Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Power Platform, yetkili Microsoft Entra kullanıcılarının, bu veri depoları üzerinden erişilebilen iş verileriyle bağlantı sağlayan çekici uygulamalar ve akışlar oluşturmasına olanak tanıyan Microsoft Entra tabanlı bağlayıcılardan oluşan zengin bir ekosisteme sahiptir. Kiracı yalıtımı, yöneticilerin kiracı dışına veri sızdırma riskini en aza indirgeyerek bağlayıcılardan kiracı içinde güvenli ve güvenilir bir şekilde yararlanılabilmesini sağlamalarını kolaylaştırır. Kiracı yalıtımı, Power Platform yöneticilerin kiracı verilerinin Microsoft Entra yetkili veri kaynaklarından kiracılara ve kiracılardan bu veri kaynaklarına etkin şekilde taşınmasını sağlar.
Power Platform kiracı yalıtımı, Microsoft Entra ID genelinde kiracı kısıtlamasından farklıdır. Power Platform dışındaki Microsoft Entra ID temelli erişimi etkilemez. Power Platform kiracı izolasyonu yalnızca Office 365 Outlook veya SharePoint gibi Microsoft Entra ID tabanlı kimlik doğrulamayı kullanan bağlayıcılar için işe yarar.
Uyarı
Azure DevOps bağlayıcıyla ilgili, bu bağlayıcı kullanılarak kurulan bağlantılar için kiracı yalıtım ilkesinin uygulanmamasına neden olan bilinen bir sorun vardır. İçeriden gelen bir saldırı vektörü söz konusuysa, bağlayıcıyı veya veri ilkelerini kullanarak eylemlerini kullanmayı sınırlamanız önerilir.
Power Platform'da kiracı yalıtımı Kapalı olduğunda varsayılan yapılandırma, A kiracısında B kiracısına bağlantı kuran kullanıcı uygun Microsoft Entra kimlik bilgilerini sunarsa, kiracılar arası bağlantıların sorunsuzca kurulmasına izin verir. Yöneticiler, yalnızca belirli bir kiracı kümesinin bağlantı kurmasına izin vermek isterlerse kiracı yalıtımını Açık olarak ayarlayabilirler.
Kiracı yalıtımı seçeneği Açık olduğunda tüm kiracılar kısıtlanır. Kiracılar arasındaki gelen (harici kiracılardan kiracıya bağlantı) ve giden (kiracıdan harici kiracılara bağlantılar) bağlantılar, kullanıcı Microsoft Entra güvenli veri kaynağı için geçerli kimlik bilgilerini sunsa bile Power Platform tarafından engellenir. Özel durum eklemek için kuralları kullanabilirsiniz.
Yöneticiler, gelen, giden veya her ikisi için yapılandırıldığında kiracı yalıtımı denetimlerini atlayan açık bir izin verilen kiracılar listesi belirletebilirler. Yöneticiler, kiracı yalıtımı açıkken tüm kiracılara belirli bir yönde izin vermek için özel bir desen "*" kullanabilirler. İzin verilenler listesi dışındaki tüm diğer kiracılar arası bağlantılar Power Platform tarafından reddedilir.
Kiracı yalıtımı Power Platform yönetim merkezinde yapılandırılabilir. Power Platform tuval uygulamalarını ve Power Automate akışlarını etkiler. Kiracı yalıtımı ayarlamak için bir kiracı yöneticisi olmanız gerekir.
Power Platform kiracı yalıtımı özelliği iki seçenekle sunulur: tek yönlü veya çift yönlü kısıtlama.
Kiracı yalıtım senaryolarını ve etkilerini anlama
Kiracı yalıtımı kısıtlamalarını yapılandırmaya başlamadan önce kiracı yalıtımı senaryolarını ve etkilerini anlamak için aşağıdaki listeyi inceleyin.
- Yönetici, kiracı yalıtımını açmak istiyor.
- Yönetici, kiracılar arası bağlantıları kullanan mevcut uygulamaların ve akışların çalışmayı durdurmasından endişeleniyor.
- Yönetici, kiracı yalıtımını etkinleştirmeye ve etkiyi ortadan kaldırmak için özel durum kuralları eklemeye karar verir.
- Yönetici, dışlanması gereken kiracıları belirlemek için kiracılar arası yalıtım raporlarını çalıştırır. Daha fazla bilgi: Öğretici: Kiracılar arası yalıtım raporları oluşturma (önizleme)
Çift yönlü kiracı yalıtımı (gelen ve giden bağlantı sınırlaması)
Çift yönlü kiracı yalıtımı, diğer kiracılardan kiracınıza gelen bağlantı kurma girişimlerini engeller. Ek olarak, çift yönlü kiracı yalıtımı, sizin kiracınızdan diğer kiracılara yapılan bağlantı kurma girişimlerini de engeller.
