Vstupné a výstupné obmedzenia v rámci nájomníkov
Microsoft Power Platform má bohatý ekosystém konektorov založených na Microsoft Entra , ktoré umožňujú autorizovaným Microsoft Entra používateľom vytvárať pôsobivé aplikácie a toky vytvárajúce spojenia s obchodnými údajmi dostupnými prostredníctvom týchto dátových úložísk. Izolácia nájomníka uľahčuje správcom zabezpečiť, aby tieto konektory mohli byť využívané bezpečným a zabezpečeným spôsobom v rámci nájomníka, pričom sa minimalizuje riziko úniku údajov mimo nájomníka. Izolácia nájomníka umožňuje Power Platform správcom efektívne riadiť pohyb údajov nájomníkov z Microsoft Entra autorizovaných zdrojov údajov k ich nájomníkom a od nich.
Upozorňujeme, že Power Platform izolácia nájomníka sa líši od Microsoft Entra obmedzenia nájomníkov v rámci celého ID. nemá vplyv Microsoft Entra prístup založený na ID mimo Power Platform. Power Platform izolácia nájomníka funguje iba pre konektory používajúce Microsoft Entra overenie založené na ID, ako napríklad Office 365 Outlook alebo SharePoint.
Upozornenie
Existuje známy problém s konektorom Azure DevOps , ktorý vedie k tomu, že politika izolácie nájomníka nebude presadzovaná pre pripojenia vytvorené pomocou tohto konektora. Ak ide o vektor útoku zasvätených osôb, odporúča sa obmedziť používanie konektora alebo jeho akcií pomocou údajových politík.
Predvolená konfigurácia v Power Platform s izolácia nájomníka Vypnuté umožňuje bezproblémové vytvorenie pripojení medzi nájomníkmi, ak používateľ z nájomníka A vytvára pripojenie nájomcovi B predloží príslušné Microsoft Entra poverovacie údaje. Ak chcú správcovia povoliť iba vybranej skupine nájomníkov vytvárať pripojenia k ich nájomníkom alebo od nich, môžu zapnúť izoláciu nájomníka.
Pri zapnutej izolácii nájomníka sú všetci nájomníci obmedzení. Prichádzajúce (pripojenia k nájomníkovi od externých nájomníkov) a odchádzajúce (pripojenia od nájomníka k externým nájomníkom) pripojenia medzi nájomníkmi sú blokované Power Platform aj keď používateľ predloží platné prihlasovacie údaje k Microsoft Entra-zabezpečené zdroj údajov. Na pridávanie výnimiek môžete použiť pravidlá.
Správcovia môžu špecifikovať explicitný zoznam povolených nájomníkov, ktorým chcú povoliť prichádzajúce, odchádzajúce alebo obe pripojenia, čím sa pri konfigurácii obídu ovládacie prvky izolácie nájomníkov. Správcovia môžu použiť špeciálny vzor "*" na povolenie všetkých nájomníkom v určitom smere, keď je zapnutá izolácia nájomníkov. Všetky ostatné pripojenia medzi nájomníkmi okrem tých, ktoré sú v zozname povolených, zamietne Power Platform.
Izoláciu nájomníkov je možné nakonfigurovať v centre spravovania Power Platform. Ovplyvňuje aplikácie plátna Power Platform a postupy Power Automate. Ak chcete nastaviť izoláciu nájomníka, musíte byť správcom nájomníka.
Funkcia izolácie nájomníka Power Platform je k dispozícii s dvoma možnosťami: jednosmerné alebo obojsmerné obmedzenie.
Pochopte izolácia nájomníka scenáre a dopady
Skôr ako začnete konfigurovať obmedzenia izolácia nájomníka, prečítajte si nasledujúci zoznam, aby ste pochopili scenáre a vplyv izolácia nájomníka.
- Správca chce zapnúť izolácia nájomníka.
- Správca sa obáva, že existujúce aplikácie a toky využívajúce pripojenia medzi nájomníkmi prestanú fungovať.
- Správca sa rozhodne povoliť izolácia nájomníka a pridať pravidlá výnimiek, aby eliminoval dopad.
