Vstupné a výstupné obmedzenia v rámci nájomníkov
Microsoft Power Platform má bohatý ekosystém konektorov založených na Microsoft Entra tom, čo umožňuje oprávneným používateľom vytvárať pútavé aplikácie a toky, ktoré vytvárajú pripojenia k obchodným Microsoft Entra údajom dostupným prostredníctvom týchto ukladacích priestorov údajov. Izolácia nájomníka uľahčuje správcom zabezpečiť, aby tieto konektory mohli byť využívané bezpečným a zabezpečeným spôsobom v rámci nájomníka, pričom sa minimalizuje riziko úniku údajov mimo nájomníka. Izolácia nájomníka umožňuje globálnym správcom a správcom efektívne riadiť presun údajov nájomníka z Power Platform autorizovaných zdrojov údajov k nájomníkovi a od nájomníka Microsoft Entra .
Upozorňujeme, že Power Platform izolácia nájomníkov sa líši od Microsoft Entra obmedzenia nájomníka v rámci celej identifikácie. Nemá vplyv Microsoft Entra na prístup založený na identifikátoroch mimo územia. Power Platform Power Platform Izolácia nájomníka funguje iba pre konektory používajúce Microsoft Entra overovanie založené na ID, ako je napríklad Office 365 Outlook alebo SharePoint.
Upozornenie
Existuje známy problém s konektorom Azure DevOps , ktorý vedie k tomu, že politika izolácie nájomníka nebude presadzovaná pre pripojenia vytvorené pomocou tohto konektora. Ak máte obavy z vektora útoku zvnútra, odporúča sa obmedziť používanie konektora alebo jeho akcií pomocou dátových politík.
Predvolená konfigurácia v Power Platform prípade vypnutej izolácie nájomníka umožňuje bezproblémové nadviazanie pripojení medzi nájomníkmi, ak používateľ z nájomníka A, ktorý nadväzuje spojenie s nájomníkom B, predloží príslušné Microsoft Entra poverenia. Ak chcú správcovia povoliť iba vybranej skupine nájomníkov vytvárať pripojenia k ich nájomníkom alebo od nich, môžu zapnúť izoláciu nájomníka.
Pri zapnutej izolácii nájomníka sú všetci nájomníci obmedzení. Prichádzajúce (pripojenia k nájomníkovi od externých nájomníkov) a odchádzajúce (pripojenia od nájomníka k externým nájomníkom) pripojenia medzi nájomníkmi sú blokované Power Platform aj v prípade, že používateľ predloží platné poverenia zabezpečenému Microsoft Entra zdroj údajov. Na pridávanie výnimiek môžete použiť pravidlá.
Správcovia môžu špecifikovať explicitný zoznam povolených nájomníkov, ktorým chcú povoliť prichádzajúce, odchádzajúce alebo obe pripojenia, čím sa pri konfigurácii obídu ovládacie prvky izolácie nájomníkov. Správcovia môžu použiť špeciálny vzor "*" na povolenie všetkých nájomníkom v určitom smere, keď je zapnutá izolácia nájomníkov. Všetky ostatné pripojenia medzi nájomníkmi okrem tých, ktoré sú v zozname povolených, zamietne Power Platform.
Izoláciu nájomníkov je možné nakonfigurovať v centre spravovania Power Platform. Ovplyvňuje aplikácie plátna Power Platform a postupy Power Automate. Ak chcete nastaviť izoláciu nájomníka, musíte byť správcom nájomníka.
Funkcia izolácie nájomníka Power Platform je k dispozícii s dvoma možnosťami: jednosmerné alebo obojsmerné obmedzenie.
Vysvetlenie scenárov izolácie nájomníkov a ich vplyvu
Skôr než začnete konfigurovať obmedzenia izolácie nájomníkov, pozrite si nasledujúci zoznam, aby ste pochopili scenáre a vplyv izolácie nájomníkov.
- Správca chce zapnúť izoláciu nájomníkov.
- Správca sa obáva, že existujúce aplikácie a postupy využívajúce pripojenia medzi nájomníkmi prestanú fungovať.
- Správca sa rozhodne povoliť izoláciu nájomníkov a pridať pravidlá výnimiek, aby sa eliminoval vplyv.
