Các hạn chế kết nối đến và đi của liên đối tượng thuê
Microsoft Power Platform có hệ sinh thái kết nối phong phú dựa trên Microsoft Entra cho phép Microsoft Entra người dùng được ủy quyền xây dựng các ứng dụng và luồng hấp dẫn, thiết lập kết nối với dữ liệu kinh doanh có sẵn thông qua các kho dữ liệu này. Quy trình tách biệt đối tượng thuê giúp quản trị viên dễ dàng đảm bảo rằng những trình kết nối như vậy có thể được khai thác theo cách an toàn và bảo mật trong đối tượng thuê, đồng thời giảm thiểu rủi ro rò rỉ dữ liệu ra bên ngoài đối tượng thuê. Tách biệt đối tượng thuê cho phép Power Platform người quản trị quản lý hiệu quả việc di chuyển dữ liệu của người thuê từ Microsoft Entra nguồn dữ liệu được ủy quyền đến và đi từ người thuê của họ.
Lưu ý rằng Power Platform tách biệt đối tượng thuê khác với Microsoft Entra giới hạn đối tượng thuê trên toàn ID. Nó không ảnh hưởng đến Microsoft Entra quyền truy cập dựa trên ID bên ngoài Power Platform. Power Platform tách biệt đối tượng thuê chỉ hoạt động với các trình kết nối sử dụng xác thực dựa trên ID như Microsoft Entra Outlook hoặc Office 365 . SharePoint
Cảnh báo
Trình kết nối Azure DevOps gặp một sự cố đã biết dẫn đến việc không thực thi được chính sách tách biệt đối tượng thuê đối với những kết nối được thiết lập bằng trình kết nối này. Nếu lo ngại về tấn công nội gián, bạn nên hạn chế sử dụng trình kết nối hoặc các hành động của trình kết nối này bằng chính sách dữ liệu.
Cấu hình mặc định trong Power Platform với tách biệt đối tượng thuê Tắt là cho phép thiết lập kết nối giữa nhiều đối tượng thuê bao một cách liền mạch, nếu người dùng từ đối tượng thuê bao A thiết lập kết nối với đối tượng thuê bao B xuất trình thông tin xác thực phù hợp. Microsoft Entra Nếu quản trị viên chỉ muốn cho phép một nhóm đối tượng thuê nhất định thiết lập kết nối đến hoặc từ đối tượng thuê mà họ sở hữu, họ có thể Bật quy trình tách biệt đối tượng thuê.
Khi quy trình tách biệt đối tượng thuê ở trạng thái Bật, tất cả đối tượng thuê đều bị hạn chế. Các kết nối giữa các bên thuê đến (kết nối đến đối tượng thuê từ các đối tượng thuê bên ngoài) và đi (kết nối từ đối tượng thuê đến các đối tượng thuê bên ngoài) bị chặn bởi Power Platform ngay cả khi người dùng xuất trình thông tin xác thực hợp lệ cho Microsoft Entra-được bảo mật nguồn dữ liệu. Bạn có thể sử dụng các quy tắc để thêm trường hợp ngoại lệ.
Quản trị viên có thể chỉ định danh sách cho phép rõ ràng gồm những đối tượng thuê mà họ muốn bật kết nối vào, kết nối ra hoặc cả hai. Như vậy, các chế độ kiểm soát quy trình tách biệt đối tượng thuê sẽ bị bỏ qua khi được đặt cấu hình. Quản trị viên có thể sử dụng mẫu đặc biệt "*" để cho phép tất cả đối tượng thuê đi theo một chiều cụ thể khi quy trình tách biệt đối tượng thuê ở trạng thái bật. Mọi kết nối khác giữa các đối tượng thuê, ngoại trừ những kết nối trong danh sách cho phép đều bị Power Platform từ chối.
Bạn có thể đặt cấu hình quy trình tách biệt đối tượng thuê trong Trung tâm quản trị Power Platform . Quy trình này sẽ ảnh hưởng đến các ứng dụng canvas trong Power Platform và dòng trong Power Automate. Để thiết lập quy trình tách biệt đối tượng thuê, bạn cần phải là quản trị viên đối tượng thuê.
Tính năng cách ly đối tượng thuê của Power Platform có sẵn với hai lựa chọn: hạn chế một chiều hoặc hai chiều.
Hiểu các kịch bản và tác động của tách biệt đối tượng thuê
Trước khi bạn bắt đầu cấu hình các hạn chế tách biệt đối tượng thuê, hãy xem lại danh sách sau để hiểu các tình huống và tác động của tách biệt đối tượng thuê.
- Quản trị viên muốn bật tách biệt đối tượng thuê.
- Quản trị viên lo ngại rằng các ứng dụng và luồng hiện có sử dụng kết nối giữa nhiều đối tượng thuê bao sẽ ngừng hoạt động.
- Quản trị viên quyết định bật tách biệt đối tượng thuê và thêm các quy tắc ngoại lệ để loại bỏ tác động.
