Улазна и излазна ограничења у више закупаца
Microsoft Power Platform има богат екосистем конектора заснованих на Microsoft Entra томе да омогућавају овлашћеним Microsoft Entra корисницима да изграде убедљиве апликације и токове успостављајући везе са пословним подацима доступним путем ових продавница података. Изолација закупца олакшава администраторима да обезбеде да се ови конектори могу упослити на безбедан и безбедан начин унутар закупца, истовремено минимизујући ризик од извлачења података изван закупца. < ДИЦТ__изолација закупца >Тенант исолатион омогућава Power Platform администраторима да ефикасно управљају кретањем података о станарима из Microsoft Entra овлашћених извора података до и од свог станара.
Имајте на уму да Power Platform се < ДИЦТ__изолација закупца > Тенант исолатион разликује од Microsoft Entra ограничења станара широм ИД-а. То не утиче на приступ заснован на ИД-у ван Microsoft Entra Power Platform. Power Platform < ДИЦТ__изолација закупца >Тенант исолатион ради само за конекторе који користе Microsoft Entra Аутентификација заснована на ИД-у, као што је Office 365 Оутлоок или SharePoint.
Упозорење
Постоји познат проблем са Azure DevOps конектором који доводи до тога да се смернице изолације закупца не спроводе за везе успостављене помоћу овог конектора. Ако је вектор инсајдерског напада забрињавајући, препоручује се да се ограничи коришћење конектора или његових акција користећи политике података.
Подразумевана конфигурација са Power Platform < ДИЦТ__изолација закупца > Тенант исолатион Офф је да омогући да се везе између станара успоставе неприметно, ако корисник из станара А успоставља везу са станаром Б представља одговарајуће Microsoft Entra акредитиве. Ако администратори желе да дозволе само одабраном скупу закупаца да успоставе везе до свог закупца или од њега, могу да укључе изолацију закупца.
Када је изолација закупца укључена, сви закупци су ограничени. Долазни (везе са станаром од спољних станара) и одлазни (везе од станара до спољних станара) унакрсне станарске везе су блокиране Power Platform чак и ако корисник предочи важеће акредитиве за осигурану Microsoft Entra< ДИЦТ__извор података > дата соурце. Можете да користите правила за додавање изузетака.
Администратори могу да наведу експлицитну листу дозвољених закупаца за коју желе да омогуће долазне, одлазне или обе, што ће заобићи контроле изолације закупца када се конфигуришу. Администратори могу да користе посебан образац „*“ како би омогућили свим закупцима у одређеном смеру када је укључена изолација закупаца. Power Platform одбија све остале везе међу закупцима осим оних на листи дозвољених.
Изолација закупца се може конфигурисати у Power Platform центру администрације. Она утиче на Power Platform апликације са подлогом и Power Automate токове. Да бисте подесили изолацију закупца, потребно је да будете администратор закупца.
Могућност Power Platform изолације закупаца доступна је са две опције: једносмерним или двосмерним ограничењем.
Разумети < ДИЦТ__изолација закупца > Тенант исолатион сценарије и утицај
Пре него што почнете да конфигуришете < ДИЦТ__изолација закупца > Тенант исолатион ограничења, прегледајте следећу листу да бисте разумели сценарије и утицај < ДИЦТ__изолација закупца > Тенант исолатион.
- Администратор жели да укључи < ДИЦТ__изолација закупца > Тенант исолатион.
- Администратор је забринут да ће постојеће апликације и токови који користе унакрсне везе станара престати да раде.
- Администратор одлучује да омогући < ДИЦТ__изолација закупца > Тенант исолатион и дода правила изузетака како би елиминисао утицај.
- Администратор покреће извештаје о изолацији унакрсних станара како би одредио станаре који треба да буду изузети. Више информација: Водич: Креирање унакрсних < ДИЦТ__изолација закупца > Тенант исолатион извештаја (< ДИЦТ__верзија за преглед > превиеw )
Двоосмерна изолација закупца (ограничење улазне и излазне везе)
Двосмерна изолација закупца ће такође блокирати покушаје успостављања везе до вашег закупца од других закупаца. Осим тога, двосмерна изолација закупца ће такође блокирати покушаје успостављања везе вашег закупцца са осталим закупцима.
У овом сценарију, администратор закупца је омогућио двосмерну изолацију закупца на закупцу Contoso док спољни закупац Fabrikam није додат на листу дозвољених.
Корисници пријављени у Power Platform Цонтосо тенанту не могу успоставити одлазне Microsoft Entra везе засноване на ИД-у са изворима података у закупцу Фабрикам упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. То је одлазна изолација закупца за закупца Contoso.
Слично томе, корисници пријављени у Power Platform Фабрикам тенант не могу успоставити долазне Microsoft Entra везе засноване на ИД-у са изворима података у Цонтосо клијенту упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. Ово је улазна изолација закупца за закупца Contoso.
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) | Fabrikam | Не (излазни) |
| Fabrikam | Contoso (изолација закупца је укључена) | Не (улазни) |
| Fabrikam | Fabrikam | Да |
Белешка
Покушај повезивања који је покренуо гост корисник из свог станара домаћина који циља изворе података унутар истог клијента домаћина не процењује се правилима < ДИЦТ__изолација закупца > Тенант исолатион.
Изолација закупца са листама дозвољених
Једносмерна изолација закупца или улазна изолација ће блокирати покушаје успостављања везе са вашим закупцем од осталих закупаца.
Сценарио: Излазна листа дозвољених – Fabrikam се додаје на излазну листу дозвољених места закупца Contoso
У овом сценарију, администратор додаје закупца Fabrikam на излазној листи дозвољених док је изолација закупца укључена.
