Ulazna i izlazna ograničenja među klijentima

  • Članak

Microsoft Power Platform ima bogat ekosustav konektora koji omogućuju Microsoft Entra ovlaštenim Microsoft Entra korisnicima izgradnju uvjerljivih aplikacija i tokova, uspostavljajući veze s poslovnim podacima dostupnim putem tih spremišta podataka. Izolacija klijenta olakšava administratorima da osiguraju da se ovi poveznici mogu koristiti na siguran i zaštićen način unutar klijenta, istovremeno smanjujući rizik od eksfiltracije podataka izvan klijenta. Izolacija klijenta omogućuje globalnim administratorima i administratorima učinkovito upravljanje kretanjem podataka o klijentu iz Power Platform ovlaštenih izvora podataka u i Microsoft Entra od svog klijenta.

Izolacija Power Platform klijenta razlikuje se od Microsoft Entra ograničenja klijenta na razini ID-a. Ne utječe na pristup temeljen na Microsoft Entra ID-u izvan. Power Platform Power Platform Izolacija klijenta funkcionira samo za poveznike koji koriste Microsoft Entra provjeru autentičnosti utemeljenu na ID-u, kao Office 365 što su Outlook ili SharePoint.

Upozorenje

Postoji poznati problem s Azure DevOps poveznikom koji rezultira time da se pravila izolacije klijenta ne provode za veze uspostavljene s pomoću ovog poveznika. Ako je vektor napada iznutra zabrinjavajući, preporučuje se ograničavanje korištenja poveznika ili njegovih radnji pomoću pravila podataka.

Zadana konfiguracija u Power Platform sustavu s izolacijom klijenta Isključeno je omogućavanje neometanog uspostavljanja veza s više klijenata ako korisnik iz klijenta A koji uspostavlja vezu s klijentom B predoči odgovarajuće Microsoft Entra vjerodajnice. Ako administratori žele dopustiti samo odabranom skupu klijenata da uspostave veze do ili od svog klijenta, mogu Uključiti izolaciju klijenta.

S Uključenom izolacijom klijenta svi klijenti su ograničeni. Dolazne (veze s klijentom od vanjskih klijenata) i izlazne (veze klijenta s vanjskim klijentima) veze s više klijenata blokira Power Platform čak i ako korisnik predoči valjane vjerodajnice zaštićenoj Microsoft Entra izvor podataka. Možete koristiti pravila za dodavanje iznimaka.

Administratori mogu odrediti eksplicitnu listu dopuštenih klijenata za koje žele omogućiti ulazni, izlazni ili oboje, što će zaobići kontrole izolacije klijenta kada su konfigurirane. Administratori mogu koristiti poseban uzorak "*" kako bi dopustili svim klijentima u određenom smjeru kada je izolacija klijenta uključena. Power Platform odbija sve druge veze između klijenata osim onih na listi dopuštenih.

Izolacija klijenta može se konfigurirati u Power Platform admin centru. To utječe na aplikacije od gotovih gradivnih elemenata Power Platform i tokove usluge Power Automate. Da biste postavili izolaciju klijenta, morate biti administrator klijenta.

Mogućnost izolacije klijenta platforme Power Platform dostupna je s dvije opcije: jednosmjernim ili dvosmjernim ograničenjem.

Razumijevanje scenarija izolacije klijenta i utjecaja

Prije nego što počnete konfigurirati ograničenja izolacije klijenta, pregledajte sljedeći popis da biste razumjeli scenarije i utjecaj izolacije klijenta.

  • Administrator želi uključiti izolaciju klijenta.
  • Administrator je zabrinut da će postojeće aplikacije i tokovi koji koriste veze s više klijenata prestati raditi.
  • Administrator odlučuje omogućiti izolaciju klijenta i dodati pravila iznimke kako bi uklonio utjecaj.
  • Administrator pokreće izvješća o izolaciji za više stanara da bi odredio klijente koje je potrebno izuzeti. Dodatne informacije:Praktični vodič: Stvaranje izvješća o izolaciji više klijenta (pretpregled)

Dvosmjerna izolacija klijenta (ograničenje ulazne i izlazne veze)

Dvosmjerna izolacija klijenta blokirat će pokušaje uspostavljanja veze s vašim klijentom od ostalih klijenata. Osim toga, dvosmjerna izolacija klijenta također će blokirati pokušaje uspostavljanja veze vašeg klijenta s ostalim klijentima.

U ovom je scenariju administrator klijenta omogućio dvosmjernu izolaciju klijenta na klijentu Contoso, a vanjski klijent Fabrikam nije dodan na popis dopuštenih.