- Quản trị viên chạy báo cáo cách ly giữa nhiều đối tượng thuê để xác định những đối tượng thuê cần được miễn trừ. Thông tin thêm: Hướng dẫn: Tạo báo cáo chéo tách biệt đối tượng thuê (bản xem trước)
Cách ly đối tượng thuê hai chiều (hạn chế kết nối đến và đi)
Quy trình tách biệt đối tượng thuê hai chiều sẽ chặn những nỗ lực thiết lập kết nối của các đối tượng thuê khác với đối tượng thuê của bạn. Ngoài ra, cách ly đối tượng thuê hai chiều cũng sẽ chặn các nỗ lực thiết lập kết nối từ đối tượng thuê của bạn đến những đối tượng thuê khác.
Trong trường hợp này, quản trị viên đối tượng thuê đã bật quy trình tách biệt đối tượng thuê hai chiều đối với đối tượng thuê Contoso trong khi đối tượng thuê Fabrikam bên ngoài chưa được thêm vào danh sách cho phép.
Người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Contoso không thể thiết lập kết nối dựa trên ID đi đến các nguồn dữ liệu trong đối tượng thuê Fabrikam mặc dù đã xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Đây là quy trình tách biệt đối tượng thuê ra đối với đối tượng thuê Contoso.
Tương tự như vậy, người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Fabrikam không thể thiết lập kết nối dựa trên ID đến Microsoft Entra các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù đã xuất trình thông tin xác thực phù hợp Microsoft Entra để thiết lập kết nối. Đây là quy trình tách biệt đối tượng thuê vào đối với đối tượng thuê Contoso.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) | Fabrikam | Không (đi) |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) | Không (đến) |
| Fabrikam | Fabrikam | Có |
Lưu ý
Quy tắc tách biệt đối tượng thuê sẽ không đánh giá nỗ lực kết nối do người dùng khách khởi tạo từ đối tượng thuê máy chủ của họ nhắm mục tiêu đến các nguồn dữ liệu trong cùng một đối tượng thuê máy chủ.
Tách biệt đối tượng thuê theo danh sách cho phép
Cách ly đối tượng thuê một chiều hoặc cách ly đến sẽ chặn các nỗ lực thiết lập kết nối với đối tượng thuê của bạn khỏi những đối tượng thuê khác.
Trường hợp: Danh sách cho phép kết nối ra – Fabrikam được thêm vào danh sách cho phép kết nối ra của đối tượng thuê Contoso
Trong trường hợp này, quản trị viên thêm đối tượng thuê Fabrikam vào danh sách cho phép kết nối ra trong khi quy trình tách biệt đối tượng thuê ở trạng thái Bật.
Người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Contoso có thể thiết lập kết nối dựa trên ID đi đến các nguồn dữ liệu trong đối tượng thuê Fabrikam nếu họ xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Việc thiết lập kết nối ra với đối tượng thuê Fabrikam được cho phép nhờ vào mục nhập đã đặt cấu hình trong danh sách cho phép.
Tuy nhiên, người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Fabrikam vẫn không thể thiết lập kết nối dựa trên ID đến các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù đã xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Việc thiết lập kết nối vào từ đối tượng thuê Fabrikam vẫn không được phép ngay cả khi mục nhập trong danh sách cho phép được đặt cấu hình và cho phép kết nối ra.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào danh sách cho phép kết nối ra |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào danh sách cho phép kết nối ra |
Không (đến) |
| Fabrikam | Fabrikam | Có |
Trường hợp: Danh sách cho phép kết nối 2 chiều – Fabrikam được thêm vào danh sách cho phép kết nối vào và kết nối ra của đối tượng thuê Contoso
Trong trường hợp này, quản trị viên thêm đối tượng thuê Fabrikam vào cả danh sách cho phép kết nối vào lẫn kết nối ra trong khi quy trình tách biệt đối tượng thuê ở trạng thái Bật.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Có |
| Fabrikam | Fabrikam | Có |
Bật quy trình tách biệt đối tượng thuê và đặt cấu hình danh sách cho phép
Trong Trung tâm quản trị Power Platform, quy trình tách biệt đối tượng thuê được đặt thông qua phần Chính sách>Tách biệt đối tượng thuê.
Lưu ý
Bạn phải có vai trò quản trị viên để có thể xem và thiết lập chính sách tách biệt đối tượng thuê. Power Platform
Bạn có thể đặt cấu hình danh sách cho phép tách biệt đối tượng thuê thông qua phần Quy tắc đối tượng thuê mới trên trang Tách biệt đối tượng thuê . Nếu quy trình tách biệt đối tượng thuê ở trạng thái Tắt, bạn có thể thêm hoặc chỉnh sửa các quy tắc trong danh sách. Tuy nhiên, những quy tắc này sẽ không được thực thi cho đến khi bạn Bật quy trình tách biệt đối tượng thuê.
Trong danh sách thả xuống Chiều thuộc phần Quy tắc đối tượng thuê mới, chọn chiều của mục nhập trong danh sách cho phép.
