Vhodne in odhodne omejitve med najemniki
Microsoft Power Platform ima bogat ekosistem konektorjev, ki temeljijo na Microsoft Entra ki pooblaščenim Microsoft Entra uporabnikom omogočajo izdelavo privlačnih aplikacij in tokov, ki vzpostavljajo povezave do poslovnih podatkov, ki so na voljo prek teh podatkovnih shramb. Osamitev najemnika olajša skrbnikom zagotavljanje, da je te priključke mogoče varno in zaščiteno izkoristiti znotraj najemnika, hkrati pa čim bolj zmanjšajo tveganje nepooblaščenega filtriranja podatkov izven najemnika. Osamitev najemnika omogoča Power Platform skrbnikom, da učinkovito upravljajo pretok podatkov o najemnikih od Microsoft Entra pooblaščenih virov podatkov do in od svojega najemnika.
Upoštevajte, da se Power Platform osamitev najemnika razlikuje od Microsoft Entra omejitve najemnika v celotnem ID-ju. To ne vpliva Microsoft Entra na dostop na podlagi ID-ja zunaj Power Platform. Power Platform osamitev najemnika deluje samo za konektorje, ki uporabljajo Microsoft Entra preverjanje pristnosti na podlagi ID-ja, kot je Office 365 Outlook ali SharePoint.
Opozorilo
Obstaja znana težava s priključkom Azure DevOps, zaradi česar se pravilnik o osamitvi najemnika ne uveljavlja za povezave, vzpostavljene s tem priključkom. Če je vektor notranjih napadov zaskrbljujoč, je priporočljivo omejiti uporabo konektorja ali njegovih dejanj s podatkovnimi pravilniki.
Privzeta konfiguracija v Power Platform z osamitev najemnika Off je omogočiti nemoteno vzpostavitev povezav med najemniki, če uporabnik iz najemnika A vzpostavlja povezavo najemniku B predloži ustrezne Microsoft Entra pooblastila. Če želijo skrbniki dovoliti samo izbranemu nizu najemnikov, da vzpostavijo povezave z najemnikom ali iz njega, lahko vklopijo osamitev najemnika.
Če je osamitev najemnika vklopljena, so vsi najemniki omejeni. Dohodne (povezave do najemnika od zunanjih najemnikov) in izhodne (povezave od najemnika do zunanjih najemnikov) mednajemniške povezave blokira Power Platform tudi če uporabnik predloži veljavne poverilnice Microsoft Entra-zavarovano vir podatkov. Za dodajanje izjem lahko uporabite pravila.
Skrbniki lahko določijo izrecni seznam dovoljenih najemnikov, za katere želijo omogočiti dohodne povezave, odhodne povezave ali obe vrsti povezav, s čimer zaobidejo kontrolnike osamitve najemnika, ko je konfigurirana. Skrbniki lahko uporabijo poseben vzorec »*«, da dovolijo vse najemnike v določeni smeri, ko je vklopljena osamitev najemnika. Power Platform zavrne vse druge povezave med najemniki, razen tistih na seznamu dovoljenih.
Osamitev najemnika je mogoče konfigurirati v skrbniškem središču za Power Platform. Vpliva na aplikacije s platnom Power Platform in tokove Power Automate. Če želite nastaviti osamitev najemnika, morate biti skrbnik najemnika.
Možnost izolacije najemnikov v storitvi Power Platform je na voljo z dvema možnostma: enosmerno ali dvosmerno omejitvijo.
Razumeti osamitev najemnika scenarije in vpliv
Preden začnete konfigurirati omejitve osamitev najemnika, preglejte naslednji seznam, da boste razumeli scenarije in vpliv osamitev najemnika.
- Skrbnik želi vklopiti osamitev najemnika.
- Skrbnika skrbi, da bodo obstoječe aplikacije in tokovi, ki uporabljajo povezave med najemniki, nehali delovati.
- Skrbnik se odloči omogočiti osamitev najemnika in dodati pravila za izjeme, da odpravi vpliv.
- Skrbnik zažene poročila o izolaciji med najemniki, da določi najemnike, ki jih je treba izvzeti. Več informacij: Vadnica: Ustvarite navzkrižna poročila osamitev najemnika (predogledna različica)
Dvosmerna izolacija najemnika (omejitev vhodne in odhodne povezave)
Dvosmerna osamitev najemnika bo blokirala tudi poskuse vzpostavitve povezave drugih najemnikov z vašim najemnikom. Dvosmerna izolacija najemnika bo blokirala tudi poskuse vzpostavitve povezave vašega najemnika z drugimi najemniki.
V tem scenariju je skrbnik najemnika omogočil dvosmerno osamitev najemnika v najemniku Contoso, zunanji najemnik Fabrikam pa ni bil dodan na seznam dovoljenih.