Bu senaryoda, kiracı yöneticisi Contoso kiracısında çift yönlü kiracı yalıtımına izin vermiş ve harici Fabrikam kiracısı izin verilenler listesine eklenmemiştir.
Contoso kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen Fabrikam kiracısındaki veri kaynaklarına giden bir Microsoft Entra ID temelli bağlantı kuramamaktadır. Bu Contoso kiracısı için giden kiracı yalıtımıdır.
Benzer şekilde Fabrikam kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen Contoso kiracısındaki veri kaynaklarına gelen bir Microsoft Entra ID temelli bağlantı kuramamaktadır. Bu Contoso kiracısı için gelen kiracı yalıtımıdır.
| Bağlantı oluşturucu kiracısı | Bağlantı oturumu açma kiracısı | Erişime izni verilsin mi? |
|---|---|---|
| Contoso | Contoso | Evet |
| Contoso (kiracı yalıtımı Açık) | Fabrikam | Hayır (giden) |
| Fabrikam | Contoso (kiracı yalıtımı Açık) | Hayır (gelen) |
| Fabrikam | Fabrikam | Evet |
Not
Bir konuk kullanıcı tarafından başlatılan ve aynı konak kiracısı içindeki veri kaynaklarını hedefleyen konak kiracısından yapılan bir bağlantı girişimi, kiracı yalıtım kuralları tarafından değerlendirilmez.
İizn verilenler listeleriyle kiracı yalıtımı
Tek yönlü kiracı yalıtımı veya gelen yalıtımı, diğer kiracılardan kiracınıza yapılan bağlantı kurma girişimlerini engeller.
Senaryo: Giden izin verilenler listesi – Fabrikam, Contoso kiracısının giden izin verilenler listesine eklenir
Bu senaryoda, yönetici kiracı yalıtımı Açık durumdayken Fabrikam kiracısını giden izin verilenler listesine ekler.
Contoso kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunarsa Fabrikam kiracısındaki veri kaynaklarına giden bir Microsoft Entra ID temelli bağlantı kurabilir. Fabrikam kiracısına giden bağlantı kurulmasına yapılandırılan izin verilenler listesi girişi nedeniyle izin verilir.
Ancak Fabrikam kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen hâlâ Contoso kiracısındaki veri kaynaklarına gelen bir Microsoft Entra ID temelli bağlantı kuramamaktadır. İzin verilenler listesi giriş yapılandırılmış olmasına ve giden bağlantılara izin vermesine karşın Fabrikam kiracısından gelen bağlantı kurulmasına yine de izin verilmez.
| Bağlantı oluşturucu kiracısı | Bağlantı oturumu açma kiracısı | Erişime izni verilsin mi? |
|---|---|---|
| Contoso | Contoso | Evet |
| Contoso (kiracı yalıtımı Açık) Fabrikam giden izin verilenler listesine eklendi |
Fabrikam | Evet |
| Fabrikam | Contoso (kiracı yalıtımı Açık) Fabrikam giden izin verilenler listesine eklendi |
Hayır (gelen) |
| Fabrikam | Fabrikam | Evet |
Senaryo: Çift yönlü izin verilenler listesi – Fabrikam, Contoso kiracısının gelen ve giden izin verilenler listesine eklenir
Bu senaryoda, yönetici kiracı yalıtımı Açık durumdayken Fabrikam kiracısını hem gelen hem de giden izin verilenler listesine ekler.
| Bağlantı oluşturucu kiracısı | Bağlantı oturumu açma kiracısı | Erişime izni verilsin mi? |
|---|---|---|
| Contoso | Contoso | Evet |
| Contoso (kiracı yalıtımı Açık) Fabrikam her iki izin verilenler listesine de eklendi |
Fabrikam | Evet |
| Fabrikam | Contoso (kiracı yalıtımı Açık) Fabrikam her iki izin verilenler listesine de eklendi |
Evet |
| Fabrikam | Fabrikam | Evet |
Kiracı yalıtımına izin verme ve izin verilenler listesi yapılandırma
Gezinti bölmesinde Güvenlik'i seçin.
Güvenlik bölmesinde Kimlik ve erişim'i seçin.
Kimlik ve erişim yönetimi sayfasında, Kiracı yalıtımı'nı seçin.
Kiracı yalıtımına izin vermek için Kiracılar arası bağlantıları kısıtla seçeneğini açık hale getirin.
Kiracılar arası iletişime izin vermek için Kiracı yalıtımı bölmesinde Özel durum ekle'yi seçin.
Kiracı yalıtımı Kapalı olsa da özel durum listesini ekleyebilir veya düzenleyebilirsiniz. Ancak bu özel durum listeleri kiracı yalıtımı Açık duruma getirilene kadar zorunlu kılınmaz.
