ข้อจำกัดขาเข้าและขาออกระหว่างผู้เช่า
Microsoft Power Platform มีระบบนิเวศของตัวเชื่อมต่อที่หลากหลายขึ้นอยู่กับ Microsoft Entra ที่อนุญาตให้ผู้ใช้ Microsoft Entra ที่ได้รับอนุญาตสร้างแอปที่น่าสนใจและโฟลว์สร้างการเชื่อมต่อกับข้อมูลธุรกิจที่พร้อมใช้งานผ่านการจัดเก็บข้อมูลเหล่านี้ การแยกผู้เช่าช่วยให้ผู้ดูแลระบบทำให้แน่ใจว่าตัวเชื่อมต่อเหล่านี้สามารถควบคุมได้อย่างปลอดภัยภายในผู้เช่า ในขณะที่ลดความเสี่ยงของการจารกรรมข้อมูลภายนอกผู้เช่า การแยกผู้เช่าช่วยให้ผู้ดูแลระบบส่วนกลางและผู้ดูแลระบบ Power Platform สามารถควบคุมการเคลื่อนย้ายของข้อมูลผู้เช่าจากแหล่งข้อมูล Microsoft Entra ที่ได้รับอนุญาตเข้าและออกจากผู้เช่าได้อย่างมีประสิทธิภาพ
สังเกตว่าการแยกผู้เช่า Power Platform จะแตกต่างจากข้อจำกัดผู้เช่า Microsoft Entra ID ซึ่ง ไม่ มีผลกระทบต่อการเข้าถึงของ Microsoft Entra ID ภายนอก Power Platform การแยกผู้เช่า Power Platform ใช้ได้เฉพาะกับตัวเชื่อมต่อที่ใช้ Microsoft Entra ID ตามการรับรองความถูกต้อง เช่น Office 365 Outlook หรือ SharePoint
คำเตือน
มีปัญหาที่พบกับ ตัวเชื่อมต่อ Azure DevOps ซึ่งส่งผลให้นโยบายการแยกผู้เช่าไม่ถูกบังคับใช้สำหรับการเชื่อมต่อที่สร้างโดยใช้ตัวเชื่อมต่อนี้ หากกังวลเกี่ยวกับแนวทางการโจมตีจากคนใน ขอแนะนำให้จำกัดการใช้ตัวเชื่อมต่อหรือการดำเนินการโดยใช้นโยบายข้อมูล
การกำหนดค่าเริ่มต้นใน Power Platform ด้วยการแยกผู้เช่า ปิด คือการอนุญาตให้สร้างการเชื่อมต่อข้ามผู้เช่าได้อย่างราบรื่น หากผู้ใช้จากผู้เช่า A สร้างการเชื่อมต่อกับผู้เช่า B แสดงข้อมูลประจำตัว Microsoft Entra ที่เหมาะสม หากผู้ดูแลระบบต้องการอนุญาตให้เฉพาะกลุ่มผู้เช่าที่เลือกไว้เพื่อสร้างการเชื่อมต่อไปยังหรือจากผู้เช่า ผู้ดูแลระบบสามารถเปลี่ยนการแยกผู้เช่าเป็น เปิด
เมื่อการแยกผู้เช่าเป็น เปิด ผู้เช่า ทั้งหมด จะถูกจำกัด การเชื่อมต่อระหว่างผู้เช่าขาเข้า (การเชื่อมต่อไปยังผู้เช่าจากผู้เช่าภายนอก) และขาออก (การเชื่อมต่อจากผู้เช่าไปยังผู้เช่าภายนอก) จะถูกบล็อกโดย Power Platform แม้ว่าผู้ใช้จะแสดงข้อมูลประจำตัวที่ถูกต้องให้กับแหล่งข้อมูล Microsoft Entra ที่ปลอดภัย คุณสามารถใช้กฎต่างๆ เพื่อเพิ่มข้อยกเว้น