- Správca spúšťa správy o izolácii medzi nájomníkmi, aby určil nájomníkov, ktorých je potrebné vyňať. Viac informácií: Výukový program: Vytváranie krížových izolácia nájomníka prehľadov (verzia Preview)
Obojsmerná izolácia nájomníka (obmedzenie prichádzajúceho a odchádzjaúceho pripojenia)
Obojsmerná izolácia nájomníka tiež blokuje pokusy o nadviazanie spojenia k vášmu nájomníkovi od iných nájomníkov. Okrem toho, obojsmerná izolácia nájomníka tiež blokuje pokusy o nadviazanie spojenia od vášho nájomníka k iným nájomníkom.
V tomto scenári správca nájomníka povolil obojsmernú izoláciu nájomníka u nájomníka Contoso, zatiaľ čo externý nájomník Fabrikam nebol pridaný do zoznamu povolených.
Používatelia prihlásení do Power Platform v nájomníkovi Contoso nemôžu vytvoriť odchádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Fabrikam napriek tomu, že predložia príslušné Microsoft Entra poverenia nadviazať spojenie. Toto je izolácia odchádzajúceho nájomníka pre nájomníka Contoso.
Podobne používatelia prihlásení do Power Platform v nájomníkovi Fabrikam nemôžu vytvoriť prichádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložili vhodné Microsoft Entra poverenia na vytvorenie spojenia. Toto je izolácia prichádzajúceho nájomníka pre nájomníka Contoso.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) | Fabrikam | Nie (odchádzajúce) |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) | Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Poznámka
Pokus o pripojenie iniciovaný hosťom z jeho nájomníka hostiteľa so zacielením na zdroje údajov v rámci toho istého nájomníka hostiteľa nie je hodnotený pravidlami izolácia nájomníka.
Izolácia nájomníkov pomocou zoznamov povolených
Jednosmerná izolácia nájomníka alebo izolácia prichádzajúceho spojenia blokuje pokusy o nadviazanie spojenia s nájomníkom od ostatných nájomníkov.
Scenár: Zoznam povolených odchádzajúcich – Fabrikam sa pridá do zoznamu povolených odchádzajúcich nájomníka Contoso
V tomto scenári správca pridá nájomníka Fabrikam do zoznamu odchádzajúcich povolených, pričom izolácia nájomníka je zapnutá.
Používatelia prihlásení do Power Platform v nájomníkovi Contoso môžu vytvoriť odchádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Fabrikam, ak predložia vhodné Microsoft Entra poverenia na vytvorenie spojenie. Vytvorenie odchádzajúceho pripojenia k nájomcovi Fabrikam je povolené na základe nakonfigurovanej položky zoznamu povolených.
Používatelia prihlásení do Power Platform v nájomníkovi Fabrikam však stále nemôžu nadviazať prichádzajúce Microsoft Entra pripojenia založené na ID k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložili vhodné Microsoft Entra poverenia na vytvorenie spojenia. Vytvorenie prichádzajúceho pripojenia od nájomníka Fabrikam je stále zakázané, aj keď je položka zoznamu povolených nakonfigurovaná a povoľuje odchádzajúce pripojenia.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených odchádzajúcich |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených odchádzajúcich |
Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Scenár: Obojsmerný zoznam povolených – Fabrikam sa pridá do zoznamu povolených odchádzajúcich aj prichádzajúcich nájomníka Contoso
V tomto scenári správca pridá nájomníka Fabrikam do oboch zoznamov odchádzajúcich aj prichádzajúcich povolených, pričom izolácia nájomníka je zapnutá.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Áno |
| Fabrikam | Fabrikam | Áno |
Povolenie izolácie nájomníka a konfigurácia zoznamu povolených
V centre spravovania Power Platform sa izolácia nájomníka nastavuje v časti Politiky > Izolácia nájomníka.
Poznámka
Na zobrazenie a nastavenie politiky izolácia nájomníka musíte mať Power Platform rolu správcu.
Zoznam povolených izolácie nájomníka je možné nakonfigurovať pomocou položky Nové pravidlo týkajúce sa nájomníka na stránke Izolácia nájomníka . Ak je izolácia nájomníka vypnutá, môžete pridať alebo upraviť pravidlá v zozname. Tieto pravidlá sa však nebudú vynucovať, kým nezapnete izoláciu nájomníka.
