Bérlők közötti bejövő és kimenő korlátozások
Microsoft Power Platform Az összekötők Microsoft Entra gazdag ökoszisztémája lehetővé teszi a jogosult Microsoft Entra felhasználók számára, hogy lenyűgöző alkalmazásokat és folyamatokat hozzanak létre, amelyek kapcsolatokat hoznak létre az adattárakon keresztül elérhető üzleti adatokkal. A bérlők elszigetelése megkönnyíti a rendszergazdák számára ezeknek az összekötőknek a biztonságos kihasználását a bérlőn belül, miközben minimálisra csökkentik az adatok bérlőn kívüli kiszivárgásának kockázatát. A bérlők elkülönítése lehetővé teszi a globális rendszergazdák és rendszergazdák számára, hogy hatékonyan szabályozzák a bérlői adatok Power Platform engedélyezett adatforrásokból a bérlőbe és Microsoft Entra a bérlőből való áthelyezését.
Vegye figyelembe, hogy Power Platform a bérlők elkülönítése eltér az azonosítóra kiterjedő bérlői korlátozástól Microsoft Entra . Ez nincs hatással Microsoft Entra az azonosítóalapú hozzáférésre kívül. Power Platform Power Platform A bérlői elkülönítés csak azonosítóalapú hitelesítést használó Microsoft Entra összekötők esetén működik, például Office 365 Outlook vagy SharePoint.
Figyelmeztetés:
Van egy olyan ismert probléma az Azure DevOps összekötővel kapcsolatban, amelynek eredményeképpen a rendszer nem kényszeríti a bérlőelszigetelési házirendet azokra a kapcsolatokra, amelyeket az adott összekötővel hoztak létre. Ha egy belső támadási vektor aggodalomra ad okot, javasoljuk, hogy korlátozza az összekötő használatát vagy annak műveleteit adatszabályzatok használatával.
A bérlőelkülönítés kikapcsolt Power Platform alapértelmezett konfigurációja lehetővé teszi a bérlők közötti kapcsolatok zökkenőmentes létrehozását, ha az A bérlő felhasználója, aki kapcsolatot létesít a B bérlővel, megfelelő hitelesítő adatokkal rendelkezik . Microsoft Entra Ha a rendszergazdák csak kiválasztott bérlők számára engedélyezik kapcsolat létrehozását a bérlőből, illetve a bérlővel, akkor bekapcsoltathatják a bérlők elszigetelését.
Ha a bérlők elszigetelése be van kapcsolva, az összes bérlő korlátozva van. A bejövő (külső bérlőktől a bérlőhöz való kapcsolódások) és kimenő (a bérlőtől a külső bérlők felé irányuló) bérlők közötti kapcsolatokat akkor is blokkolja Power Platform a rendszer, ha a felhasználó érvényes hitelesítő adatokat mutat be a Microsoft Entra biztonságos adatforrás. A szabályok segítségével kivételeket adhat hozzá.
A rendszergazdák megadhatnak egy explicit engedélyező listát azokról a bérlőkről, amelyeknél engedélyezni szeretnék a bejövő, kimenő vagy mindkét típusú kapcsolatokat, ez pedig megkerüli a bérlői elszigetelési ellenőrzőket, ha konfigurálva vannak. A rendszergazdák egy speciális minta segítségével („*”) engedélyezhetik az összes bérlőt egy adott irányba, amikor be van kapcsolva a bérlők elszigetelése. A Power Platform az összes többi bérlők közötti kapcsolatot elutasítja (kivéve azokat, amelyek az engedélyezési listán szerepelnek).
A bérlők elszigetelése a Power Platform felügyeleti központban konfigurálható. Ez érinti a Power Platform vászonalapú alkalmazásokat és a Power Automate folyamatokat. A bérlők elszigetelésének beállításához bérlői rendszergazdának kell lennie.
Power Platform bérlői elszigetelési képesség két beállítással érhető el: egyirányú vagy kétirányú korlátozással.
A bérlők elkülönítési forgatókönyveinek és hatásának megismerése
A bérlőelkülönítési korlátozások konfigurálásának megkezdése előtt tekintse át az alábbi listát a bérlői elkülönítés forgatókönyveinek és hatásának megértéséhez.
- A rendszergazda be szeretné kapcsolni a bérlők elkülönítését.
- A rendszergazda aggódik amiatt, hogy a bérlők közötti kapcsolatokat használó meglévő alkalmazások és folyamatok nem fognak működni.
- A rendszergazda úgy dönt, hogy engedélyezi a bérlők elkülönítését, és kivételszabályokat ad hozzá a hatás kiküszöbölése érdekében.