Uporabniki, prijavljeni v Power Platform v najemniku Contoso, ne morejo vzpostaviti odhodnih Microsoft Entra povezav na podlagi ID-ja z viri podatkov v najemniku Fabrikam, čeprav so predložili ustrezne Microsoft Entra poverilnice vzpostavi povezavo. To je odhodna osamitev najemnika za najemnika Contoso.
Podobno uporabniki, prijavljeni v Power Platform v najemniku Fabrikam, ne morejo vzpostaviti vhodnih Microsoft Entra povezav na podlagi ID-ja z viri podatkov v najemniku Contoso, kljub temu, da so predstavili ustrezne Microsoft Entra poverilnice za vzpostavitev povezave. To je dohodna osamitev najemnika za najemnika Contoso.
Najemnik – ustvarjalec povezave | Najemnik – prijavljeni v povezavo | Ali je dostop dovoljen? |
---|---|---|
Contoso | Contoso | Da |
Contoso (osamitev najemnika je vklopljena) | Fabrikam | Ne (odhodno) |
Fabrikam | Contoso (osamitev najemnika je vklopljena) | Ne (dohodno) |
Fabrikam | Fabrikam | Da |
opomba,
Pravila osamitev najemnika ne ovrednotijo poskusa povezave, ki ga sproži gostujoči uporabnik iz svojega najemnika gostitelja, ki cilja na vire podatkov znotraj istega najemnika gostitelja.
Osamitev najemnika s seznami dovoljenih najemnikov
Enosmerna izolacija najemnika ali vhodna izolacija blokira poskuse vzpostavitve povezave z vašim najemnikom s strani drugih najemnikov.
Scenarij: Odhodni seznam dovoljenih najemnikov – Fabrikam je dodan na odhodni seznam dovoljenih najemnikov najemnika Contoso
V tem scenariju doda skrbnik najemnika Fabrikam na odhodni seznam dovoljenih najemnikov, medtem ko je osamitev najemnika Vklopljena.
Uporabniki, prijavljeni v Power Platform v najemniku Contoso, lahko vzpostavijo odhodne Microsoft Entra povezave na podlagi ID-ja z viri podatkov v najemniku Fabrikam, če predložijo ustrezne Microsoft Entra poverilnice za vzpostavitev povezava. Vzpostavitev odhodne povezave z najemnikom Fabrikam je dovoljena na podlagi konfiguriranega vnosa na seznam dovoljenih najemnikov.
Vendar pa uporabniki, prijavljeni v Power Platform v najemniku Fabrikam, še vedno ne morejo vzpostaviti vhodnih Microsoft Entra povezav na podlagi ID-ja z viri podatkov v najemniku Contoso, čeprav so predstavili ustrezne Microsoft Entra poverilnice za vzpostavitev povezave. Vzpostavitev dohodne povezave iz najemnika Fabrikam še vedno ni dovoljena, čeprav je konfiguriran vnos na seznamu dovoljenih in dovoljuje odhodne povezave.
Najemnik – ustvarjalec povezave | Najemnik – prijavljeni v povezavo | Ali je dostop dovoljen? |
---|---|---|
Contoso | Contoso | Da |
Contoso (osamitev najemnika je vklopljena) Fabrikam je dodan na seznam dovoljenih odhodnih povezav |
Fabrikam | Da |
Fabrikam | Contoso (osamitev najemnika je vklopljena) Fabrikam je dodan na seznam dovoljenih odhodnih povezav |
Ne (dohodno) |
Fabrikam | Fabrikam | Da |
Scenarij: Dvosmerni seznam dovoljenih najemnikov – Fabrikam je dodan na seznam dovoljenih dohodnih in odhodnih povezav najemnika Contoso
V tem scenariju doda skrbnik najemnika Fabrikam tako na seznam dovoljenih odhodnih kot tudi dohodnih povezav, medtem ko je osamitev najemnika Vklopljena.
Najemnik – ustvarjalec povezave | Najemnik – prijavljeni v povezavo | Ali je dostop dovoljen? |
---|---|---|
Contoso | Contoso | Da |
Contoso (osamitev najemnika je vklopljena) Fabrikam je dodan na oba seznama dovoljenih povezav |
Fabrikam | Da |
Fabrikam | Contoso (osamitev najemnika je vklopljena) Fabrikam je dodan na oba seznama dovoljenih povezav |
Da |
Fabrikam | Fabrikam | Da |
Omogoči osamitev najemnika in konfiguriraj seznam dovoljenih povezav
V skrbniškem središču za Power Platform je osamitev najemnika nastavljena z možnostma Pravilniki>Osamitev najemnika.
opomba,
Za ogled in nastavitev pravilnika osamitev najemnika morate imeti Power Platform skrbniško vlogo.
