Ulazna i izlazna ograničenja u više zakupaca
Microsoft Power Platform ima bogat ekosistem konektora zasnovanih na Microsoft Entra tome da omogućavaju ovlašćenim Microsoft Entra korisnicima da izgrade ubedljive aplikacije i tokove uspostavljajući veze sa poslovnim podacima dostupnim putem ovih prodavnica podataka. Izolacija zakupca olakšava administratorima da obezbede da se ovi konektori mogu uposliti na bezbedan i bezbedan način unutar zakupca, istovremeno minimizujući rizik od izvlačenja podataka izvan zakupca. Izolacija zakupca omogućava Power Platform administratorima da efikasno upravljaju kretanjem podataka stanara iz Microsoft Entra ovlašćenih izvora podataka do i od svog stanara.
Imajte na umu da Power Platform se izolacija zakupca razlikuje od Microsoft Entra ograničenja stanara širom ID-a. To ne utiče na pristup zasnovan na ID-u van Microsoft Entra Power Platform. Power Platform izolacija zakupca radi samo za konektore koji koriste Microsoft Entra Autentifikacija zasnovana na ID-u, kao što je Office 365 Outlook ili SharePoint.
Upozorenje
Postoji poznat problem sa Azure DevOps konektorom koji dovodi do toga da se smernice izolacije zakupca ne sprovode za veze uspostavljene pomoću ovog konektora. Ako je vektor insajderskog napada zabrinjavajući, preporučuje se da se ograniči korišćenje konektora ili njegovih akcija koristeći politike podataka.
Podrazumevana konfiguracija u Power Platform sa izolacija zakupca je da omogući da se unakrsne veze stanara uspostave neprimetno, ako korisnik iz stanara A uspostavljanje veze sa stanarom B predstavlja odgovarajuće Microsoft Entra akreditive. Ako administratori žele da dozvole samo odabranom skupu zakupaca da uspostave veze do svog zakupca ili od njega, mogu da uključe izolaciju zakupca.
Kada je izolacija zakupca uključena, svi zakupci su ograničeni. Dolazni (veze sa stanarom od spoljnih stanara) i odlazni (veze od stanara do spoljnih stanara) unakrsne veze stanara su blokirane Power Platform čak i ako korisnik predstavi važeće akreditive za Microsoft Entra obezbeđeni izvor podataka. Možete da koristite pravila za dodavanje izuzetaka.
Administratori mogu da navedu eksplicitnu listu dozvoljenih zakupaca za koju žele da omoguće dolazne, odlazne ili obe, što će zaobići kontrole izolacije zakupca kada se konfigurišu. Administratori mogu da koriste poseban obrazac „*“ kako bi omogućili svim zakupcima u određenom smeru kada je uključena izolacija zakupaca. Power Platform odbija sve ostale veze među zakupcima osim onih na listi dozvoljenih.
Izolacija zakupca se može konfigurisati u Power Platform centru administracije. Ona utiče na Power Platform aplikacije sa podlogom i Power Automate tokove. Da biste podesili izolaciju zakupca, potrebno je da budete administrator zakupca.
Mogućnost Power Platform izolacije zakupaca dostupna je sa dve opcije: jednosmernim ili dvosmernim ograničenjem.
Razumeti scenarije i uticaj izolacija zakupca
Pre nego što počnete da konfigurišete ograničenja izolacije zakupca, pregledajte sledeću listu da biste razumeli scenarije i uticaj izolacije zakupca.
- Administrator želi da uključi izolaciju zakupca.
- Administrator je zabrinut da će postojeće aplikacije i tokovi koji koriste unakrsne veze stanara prestati da rade.
- Administrator odlučuje da omogući izolacija zakupca i doda pravila izuzetaka kako bi eliminisao uticaj.
- Administrator pokreće izveštaje o izolaciji unakrsnih stanara kako bi odredio stanare koji treba da budu izuzeti. Više informacija: Vodič: Kreiranje izveštaja o unakrsnoj izolacija zakupca (verzija za pregled)
Dvoosmerna izolacija zakupca (ograničenje ulazne i izlazne veze)
Dvosmerna izolacija zakupca će takođe blokirati pokušaje uspostavljanja veze do vašeg zakupca od drugih zakupaca. Osim toga, dvosmerna izolacija zakupca će takođe blokirati pokušaje uspostavljanja veze vašeg zakupcca sa ostalim zakupcima.