- Správca spúšťa zostavy o izolácii medzi nájomníkmi na určenie nájomníkov, ktorí musia byť vyňatí. Ďalšie informácie:Kurz: Vytvorenie zostáv o izolácii medzi nájomníkmi (ukážka)
Obojsmerná izolácia nájomníka (obmedzenie prichádzajúceho a odchádzjaúceho pripojenia)
Obojsmerná izolácia nájomníka tiež blokuje pokusy o nadviazanie spojenia k vášmu nájomníkovi od iných nájomníkov. Okrem toho, obojsmerná izolácia nájomníka tiež blokuje pokusy o nadviazanie spojenia od vášho nájomníka k iným nájomníkom.
V tomto scenári správca nájomníka povolil obojsmernú izoláciu nájomníka u nájomníka Contoso, zatiaľ čo externý nájomník Fabrikam nebol pridaný do zoznamu povolených.
Používatelia prihlásení v Power Platform nájomníkovi Contoso nemôžu vytvoriť pripojenia založené na odchádzajúcej Microsoft Entra identifikácii k zdrojom údajov v nájomníkovi Fabrikam napriek tomu, že predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Toto je izolácia odchádzajúceho nájomníka pre nájomníka Contoso.
Podobne používatelia prihlásení do Power Platform nájomníka Fabrikam nemôžu vytvoriť prichádzajúce Microsoft Entra pripojenia založené na identifikácii údajov k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Toto je izolácia prichádzajúceho nájomníka pre nájomníka Contoso.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) | Fabrikam | Nie (odchádzajúce) |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) | Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Poznámka
Pokus o pripojenie iniciovaný hosťovským používateľom z hostiteľského nájomníka, ktorý sa zameriava na zdroje údajov v rámci toho istého hostiteľského nájomníka, sa pravidlami izolácie nájomníka nevyhodnocujú.
Izolácia nájomníkov pomocou zoznamov povolených
Jednosmerná izolácia nájomníka alebo izolácia prichádzajúceho spojenia blokuje pokusy o nadviazanie spojenia s nájomníkom od ostatných nájomníkov.
Scenár: Zoznam povolených odchádzajúcich – Fabrikam sa pridá do zoznamu povolených odchádzajúcich nájomníka Contoso
V tomto scenári správca pridá nájomníka Fabrikam do zoznamu odchádzajúcich povolených, pričom izolácia nájomníka je zapnutá.
Používatelia prihlásení v Power Platform nájomníkovi Contoso môžu vytvoriť pripojenia založené na odchádzajúcej Microsoft Entra identifikácii k zdrojom údajov v nájomníkovi Fabrikam, ak predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Vytvorenie odchádzajúceho pripojenia k nájomcovi Fabrikam je povolené na základe nakonfigurovanej položky zoznamu povolených.
Používatelia prihlásení v Power Platform nájomníkovi Fabrikam však stále nemôžu vytvoriť prichádzajúce Microsoft Entra pripojenia založené na identifikácii údajov k zdrojom údajov v nájomníkovi Contoso napriek tomu, že predložia príslušné Microsoft Entra poverenia na vytvorenie pripojenia. Vytvorenie prichádzajúceho pripojenia od nájomníka Fabrikam je stále zakázané, aj keď je položka zoznamu povolených nakonfigurovaná a povoľuje odchádzajúce pripojenia.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených odchádzajúcich |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do zoznamu povolených odchádzajúcich |
Nie (prichádzajúce) |
| Fabrikam | Fabrikam | Áno |
Scenár: Obojsmerný zoznam povolených – Fabrikam sa pridá do zoznamu povolených odchádzajúcich aj prichádzajúcich nájomníka Contoso
V tomto scenári správca pridá nájomníka Fabrikam do oboch zoznamov odchádzajúcich aj prichádzajúcich povolených, pričom izolácia nájomníka je zapnutá.
| Nájomník tvorcu pripojenia | Nájomník prihlásenia na pripojenie | Prístup je povolený? |
|---|---|---|
| Contoso | Contoso | Áno |
| Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Fabrikam | Áno |
| Fabrikam | Contoso (izolácia nájomníkov zapnutá) Fabrikam bol pridaný do oboch zoznamov povolených |
Áno |
| Fabrikam | Fabrikam | Áno |
Povolenie izolácie nájomníka a konfigurácia zoznamu povolených
V centre spravovania Power Platform sa izolácia nájomníka nastavuje v časti Politiky>Izolácia nájomníka.
Poznámka
Ak chcete zobraziť a nastaviť politiku izolácie nájomníkov, musíte mať rolu globálneho správcu alebo rolu Power Platform správcu.