ผู้ดูแลระบบสามารถระบุรายการที่อนุญาตอย่างชัดเจนของผู้เช่าที่ต้องการเปิดใช้งาน ขาเข้าขาออก หรือทั้งสองอย่าง ซึ่งจะข้ามการควบคุมการแยกผู้เช่าเมื่อกำหนดค่า ผู้ดูแลระบบสามารถใช้รูปแบบพิเศษ “*” เพื่ออนุญาตผู้เช่า ทั้งหมด ในทิศทางเฉพาะเมื่อเปิดการแยกผู้เช่า การเชื่อมต่อข้ามผู้เช่าอื่นทั้งหมดยกเว้นรายการในรายการที่อนุญาตจะถูกปฏิเสธโดย Power Platform
การแยกผู้เช่าสามารถกำหนดค่าได้ในศูนย์จัดการ Power Platform ซึ่งส่งผลกระทบต่อแอปพื้นที่ทำงาน Power Platform และโฟลว์ Power Automate หากต้องการตั้งค่าการแยกผู้เช่า คุณต้องเป็นผู้ดูแลระบบผู้เช่า
ความสามารถในการแยกผู้เช่าของ Power Platform สามารถใช้ได้สองทางเลือก: ข้อจำกัดทางเดียวหรือสองทาง
ทำความเข้าใจสถานการณ์และผลกระทบจากการแยกผู้เช่า
ก่อนที่คุณจะเริ่มกำหนดค่าข้อจำกัดการแยกผู้เช่า ให้ตรวจสอบรายการต่อไปนี้เพื่อทำความเข้าใจสถานการณ์และผลกระทบของการแยกผู้เช่า
- ผู้ดูแลระบบต้องการเปิดการแยกผู้เช่า
- ผู้ดูแลระบบกังวลว่าแอปและโฟลว์ที่มีอยู่ที่ใช้การเชื่อมต่อระหว่างผู้เช่าจะหยุดทำงาน
- ผู้ดูแลระบบตัดสินใจที่จะเปิดใช้งานการแยกผู้เช่าและเพิ่มกฎข้อยกเว้นเพื่อกำจัดผลกระทบ
- ผู้ดูแลระบบเรียกใช้รายงานการแยกผู้เช่าระหว่างผู้เช่าเพื่อกำหนดผู้เช่าที่จำเป็นต้องได้รับการยกเว้น ข้อมูลเพิ่มเติม: บทช่วยสอน: สร้างรายงานการแยกระหว่างผู้เช่า (พรีวิว)
การแยกผู้เช่าสองทาง (ข้อจำกัดการเชื่อมต่อขาเข้าและขาออก)
การแยกผู้เช่าแบบสองทางจะบล็อกความพยายามสร้างการเชื่อมต่อไปยังผู้เช่าของคุณจากผู้เช่ารายอื่น นอกจากนี้การแยกผู้เช่าสองทางจะปิดกั้นการพยายามสร้างการเชื่อมต่อจากผู้เช่าของคุณไปยังผู้เช่ารายอื่น
ในสถานการณ์นี้ ผู้ดูแลระบบผู้เช่าได้เปิดใช้งานการแยกผู้เช่าแบบสองทางบนผู้เช่า Contoso ในขณะที่ผู้เช่า Fabrikam ภายนอกไม่ได้ถูกเพิ่มลงในรายการที่อนุญาต
ผู้ใช้เข้าสู่ระบบ Power Platform ในผู้เช่า Contoso ไม่สามารถสร้างการเชื่อมต่อ Microsoft Entra ID ขาออกกับแหล่งข้อมูลในผู้เช่า Fabrikam แม้จะนำเสนอข้อมูลประจำตัว Microsoft Entra อย่างเหมาะสมเพื่อสร้างการเชื่อมต่อ นี่คือการแยกผู้เช่าขาออกสำหรับผู้เช่า Contoso
เช่นเดียวกัน ผู้ใช้ลงชื่อเข้าใช้ Power Platform ในผู้เช่า Fabrikam ยังไม่สามารถสร้างการเชื่อมต่อ Microsoft Entra ID ขาเข้ากับแหล่งข้อมูลในผู้เช่า Contoso แม้จะนำเสนอข้อมูลประจำตัว Microsoft Entra อย่างเหมาะสมเพื่อสร้างการเชื่อมต่อ นี่คือการแยกผู้เช่าขาเข้าสำหรับผู้เช่า Contoso
