Các hạn chế kết nối đến và đi của liên đối tượng thuê
Microsoft Power Platform có hệ sinh thái kết nối phong phú dựa trên Microsoft Entra cho phép Microsoft Entra người dùng được ủy quyền xây dựng các ứng dụng và luồng hấp dẫn, thiết lập kết nối với dữ liệu kinh doanh có sẵn thông qua các kho dữ liệu này. Quy trình tách biệt đối tượng thuê giúp quản trị viên dễ dàng đảm bảo rằng những trình kết nối như vậy có thể được khai thác theo cách an toàn và bảo mật trong đối tượng thuê, đồng thời giảm thiểu rủi ro rò rỉ dữ liệu ra bên ngoài đối tượng thuê. Việc cô lập người thuê cho phép Power Platform người quản lý quản lý hiệu quả việc di chuyển dữ liệu người thuê từ Microsoft Entra nguồn dữ liệu được ủy quyền đến và đi từ người thuê của họ.
Power Platform việc cô lập người thuê nhà khác với việc hạn chế người thuê nhà trên toàn ID. Microsoft Entra Nó không ảnh hưởng đến Microsoft Entra quyền truy cập dựa trên ID bên ngoài Power Platform. Power Platform tính năng cô lập đối tượng thuê chỉ hoạt động đối với các kết nối sử dụng xác thực dựa trên ID như Microsoft Entra Outlook hoặc Office 365 . SharePoint
Cảnh báo
Có một vấn đề đã biết với Azure DevOps bộ kết nối dẫn đến chính sách cô lập đối tượng thuê bao không được áp dụng cho các kết nối được thiết lập bằng bộ kết nối này. Nếu lo ngại về tấn công nội gián, chúng tôi khuyên bạn nên hạn chế sử dụng trình kết nối hoặc các hành động của trình kết nối bằng chính sách dữ liệu.
Cấu hình mặc định trong Power Platform với tính năng cô lập đối tượng thuê Tắt là cho phép thiết lập kết nối giữa nhiều đối tượng thuê một cách liền mạch, nếu người dùng từ đối tượng thuê A thiết lập kết nối với đối tượng thuê B xuất trình thông tin xác thực phù hợp. Microsoft Entra Nếu quản trị viên chỉ muốn cho phép một nhóm đối tượng thuê nhất định thiết lập kết nối đến hoặc từ đối tượng thuê mà họ sở hữu, họ có thể Bật quy trình tách biệt đối tượng thuê.
Khi quy trình tách biệt đối tượng thuê ở trạng thái Bật, tất cả đối tượng thuê đều bị hạn chế. Kết nối giữa các bên thuê đến (kết nối đến bên thuê từ bên thuê bên ngoài) và đi (kết nối từ bên thuê đến bên thuê bên ngoài) bị chặn bởi Power Platform ngay cả khi người dùng xuất trình thông tin xác thực hợp lệ cho nguồn dữ liệu được bảo mật. Microsoft Entra Bạn có thể sử dụng các quy tắc để thêm trường hợp ngoại lệ.
Quản trị viên có thể chỉ định danh sách cho phép rõ ràng những người thuê mà họ muốn cho phép vào, ra hoặc cả hai, giúp bỏ qua các biện pháp kiểm soát cô lập người thuê khi được cấu hình. Quản trị viên có thể sử dụng mẫu đặc biệt "*" để cho phép tất cả đối tượng thuê đi theo một chiều cụ thể khi quy trình tách biệt đối tượng thuê ở trạng thái bật. Tất cả các kết nối liên đối tượng thuê bao khác ngoại trừ các kết nối trong danh sách cho phép đều bị Power Platform từ chối.
Bạn có thể đặt cấu hình quy trình tách biệt đối tượng thuê trong Trung tâm quản trị Power Platform . Quy trình này sẽ ảnh hưởng đến các ứng dụng canvas trong Power Platform và dòng trong Power Automate. Để thiết lập quy trình tách biệt đối tượng thuê, bạn cần phải là quản trị viên đối tượng thuê.
Tính năng cách ly đối tượng thuê của Power Platform có sẵn với hai lựa chọn: hạn chế một chiều hoặc hai chiều.
Hiểu các tình huống cô lập người thuê nhà và tác động
Trước khi bạn bắt đầu cấu hình các hạn chế cô lập đối tượng thuê, hãy xem lại danh sách sau để hiểu các tình huống và tác động của việc cô lập đối tượng thuê.
- Người quản trị muốn bật tính năng cô lập người thuê.
- Quản trị viên lo ngại rằng các ứng dụng và luồng hiện có sử dụng kết nối giữa nhiều đối tượng thuê bao sẽ ngừng hoạt động.
- Người quản trị quyết định cho phép cô lập người thuê và thêm các quy tắc ngoại lệ để loại bỏ tác động.