Korisnici prijavljeni u klijentu tvrtke Contoso ne mogu uspostaviti Power Platform izlazne veze temeljene na ID-u s izvorima podataka u Microsoft Entra klijentu Fabrikama unatoč predočenju odgovarajućih Microsoft Entra vjerodajnica za uspostavljanje veze. Ovo je izlazna izolacija klijenta za klijenta Contoso.

Slično tome, korisnici prijavljeni u klijentu Fabrikama ne mogu uspostaviti Power Platform dolazne veze temeljene na ID-u s izvorima podataka u Microsoft Entra klijentu tvrtke Contoso unatoč predočenju odgovarajućih Microsoft Entra vjerodajnica za uspostavljanje veze. Ovo je ulazna izolacija klijenta za klijenta Contoso.

Klijent stvaratelja veze Klijent prijave na vezu Pristup dopušten?
Contoso Contoso Jest
Contoso (izolacija klijenta Uključena) Fabrikam Ne (izlazno)
Fabrikam Contoso (izolacija klijenta Uključena) Ne (ulazno)
Fabrikam Fabrikam Jest

Ograničite izlazni i ulazni pristup više klijenta.

Napomena

Pravila izolacije klijenta ne procjenjuju pokušaj povezivanja koji je pokrenuo gostujući korisnik iz svog klijenta domaćina ciljajući izvore podataka unutar istog klijenta glavnog računala.

Izolacija klijenta s popisima dopuštenih

Jednosmjerna izolacija klijenta ili ulazna izolacija blokirat će pokušaje uspostavljanja veze s vašim klijentom od ostalih klijenata.

Scenarij: izlazni popis dopuštenih – Fabrikam se dodaje na izlazni popis dopuštenih klijenta Contoso

U ovom scenariju administrator dodaje klijenta Fabrikam na izlazni popis dopuštenih dok je izolacija klijenta Uključena.

Korisnici prijavljeni u klijentu tvrtke Contoso mogu uspostaviti izlazne Power Platform veze temeljene na ID-u s izvorima podataka u Microsoft Entra klijentu Fabrikama ako predoče odgovarajuće Microsoft Entra vjerodajnice za uspostavljanje veze. Uspostavljanje izlazne veze s klijentom Fabrikam dopušteno je na temelju konfiguriranog unosa na listi dopuštenih.

Međutim, korisnici prijavljeni u klijentu Fabrikama i dalje ne mogu uspostaviti Power Platform dolazne veze temeljene na ID-u s izvorima podataka u Microsoft Entra klijentu tvrtke Contoso unatoč tome što su predočili odgovarajuće Microsoft Entra vjerodajnice za uspostavljanje veze. Uspostavljanje ulazne veze iz klijenta Fabrikam i dalje nije dopušteno čak i ako je unos na listi dopuštenih konfiguriran i dopušta izlazne veze.

Klijent stvaratelja veze Klijent prijave na vezu Pristup dopušten?
Contoso Contoso Jest
Contoso (izolacija klijenta Uključena)
Fabrikam dodan na izlazni popis dopuštenih		 Fabrikam Jest
Fabrikam Contoso (izolacija klijenta Uključena)
Fabrikam dodan na izlazni popis dopuštenih		 Ne (ulazno)
Fabrikam Fabrikam Jest

Ograničite dolaznu vezu.

Scenarij: dvosmjerni popis dopuštenih – Fabrikam se dodaje na ulazni i izlazni popis dopuštenih klijenta Contoso

U ovom scenariju administrator dodaje klijenta Fabrikam na ulazni i izlazni popis dopuštenih dok je izolacija klijenta Uključena.

Klijent stvaratelja veze Klijent prijave na vezu Pristup dopušten?
Contoso Contoso Jest
Contoso (izolacija klijenta Uključena)
Fabrikam dodan na oba popisa dopuštenih		 Fabrikam Jest
Fabrikam Contoso (izolacija klijenta Uključena)
Fabrikam dodan na oba popisa dopuštenih		 Jest
Fabrikam Fabrikam Jest

Dvosmjerni popisi dopuštenja.

Omogućivanje izolacije klijenta i konfiguriranje popisa dopuštenih

U Power Platform admin centru izolacija klijenta postavljena je s pomoću Pravila>Izolacija klijenta.

Napomena

Da biste vidjeli i postavili pravilo izolacije klijenta, morate imati ulogu globalnog administratora ili administratorsku Power Platform ulogu.

Omogućite izolaciju klijenta.

Popis dopuštenih izolacije klijenta može se konfigurirati korištenjem Novog pravila klijenta na stranici Izolacija klijenta . Ako je izolacija klijenta Isključena, možete dodati ili urediti pravila na popisu. Međutim, ova se pravila neće primijeniti sve dok ne Uključite izolaciju klijenta.

Novo pravilo klijenta za dodavanje pravila u pogrešku popis dopuštenih.