Seznam dovoljenih povezav za osamitev najemnika je mogoče konfigurirati z uporabo možnosti Novo pravilo najemnika na strani Osamitev najemnika . Če je osamitev najemnika izklopljena, lahko dodate ali urejate pravila na seznamu. Vendar ta pravila ne bodo uveljavljena, dokler za osamitev najemnika ne izberete možnosti Vklopi.
Na spustnem seznamu Nova smer pravila za najemnika izberite smer vnosa na seznam dovoljenih.
Vnesete lahko tudi vrednost dovoljenega najemnika kot domeno najemnika ali ID najemnika. Ko je vnos shranjen, se doda na seznam pravil skupaj z drugimi dovoljenimi najemniki. Če za dodajanje vnosa na seznam dovoljenih uporabite domeno najemnika, skrbniško središče za Power Platform samodejno izračuna ID najemnika.
Ko se vnos prikaže na seznamu, se prikažeta polji ID najemnika in Microsoft Entra ime najemnika . Upoštevajte, da se v Microsoft Entra ID ime najemnika razlikuje od domene najemnika. Ime najemnika je enolično za najemnika, vendar ima lahko najemnik več imen domene.
Kot poseben znak lahko uporabite »*«, da označite, da so vsi najemniki dovoljeni v določeni smeri, ko je osamitev najemnikov vklopljena.
Na podlagi poslovnih zahtev lahko uredite smer vnosa na seznam dovoljenih najemnikov. Upoštevajte, da polja Domena ali ID najemnika ni mogoče urejati na strani Urejanje pravila najemnika .
Izvajate lahko vse operacije seznama dovoljenih, kot so dodajanje, urejanje in brisanje, medtem ko je osamitev najemnika nastavljena na Vklopi ali Izklopi. Vnosi na seznamu dovoljenih vplivajo na vedenje povezave, ko je osamitev najemnika nastavljena na Izklopi, saj so dovoljene vse povezave med najemniki.
Vpliv na aplikacije in poteke v času načrtovanja
Uporabnikom, ki ustvarjajo ali urejajo vir, na katerega vpliva pravilnik o osamitvi najemnika, se bo prikazalo povezano sporočilo o napaki. Ko bodo na primer ustvarjalci v storitvi Power Apps v aplikaciji uporabili priključke med najemniki v aplikaciji, ki je blokirana s pravilniki o osamitvi najemnika, se jim bo prikazala naslednja napaka. Aplikacija ne bo dodala povezave.
Podobno se bo ta napaka prikazala ustvarjalcem v storitvi Power Automate, ko bodo poskušali shraniti tok, ki uporablja povezave v toku, ki je blokiran s pravilniki o osamitvi najemnika. Sam tok bo shranjen, vendar bo označen kot »Začasno prekinjen« in se ne bo izvedel, dokler ustvarjalec ne odpravi kršitve pravilnika o preprečitvi izgube podatkov.
Vpliv na aplikacije in poteke med izvajanjem
Kot skrbnik se lahko kadar koli odločite, da boste spremenili pravilnike o osamitvi najemnika za svoje najemnike. Če so bile aplikacije in tokovi ustvarjeni in izvedeni v skladu s prejšnjim pravilnikom o osamitvi najemnika, lahko kakršne koli spremembe pravilnika negativno vplivajo na nekatere od njih. Aplikacije ali tokovi, ki kršijo pravilnik o osamitvi najemnika, se ne bodo uspešno izvajali. Na primer, zgodovina izvajanja znotraj Power Automate označuje, da izvajanje toka ni bilo uspešno. Poleg tega bodo, če izberete neuspešno izvedbo, prikazane podrobnosti o napaki.
Za obstoječe tokove, ki se ne izvajajo uspešno zaradi najnovejšega pravilnika o osamitvi najemnika, zgodovina izvajanja znotraj Power Automate označuje, da izvajanje toka ni bilo uspešno.
Če izberete neuspešno izvedbo, bodo prikazane podrobnosti o neuspešnem izvajanju toka.
opomba,
Traja približno eno uro, da se najnovejše spremembe pravilnika o osamitvi najemnikov ocenijo glede na aktivne aplikacije in tokove. Ta sprememba ni takojšnja.
Znane težave
Azure DevOps konektor uporablja Microsoft Entra preverjanje pristnosti kot ponudnika identitete, vendar uporablja lasten tok OAuth in STS za avtorizacijo in izdajo žetona. Ker žeton, vrnjen iz toka ADO na podlagi te konfiguracije povezovalnika, ni iz Microsoft Entra ID, pravilnik osamitev najemnika ni uveljavljen. Kot ublažitev priporočamo uporabo drugih vrst podatkovnih pravilnikov za omejitev uporabe konektorja ali njegovih dejanj.