- Quản trị viên chạy báo cáo cách ly giữa nhiều đối tượng thuê để xác định những đối tượng thuê cần được miễn trừ. Thông tin thêm: Hướng dẫn: Tạo báo cáo cô lập giữa các đối tượng thuê bao (xem trước)
Cách ly đối tượng thuê hai chiều (hạn chế kết nối đến và đi)
Tính năng cô lập người thuê hai chiều chặn các nỗ lực thiết lập kết nối giữa người thuê của bạn với những người thuê khác. Ngoài ra, việc cô lập người thuê hai chiều còn chặn các nỗ lực thiết lập kết nối từ người thuê của bạn tới những người thuê khác.
Trong trường hợp này, người quản trị đối tượng thuê cho phép cô lập đối tượng thuê hai chiều trên đối tượng thuê Contoso trong khi đối tượng thuê Fabrikam bên ngoài chưa được thêm vào danh sách cho phép.
Người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Contoso không thể thiết lập kết nối dựa trên ID đi đến các nguồn dữ liệu trong đối tượng thuê Fabrikam mặc dù đã xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Đây là quy trình tách biệt đối tượng thuê ra đối với đối tượng thuê Contoso.
Tương tự như vậy, người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Fabrikam không thể thiết lập kết nối dựa trên ID đến các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù đã xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Đây là quy trình tách biệt đối tượng thuê vào đối với đối tượng thuê Contoso.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) | Fabrikam | Không (đi) |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) | Không (đến) |
| Fabrikam | Fabrikam | Có |
Lưu ý
Nỗ lực kết nối do người dùng khách khởi tạo từ đối tượng thuê máy chủ của họ nhắm tới các nguồn dữ liệu trong cùng một đối tượng thuê máy chủ sẽ không được đánh giá theo các quy tắc cô lập đối tượng thuê.
Cô lập người thuê nhà bằng danh sách cho phép
Việc cô lập người thuê một chiều hoặc cô lập đến sẽ chặn các nỗ lực thiết lập kết nối đến người thuê của bạn khỏi những người thuê khác.
Kịch bản: Danh sách cho phép gửi đi – Fabrikam được thêm vào danh sách cho phép gửi đi của đối tượng thuê Contoso
Trong trường hợp này, người quản trị thêm đối tượng thuê Fabrikam vào danh sách cho phép gửi đi trong khi tính năng cô lập đối tượng thuê được Bật.
Người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Contoso có thể thiết lập kết nối dựa trên ID đi đến các nguồn dữ liệu trong đối tượng thuê Fabrikam nếu họ xuất trình thông tin xác thực phù hợp để thiết lập kết nối. Microsoft Entra Microsoft Entra Việc thiết lập kết nối đi đến đối tượng thuê Fabrikam được cho phép nhờ mục nhập danh sách cho phép đã cấu hình.
Tuy nhiên, người dùng đã đăng nhập vào Power Platform trong đối tượng thuê Fabrikam vẫn không thể thiết lập kết nối dựa trên ID đến Microsoft Entra các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù đã xuất trình thông tin xác thực Microsoft Entra thích hợp để thiết lập kết nối. Việc thiết lập kết nối đến từ đối tượng thuê Fabrikam vẫn không được phép ngay cả khi mục nhập danh sách cho phép được cấu hình và cho phép kết nối đi.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam đã được thêm vào danh sách cho phép gửi đi |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam đã được thêm vào danh sách cho phép gửi đi |
Không (đến) |
| Fabrikam | Fabrikam | Có |
Kịch bản: Danh sách cho phép hai chiều – Fabrikam được thêm vào danh sách cho phép đến và đi của đối tượng thuê Contoso
Trong trường hợp này, người quản trị thêm đối tượng thuê Fabrikam vào cả danh sách cho phép đến và đi trong khi tính năng cô lập đối tượng thuê được Bật.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Có |
| Fabrikam | Fabrikam | Có |
Cho phép cô lập người thuê và cấu hình danh sách cho phép
Chuyển đến Trung tâm quản trị Power Platform.
Trong ngăn điều hướng, chọn Bảo mật.
Trong ngăn Bảo mật , chọn Danh tính và quyền truy cập.
Trong trang Quản lý danh tính và quyền truy cập , hãy chọn Cách ly người thuê.
Để cho phép cô lập người thuê, hãy bật tùy chọn Hạn chế kết nối giữa nhiều người thuê .
Để cho phép giao tiếp giữa nhiều bên thuê, hãy chọn Thêm ngoại lệ trong ngăn Cô lập bên thuê .
Nếu tính năng cô lập người thuê Tắt, bạn vẫn có thể thêm hoặc chỉnh sửa danh sách ngoại lệ. Tuy nhiên, danh sách ngoại lệ sẽ không được áp dụng cho đến khi bạn bật tính năng cô lập người thuê.
