क्रॉस-टैनेंट इनबाउंड और आउटबाउंड प्रतिबंध
Microsoft Power Platform कनेक्टर्स Microsoft Entra का एक समृद्ध पारिस्थितिकी तंत्र है जो अधिकृत Microsoft Entra उपयोगकर्ताओं को इन डेटा स्टोर के माध्यम से उपलब्ध व्यावसायिक डेटा के लिए कनेक्शन स्थापित करने वाले सम्मोहक ऐप्स और प्रवाह बनाने की अनुमति देता है। टैनेंट आइसोलेशन से व्यवस्थापकों के लिए यह सुनिश्चित करना आसान हो जाता है कि टैनेंट के बाहर डेटा एक्सफिल्ट्रेशन के जोखिम को कम करते हुए इन कनेक्टर्स को टैनेंट के भीतर सुरक्षित तरीके से उपयोग किया जा सकता है. किरायेदार अलगाव वैश्विक प्रशासकों और Power Platform प्रशासकों को अधिकृत डेटा स्रोतों से अपने किरायेदार से किरायेदार डेटा के आंदोलन को प्रभावी ढंग से Microsoft Entra नियंत्रित करने की अनुमति देता है।
ध्यान दें कि Power Platform किरायेदार अलगाव आईडी-वाइड किरायेदार प्रतिबंध से Microsoft Entra अलग है। यह आईडी-आधारित पहुंच को बाहर प्रभावित नहीं Microsoft Entra करता है Power Platform। Power Platform किरायेदार अलगाव केवल ID-आधारित प्रमाणीकरण जैसे Outlook या Outlook Microsoft Entra का Office 365 उपयोग करने वाले SharePointकनेक्टर्स के लिए काम करता है.
चेतावनी
Azure DevOps कनेक्टर के साथ एक ज्ञात समस्या है, जिसके कारण टैनेंट आइसोलेशन नीति को इस कनेक्टर का उपयोग करके बनाए गए कनेक्शन्स पर लागू नहीं किया जाता है. यदि एक अंदरूनी हमला वेक्टर एक चिंता का विषय है, तो डेटा नीतियों का उपयोग करके कनेक्टर या उसके कार्यों का उपयोग सीमित करने की सिफारिश की जाती है।
किरायेदार अलगाव Power Platform बंद के साथ डिफ़ॉल्ट कॉन्फ़िगरेशन क्रॉस-किरायेदार कनेक्शन को मूल रूप से स्थापित करने की अनुमति देना है, यदि किरायेदार ए से उपयोगकर्ता किरायेदार बी से कनेक्शन स्थापित करता है जो उचित Microsoft Entra क्रेडेंशियल्स प्रस्तुत करता है। यदि व्यवस्थापक अपने टैनेंट से या उससे कनेक्शन स्थापित करने के लिए केवल चुनिंदा टैनेंट सेट को अनुमति देना चाहते हैं, तो वे टैनेंट आइसोलेशन चालू कर सकते हैं.
टैनेंट आइसोलेशन चालूवाले सभी टैनेंट प्रतिबंधित हैं. इनबाउंड (बाहरी किरायेदारों से किरायेदार के कनेक्शन) और आउटबाउंड (किरायेदार से बाहरी किरायेदारों तक कनेक्शन) क्रॉस-किरायेदार कनेक्शन अवरुद्ध Power Platform हो जाते हैं, भले ही उपयोगकर्ता सुरक्षित डेटा स्रोत के लिए वैध क्रेडेंशियल्स प्रस्तुत करता Microsoft Entra हो। आप अपवाद जोड़ने के लिए नियमों का उपयोग कर सकते हैं.