U ovom scenariju, administrator zakupca je omogućio dvosmernu izolaciju zakupca na zakupcu Contoso dok spoljni zakupac Fabrikam nije dodat na listu dozvoljenih.
Korisnici prijavljeni u Power Platform Contoso tenantu ne mogu uspostaviti odlazne Microsoft Entra veze zasnovane na ID-u sa izvorima podataka u zakupcu Fabrikam uprkos predstavljanju odgovarajućih Microsoft Entra akreditiva za uspostavljanje veze. To je odlazna izolacija zakupca za zakupca Contoso.
Slično tome, korisnici prijavljeni u Power Platform Fabrikam tenant ne mogu uspostaviti dolazne Microsoft Entra veze zasnovane na ID-u sa izvorima podataka u Contoso klijentu uprkos predstavljanju odgovarajućih Microsoft Entra akreditiva za uspostavljanje veze. Ovo je ulazna izolacija zakupca za zakupca Contoso.
| Zakupac autora veze | Zakupac veze za prijavu | Dozvoljen je pristup? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolacija zakupca je uključena) | Fabrikam | Ne (izlazni) |
| Fabrikam | Contoso (izolacija zakupca je uključena) | Ne (ulazni) |
| Fabrikam | Fabrikam | Da |
Belešku
Pokušaj povezivanja koji je pokrenuo gost korisnik iz svog klijenta domaćina koji cilja izvore podataka unutar istog klijenta domaćina ne procenjuje se pravilima izolacije zakupca.
Izolacija zakupca sa listama dozvoljenih
Jednosmerna izolacija zakupca ili ulazna izolacija će blokirati pokušaje uspostavljanja veze sa vašim zakupcem od ostalih zakupaca.
Scenario: Izlazna lista dozvoljenih – Fabrikam se dodaje na izlaznu listu dozvoljenih mesta zakupca Contoso
U ovom scenariju, administrator dodaje zakupca Fabrikam na izlaznoj listi dozvoljenih dok je izolacija zakupca uključena.
Korisnici prijavljeni u Power Platform Contoso klijentu mogu uspostaviti odlazne Microsoft Entra veze zasnovane na ID-u sa izvorima podataka u zakupcu Fabrikam ako predstave odgovarajuće Microsoft Entra akreditive za uspostavljanje veze. Uspostavljanje izlazne veze sa zakupca Fabrikam dozvoljeno je zahvaljujući konfigurisane stavke liste dozvoljenih.
Međutim, korisnici prijavljeni u Power Platform Fabrikam tenant i dalje ne mogu da uspostave dolazne Microsoft Entra ID-based veze sa izvorima podataka u Contoso tenant uprkos predstavljanju odgovarajućih Microsoft Entra akreditiva za uspostavljanje veze. Uspostavljanje ulazne veze od zakupca Fabrikam još uvek nije dozvoljeno čak i kada je stavka liste dozvola konfigurisana i dozvoljava odlazne veze.
| Zakupac autora veze | Zakupac veze za prijavu | Dozvoljen je pristup? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolacija zakupca je uključena) Fabrikam je dodat na izlaznu listu dozvoljenih |
Fabrikam | Da |
| Fabrikam | Contoso (izolacija zakupca je uključena) Fabrikam je dodat na izlaznu listu dozvoljenih |
Ne (ulazni) |
| Fabrikam | Fabrikam | Da |
Scenario: Dvosmerna lista dozvoljenih – Fabrikam se dodaje na ulaznu i izlaznu listu dozvoljenih za zakupca Contoso
U ovom scenariju, administrator dodaje zakupca Fabrikam i na ulaznu i na izlaznu listu dozvoljenih dok je izolacija zakupca uključena.
| Zakupac autora veze | Zakupac veze za prijavu | Dozvoljen je pristup? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolacija zakupca je uključena) Fabrikam je dodat na obe liste dozvoljenih |
Fabrikam | Da |
| Fabrikam | Contoso (izolacija zakupca je uključena) Fabrikam je dodat na obe liste dozvoljenih |
Da |
| Fabrikam | Fabrikam | Da |
Omogućavanje izolacije zakupca i konfigurisanje liste dozvoljenih
U Power Platform centru administracije, izolacija zakupca je podešena pomoću Smernice>Izolacija zakupca.