- A rendszergazda futtatja a bérlők közötti elkülönítési jelentéseket, hogy meghatározza a mentesíteni kívánt bérlőket. További információ:Oktatóanyag: Bérlők közötti elkülönítési jelentések létrehozása (előzetes verzió)
Kétirányú bérlői elkülönítés (bejövő és kimenő kapcsolat korlátozása)
A kétirányú bérlői elszigetelés letiltja a kapcsolatlétesítési kísérleteket a többi bérlőtől az Ön bérlője felé. Mindemellett a kétirányú bérlői elszigetelés letiltja a kapcsolatlétesítési kísérleteket az Ön bérlőjétől más bérlők felé is..
Ebben az esetben a bérlői rendszergazda engedélyezte a Contoso bérlőn a kétirányú bérlői elszigetelést, miközben a külső Fabrikam bérlő még nincs hozzáadva az engedélyezési listához.
A Contoso-bérlőbe Power Platform bejelentkezett felhasználók nem tudnak kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Fabrikam-bérlő adatforrásaihoz, annak ellenére, hogy a kapcsolat létrehozásához megfelelő Microsoft Entra hitelesítő adatokat mutatnak be. Ez a kimenő bérlői elszigetelés a Contoso bérlőhöz.
Hasonlóképpen, a Fabrikam-bérlőbe bejelentkezett Power Platform felhasználók nem tudnak bejövő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy megfelelő Microsoft Entra hitelesítő adatokat mutatnak be a kapcsolat létrehozásához. Ez a bejövő bérlői elszigetelés a Contoso bérlőhöz.
Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
---|---|---|
Contoso | Contoso | Igen |
Contoso (bérlői elszigetelés bekapcsolva) | Fabrikam | Nincs (kimenő) |
Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) | Nincs (bejövő) |
Fabrikam | Fabrikam | Igen |
Feljegyzés
A vendégfelhasználó által a gazdagépbérlőről kezdeményezett, ugyanazon gazdagépbérlőn belüli adatforrásokat célzó csatlakozási kísérleteket a bérlőelkülönítési szabályok nem értékelik ki.
Bérlők elszigetelése engedélyezési listákkal
Az egyirányú bérlői elkülönítés vagy a bejövő elszigetelés letiltja a kapcsolatlétesítési kísérleteket a bérlője felé a többi bérlőtől.
Forgatókönyv: Kimenő engedélyezési lista – Hozzáadjuk a Fabrikamot a Contoso bérlő kimenő engedélyezési listájához
Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam bérlőt a kimenő engedélyezési listához, miközben a bérlők elszigetelése be van kapcsolva.
A Contoso-bérlőbe bejelentkezett Power Platform felhasználók kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíthetnek a Fabrikam-bérlő adatforrásaival, ha megfelelő Microsoft Entra hitelesítő adatokkal rendelkeznek a kapcsolat létrehozásához. A Fabrikam bérlőbe való kimenő kapcsolatok létesítése a konfigurált engedélyezési lista bejegyzésének megfelelően engedélyezett.
A Fabrikam-bérlőbe Power Platform bejelentkezett felhasználók azonban továbbra sem tudnak bejövő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy megfelelő Microsoft Entra hitelesítő adatokat mutatnak be a kapcsolat létrehozásához. A Fabrikam bérlő bejövő kapcsolatainak kialakítása továbbra sem engedélyezett annak ellenére, hogy az engedélyezési lista bejegyzése konfigurálva van és engedélyezi a kimenő kapcsolatokat.
Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
---|---|---|
Contoso | Contoso | Igen |
Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva a kimenő engedélyezési listához |
Fabrikam | Igen |
Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva a kimenő engedélyezési listához |
Nincs (bejövő) |
Fabrikam | Fabrikam | Igen |
Forgatókönyv: Kétirányú engedélyezési lista – Hozzáadjuk a Fabrikamot a Contoso bérlő bejövő és kimenő engedélyezési listájához egyaránt
Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam bérlőt a bejövő és a kimenő engedélyezési listához egyaránt, miközben a bérlők elszigetelése be van kapcsolva.
Kapcsolatlétrehozó bérlő | Kapcsolat bejelentkező bérlő | Hozzáférés engedélyezve? |
---|---|---|
Contoso | Contoso | Igen |
Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva mindkét engedélyezési listához |
Fabrikam | Igen |
Fabrikam | Contoso (bérlői elszigetelés bekapcsolva) Fabrikam hozzáadva mindkét engedélyezési listához |
Igen |
Fabrikam | Fabrikam | Igen |
A bérlők elszigetelésének engedélyezése és az engedélyezési lista konfigurálása
A Power Platform felügyeleti központban a bérlők elszigetelését a következőképpen lehet beállítani: Házirendek>Bérlő elszigetelése.
Feljegyzés
A bérlőelkülönítési szabályzat megtekintéséhez és beállításához globális rendszergazdai szerepkörrel vagy Power Platform rendszergazdai szerepkörrel kell rendelkeznie.
A bérlői elszigetelés engedélyezési listája az Új bérlői szabály beállítás használatával konfigurálható, a Bérlő elszigetelése oldalon. Ha a bérlők elszigetelése ki van kapcsolva, a listában szabályokat adhat hozzá és szerkesztheti azokat. Ezeket a szabályok azonban addig nem kényszeríti a rendszer, amíg Ön be nem kapcsolja a bérlők elszigetelését.