व्यवस्थापक टैनेंट की एक स्पष्ट अनुमति सूची निर्दिष्ट कर सकते हैं जिसे वे इनबाउंड, आउटबाउंड या दोनों को सक्षम करना चाहते हैं, जो कॉन्फ़िगर किए जाने पर टैनेंट आइसोलेशन नियंत्रण बायपास करें. जब टैनेंट आइसोलेशन चालू होता है, तो व्यवस्थापक एक विशेष पैटर्न "*" का उपयोग सभी टैनेंट को एक विशिष्ट दिशा में जाने की अनुमति देने के लिए कर सकते हैं. अनुमत सूची में शामिल कनेक्शनों को छोड़कर अन्य सभी क्रॉस-टैनेंट कनेक्शन Power Platform द्वारा अस्वीकार कर दिए जाते हैं.
टैनेंट आइसोलेशन को Power Platform व्यवस्थापन केंद्र में कॉन्फ़िगर किया जा सकता है. वे Power Platform कैनवास ऐप्स और Power Automate प्रवाह को प्रभावित करते हैं. टैनेंट आइसोलेशन सेट अप करने के लिए, आपको टैनेंट व्यवस्थापक होना चाहिए.
Power Platform टेनैंट आइसोलेशन क्षमता दो विकल्पों के साथ उपलब्ध है: एक-तरफ़ा या दो-तरफ़ा प्रतिबंध.
किरायेदार अलगाव परिदृश्य और प्रभाव को समझें
इससे पहले कि आप किरायेदार अलगाव प्रतिबंधों को कॉन्फ़िगर करना शुरू करें, किरायेदार अलगाव के परिदृश्यों और प्रभाव को समझने के लिए निम्नलिखित सूची की समीक्षा करें।
- व्यवस्थापक किरायेदार अलगाव को चालू करना चाहता है।
- व्यवस्थापक चिंतित है कि क्रॉस किरायेदार कनेक्शन का उपयोग करने वाले मौजूदा ऐप और प्रवाह काम करना बंद कर देंगे।
- व्यवस्थापक किरायेदार अलगाव को सक्षम करने और प्रभाव को खत्म करने के लिए अपवाद नियम जोड़ने का निर्णय लेता है।
- एडमिन उन किरायेदारों को निर्धारित करने के लिए क्रॉस-किरायेदार अलगाव रिपोर्ट चलाता है जिन्हें छूट देने की आवश्यकता है। अधिक जानकारी:ट्यूटोरियल: क्रॉस किरायेदार अलगाव रिपोर्ट बनाएं (पूर्वावलोकन)
दो-तरफ़ा टैनेंट आइसोलेशन (इनबाउंड और आउटबाउंड कनेक्शन प्रतिबंध)
दो-तरफ़ा टैनेंट आइसोलेशन आपके टैनेंट से अन्य टैनेंट के लिए कनेक्शन स्थापना प्रयासों को भी अवरुद्ध करेगा. इसके अतिरिक्त, दो-तरफ़ा टेनैंट आइसोलेशन आपके टेनैंट से अन्य टेनैंट के लिए कनेक्शन स्थापना प्रयासों को भी अवरुद्ध करेगा.
इस परिदृश्य में, टैनेंट व्यवस्थापक ने Contoso टैनेंट पर दो-तरफ़ा टैनेंट आइसोलेशन सक्षम किया है, जबकि बाहरी Fabrikam टैनेंट को अनुमति सूची में नहीं जोड़ा गया है.
Contoso किरायेदार में लॉग इन करने वाले उपयोगकर्ता कनेक्शन स्थापित करने के लिए उपयुक्त Power Platform क्रेडेंशियल्स प्रस्तुत करने Microsoft Entra के बावजूद Fabrikam किरायेदार में डेटा स्रोतों के लिए आउटबाउंड Microsoft Entra आईडी-आधारित कनेक्शन स्थापित नहीं कर सकते हैं। यह Contoso टैनेंट के लिए आउटबाउंड टैनेंट आइसोलेशन है.
