Входящи и изходящи ограничения на сътрудничество между клиенти
Microsoft Power Platform има богата екосистема от конектори, базирани на които позволяват на Microsoft Entra оторизираните Microsoft Entra потребители да изграждат завладяващи приложения и потоци, установяващи връзки с бизнес данните, достъпни чрез тези хранилища за данни. Изолацията на клиента улеснява администраторите да гарантират, че тези конектори могат да бъдат използвани по безопасен и сигурен начин в рамките на клиента, като същевременно минимизира риска от изтичане на данни извън клиента. Изолацията на наемателите позволява на глобалните администратори и администратори ефективно да управляват движението на данните на клиента от оторизирани източници на данни към и Power Platform от Microsoft Entra техния клиент.
Обърнете внимание, че Power Platform изолацията на наемателя е различна от ограничението за наемател за Microsoft Entra целия ИД. Това не оказва влияние върху Microsoft Entra достъпа, базиран на ID, извън него Power Platform. Power Platform изолацията на клиента работи само за съединители, използващи Microsoft Entra удостоверяване, базирано на ИД, като Office 365 например Outlook или SharePoint.
Предупреждение
Има известен проблем с Azure DevOps конектор, който води до политика за изолиране на клиента, която не се прилага за връзки, установени чрез това конектор. Ако векторът за вътрешна атака е проблем, препоръчително е да ограничите използването на конектора или неговите действия, като използвате правилата за данни.
Конфигурацията по подразбиране в Power Platform с изключена изолация на клиента е да позволи безпроблемно установяване на връзки между клиенти, ако потребителят от клиент А, установяващ връзката с клиент Б, представи подходящи Microsoft Entra идентификационни данни. Ако администраторите искат да позволят само на избран набор от клиенти да установяват връзки към или от своя клиент, те могат да включат изолацията на клиента Вкл..
При изолация на клиент Включенавсички клиенти са ограничени. Входящите (връзки към клиента от външни клиенти) и изходящите (връзки от клиента към външни клиенти) кръстосани връзки с клиенти се блокират Power Platform дори ако потребителят представи валидни идентификационни данни за защитения Microsoft Entra източник на данни. Можете да използвате правила, за да добавите изключения.
Администраторите могат да посочат изричен разрешен списък с клиенти, които искат да активират входящ, изходящ или и двете, което ще заобикаляне на контролите за изолация на клиент, когато са конфигурирани. Администраторите могат да използват специален модел "*", за да разрешат на всички клиенти в определена посока, когато изолацията на клиентите е включена. Всички други връзки между клиенти, с изключение на тези в списъка с разрешени, се отхвърлят от Power Platform.
Изолацията на клиента може да бъде конфигурирана в Power Platform административния център. То влияе на приложения за платно на Power Platform и потоците на Power Automate. За да настроите изолация на клиента, трябва да сте администратор на клиента.
Способността за изолация на клиент на Power Platform се предлага с две възможности: еднопосочно или двупосочно ограничение.
Разбиране на сценариите за изолация на наемателите и въздействието
Преди да започнете да конфигурирате ограниченията за изолация на наематели, прегледайте следния списък, за да разберете сценариите и въздействието на изолацията на клиента.
- Admin иска да включи изолацията на наемателите.
- Admin е загрижен, че съществуващите приложения и потоци, използващи кръстосани връзки с клиенти, ще спрат да работят.
- Admin решава да разреши изолацията на клиента и да добави правила за изключения, за да елиминира въздействието.
- Admin изпълнява отчетите за изолация между наемателите, за да определи наемателите, които трябва да бъдат освободени. Повече информация:Tutorial: Създаване на доклади за изолация на кръстосани наематели (предварителен преглед)
Двупосочна изолация на клиент (ограничение на входящата и изходящата връзка)
Двупосочната изолация на клиента ще блокира опитите за установяване на връзка към вашия клиент от други клиенти. в допълнение двупосочната изолация на клиент ще блокира и опитите за установяване на връзка от вашия клиент с други клиенти.