| ผู้เช่าผู้สร้างการเชื่อมต่อ | ผู้เช่าลงชื่อเข้าใช้การเชื่อมต่อ | อนุญาตการเข้าถึงหรือไม่ |
|---|---|---|
| Contoso | Contoso | ตกลง |
| Contoso (การแยกผู้เช่า เปิด) | Fabrikam | ไม่ (ขาออก) |
| Fabrikam | Contoso (การแยกผู้เช่า เปิด) | ไม่ (ขาเข้า) |
| Fabrikam | Fabrikam | ใช่ |
หมายเหตุ
ความพยายามในการเชื่อมต่อที่เริ่มต้นโดยผู้ใช้ที่เป็นผู้เยี่ยมชมจากผู้เช่าโฮสต์ที่กำหนดเป้าหมายแหล่งข้อมูลภายในผู้เช่าโฮสต์เดียวกันจะไม่ได้รับการประเมินโดยกฎการแยกผู้เช่า
การแยกผู้เช่ากับรายการที่อนุญาต
การแยกผู้เช่าทางเดียวหรือการแยกขาเข้าจะปิดกั้นการพยายามสร้างการเชื่อมต่อไปยังผู้เช่าของคุณจากผู้เช่ารายอื่น
สถานการณ์: รายการที่อนุญาตสำหรับขาออก – Fabrikam ถูกเพิ่มไปยังรายการที่อนุญาตสำหรับขาออกของผู้เช่า Contoso
ในสถานการณ์นี้ ผู้ดูแลระบบจะเพิ่มผู้เช่า Fabrikam ในรายการอนุญาตขาออกในขณะที่การแยกผู้เช่าคือ เปิด
ผู้ใช้ลงชื่อเข้าใช้ Power Platform ในผู้เช่า Contoso สามารถสร้างการเชื่อมต่อ Microsoft Entra ID ขาออกกับแหล่งข้อมูลในผู้เช่า Fabrikam หากนำเสนอข้อมูลประจำตัว Microsoft Entra อย่างเหมาะสมเพื่อสร้างการเชื่อมต่อ การสร้างการเชื่อมต่อขาออกกับผู้เช่า Fabrikam ได้รับอนุญาตโดยอาศัยรายการอนุญาตที่กำหนดค่าไว้
อย่างไรก็ตาม ผู้ใช้ลงชื่อเข้าใช้ Power Platform ในผู้เช่า Fabrikam ยังไม่สามารถสร้างการเชื่อมต่อ Microsoft Entra ID ขาเข้ากับแหล่งข้อมูลในผู้เช่า Contoso แม้จะนำเสนอข้อมูลประจำตัว Microsoft Entra อย่างเหมาะสมเพื่อสร้างการเชื่อมต่อ การเชื่อมต่อขาเข้าจากผู้เช่า Fabrikam ยังคงไม่ได้รับอนุญาต แม้ว่าจะมีการกำหนดค่ารายการที่อนุญาตและอนุญาตการเชื่อมต่อขาออก
| ผู้เช่าผู้สร้างการเชื่อมต่อ | ผู้เช่าลงชื่อเข้าใช้การเชื่อมต่อ | อนุญาตการเข้าถึงหรือไม่ |
|---|---|---|
| Contoso | Contoso | ตกลง |
| Contoso (การแยกผู้เช่า เปิด) Fabrikam เพิ่มในรายการอนุญาตขาออก |
Fabrikam | ตกลง |
| Fabrikam | Contoso (การแยกผู้เช่า เปิด) Fabrikam เพิ่มในรายการอนุญาตขาออก |
ไม่ (ขาเข้า) |
| Fabrikam | Fabrikam | ตกลง |