इसी तरह, फैब्रिकम किरायेदार में लॉग इन किए गए Power Platform उपयोगकर्ता कनेक्शन स्थापित करने के लिए उपयुक्त Microsoft Entra क्रेडेंशियल्स प्रस्तुत करने के बावजूद कॉन्टोसो किरायेदार में डेटा स्रोतों के लिए इनबाउंड Microsoft Entra आईडी-आधारित कनेक्शन स्थापित नहीं कर सकते हैं। यह Contoso टैनेंट के लिए इनबाउंड टैनेंट आइसोलेशन है.
| कनेक्शन निर्माता किरायेदार | कनेक्शन साइन-इन टैनेंट | प्रवेश की अनुमति है? |
|---|---|---|
| Contoso | Contoso | हां |
| Contoso (टैनेंट आइसोलेशन चालू) | Fabrikam | नहीं (आउटबाउंड) |
| Fabrikam | Contoso (टैनेंट आइसोलेशन चालू) | नहीं (इनबाउंड) |
| Fabrikam | Fabrikam | हां |
नोट
एक ही मेजबान किरायेदार के भीतर डेटा स्रोतों को लक्षित करने वाले अपने मेजबान किरायेदार से एक अतिथि उपयोगकर्ता द्वारा शुरू किए गए कनेक्शन प्रयास का मूल्यांकन किरायेदार अलगाव नियमों द्वारा नहीं किया जाता है।
अनुमति वाली सूची के साथ टैनेंट आइसोलेशन
एक तरफ़ा टैनेंट आइसोलेशन या इनबाउंड आइसोलेशन आपके टैनेंट को अन्य टेनैंट से कनेक्शन स्थापना प्रयासों को अवरुद्ध करेगा.
परिदृश्य: आउटबाउंड अनुमति सूची - Fabrikam को Contoso टैनेंट की आउटबाउंड अनुमति सूची में जोड़ा गया है
इस परिदृश्य में टैनेंट आइसोलेशन चालू होने पर व्यवस्थापक Fabrikam टैनेंट को आउटबाउंड अनुमति वाली सूची में जोड़ देता है.
Contoso किरायेदार में लॉग इन किए गए Power Platform उपयोगकर्ता Fabrikam किरायेदार में डेटा स्रोतों के लिए आउटबाउंड Microsoft Entra आईडी-आधारित कनेक्शन स्थापित कर सकते हैं यदि वे कनेक्शन स्थापित करने के लिए उपयुक्त Microsoft Entra क्रेडेंशियल्स प्रस्तुत करते हैं। कॉन्फ़िगर की गई अनुमति सूची प्रविष्टि के आधार पर Fabrikam टैनेंट के लिए आउटबाउंड कनेक्शन स्थापना की अनुमति है.
हालांकि, फैब्रिकम किरायेदार में लॉग इन करने वाले उपयोगकर्ता अभी भी कनेक्शन स्थापित करने के लिए उचित Power Platform क्रेडेंशियल्स प्रस्तुत करने Microsoft Entra के बावजूद कॉन्टोसो किरायेदार में डेटा स्रोतों के लिए इनबाउंड Microsoft Entra आईडी-आधारित कनेक्शन स्थापित नहीं कर सकते हैं। Fabrikam टैनेंट से इनबाउंड कनेक्शन स्थापना अभी भी अस्वीकृत है भले ही अनुमति सूची प्रविष्टि कॉन्फ़िगर की गई हो और आउटबाउंड कनेक्शन की अनुमति देती हो.
| कनेक्शन निर्माता किरायेदार | कनेक्शन साइन-इन टैनेंट | प्रवेश की अनुमति है? |
|---|---|---|
| Contoso | Contoso | हां |
| Contoso (टैनेंट आइसोलेशन चालू) Fabrikam को आउटबाउंड अनुमति वाली सूची में जोड़ा गया |
Fabrikam | हां |
| Fabrikam | Contoso (टैनेंट आइसोलेशन चालू) Fabrikam को आउटबाउंड अनुमति वाली सूची में जोड़ा गया |
नहीं (इनबाउंड) |
| Fabrikam | Fabrikam | हां |
परिदृश्य: Bidirectional अनुमति सूची - Fabrikam को Contoso टैनेंट की इनबाउंड और आउटबाउंड अनुमति सूचियों में जोड़ा गया है
इस परिदृश्य में, टैनेंट आइसोलेशन चालू होने पर व्यवस्थापक Fabrikam टैनेंट को इनबाउंड और आउटबाउंड, दोनों अनुमति सूचियों में जोड़ देता है.