İzin verilen yön açılan listesinden izin verilenler listesi girişinin yönünü seçin.
İzin verilen kiracının değerini, Kiracı Kimliği alanına kiracı etki alanı veya kiracı kimliği olarak da girebilirsiniz. Kaydedildikten sonra giriş izin verilen diğer kiracılar ile birlikte izin verilenler listesine eklenir. İzin verilenler listesi girişini eklemek için kiracı etki alanını kullanırsanız, Power Platform yönetim merkezi kiracı kimliğini otomatik olarak hesaplar.
Kiracı yalıtımı açık olduğunda belirlenen yönde tüm kiracılara izin verildiğini belirtmek için "*" işaretini özel karakter olarak kullanabilirsiniz.
Kaydet'i seçin.
Not
- Kiracı yalıtım ilkesini görmek ve ayarlamak için Power Platform yöneticisi rolüne sahip olmanız gerekir.
- Kiracı izolasyonunun kullanıldığında hiçbir çağrıyı engellememesini sağlamak için, kiracı izolasyonunu Açık konuma getirin, yeni bir kiracı kuralı ekleyin, Kiracı Kimliği'ni "*" olarak ayarlayın ve izin verilen yönü gelen ve giden olarak ayarlayın.
- Teknik sınırlamalar nedeniyle, kurallar için eşik sınırı 500'dür.
Kiracı yalıtımı Açık veya Kapalı durumdayken ekleme, düzenleme ve silme gibi tüm izin verilenler listesi işlemlerini gerçekleştirebilirsiniz. Tüm kiracılar arası bağlantılara izin verildiğinden kiracı yalıtımı Kapalı olduğunda izin verilenler listesi girişlerinin bağlantı davranışı üzerinde etkisi vardır.
Uygulama ve akışlarda tasarım zamanı etkisi
Kiracı yalıtım ilkesinden etkilenen bir kaynağı oluşturan veya düzenleyen kullanıcılar ilgili bir hata iletisi görür. Örneğin, Power Apps oluşturucuları kiracı yalıtım ilkeleriyle engellenen bir uygulamada kiracılar arası bağlantılar kullandıklarında aşağıdaki hatayı görür. Uygulama bağlantıyı eklemez.
Benzer şekilde, Power Automate oluşturucuları kiracı yalıtım ilkeleriyle engellenen bir akışta bağlantılar kullanan bir akışı kaydetmeyi denediklerinde aşağıdaki hatayı görür. Akışın kendisi kaydedilir ancak "Askıya alındı" olarak işaretlenir ve oluşturucu veri kaybı önleme ilkesi (DLP) ihlalini çözene kadar yürütülmez.
Uygulama ve akışlarda çalışma zamanı etkisi
Yönetici olarak, kiracınızın kiracı yalıtım ilkelerini istediğiniz herhangi bir noktada değiştirmeye karar verebilirsiniz. Uygulamalar ve akışlar daha önceki kiracı yalıtım ilkeleriyle uyumlu olarak oluşturulup yürütülürse, bazı ilke değişikliklerinden olumsuz etkilenmiş olabilir. Kiracı yalıtım ilkesini ihlal eden uygulamalar veya akışlar başarılı bir şekilde çalışmaz. Örneğin, Power Automate'deki çalışma geçmişi akış çalıştırmasının başarısız olduğunu gösterir. Ayrıca, başarısız olan bir çalıştırma seçildiğinde hatanın ayrıntıları gösterilir.
En son kiracı yalıtım ilkesi nedeniyle başarılı bir şekilde çalıştırılmayan mevcut akışlar için Power Automate içindeki çalışma geçmişi akış çalıştırmasının başarısız olduğunu gösterir.
Başarısız olan bir çalıştırma seçildiğindehatalı akış çalıştırmasının ayrıntıları gösterilir.
Not
En son kiracı yalıtım ilke değişikliklerinin etkin uygulamalara ve akışlara göre değerlendirilmesi yaklaşık bir saat zaman alır. Bu değişiklik anlık değildir.
Bilinen sorunlar
Azure DevOps bağlayıcısı , kimlik sağlayıcısı olarak Microsoft Entra kimlik doğrulamasını kullanır, ancak belirteci yetkilendirmek ve vermek için kendi OAuth akışını ve STS'sini kullanır. Bu Bağlayıcının yapılandırmasına göre ADO akışından döndürülen belirteç Microsoft Entra kimliğinden gelmediği için, kiracı yalıtım ilkesi zorlanmaz. Risk azaltma olarak, diğer veri politikası türlerini kullanmanızı öneririz bağlayıcının veya eylemlerinin kullanımını sınırlamak için.