สถานการณ์: รายการที่อนุญาตสองทิศทาง – Fabrikam ถูกเพิ่มไปยังรายการที่อนุญาตสำหรับข้าเข้าและขาออกของผู้เช่า Contoso
ในสถานการณ์นี้ ผู้ดูแลระบบจะเพิ่มผู้เช่า Fabrikam ในทั้งรายการอนุญาตขาเข้าและขาออกในขณะที่การแยกผู้เช่าคือ เปิด
| ผู้เช่าผู้สร้างการเชื่อมต่อ | ผู้เช่าลงชื่อเข้าใช้การเชื่อมต่อ | อนุญาตการเข้าถึงหรือไม่ |
|---|---|---|
| Contoso | Contoso | ตกลง |
| Contoso (การแยกผู้เช่า เปิด) Fabrikam เพิ่มในทั้งสองรายการอนุญาต |
Fabrikam | ตกลง |
| Fabrikam | Contoso (การแยกผู้เช่า เปิด) Fabrikam เพิ่มในทั้งสองรายการอนุญาต |
ตกลง |
| Fabrikam | Fabrikam | ตกลง |
เปิดใช้การแยกผู้เช่าและกำหนดค่ารายการที่อนุญาต
ในศูนย์จัดการ Power Platform การแยกผู้เช่าถูกตั้งค่าด้วย นโยบาย>การแยกผู้เช่า
หมายเหตุ
คุณต้องมีบทบาทผู้ดูแลระบบส่วนกลางหรือผู้ดูแลระบบ Power Platform เพื่อดูและตั้งค่านโยบายการแยกผู้เช่า
กำหนดค่ารายการที่อนุญาตการแยกผู้เช่าได้โดยใช้ กฎผู้เช่าใหม่ บนหน้า การแยกผู้เช่า หากการแยกผู้เช่าคือ ปิด คุณสามารถเพิ่มหรือแก้ไขกฎในรายการได้ อย่างไรก็ตาม กฎเหล่านี้จะไม่ถูกบังคับใช้จนกว่าคุณจะ เปิด การแยกผู้เช่า
จากรายการแบบหล่นลง ทิศทางกฎผู้เช่าใหม่ เลือกทิศทางของรายการรายการที่อนุญาต
คุณยังสามารถป้อนค่าของผู้เช่าที่อนุญาตเป็นโดเมนผู้เช่าหรือรหัสผู้เช่า เมื่อบันทึกแล้ว รายการจะถูกเพิ่มลงในรายการกฎพร้อมกับผู้เช่าที่ได้รับอนุญาตรายอื่นๆ หากคุณใช้โดเมนผู้เช่าเพื่อเพิ่มรายการรายการที่อนุญาต ศูนย์จัดการ Power Platform จะคำนวณรหัสผู้เช่าโดยอัตโนมัติ
เมื่อรายการปรากฏในรายการ ฟิลด์ รหัสผู้เช่า และ ชื่อผู้เช่า Microsoft Entra จะปรากฏขึ้น โปรดทราบว่าใน Microsoft Entra ID ชื่อผู้เช่าแตกต่างจากโดเมนผู้เช่า ชื่อผู้เช่าเป็นชื่อเฉพาะสำหรับผู้เช่า แต่ผู้เช่าอาจมีชื่อโดเมนมากกว่าหนึ่งชื่อ
คุณสามารถใช้ได้ “*” เป็นอักขระพิเศษที่แสดงว่าผู้เช่าทั้งหมดได้รับอนุญาตในทิศทางที่กำหนดเมื่อ เปิด การแยกผู้เช่า
คุณสามารถแก้ไขทิศทางของรายการอนุญาตของผู้เช่าได้ตามความต้องการทางธุรกิจ โปรดทราบว่า ฟิลด์ โดเมนหรือรหัสผู้เช่า ไม่สามารถแก้ไขได้ในหน้า แก้ไขกฎผู้เช่า
คุณดำเนินการรายการที่อนุญาตทั้งหมดได้ เช่น เพิ่ม แก้ไข และลบในขณะที่ เปิด หรือ ปิด การแยกผู้เช่า รายการที่อนุญาตมีผลกระทบต่อลักษณะการเชื่อมต่อเมื่อ ปิด การแยกผู้เช่า เนื่องจากอนุญาตการเชื่อมต่อระหว่างผู้เช่าทั้งหมด