Bạn cũng có thể nhập giá trị của đối tượng thuê được phép dưới dạng miền đối tượng thuê hoặc ID đối tượng thuê. Sau khi lưu, mục nhập sẽ được thêm vào danh sách quy tắc cùng với các đối tượng thuê được phép khác. Nếu bạn sử dụng miền của đối tượng thuê để thêm mục nhập trong danh sách cho phép, Trung tâm quản trị Power Platform sẽ tự động tính ID đối tượng thuê.
Khi mục nhập xuất hiện trong danh sách, các trường ID người thuê và Microsoft Entra tên người thuê sẽ được hiển thị. Lưu ý rằng trong Microsoft Entra ID, tên người thuê khác với tên miền của người thuê. Đối tượng thuê chỉ có một tên đối tượng thuê duy nhất, nhưng có thể có nhiều miền đối tượng thuê.
Bạn có thể sử dụng "*" làm ký tự đặc biệt để biểu thị rằng tất cả đối tượng thuê đều được phép theo chiều đã chỉ định khi Bật quy trình tách biệt đối tượng thuê.
Bạn có thể chỉnh sửa chiều của mục nhập trong danh sách cho phép của đối tượng thuê dựa trên yêu cầu kinh doanh. Lưu ý rằng bạn không thể chỉnh sửa trường Miền đối tượng thuê hoặc ID đối tượng thuê trên trang Chỉnh sửa quy tắc đối tượng thuê.
Bạn có thể thực hiện tất cả thao tác trong danh sách cho phép như thêm, chỉnh sửa và xóa khi quy trình tách biệt đối tượng thuê ở trạng thái Bật hoặc Tắt. Các mục nhập trong danh sách cho phép có ảnh hưởng đến hoạt động kết nối khi quy trình tách biệt đối tượng thuê bị Tắt vì tất cả kết nối giữa các đối tượng thuê đều được cho phép.
Ảnh hưởng của thời gian thiết kế đối với ứng dụng và dòng
Người dùng tạo hoặc chỉnh sửa tài nguyên chịu ảnh hưởng của chính sách tách biệt đối tượng thuê sẽ thấy thông báo lỗi có liên quan. Ví dụ: người tạo trong Power Apps sẽ thấy lỗi sau khi họ sử dụng kết nối giữa các đối tượng thuê trong ứng dụng bị chặn theo chính sách tách biệt đối tượng thuê. Ứng dụng sẽ không thêm kết nối.
Tương tự, người tạo trong Power Automate sẽ thấy lỗi sau khi cố lưu dòng sử dụng các kết nối trong một dòng bị chặn theo chính sách tách biệt đối tượng thuê. Dòng sẽ tự lưu nhưng sẽ được đánh dấu là "Bị tạm ngưng" và sẽ không được thực thi trừ khi người tạo giải quyết vấn đề vi phạm chính sách ngăn dữ liệu (DLP).
Ảnh hưởng của thời gian chạy đối với ứng dụng và dòng
Với vai trò quản trị viên, bạn có thể quyết định sửa đổi chính sách tách biệt đối tượng thuê cho đối tượng thuê của mình tại bất cứ lúc nào. Nếu ứng dụng và dòng được tạo và thực thi theo các chính sách tách biệt đối tượng thuê trước đó, một vài trong số những ứng dụng và dòng này có thể chịu ảnh hưởng tiêu cực của bất kỳ thay đổi nào mà bạn thực hiện đối với chính sách. Ứng dụng và dòng vi phạm chính sách tách biệt đối tượng thuê sẽ không chạy thành công. Ví dụ: lịch sử chạy trong Power Automate cho biết rằng dòng chạy không thành công. Hơn nữa, chi tiết lỗi sẽ hiển thị khi bạn chọn một lần chạy không thành công.
Đối với những dòng hiện có chạy không thành công do chính sách tách biệt đối tượng thuê mới nhất, lịch sử chạy trong Power Automate sẽ cho biết rằng dòng chạy không thành công.
Thông tin chi tiết về lần chạy dòng không thành công sẽ hiển thị khi bạn chọn lần chạy không thành công.
Lưu ý
Quá trình đánh giá những thay đổi của chính sách tách biệt đối tượng thuê mới nhất dựa trên ứng dụng và dòng hiện hoạt sẽ mất khoảng một giờ. Thay đổi này không xảy ra ngay lập tức.
Các vấn đề đã biết
Azure DevOps bộ kết nối sử dụng Microsoft Entra xác thực làm nhà cung cấp danh tính, nhưng sử dụng OAuth luồng và STS riêng của nó để ủy quyền và cấp mã thông báo. Vì mã thông báo được trả về từ luồng ADO dựa trên cấu hình của Connector đó không phải từ Microsoft Entra ID, nên chính sách tách biệt đối tượng thuê không được thực thi. Để giảm thiểu, chúng tôi khuyên bạn nên sử dụng các loại chính sách dữ liệu khác để hạn chế việc sử dụng trình kết nối hoặc các hành động của trình kết nối.