В този сценарий администраторът на клиента е активирал двупосочна изолация на клиента на клиента на Contoso, докато външният клиент на Fabrikam не е добавен към списъка с разрешени.
Потребителите, влезли в Power Platform в Contoso клиента, не могат да установят изходящи Microsoft Entra ID-базирани връзки към източници на данни в клиента на Fabrikam, въпреки че са представили подходящи Microsoft Entra идентификационни данни за установяване на връзката. Това е изолация на изходящ клиент за клиента на Contoso.
Аналогично, потребителите, влезли в Power Platform в клиента на Fabrikam, не могат да установят входящи Microsoft Entra базирани на ИД връзки към източници на данни в клиента на Contoso, въпреки че са представили подходящи Microsoft Entra идентификационни данни за установяване на връзката. Това е изолация на входящ клиент за клиента на Contoso.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) | Fabrikam | Не (Изходящо) |
| Fabrikam | Contoso (изолация на клиент Включено) | Не (входящи) |
| Fabrikam | Fabrikam | Да |
Бележка
Опит за връзка, иницииран от гост-потребител от неговия клиент-хост, насочващ към източници на данни в рамките на един и същ клиент на хост, не се оценява от правилата за изолация на клиента.
Изолиране на клиент с разрешени списъци
Еднопосочната изолация на клиент или входящата изолация ще блокира опитите за установяване на връзка с вашия клиент от други клиент.
Сценарий: Изходящ списък с разрешени – Fabrikam се добавя към изходящия разрешен списък на клиента на Contoso
В този сценарий администраторът добавя клиента на Fabrikam в изходящия разрешен списък, докато изолацията на клиента е Включена.
Потребителите, влезли в Power Platform в Contoso клиента, могат да установят изходящи Microsoft Entra базирани на ID връзки към източници на данни в клиента на Fabrikam, ако представят подходящи Microsoft Entra идентификационни данни за установяване на връзката. Установяването на изходяща връзка към клиента на Fabrikam е разрешено по силата на конфигурирания запис в разрешения списък.
Въпреки това потребителите, влезли в Power Platform в клиента на Fabrikam, все още не могат да установят входящи Microsoft Entra връзки, базирани на ID, към източници на данни в клиента на Contoso, въпреки че са представили подходящи Microsoft Entra идентификационни данни за установяване на връзката. Установяването на входяща връзка от клиента на Fabrikam все още е забранено, дори когато записът в разрешения списък е конфигуриран и разрешава изходящи връзки.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) Fabrikam е добавен към изходящия разрешен списък |
Fabrikam | Да |
| Fabrikam | Contoso (изолация на клиент Включено) Fabrikam е добавен към изходящия разрешен списък |
Не (входящи) |
| Fabrikam | Fabrikam | Да |
Сценарий: Двупосочен списък с разрешени - Fabrikam е добавен към входящия и изходящия списък с разрешени на клиента Contoso
В този сценарий администраторът добавя клиента на Fabrikam във входящия и изходящия списък с разрешени, докато изолацията на клиента е Включена.
| Клиент на създателя на връзката | Клиент за вход за връзка | Достъпът е разрешен? |
|---|---|---|
| Contoso | Contoso | Да |
| Contoso (изолация на клиент Включено) Fabrikam е добавен към двата разрешени списъка |
Fabrikam | Да |
| Fabrikam | Contoso (изолация на клиент Включено) Fabrikam е добавен към двата разрешени списъка |
Да |
| Fabrikam | Fabrikam | Да |
Активиране на изолацията на клиента и конфигуриране на разрешен списък
В Power Platform административния център изолацията на клиента се задава с Правила>Изолация на клиент.
Бележка
Трябва да имате роля на глобален администратор или администратор, Power Platform за да видите и зададете правилата за изолация на клиента.
