Bérlők közötti bejövő és kimenő korlátozások

  • Cikk

Microsoft Power Platform Az összekötők Microsoft Entra gazdag ökoszisztémája lehetővé teszi a jogosult Microsoft Entra felhasználók számára, hogy lenyűgöző alkalmazásokat és folyamatokat hozzanak létre, amelyek kapcsolatokat hoznak létre az adattárakon keresztül elérhető üzleti adatokkal. A bérlők elszigetelése megkönnyíti a rendszergazdák számára ezeknek az összekötőknek a biztonságos kihasználását a bérlőn belül, miközben minimálisra csökkentik az adatok bérlőn kívüli kiszivárgásának kockázatát. A bérlők elkülönítése lehetővé teszi a globális rendszergazdák és rendszergazdák számára, hogy hatékonyan szabályozzák a bérlői adatok Power Platform engedélyezett adatforrásokból a bérlőbe és Microsoft Entra a bérlőből való áthelyezését.

Vegye figyelembe, hogy Power Platform a bérlők elkülönítése eltér az azonosítóra kiterjedő bérlői korlátozástól Microsoft Entra . Ez nincs hatással Microsoft Entra az azonosítóalapú hozzáférésre kívül. Power Platform Power Platform A bérlői elkülönítés csak azonosítóalapú hitelesítést használó Microsoft Entra összekötők esetén működik, például Office 365 Outlook vagy SharePoint.

Figyelmeztetés:

Van egy olyan ismert probléma az Azure DevOps összekötővel kapcsolatban, amelynek eredményeképpen a rendszer nem kényszeríti a bérlőelszigetelési házirendet azokra a kapcsolatokra, amelyeket az adott összekötővel hoztak létre. Ha egy belső támadási vektor aggodalomra ad okot, javasoljuk, hogy korlátozza az összekötő használatát vagy annak műveleteit adatszabályzatok használatával.

A bérlőelkülönítés kikapcsolt Power Platform alapértelmezett konfigurációja lehetővé teszi a bérlők közötti kapcsolatok zökkenőmentes létrehozását, ha az A bérlő felhasználója, aki kapcsolatot létesít a B bérlővel, megfelelő hitelesítő adatokkal rendelkezik . Microsoft Entra Ha a rendszergazdák csak kiválasztott bérlők számára engedélyezik kapcsolat létrehozását a bérlőből, illetve a bérlővel, akkor bekapcsoltathatják a bérlők elszigetelését.

Ha a bérlők elszigetelése be van kapcsolva, az összes bérlő korlátozva van. A bejövő (külső bérlőktől a bérlőhöz való kapcsolódások) és kimenő (a bérlőtől a külső bérlők felé irányuló) bérlők közötti kapcsolatokat akkor is blokkolja Power Platform a rendszer, ha a felhasználó érvényes hitelesítő adatokat mutat be a Microsoft Entra biztonságos adatforrás. A szabályok segítségével kivételeket adhat hozzá.

A rendszergazdák megadhatnak egy explicit engedélyező listát azokról a bérlőkről, amelyeknél engedélyezni szeretnék a bejövő, kimenő vagy mindkét típusú kapcsolatokat, ez pedig megkerüli a bérlői elszigetelési ellenőrzőket, ha konfigurálva vannak. A rendszergazdák egy speciális minta segítségével („*”) engedélyezhetik az összes bérlőt egy adott irányba, amikor be van kapcsolva a bérlők elszigetelése. A Power Platform az összes többi bérlők közötti kapcsolatot elutasítja (kivéve azokat, amelyek az engedélyezési listán szerepelnek).

A bérlők elszigetelése a Power Platform felügyeleti központban konfigurálható. Ez érinti a Power Platform vászonalapú alkalmazásokat és a Power Automate folyamatokat. A bérlők elszigetelésének beállításához bérlői rendszergazdának kell lennie.

Power Platform bérlői elszigetelési képesség két beállítással érhető el: egyirányú vagy kétirányú korlátozással.

A bérlők elkülönítési forgatókönyveinek és hatásának megismerése

A bérlőelkülönítési korlátozások konfigurálásának megkezdése előtt tekintse át az alábbi listát a bérlői elkülönítés forgatókönyveinek és hatásának megértéséhez.

