microsoft Entra. Обратите внимание, что в Microsoft Entra ID имя клиента отличается от домена клиента. Имя клиента уникально для клиента, но у клиента может быть несколько доменных имен.
Вы можете использовать "*" в качестве специального символа, указывающего, что всем клиентам разрешено двигаться в указанном направлении, когда изоляция клиента включена.
Вы можете изменить направление записи списка разрешений клиента в зависимости от бизнес-требований. Обратите внимание, что поле Домен или идентификатор клиента не может быть отредактировано на странице Изменить правило клиента.
Вы можете выполнять все операции со списками разрешений, такие как добавление, редактирование и удаление, когда изоляция клиента включена или выключена. Записи списка разрешений влияют на поведение подключения, когда изоляция клиента выключена, поскольку разрешены все соединения между клиентами.
Влияние этапа разработки на приложения и потоки
Пользователи, которые создают или редактируют ресурс, на который распространяется политика изоляции клиента, увидят соответствующее сообщение об ошибке. Например, создатели Power Apps увидят следующую ошибку, когда они используют соединения между клиентами в приложении, которое заблокировано политиками изоляции клиентов. Приложение не добавит соединение.
Аналогично, создатели Power Automate увидят следующую ошибку, когда попытаются сохранить поток, использующий соединения в потоке, который заблокирован политиками изоляции клиентов. Сам поток будет сохранен, но он будет помечен как «Приостановлено» и не будет выполняться, пока создатель не устранит нарушение политики защиты от потери данных (DLP).
Влияние этапа выполнения на приложения и потоки
Как администратор вы можете изменить политики изоляции клиента в любой момент. Если приложения и потоки были созданы и выполнены в соответствии с более ранними политиками изоляции клиентов, на некоторые из них могут негативно повлиять любые изменения политики, которые вы вносите. Приложения или потоки, нарушающие политику изоляции клиента, не будут работать успешно. Например, журнал выполнения в Power Automate указывает на сбой выполнения потока. Кроме того, при выборе неудачного запуска будут показаны сведения об ошибке.
Для существующих потоков, которые не выполняются успешно из-за последней политики изоляции клиентов, журнал выполнения в Power Automate указывает на сбой выполнения потока.
При выборе неудачного запуска будут показаны сведения о выполнении потока с ошибкой.
Заметка
Для оценки последних изменений политики изоляции клиентов в отношении активных приложений и потоков требуется около часа. Это изменение не мгновенное.
Известные проблемы
Соединитель Azure DevOps использует аутентификацию Microsoft Entra в качестве поставщика удостоверений, но использует собственный поток OAuth и STS для авторизации и выдачи токена. Поскольку токен, возвращаемый из потока ADO на основе конфигурации этого соединителя, не принадлежит к Microsoft Entra ID, политика изоляции клиента не применяется. В качестве меры по устранению рисков мы рекомендуем использовать другие типы политик данных для ограничения использования этого соединителя или его действий.