Zoznam povolených izolácie nájomníka je možné nakonfigurovať pomocou položky Nové pravidlo týkajúce sa nájomníka na stránke Izolácia nájomníka . Ak je izolácia nájomníka vypnutá, môžete pridať alebo upraviť pravidlá v zozname. Tieto pravidlá sa však nebudú vynucovať, kým nezapnete izoláciu nájomníka.
V rozbaľovacom zozname Smer nového pravidla nájomníka vyberte smer položky zoznamu povolených.
Môžete tiež zadať hodnotu povoleného nájomníka ako doménu nájomníka alebo ID nájomníka. Po uložení sa záznam pridá do zoznamu pravidiel spolu s ostatnými povolenými nájomníkmi. Ak na pridanie položky zoznamu povolených použijete doménu nájomníka, centrum spravovania Power Platform automaticky vypočíta ID nájomníka.
Po zobrazení položky v zozname sa zobrazia polia ID nájomníka a meno nájomníka Microsoft Entra . Všimnite si, že v ID Microsoft Entra sa názov nájomníka líši od domény nájomníka. Názov nájomníka je pre nájomníka jedinečný, ale nájomník môže mať viac ako jeden názov domény.
Môžete použiť „*“ ako špeciálny znak na označenie, že všetci nájomníci sú povolení v určenom smere, keď je izolácia nájomníkov zapnutá.
Smer položky zoznamu povolených nájomníkov môžete upraviť na základe obchodných požiadaviek. Upozorňujeme, že pole Doména alebo ID nájomníka nemožno upraviť na stránke Upraviť pravidlo nájomníka.
Môžete vykonávať všetky operácie so zoznamom povolených, ako je pridávanie, upravovanie a odstraňovanie, keď je izolácia nájomníkov zapnutá alebo vypnutá. Položky zoznamu povolených majú vplyv na správanie pripojenia, keď je izolácia nájomníkov vypnutá , pretože sú povolené všetky pripojenia medzi nájomníkmi.
Vplyv času návrhu na aplikácie a postupy
Používateľom, ktorí vytvoria alebo upravia zdroj ovplyvnený politikou izolácie nájomníka, sa zobrazí súvisiace chybové hlásenie. Tvorcovia Power Apps napríklad uvidia nasledujúcu chybu, keď budú v aplikácii používať pripojenia v rámci nájomníkov, ktoré je blokované politikami izolácie nájomníka. Aplikácia nepridá pripojenie.
Podobne platí, že tvorcovia aplikácií Power Automate uvidia nasledujúcu chybu, keď sa budú snažiť uložiť postup, ktorý využíva pripojenia v postupe, ktorý je zablokovaný politikami izolácie nájomníka. Samotný postup sa uloží, ale bude označený ako „Pozastavené“ a nebude spustený, pokiaľ tvorca nevyrieši politiku ochrany pred únikom údajov (DLP).
Vplyv času spustenia na aplikácie a postupy
Ako správca sa môžete kedykoľvek rozhodnúť, že zmeníte politiky izolácie nájomníka pre svojho nájomníka v akomkoľvek bode. Ak boli aplikácie a postupy vytvorené a spustené v súlade s predchádzajúcimi politikami izolácie nájomníka, niektoré z nich môžu byť negatívne ovplyvnené vykonanými zmenami v rámci politiky. Aplikácie alebo postupy, ktoré porušujú politiku izolácie nájomníkov, sa nespustia úspešne. Napríklad história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo. Ďalej, výber neúspešného spustenia zobrazí podrobnosti o chybe.
Pre existujúce postupy, ktoré sa nespúšťajú úspešne z dôvodu najnovšej politiky izolácie nájomníka, história spustenia v rámci Power Automate označuje, že spustenie postupu zlyhalo.
Výber neúspešného spustenia zobrazí podrobnosti o zlyhanom spustení postupu.
Poznámka
Posúdenie najnovších zmien politiky izolácie nájomníka pre aktívne aplikácie a postupy trvá približne hodinu. Táto zmena nebude okamžitá.
Známe problémy
Azure DevOps konektor používa autentifikáciu ako poskytovateľa identity, ale používa Microsoft Entra vlastný tok OAuth a STS na autorizáciu a vydanie tokenu. Keďže token vrátený z postupu ADO na základe konfigurácie konektora nie je z Microsoft Entra ID, politika izolácie nájomníka sa nevynucuje. Na zmiernenie odporúčame použiť iné typy zásad týkajúcich sa údajov na obmedzenie používania konektora alebo jeho akcií.