Корисници пријављени у Power Platform Цонтосо клијенту могу успоставити одлазне Microsoft Entra везе засноване на ИД-у са изворима података у закупцу Фабрикам ако представе одговарајуће Microsoft Entra акредитиве за успостављање везе. Успостављање излазне везе са закупца Fabrikam дозвољено је захваљујући конфигурисане ставке листе дозвољених.
Међутим, корисници пријављени у Power Platform Фабрикам тенант и даље не могу да успоставе долазне Microsoft Entra ИД-басед везе са изворима података у Цонтосо тенант упркос представљању одговарајућих Microsoft Entra акредитива за успостављање везе. Успостављање улазне везе од закупца Fabrikam још увек није дозвољено чак и када је ставка листе дозвола конфигурисана и дозвољава одлазне везе.
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) Fabrikam је додат на излазну листу дозвољених |
Fabrikam | Да |
| Fabrikam | Contoso (изолација закупца је укључена) Fabrikam је додат на излазну листу дозвољених |
Не (улазни) |
| Fabrikam | Fabrikam | Да |
Сценарио: Двосмерна листа дозвољених – Fabrikam се додаје на улазну и излазну листу дозвољених за закупца Contoso
У овом сценарију, администратор додаје закупца Fabrikam и на улазну и на излазну листу дозвољених док је изолација закупца укључена.
| Закупац креатора везе | Закупац везе за пријаву | Дозвољен је приступ? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолација закупца је укључена) Fabrikam је додат на обе листе дозвољених |
Fabrikam | Да |
| Fabrikam | Contoso (изолација закупца је укључена) Fabrikam је додат на обе листе дозвољених |
Да |
| Fabrikam | Fabrikam | Да |
Омогућавање изолације закупца и конфигурисање листе дозвољених
У Power Platform центру администрације, изолација закупца је подешена помоћу Смернице>Изолација закупца.
Белешка
Морате имати улогу администратора Power Platform да бисте видели и подесили политику < ДИЦТ__изолација закупца > Тенант исолатион.
Листа дозвољених за изолацију закупца може да се конфигурише помоћу Ново правило за закупца на страници Изолација закупца. Ако је изолација закупца искључена, можете да додате или уредите правила на листи. Међутим, ова правила се неће примењивати док не укључите изолацију закупца.
Са падајуће листе Смер правила за новог закупца одаберите смер ставке листе дозвољених ставки.
Вредност дозвољеног закупца можете унети и као домен закупца или као ID закупца. Када се сачува, ставка се додаје на листу правила заједно са другим дозвољеним закупцима. Ако користите домен закупца да бисте додали ставку листе дозвољених, Power Platform центар администрације аутоматски израчунава ID закупца.
Када се унос појави на листи, приказују се поља ИД станара и Microsoft Entra име станара. Имајте на уму да се у ИД-у Microsoft Entra име станара разликује од домена станара. Име закупца је јединствено за закупца, али закупац можда има више назива домена.
Можете да користите „*“ као посебан знак да бисте означили да су сви закупци дозвољени у назначеном смеру када је изолација закупца укључена.
Можете да уредите смер ставке листе дозвољених закупаца на основу пословних захтева. Имајте у виду да се поље Домен или ID закупца не може уређивати на страници Уређивање правила за закупца.
Можете да извршите све операције листе дозвољених датотека као што су додавање, уређивање и брисање док је изолација закупца укључена или искључена. Ставке листе дозвола утичу на понашање везе када је изолација закупца искључена, пошто су све везе између закупаца дозвољене.
Утицај времена израде на апликације и токове
Корисници који креирају или уређују ресурс на који утичу смернице за изолацију закупца видеће одговарајућу поруку о грешци. На пример, Power Apps аутори ће видети следећу грешку када користе везе између закупаца у апликацији која је блокирана смерницама за изолацију закупца. Апликација неће додати везу.
Слично томе, Power Automate аутори ће видети следећу грешку када покушају да сачувају ток који користи везе у току које су блокиране смерницама за изолацију закупаца. Сам ток ће бити сачуван, али ће бити означен као „Обустављено“ и неће се извршити осим ако аутор не разреши кршење смерница за спречавање губитка података (DLP).
Утицај извршавања на апликације и токове
Као администратор, у било ком тренутку можете одлучити да измените смернице за изолацију закупца за свог закупца. Ако су апликације и токови креирани и извршени у складу са старијим смерницама за изолацију закупца, на неке од њих могу негативно утицати све промене смерница које унесете. Апликације или токови који крше смернице за изолацију закупаца неће се успешно покренути. На пример, покретање историје у услузи Power Automate указује на то да покретање тока није успело. Поред тога, избор неуспелог покретања ће показати детаље грешке.
За постојеће токове који се не извршавају успешно због најновијих смерница за изолацију закупца, покретање историје у оквиру услуге Power Automate указује на то да ток није успео.
Избор неуспелог покретања ће показати детаље неуспелог покретања тока.
Белешка
Потребно је око сат времена да се најновије измене смерница за изолацију закупца спроведу у односу на активне апликације и токове. Ова промена се не примењује тренутно.
Познати проблеми
Azure DevOps конектор користи Microsoft Entra аутентификацију као провајдера идентитета, али користи сопствени ОАутх ток и СТС за ауторизацију и издавање токена. Пошто је токен враћен из АДО тока на основу конфигурације тог конектора није из Microsoft Entra ИД-а, политика < ДИЦТ__изолација закупца > тенант исолатион се не примењује. Као ублажавање, препоручујемо да користите друге врсте политика података како бисте ограничили употребу конектора или његових акција.