  • A rendszergazda be szeretné kapcsolni a bérlők elkülönítését.
  • A rendszergazda aggódik amiatt, hogy a bérlők közötti kapcsolatokat használó meglévő alkalmazások és folyamatok nem fognak működni.
  • A rendszergazda úgy dönt, hogy engedélyezi a bérlők elkülönítését, és kivételszabályokat ad hozzá a hatás kiküszöbölése érdekében.
  • A rendszergazda futtatja a bérlők közötti elkülönítési jelentéseket, hogy meghatározza a mentesíteni kívánt bérlőket. További információ:Oktatóanyag: Bérlők közötti elkülönítési jelentések létrehozása (előzetes verzió)

Kétirányú bérlői elkülönítés (bejövő és kimenő kapcsolat korlátozása)

A kétirányú bérlői elszigetelés letiltja a kapcsolatlétesítési kísérleteket a többi bérlőtől az Ön bérlője felé. Mindemellett a kétirányú bérlői elszigetelés letiltja a kapcsolatlétesítési kísérleteket az Ön bérlőjétől más bérlők felé is..

Ebben az esetben a bérlői rendszergazda engedélyezte a Contoso bérlőn a kétirányú bérlői elszigetelést, miközben a külső Fabrikam bérlő még nincs hozzáadva az engedélyezési listához.

A Contoso-bérlőbe Power Platform bejelentkezett felhasználók nem tudnak kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Fabrikam-bérlő adatforrásaihoz, annak ellenére, hogy a kapcsolat létrehozásához megfelelő Microsoft Entra hitelesítő adatokat mutatnak be. Ez a kimenő bérlői elszigetelés a Contoso bérlőhöz.

Hasonlóképpen, a Fabrikam-bérlőbe bejelentkezett Power Platform felhasználók nem tudnak bejövő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy megfelelő Microsoft Entra hitelesítő adatokat mutatnak be a kapcsolat létrehozásához. Ez a bejövő bérlői elszigetelés a Contoso bérlőhöz.

Kapcsolatlétrehozó bérlő Kapcsolat bejelentkező bérlő Hozzáférés engedélyezve?
Contoso Contoso Igen
Contoso (bérlői elszigetelés bekapcsolva) Fabrikam Nincs (kimenő)
Fabrikam Contoso (bérlői elszigetelés bekapcsolva) Nincs (bejövő)
Fabrikam Fabrikam Igen

Korlátozza a kimenő és bejövő bérlők közötti hozzáférést.

Feljegyzés

A vendégfelhasználó által a gazdagépbérlőről kezdeményezett, ugyanazon gazdagépbérlőn belüli adatforrásokat célzó csatlakozási kísérleteket a bérlőelkülönítési szabályok nem értékelik ki.

Bérlők elszigetelése engedélyezési listákkal

Az egyirányú bérlői elkülönítés vagy a bejövő elszigetelés letiltja a kapcsolatlétesítési kísérleteket a bérlője felé a többi bérlőtől.

Forgatókönyv: Kimenő engedélyezési lista – Hozzáadjuk a Fabrikamot a Contoso bérlő kimenő engedélyezési listájához

Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam bérlőt a kimenő engedélyezési listához, miközben a bérlők elszigetelése be van kapcsolva.

A Contoso-bérlőbe bejelentkezett Power Platform felhasználók kimenő Microsoft Entra azonosítóalapú kapcsolatokat létesíthetnek a Fabrikam-bérlő adatforrásaival, ha megfelelő Microsoft Entra hitelesítő adatokkal rendelkeznek a kapcsolat létrehozásához. A Fabrikam bérlőbe való kimenő kapcsolatok létesítése a konfigurált engedélyezési lista bejegyzésének megfelelően engedélyezett.