Từ danh sách thả xuống Hướng được phép , chọn hướng của mục nhập danh sách được phép.
Nhập giá trị của đối tượng thuê được phép làm tên miền đối tượng thuê hoặc ID đối tượng thuê trong trường ID đối tượng thuê . Sau khi lưu, mục nhập sẽ được thêm vào danh sách cho phép cùng với những đối tượng thuê được phép khác. Nếu bạn sử dụng tên miền của người thuê để thêm mục nhập vào danh sách cho phép, trung tâm quản trị sẽ tự động tính toán ID của người thuê. Power Platform
Bạn có thể sử dụng "*" làm ký tự đặc biệt để biểu thị tất cả người thuê được phép đi theo hướng đã chỉ định khi bật chế độ cô lập người thuê.
Chọn Lưu.
Lưu ý
Bạn phải có vai trò quản trị viên để có thể xem và thiết lập chính sách cô lập đối tượng thuê. Power Platform
Lưu ý
Để đảm bảo tính năng cô lập đối tượng thuê bao không chặn bất kỳ cuộc gọi nào khi sử dụng, hãy bật tính năng cô lập đối tượng thuê bao Bật, thêm quy tắc đối tượng thuê bao mới, đặt ID đối tượng thuê bao là "*" và đặt hướng được phép thành đến và đi.
Bạn có thể thực hiện tất cả các hoạt động trong danh sách cho phép như thêm, chỉnh sửa và xóa khi tính năng cô lập đối tượng thuê được bật Bật hoặc Tắt. Cho phép các mục nhập danh sách có ảnh hưởng đến hành vi kết nối khi tính năng cô lập đối tượng thuê bị tắt vì tất cả các kết nối giữa các đối tượng thuê đều được phép.
Ảnh hưởng của thời gian thiết kế đối với ứng dụng và dòng
Người dùng tạo hoặc chỉnh sửa tài nguyên bị ảnh hưởng bởi chính sách cô lập đối tượng thuê sẽ thấy thông báo lỗi liên quan. Ví dụ: Power Apps người tạo sẽ thấy lỗi sau khi họ sử dụng kết nối giữa nhiều đối tượng thuê trong ứng dụng bị chặn bởi chính sách cô lập đối tượng thuê. Ứng dụng không thêm kết nối.
Tương tự như vậy, Power Automate người tạo sẽ thấy lỗi sau khi họ cố lưu luồng sử dụng kết nối trong luồng bị chính sách cô lập đối tượng thuê chặn. Bản thân luồng được lưu, nhưng được đánh dấu là "Đã tạm dừng" và không được thực thi trừ khi người tạo giải quyết vi phạm chính sách ngăn ngừa mất dữ liệu (DLP).
Ảnh hưởng của thời gian chạy đối với ứng dụng và dòng
Với vai trò quản trị viên, bạn có thể quyết định sửa đổi chính sách tách biệt đối tượng thuê cho đối tượng thuê của mình tại bất cứ lúc nào. Nếu ứng dụng và dòng được tạo và thực thi theo các chính sách tách biệt đối tượng thuê trước đó, một vài trong số những ứng dụng và dòng này có thể chịu ảnh hưởng tiêu cực của bất kỳ thay đổi nào mà bạn thực hiện đối với chính sách. Các ứng dụng hoặc luồng vi phạm chính sách cô lập đối tượng thuê sẽ không chạy thành công. Ví dụ: lịch sử chạy trong Power Automate cho biết rằng dòng chạy không thành công. Ngoài ra, việc chọn lần chạy không thành công sẽ hiển thị thông tin chi tiết về lỗi.
Đối với những dòng hiện có chạy không thành công do chính sách tách biệt đối tượng thuê mới nhất, lịch sử chạy trong Power Automate sẽ cho biết rằng dòng chạy không thành công.
Việc chọn lượt chạy không thành công sẽ hiển thị thông tin chi tiết về lượt chạy luồng không thành công.
Lưu ý
Quá trình đánh giá những thay đổi của chính sách tách biệt đối tượng thuê mới nhất dựa trên ứng dụng và dòng hiện hoạt sẽ mất khoảng một giờ. Thay đổi này không xảy ra ngay lập tức.
Các vấn đề đã biết
Azure DevOps đầu nối sử dụng Microsoft Entra xác thực làm nhà cung cấp danh tính, nhưng sử dụng OAuth luồng và STS riêng của nó để ủy quyền và cấp mã thông báo. Vì mã thông báo được trả về từ luồng ADO dựa trên cấu hình của Connector đó không phải từ Microsoft Entra ID, nên chính sách cô lập đối tượng thuê không được thực thi. Để giảm thiểu, chúng tôi khuyên bạn nên sử dụng các loại chính sách dữ liệu khác để hạn chế việc sử dụng trình kết nối hoặc các hành động của trình kết nối.