ผลกระทบขณะออกแบบบนแอปและโฟลว์
ผู้ใช้ที่สร้างหรือแก้ไขทรัพยากรที่ได้รับผลกระทบจากนโยบายการแยกผู้เช่าจะเห็นข้อความแสดงข้อผิดพลาดที่เกี่ยวข้อง ตัวอย่างเช่น ผู้สร้าง Power Apps จะเห็นข้อผิดพลาดต่อไปนี้เมื่อใช้การเชื่อมต่อระหว่างผู้เช่าในแอปที่ถูกบล็อกโดยนโยบายการแยกผู้เช่า แอปจะไม่เพิ่มการเชื่อมต่อ
ในทำนองเดียวกัน ผู้สร้าง Power Automate จะเห็นข้อผิดพลาดต่อไปนี้เมื่อใช้พยายามบันทึกโฟลว์ที่ใช้การเชื่อมต่อในโฟลว์ที่ถูกบล็อกโดยนโยบายการแยกผู้เช่า โฟลว์นั้นจะถูกบันทึก แต่จะถูกทำเครื่องหมายเป็น "ถูกระงับ" และจะไม่ถูกดำเนินการ เว้นแต่ผู้สร้างจะแก้ไขการละเมิดนโยบายการป้องกันการสูญหายของข้อมูล (DLP)
ผลกระทบรันไทม์บนแอปและโฟลว์
ในฐานะผู้ดูแลระบบ คุณสามารถตัดสินใจแก้ไขนโยบายการแยกผู้เช่าสำหรับผู้เช่าของคุณได้ทุกเมื่อ หากแอปและโฟลว์ถูกสร้างขึ้นและดำเนินการตามนโยบายการแยกผู้เช่าก่อนหน้านี้ บางส่วนอาจได้รับผลกระทบในทางลบจากการเปลี่ยนแปลงนโยบายใดๆ ที่คุณทำ แอปหรือโฟลว์ที่ละเมิดนโยบายการแยกผู้เช่าจะไม่ทำงานสำเร็จ ตัวอย่างเช่น เรียกใช้ประวัติภายใน Power Automate แสดงว่าการเรียกใช้โฟลว์ล้มเหลว นอกจากนี้ การเลือกการทำงานที่ล้มเหลวจะแสดงรายละเอียดของข้อผิดพลาด
สำหรับโฟลว์ที่มีอยู่ซึ่งทำงานไม่สำเร็จเนื่องจากนโยบายการแยกผู้เช่าล่าสุด เรียกใช้ประวัติภายใน Power Automate แสดงว่าการเรียกใช้โฟลว์ล้มเหลว
การเลือกการทำงานที่ล้มเหลวจะแสดงรายละเอียดของการเรียกใช้โฟลว์ล้มเหลว
หมายเหตุ
ใช้เวลาประมาณหนึ่งชั่วโมงในการประเมินการเปลี่ยนแปลงนโยบายการแยกผู้เช่าล่าสุดกับแอปและโฟลว์ที่ใช้งานอยู่ การเปลี่ยนแปลงนี้ไม่ได้เกิดขึ้นทันที
ปัญหาที่ทราบกันดี
ตัวเชื่อมต่อ Azure DevOps ใช้การรับรองความถูกต้อง Microsoft Entra ในฐานะผู้ให้บริการข้อมูลประจำตัว แต่ใช้โฟลว์ OAuth และ STS ของตนเองในการให้สิทธิ์และออกโทเคน เนื่องจากโทเค็นที่ส่งคืนจากโฟลว์ ADO ตามการกำหนดค่าของตัวเชื่อมต่อนั้นไม่ได้มาจาก Microsoft Entra ID จึงไม่มีการบังคับใช้นโยบายการแยกผู้เช่า เพื่อเป็นการบรรเทา เราขอแนะนำให้ใช้ประเภทอื่นของ นโยบายข้อมูล เพื่อจำกัดการใช้ตัวเชื่อมต่อหรือการทำงานของตัวเชื่อมต่อ