A Fabrikam-bérlőbe Power Platform bejelentkezett felhasználók azonban továbbra sem tudnak bejövő Microsoft Entra azonosítóalapú kapcsolatokat létesíteni a Contoso-bérlő adatforrásaihoz, annak ellenére, hogy megfelelő Microsoft Entra hitelesítő adatokat mutatnak be a kapcsolat létrehozásához. A Fabrikam bérlő bejövő kapcsolatainak kialakítása továbbra sem engedélyezett annak ellenére, hogy az engedélyezési lista bejegyzése konfigurálva van és engedélyezi a kimenő kapcsolatokat.

Kapcsolatlétrehozó bérlő Kapcsolat bejelentkező bérlő Hozzáférés engedélyezve?
Contoso Contoso Igen
Contoso (bérlői elszigetelés bekapcsolva)
Fabrikam hozzáadva a kimenő engedélyezési listához		 Fabrikam Igen
Fabrikam Contoso (bérlői elszigetelés bekapcsolva)
Fabrikam hozzáadva a kimenő engedélyezési listához		 Nincs (bejövő)
Fabrikam Fabrikam Igen

Korlátozza a bejövő kapcsolatot.

Forgatókönyv: Kétirányú engedélyezési lista – Hozzáadjuk a Fabrikamot a Contoso bérlő bejövő és kimenő engedélyezési listájához egyaránt

Ebben a forgatókönyvben a rendszergazda hozzáadja a Fabrikam bérlőt a bejövő és a kimenő engedélyezési listához egyaránt, miközben a bérlők elszigetelése be van kapcsolva.

Kapcsolatlétrehozó bérlő Kapcsolat bejelentkező bérlő Hozzáférés engedélyezve?
Contoso Contoso Igen
Contoso (bérlői elszigetelés bekapcsolva)
Fabrikam hozzáadva mindkét engedélyezési listához		 Fabrikam Igen
Fabrikam Contoso (bérlői elszigetelés bekapcsolva)
Fabrikam hozzáadva mindkét engedélyezési listához		 Igen
Fabrikam Fabrikam Igen

Kétirányú engedélyezési listák.

A bérlők elszigetelésének engedélyezése és az engedélyezési lista konfigurálása

A Power Platform felügyeleti központban a bérlők elszigetelését a következőképpen lehet beállítani: Házirendek>Bérlő elszigetelése.

Feljegyzés

A bérlőelkülönítési szabályzat megtekintéséhez és beállításához globális rendszergazdai szerepkörrel vagy Power Platform rendszergazdai szerepkörrel kell rendelkeznie.

Bérlőelkülönítés engedélyezése.

A bérlői elszigetelés engedélyezési listája az Új bérlői szabály beállítás használatával konfigurálható, a Bérlő elszigetelése oldalon. Ha a bérlők elszigetelése ki van kapcsolva, a listában szabályokat adhat hozzá és szerkesztheti azokat. Ezeket a szabályok azonban addig nem kényszeríti a rendszer, amíg Ön be nem kapcsolja a bérlők elszigetelését.

Új bérlői szabály a szabály hozzáadásához a engedélyezett partnerek.

Az Új bérlői szabály iránya legördülő listából válassza ki az engedélyezési lista bejegyzésének irányát.

Válassza ki az új bérlői szabály irányát.

Az engedélyezett bérlő értékét bérlői tartományként vagy bérlőazonosítóként is megadhatja. Mentés után a bejegyzés a szabálylistára kerül a többi engedélyezett bérlővel együtt. Ha a bérlői tartomány használatával adja hozzá az engedélyezési lista bejegyzését, akkor a Power Platform felügyeleti központ automatikusan kiszámítja a bérlői azonosítót.

Válassza ki a bérlői tartományt vagy a bérlőazonosítót az új bérlői szabályhoz.

Amint a bejegyzés megjelenik a listában, megjelennek a bérlőazonosító és Microsoft Entra a bérlő neve mezők. Vegye figyelembe, hogy az azonosítóban Microsoft Entra a bérlő neve eltér a bérlő tartományától. A bérlő neve egyedi a bérlő számára, de egy bérlőhöz több tartománynév is tartozhat.

Az új bérlői szabály megjelenik az engedélyezési listában.

A „*” speciális karakter segítségével jelezheti, hogy az összes bérlő engedélyezve van az adott irányban, amikor a bérlői elszigetelés be van kapcsolva.