Belešku
Morate imati ulogu administratora Power Platform da biste videli i podesili politiku izolacija zakupca.
Lista dozvoljenih za izolaciju zakupca može da se konfiguriše pomoću Novo pravilo za zakupca na stranici Izolacija zakupca. Ako je izolacija zakupca isključena, možete da dodate ili uredite pravila na listi. Međutim, ova pravila se neće primenjivati dok ne uključite izolaciju zakupca.
Sa padajuće liste Smer pravila za novog zakupca odaberite smer stavke liste dozvoljenih stavki.
Vrednost dozvoljenog zakupca možete uneti i kao domen zakupca ili kao ID zakupca. Kada se sačuva, stavka se dodaje na listu pravila zajedno sa drugim dozvoljenim zakupcima. Ako koristite domen zakupca da biste dodali stavku liste dozvoljenih, Power Platform centar administracije automatski izračunava ID zakupca.
Kada se unos pojavi na listi, prikazuju se polja ID stanara i Microsoft Entra ime stanara. Imajte na umu da se u ID-u Microsoft Entra ime stanara razlikuje od domena stanara. Ime zakupca je jedinstveno za zakupca, ali zakupac možda ima više naziva domena.
Možete da koristite „*“ kao poseban znak da biste označili da su svi zakupci dozvoljeni u naznačenom smeru kada je izolacija zakupca uključena.
Možete da uredite smer stavke liste dozvoljenih zakupaca na osnovu poslovnih zahteva. Imajte u vidu da se polje Domen ili ID zakupca ne može uređivati na stranici Uređivanje pravila za zakupca.
Možete da izvršite sve operacije liste dozvoljenih datoteka kao što su dodavanje, uređivanje i brisanje dok je izolacija zakupca uključena ili isključena. Stavke liste dozvola utiču na ponašanje veze kada je izolacija zakupca isključena, pošto su sve veze između zakupaca dozvoljene.
Uticaj vremena izrade na aplikacije i tokove
Korisnici koji kreiraju ili uređuju resurs na koji utiču smernice za izolaciju zakupca videće odgovarajuću poruku o grešci. Na primer, Power Apps autori će videti sledeću grešku kada koriste veze između zakupaca u aplikaciji koja je blokirana smernicama za izolaciju zakupca. Aplikacija neće dodati vezu.
Slično tome, Power Automate autori će videti sledeću grešku kada pokušaju da sačuvaju tok koji koristi veze u toku koje su blokirane smernicama za izolaciju zakupaca. Sam tok će biti sačuvan, ali će biti označen kao „Obustavljeno“ i neće se izvršiti osim ako autor ne razreši kršenje smernica za sprečavanje gubitka podataka (DLP).
Uticaj izvršavanja na aplikacije i tokove
Kao administrator, u bilo kom trenutku možete odlučiti da izmenite smernice za izolaciju zakupca za svog zakupca. Ako su aplikacije i tokovi kreirani i izvršeni u skladu sa starijim smernicama za izolaciju zakupca, na neke od njih mogu negativno uticati sve promene smernica koje unesete. Aplikacije ili tokovi koji krše smernice za izolaciju zakupaca neće se uspešno pokrenuti. Na primer, pokretanje istorije u usluzi Power Automate ukazuje na to da pokretanje toka nije uspelo. Pored toga, izbor neuspelog pokretanja će pokazati detalje greške.
Za postojeće tokove koji se ne izvršavaju uspešno zbog najnovijih smernica za izolaciju zakupca, pokretanje istorije u okviru usluge Power Automate ukazuje na to da tok nije uspeo.
Izbor neuspelog pokretanja će pokazati detalje neuspelog pokretanja toka.
Belešku
Potrebno je oko sat vremena da se najnovije izmene smernica za izolaciju zakupca sprovedu u odnosu na aktivne aplikacije i tokove. Ova promena se ne primenjuje trenutno.
Poznati problemi
Azure DevOps konektor koristi Microsoft Entra autentifikaciju kao provajdera identiteta, ali koristi sopstveni OAuth tok i STS za ovlašćenje i izdavanje tokena. Pošto je token vraćen iz ADO toka na osnovu konfiguracije tog konektora nije iz Microsoft Entra ID-a, politika izolacija zakupca se ne primenjuje. Kao ublažavanje, preporučujemo da koristite druge vrste politika podataka kako biste ograničili upotrebu konektora ili njegovih akcija.