Az Új bérlői szabály iránya legördülő listából válassza ki az engedélyezési lista bejegyzésének irányát.
Az engedélyezett bérlő értékét bérlői tartományként vagy bérlőazonosítóként is megadhatja. Mentés után a bejegyzés a szabálylistára kerül a többi engedélyezett bérlővel együtt. Ha a bérlői tartomány használatával adja hozzá az engedélyezési lista bejegyzését, akkor a Power Platform felügyeleti központ automatikusan kiszámítja a bérlői azonosítót.
Amint a bejegyzés megjelenik a listában, megjelennek a bérlőazonosító és Microsoft Entra a bérlő neve mezők. Vegye figyelembe, hogy az azonosítóban Microsoft Entra a bérlő neve eltér a bérlő tartományától. A bérlő neve egyedi a bérlő számára, de egy bérlőhöz több tartománynév is tartozhat.
A „*” speciális karakter segítségével jelezheti, hogy az összes bérlő engedélyezve van az adott irányban, amikor a bérlői elszigetelés be van kapcsolva.
A vállalati igények alapján módosíthatja a bérlői engedélyezési lista bejegyzésének irányát. Ne feledje, hogy a Bérlői tartomány vagy azonosító mező nem szerkeszthető a Bérlői szabály szerkesztése oldalon.
Az engedélyezési listán minden műveletet végrehajthat (például hozzáadás, szerkesztés és törlés), függetlenül attól, hogy a bérlői elszigetelés be van kapcsolva vagy ki van kapcsolva. Az engedélyezési lista bejegyzései hatással vannak a kapcsolatok viselkedésére miközben a bérlői elszigetelés ki van kapcsolva, mivel az összes bérlőközi kapcsolat engedélyezve van.
Hatása az alkalmazásokra és a folyamatokra a tervezés során
Azok a felhasználók, akik a bérlői elszigetelési házirend által érintett erőforrást hoznak létre vagy szerkesztenek, egy ezzel kapcsolatos hibaüzenetet fognak kapni. A Power Apps készítők például a következő hibaüzenetet kapják, amikor olyan alkalmazásban használnak bérlők közötti kapcsolatokat, amely bérlői elszigetelési házirendekkel le lett tiltva. Az alkalmazás nem adja hozzá a kapcsolatot.
Hasonlóképp, a Power Automate készítők a következő hibaüzenetet kapják, amikor olyan folyamatból származó összekötőket használó folyamatot próbálnak menteni, amely bérlői elszigetelési házirenddel le lett tiltva. A folyamatot a rendszer menti, de a rendszer „Felfüggesztett” állapottal jeleníti meg, és csak akkor hajtja végre, ha a készítő feloldja az adatvesztés megelőzésére vonatkozó szabályzat (DLP) házirendsértését.
Hatása az alkalmazásokra és a folyamatokra futási időben
Rendszergazdaként bármikor dönthet úgy, hogy módosítja a bérlő bérlői elszigetelési házirendjeit. Ha egy korábbi bérlői elszigetelési házirendekkel összhangban hoznak létre és hajtanak végre alkalmazásokat és folyamatokat, akkor előfordulhat, hogy némelyikükre negatív hatással van valamely elvégzett házirend-módosítás. A bérlői elszigetelési házirendet megsértő alkalmazások és folyamatok nem futnak megfelelően. A Power Automate futtatási előzményei például jelzik, hogy a folyamatfuttatás sikertelen volt. A sikertelen futtatás kiválasztásával a hiba részleteit is megtekintheti.
Olyan meglévő folyamatok esetén, amelyek a legújabb bérlői elszigetelési házirend miatt nem futnak sikeresen, a Power Automate futtatási előzményei jelzik, hogy a folyamatfuttatás sikertelen volt.
A sikertelen futtatás kiválasztásával a sikertelen folyamatfuttatás részleteit is megtekintheti.
Feljegyzés
A legújabb bérlői elszigetelési házirendváltozások esetén körülbelül egy órára van szükség ahhoz, hogy a rendszer kiértékelje azokat az aktív alkalmazásokra és folyamatokra vonatkozóan. Ez a módosítás nem azonnali.
Ismert problémák
Azure DevOps Az összekötő hitelesítést használ Microsoft Entra identitásszolgáltatóként, de saját OAuth-folyamatát és STS-ét használja a jogkivonatok engedélyezéséhez és kiállításához. Mivel az ADO-folyamat által az összekötő konfigurációja alapján visszaadott jogkivonat nem az azonosítóból származik Microsoft Entra , a bérlőelkülönítési szabályzat nem lesz kényszerítve. Kockázatcsökkentésként más típusú adatirányelvek használatát javasoljuk az összekötő és a műveletek használatának korlátozása érdekében.