S padajućeg popisa Smjer novog pravila klijenta odaberite smjer unosa popisa dopuštenih.

Odaberite smjer za novo pravilo klijenta.

Također možete unijeti vrijednost dopuštenog klijenta kao domenu klijenta ili ID klijenta. Nakon spremanja unos se dodaje na popis pravila zajedno s drugim dopuštenim klijentima. Ako koristite domenu klijenta za dodavanje unosa popisa dopuštenih, Power Platform admin centar automatski izračunava ID klijenta.

Odaberite domenu klijenta ili ID klijenta za novo pravilo klijenta.

Nakon što se stavka pojavi na popisu, prikazuju se polja ID klijenta i Microsoft Entra naziv klijenta. Imajte na umu da se u ID-u Microsoft Entra naziv klijenta razlikuje od domene klijenta. Naziv klijenta jedinstven je za klijenta, ali klijent može imati više od jednog naziva domene.

Novo pravilo klijenta pojavljuje se na popisu dopuštenih.

Možete koristiti "*" kao poseban znak da označite da su svi klijenti dopušteni u naznačenom smjeru kada je izolacija klijenta Uključena.

Svi stanari smiju biti u određenom smjeru kada je uključena izolacija klijenta.

Možete urediti smjer unosa popisa dopuštenih klijenata na temelju poslovnih zahtjeva. Imajte na umu da se polje Domena ili ID klijenta ne može uređivati na stranici Uređivanje pravila klijenta .

Uredite pravilo klijenta.

Možete izvoditi sve operacije popisa dopuštenih kao što su dodavanje, uređivanje i brisanje dok je izolacija klijenta Uključena ili Isključena. Unosi popisa dopuštenih utječu na ponašanje veze kada je izolacija klijenta Isključena jer su dopuštene sve veze između klijenata.

Učinak vremena dizajna na aplikacije i tokove

Korisnicima koji stvaraju ili uređuju resurs na koji utječe pravilo izolacije klijenta prikazuje se povezana poruka o pogrešci. Na primjer, autorima na platformi Power Apps prikazuje se sljedeća pogreška kada upotrebljavaju veze između klijenata u aplikaciji koja je blokirana pravilima izolacije klijenta. Aplikacija neće dodati vezu.

Pogreška: Podaci se nisu ispravno učitali. Pokušajte ponovo.

Slično tome, autorima na platformi Power Automate prikazuje se sljedeća pogreška kada pokušaju spremiti tok koji upotrebljava veze u toku koji je blokiran pravilima izolacije klijenta. Tok će biti spremljen, ali će biti označen kao "Obustavljen" te se neće izvršiti ako autor ne riješi kršenje pravila o sprečavanju gubitka podataka (DLP).

Pogreška: Nije moguće dohvatiti vrijednosti. Zahtjev za dinamičkim pozivanjem nije uspio s tekstom pogreške - pogreške.

Učinak vremena izvođenja na aplikacije i tijekove

Kao administrator u bilo kojem trenutku možete promijeniti pravila izolacije klijenta za svog klijenta. Ako su aplikacije i tokovi stvoreni i izvršeni u skladu s prethodnim pravilima izolacije klijenta, na neke od njih mogu negativno utjecati promjene pravila koje unesete. Aplikacije ili tokovi koji krše pravila izolacije klijenta neće se uspješno izvršavati. Na primjer, povijest pokretanja unutar Power Automate ukazuje na to da izvršavanje toka nije uspjelo. Nadalje, odabirom neuspjelog izvršavanja prikazat će se detalji pogreške.

Za postojeće tokove koji se ne izvršavaju uspješno zbog najnovijeg pravila izolacije klijenta povijest izvršavanja unutar Power Automate ukazuje na to da izvršavanje toka nije uspjelo.

Popis povijesti pokretanja tijeka.

Odabirom neuspjelog izvršavanja prikazat će se detalji neuspjelog izvršavanja toka.

Detalji o neuspjelom izvođenju toka.

Napomena

Potrebno je oko sat vremena da se najnovije promjene pravila izolacije klijenta ocijene u odnosu na aktivne aplikacije i tokove. Ova promjena ne nastupa odmah.

Poznati problemi

Azure DevOps poveznik koristi provjeru autentičnosti kao davatelj identiteta, ali koristi Microsoft Entra vlastiti OAuth flow i STS za autorizaciju i izdavanje tokena. Budući da token vraćen iz ADO toka na temelju konfiguracije poveznika nije iz Microsoft Entra ID-a, pravila izolacije klijenta se ne provode. Za ublažavanje preporučujemo korištenje drugih vrsta pravila za podatke kako bi se ograničila upotreba poveznika ili njegovih radnji.