| कनेक्शन निर्माता किरायेदार | कनेक्शन साइन-इन टैनेंट | प्रवेश की अनुमति है? |
|---|---|---|
| Contoso | Contoso | हां |
| Contoso (टैनेंट आइसोलेशन चालू) Fabrikam को दोनों अनुमति सूचियों में जोड़ा गया |
Fabrikam | हां |
| Fabrikam | Contoso (टैनेंट आइसोलेशन चालू) Fabrikam को दोनों अनुमति सूचियों में जोड़ा गया |
हां |
| Fabrikam | Fabrikam | हां |
टैनेंट आइसोलेशन सक्षम करें और अनुमति वाली सूची कॉन्फ़िगर करें
Power Platform व्यवस्थापन केंद्र में, टैनेंट आइसोलेशन नीतियों>टैनेंट आइसोलेशन के साथ सेट किया गया है.
नोट
किरायेदार अलगाव नीति को देखने और सेट करने के लिए आपके पास वैश्विक व्यवस्थापक भूमिका या Power Platform व्यवस्थापक भूमिका होनी चाहिए.
टैनेंट आइसोलेशन की अनुमति वाली सूची को टैनेंट आइसोलेशन पेज पर नए टैनेंट नियम का इस्तेमाल करके कॉन्फ़िगर किया जा सकता है. यदि टैनेंट आइसोलेशन बंद है, तो आप सूची में नियम जोड़ या संपादित कर सकते हैं. हालांकि, ये नियम तब तक लागू नहीं होंगे जब तक आप टैनेंट आइसोलेशन को चालू नहीं कर देते.
नए टैनेंट नियम निर्देश ड्रॉपडाउन सूची से, अनुमति वाली सूची में एंट्री की दिशा चुनें.
आप अनुमत टैनेंट का मान टैनेंट डोमेन या टैनेंट आईडी के रूप में भी दर्ज कर सकते हैं. एक बार सहेजे जाने के बाद, प्रविष्टि अन्य अनुमत टैनेंट के साथ नियम सूची में जुड़ जाती है. अगर आप अनुमति वाली सूची में एंट्री जोड़ने के लिए टैनेंट डोमेन का इस्तेमाल करते हैं, तो Power Platform व्यवस्थापक केंद्र अपने आप टैनेंट आईडी की गणना करता है.
एक बार सूची में प्रविष्टि दिखाई देने के बाद, किरायेदार आईडी और Microsoft Entra किरायेदार नाम फ़ील्ड प्रदर्शित होते हैं। ध्यान दें कि आईडी में Microsoft Entra , किरायेदार का नाम किरायेदार डोमेन से अलग है। टैनेंट का नाम टैनेंट के लिए अद्वितीय है, लेकिन एक टैनेंट के पास एक से अधिक डोमेन नाम हो सकते हैं.
आप "*" का उपयोग एक विशेष वर्ण के रूप में यह दर्शाने के लिए कर सकते हैं कि जब टैनेंट आइसोलेशन चालू हो, तो निर्दिष्ट दिशा में सभी टैनेंटों को अनुमति दी जाती है.
आप व्यावसायिक आवश्यकताओं के आधार पर टैनेंट की अनुमति वाली सूची प्रविष्टि की दिशा संपादित कर सकते हैं. ध्यान दें कि टैनेंट डोमेन या आईडी फ़ील्ड को टैनेंट नियम संपादित करें पेज में संपादित नहीं किया जा सकता.
जब टैनेंट आइसोलेशन को चालू या बंद किया जाता है, तब आप अनुमति देने वाली सूची से जुड़े सभी काम कर सकते हैं, जैसे जोड़ना, संपादित करना और हटाना. चूंकि सभी क्रॉस-टैनेंट कनेक्शन की अनुमति होती है, इसलिए जब टैनेंट आइसोलेशन को बंद किया जाता है, तो अनुमति वाली सूची की एंट्री का कनेक्शन के व्यवहार पर असर पड़ता है.