V rozbaľovacom zozname Smer nového pravidla nájomníka vyberte smer položky zoznamu povolených.
Môžete tiež zadať hodnotu povoleného nájomníka ako doménu nájomníka alebo ID nájomníka. Po uložení sa záznam pridá do zoznamu pravidiel spolu s ostatnými povolenými nájomníkmi. Ak na pridanie položky zoznamu povolených použijete doménu nájomníka, centrum spravovania Power Platform automaticky vypočíta ID nájomníka.
Keď sa záznam zobrazí v zozname, zobrazia sa polia ID nájomníka a Microsoft Entra meno nájomníka . Všimnite si, že v Microsoft Entra ID sa názov nájomníka líši od domény nájomníka. Názov nájomníka je pre nájomníka jedinečný, ale nájomník môže mať viac ako jeden názov domény.
Môžete použiť „*“ ako špeciálny znak na označenie, že všetci nájomníci sú povolení v určenom smere, keď je izolácia nájomníkov zapnutá.
Smer položky zoznamu povolených nájomníkov môžete upraviť na základe obchodných požiadaviek. Upozorňujeme, že pole Doména alebo ID nájomníka nemožno upraviť na stránke Upraviť pravidlo nájomníka.
Môžete vykonávať všetky operácie so zoznamom povolených, ako je pridávanie, upravovanie a odstraňovanie, keď je izolácia nájomníkov zapnutá alebo vypnutá. Položky zoznamu povolených majú vplyv na správanie pripojenia, keď je izolácia nájomníkov vypnutá , pretože sú povolené všetky pripojenia medzi nájomníkmi.
Vplyv času návrhu na aplikácie a postupy
Používateľom, ktorí vytvoria alebo upravia zdroj ovplyvnený politikou izolácie nájomníka, sa zobrazí súvisiace chybové hlásenie. Tvorcovia Power Apps napríklad uvidia nasledujúcu chybu, keď budú v aplikácii používať pripojenia v rámci nájomníkov, ktoré je blokované politikami izolácie nájomníka. Aplikácia nepridá pripojenie.
Podobne platí, že tvorcovia aplikácií Power Automate uvidia nasledujúcu chybu, keď sa budú snažiť uložiť postup, ktorý využíva pripojenia v postupe, ktorý je zablokovaný politikami izolácie nájomníka. Samotný postup sa uloží, ale bude označený ako „Pozastavené“ a nebude spustený, pokiaľ tvorca nevyrieši politiku ochrany pred únikom údajov (DLP).
Vplyv času spustenia na aplikácie a postupy
Ako správca sa môžete kedykoľvek rozhodnúť, že zmeníte politiky izolácie nájomníka pre svojho nájomníka v akomkoľvek bode. Ak boli aplikácie a postupy vytvorené a spustené v súlade s predchádzajúcimi politikami izolácie nájomníka, niektoré z nich môžu byť negatívne ovplyvnené vykonanými zmenami v rámci politiky. Aplikácie alebo postupy, ktoré porušujú politiku izolácie nájomníkov, sa nespustia úspešne. Napríklad história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo. Ďalej, výber neúspešného spustenia zobrazí podrobnosti o chybe.
Pre existujúce postupy, ktoré sa nespúšťajú úspešne z dôvodu najnovšej politiky izolácie nájomníka, história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo.
Výber neúspešného spustenia zobrazí podrobnosti o zlyhanom spustení postupu.
Poznámka
Posúdenie najnovších zmien politiky izolácie nájomníka pre aktívne aplikácie a postupy trvá približne hodinu. Táto zmena nebude okamžitá.
Známe problémy
Azure DevOps konektor používa Microsoft Entra overenie ako poskytovateľ identity, ale na autorizáciu a vydanie tokenu používa vlastný OAuth tok a STS. Keďže token vrátený z toku ADO na základe konfigurácie tohto konektora nepochádza z ID Microsoft Entra , politika izolácia nájomníka sa neuplatňuje. Ako zmiernenie odporúčame použiť iné typy údajových zásad na obmedzenie používania konektora alebo jeho akcií.