Minden bérlő engedélyezett a kijelölt irányban, ha a bérlők elkülönítése be van kapcsolva.

A vállalati igények alapján módosíthatja a bérlői engedélyezési lista bejegyzésének irányát. Ne feledje, hogy a Bérlői tartomány vagy azonosító mező nem szerkeszthető a Bérlői szabály szerkesztése oldalon.

Bérlői szabály szerkesztése.

Az engedélyezési listán minden műveletet végrehajthat (például hozzáadás, szerkesztés és törlés), függetlenül attól, hogy a bérlői elszigetelés be van kapcsolva vagy ki van kapcsolva. Az engedélyezési lista bejegyzései hatással vannak a kapcsolatok viselkedésére miközben a bérlői elszigetelés ki van kapcsolva, mivel az összes bérlőközi kapcsolat engedélyezve van.

Hatása az alkalmazásokra és a folyamatokra a tervezés során

Azok a felhasználók, akik a bérlői elszigetelési házirend által érintett erőforrást hoznak létre vagy szerkesztenek, egy ezzel kapcsolatos hibaüzenetet fognak kapni. A Power Apps készítők például a következő hibaüzenetet kapják, amikor olyan alkalmazásban használnak bérlők közötti kapcsolatokat, amely bérlői elszigetelési házirendekkel le lett tiltva. Az alkalmazás nem adja hozzá a kapcsolatot.

Hiba: Az adatok nem töltődtek be megfelelően. Kérjük, próbálja újra.

Hasonlóképp, a Power Automate készítők a következő hibaüzenetet kapják, amikor olyan folyamatból származó összekötőket használó folyamatot próbálnak menteni, amely bérlői elszigetelési házirenddel le lett tiltva. A folyamatot a rendszer menti, de a rendszer „Felfüggesztett” állapottal jeleníti meg, és csak akkor hajtja végre, ha a készítő feloldja az adatvesztés megelőzésére vonatkozó szabályzat (DLP) házirendsértését.

Hiba: Nem sikerült értékeket lekérni. A dinamikus meghívási kérelem hiba- hibaüzenettel meghiúsult.

Hatása az alkalmazásokra és a folyamatokra futási időben

Rendszergazdaként bármikor dönthet úgy, hogy módosítja a bérlő bérlői elszigetelési házirendjeit. Ha egy korábbi bérlői elszigetelési házirendekkel összhangban hoznak létre és hajtanak végre alkalmazásokat és folyamatokat, akkor előfordulhat, hogy némelyikükre negatív hatással van valamely elvégzett házirend-módosítás. A bérlői elszigetelési házirendet megsértő alkalmazások és folyamatok nem futnak megfelelően. A Power Automate futtatási előzményei például jelzik, hogy a folyamatfuttatás sikertelen volt. A sikertelen futtatás kiválasztásával a hiba részleteit is megtekintheti.

Olyan meglévő folyamatok esetén, amelyek a legújabb bérlői elszigetelési házirend miatt nem futnak sikeresen, a Power Automate futtatási előzményei jelzik, hogy a folyamatfuttatás sikertelen volt.

Folyamat futtatási előzményeinek listája.

A sikertelen futtatás kiválasztásával a sikertelen folyamatfuttatás részleteit is megtekintheti.

A folyamatfuttatási hiba részletei.

Feljegyzés

A legújabb bérlői elszigetelési házirendváltozások esetén körülbelül egy órára van szükség ahhoz, hogy a rendszer kiértékelje azokat az aktív alkalmazásokra és folyamatokra vonatkozóan. Ez a módosítás nem azonnali.

Ismert problémák

Azure DevOps Az összekötő hitelesítést használ Microsoft Entra identitásszolgáltatóként, de saját OAuth-folyamatát és STS-ét használja a jogkivonatok engedélyezéséhez és kiállításához. Mivel az ADO-folyamat által az összekötő konfigurációja alapján visszaadott jogkivonat nem az azonosítóból származik Microsoft Entra , a bérlőelkülönítési szabályzat nem lesz kényszerítve. Kockázatcsökkentésként más típusú adatirányelvek használatát javasoljuk az összekötő és a műveletek használatának korlátozása érdekében.