ऐप्स और प्रवाहों पर डिज़ाइन-टाइम प्रभाव
टैनेंट आइसोलेशन नीति से प्रभावित संसाधन बनाने या संपादित करने वाले उपयोगकर्ताओं को एक संबंधित त्रुटि संदेश दिखाई देगा. उदाहरण के लिए, Power Apps निर्माता जब किसी ऐसे ऐप में क्रॉस-टैनेंट कनेक्शन्स का उपयोग करेंगे, जो टैनेंट आइसोलेशन नीतियों द्वारा अवरुद्ध हैं, तो उन्हें निम्न त्रुटि दिखाई देगी. ऐप कनेक्शन नहीं जोड़ेगा.
इसी तरह, Power Automate निर्माता जब किसी ऐसे प्रवाह को सहेजने का प्रयास करेंगे, जो प्रवाह में ऐसे कनेक्टर्स का उपयोग करता है, जो टैनेंट आइसोलेशन नीतियों द्वारा अवरुद्ध है, तो उन्हें निम्न त्रुटि दिखाई देगी. प्रवाह को सहेजा जाएगा, लेकिन उसे "निलंबित" के रूप में चिह्नित किया जाएगा और जब तक निर्माता डेटा हानि संरक्षण नीति (DLP) उल्लंघन का समाधान नहीं कर लेते, तब तक उसे निष्पादित नहीं किया जाएगा.
ऐप और प्रवाहों पर रनटाइम प्रभाव
एक व्यवस्थापक के रूप में, आप कभी भी अपने टैनेंट या विशिष्ट परिवेशों के लिए टैनेंट आइसोलेशन को संशोधित करने का निर्णय ले सकते हैं. यदि ऐप और प्रवाहों को पुरानी टैनेंट आइसोलेशन नीतियों के अनुपालन में बनाया और निष्पादित किया गया था, तो उनमें से कुछ आपके द्वारा किए गए किसी भी नीति परिवर्तन के कारण नकारात्मक रूप से प्रभावित हो सकते हैं. टैनेंट आइसोलेशन नीति का उल्लंघन करने वाले ऐप्स या प्रवाह सफलतापूर्वक नहीं चलेंगे. उदाहरण के लिए, Power Automate के भीतर रन इतिहास इंगित करता है कि फ़्लो रन विफल हुआ. इसके अलावा, विफल रन का चयन करने से त्रुटि का विवरण दिखाई देगा.
मौजूदा प्रवाहों के लिए जो नवीनतम टैनेंट आइसोलेशन नीति के कारण सफलतापूर्वक नहीं चलते हैं, Power Automate के भीतर रन इतिहास इंगित करता है कि प्रवाह चलाना विफल हो गया है.
विफल रन का चयन करने से विफल फ़्लो रन का विवरण दिखाई देगा.
नोट
नवीनतम टैनेंट आइसोलेशन नीति परिवर्तनों को सक्रिय ऐप्स और प्रवाह के विरुद्ध मूल्यांकन करने में लगभग एक घंटे का समय लगता है. यह परिवर्तन तात्कालिक नहीं है.
ज्ञात समस्याएँ
Azure DevOps कनेक्टर पहचान प्रदाता के रूप में प्रमाणीकरण का उपयोग करता है, लेकिन टोकन को अधिकृत करने और जारी करने के लिए अपने स्वयं के ओएथ प्रवाह और एसटीएस का उपयोग करता Microsoft Entra है। चूंकि उस कनेक्टर के कॉन्फ़िगरेशन के आधार पर एडीओ प्रवाह से लौटाया गया टोकन आईडी से Microsoft Entra नहीं है, इसलिए किरायेदार अलगाव नीति लागू नहीं की जाती है। शमन के रूप में, हम कनेक्टर या उसके कार्यों के उपयोग को सीमित करने के लिए अन्य प्रकार कीडेटा नीतियों का उपयोग करने की अनुशंसा करते हैं.