Списъкът с разрешени за изолация на клиент може да бъде конфигуриран чрез Ново правило за клиент на страницата Изолация на клиент. Ако изолацията на клиента е Изключена, можете да добавите или редактирате правилата в списъка. Тези правила обаче няма да бъдат приложени, докато не включите изолацията на клиента Вкл..
От падащия списък Посока на правилото за нов клиент изберете посоката на записа в списъка с разрешени.
Можете също да въведете стойността на разрешения клиент като домейн на клиент или ИД на клиент. След като бъде запазен, записът се добавя към списъка с правила заедно с други разрешени клиенти. Ако използвате домейна на клиента, за да добавите запис в разрешения списък, Power Platform административният център автоматично изчислява ИД на клиента.
След като записът се появи в списъка, се показват полетата ИД на клиент и име Microsoft Entra на клиент. Обърнете внимание, че в Microsoft Entra ИД името на клиента е различно от домейна на клиента. Името на клиента е уникално за клиента, но клиентът може да има повече от едно име на домейн.
Можете да използвате „*“ като специален знак, за да укажете, че всички клиенти са разрешени в указаната посока, когато изолацията на клиентите е включена Включена.
Можете да редактирате посоката на записа в списъка с разрешени клиенти въз основа на бизнес изискванията. Обърнете внимание, че полето домейн на клиент или ID не може да се редактира в страницата Редактиране на правило за клиент.
Можете да извършвате всички операции в списъка с разрешени като добавяне, редактиране и изтриване, докато изолацията на клиента е включена Включена или Изключена. Записите в списъка с разрешени имат ефект върху поведението на връзката, когато изолацията на клиента е Изключена тъй като всички връзки между клиенти са разрешени.
Въздействие върху дизайна и времето върху приложенията и потоците
Потребителите, които създават или редактират ресурс, засегнат от политиката за изолиране на клиента, ще видят съответното съобщение за грешка. Например Power Apps създателите ще видят следната грешка, когато използват връзки между клиенти в приложение, което е блокирано от политиките за изолиране на клиентите. Приложението няма да добави връзката.
По подобен начин създателите на Power Automate създателите ще видят следната грешка, когато се опитат да запазят поток, който използва връзки в поток, който е блокиран от политиките за изолация на клиентите. Самият поток ще бъде запазен, но ще бъде маркиран като "спрян" и няма да бъде изпълнен, докато създателят не отстрани нарушението на политиката за предотвратяване на загубата на данни (DLP).
Въздействие върху времето на изпълнение върху приложенията и потоците
Като администратор можете да решите да промените политиките за изолация на клиентите за вашия клиент във всеки един момент. Ако приложенията и потоците са били създадени и изпълнени в съответствие с по-ранните политики за изолиране на клиентите, някои от тях може да бъдат негативно засегнати от направените от вас промени в политиката. Приложения или потоци, които са в нарушение на политиката за изолиране на клиента, няма да работят успешно. Например хронологията на изпълнение в Power Automate показва, че изпълнението на потока е неуспешно. Освен това, избирането на неуспешно изпълнение ще покаже подробности за грешката.
За съществуващи потоци, които не се изпълняват успешно поради най-новата политика за изолиране на клиент, хронологията на изпълнение в Power Automate показва, че изпълнението на потока е неуспешно.
Избирането на неуспешното изпълнение ще покаже подробности за неуспешното изпълнение на потока.
Бележка
Отнема около час, за да бъдат оценени най-новите промени в правилата за изолиране на клиенти спрямо активни приложения и потоци. Тази промяна не е мигновена.
Познати проблеми
Azure DevOps конекторът използва удостоверяване като доставчик на самоличност, но използва Microsoft Entra свой собствен OAuth поток и STS за упълномощаване и издаване на маркер. Тъй като маркерът, върнат от ADO потока въз основа на конфигурацията на този конектор, не е от Microsoft Entra ИД, правилата за изолация на клиента не се прилагат. Като смекчаване препоръчваме използването на други типове правила за данни за ограничаване на използването на конектора или неговите действия.