Sekatan masuk dan keluar rentas penyewa
Microsoft Power Platform mempunyai ekosistem penyambung yang kaya berdasarkan Microsoft Entra yang membolehkan pengguna yang diberi kuasa membina aplikasi dan aliran yang menarik mewujudkan sambungan ke data perniagaan yang Microsoft Entra tersedia melalui kedai data ini. Pengasingan penyewa memudahkan pentadbir untuk memastikan penyambung ini boleh dimanfaatkan dengan cara yang selamat dan terjamin dalam penyewa sambil meminimumkan risiko penyusutan data di luar penyewa. Pengasingan penyewa membolehkan pentadbir dan pentadbir Global mengawal pergerakan data penyewa dengan berkesan daripada sumber data yang dibenarkan ke dan Power Platform daripada Microsoft Entra penyewa mereka.
Ambil perhatian bahawa Power Platform pengasingan penyewa adalah berbeza daripada Microsoft Entra sekatan penyewa seluruh ID. Ia tidak memberi kesan kepada Microsoft Entra akses berasaskan ID di luar Power Platform. Power Platform pengasingan penyewa hanya berfungsi untuk penyambung menggunakan Microsoft Entra pengesahan berasaskan ID seperti Office 365 Outlook atau SharePoint.
Amaran
Terdapat isu yang diketahui dengan Azure DevOps penyambung yang menyebabkan dasar pengasingan penyewa tidak akan dikuatkuasakan untuk sambungan yang ditubuhkan menggunakan penyambung ini. Sekiranya vektor serangan orang dalam menjadi kebimbangan, disyorkan untuk mengehadkan penggunaan penyambung atau tindakannya menggunakan dasar data.
Konfigurasi lalai dengan Power Platform pengasingan penyewa Off adalah untuk membolehkan sambungan rentas penyewa ditubuhkan dengan lancar, jika pengguna dari penyewa A mewujudkan sambungan kepada penyewa B memberikan kelayakan yang sesuai Microsoft Entra . Jika pentadbir mahu membenarkan hanya set penyewa yang dipilih untuk mewujudkan sambungan kepada atau daripada penyewa mereka, mereka boleh Hidupkan pengasingan penyewa.
Dengan pengasingan penyewa, Hidup, semua penyewa adalah terhad. Inbound (sambungan kepada penyewa dari penyewa luar) dan keluar (sambungan dari penyewa ke penyewa luar) sambungan silang penyewa disekat oleh Power Platform walaupun pengguna memberikan kelayakan yang sah kepada Microsoft Entra sumber data yang selamat. Anda boleh menggunakan peraturan untuk menambah pengecualian.
Pentadbir boleh menentukan senarai dibenarkan penyewa tersirat yang mereka mahu dayakan masuk, keluar, atau kedua-duanya, yang akan memintas kawalan pengasingan penyewa apabila dikonfigurasikan. Pentadbir boleh menggunakan corak khas "*" untuk membenarkan semua penyewa dalam arah tertentu apabila pengasingan penyewa dihidupkan. Semua sambungan silang penyewa lain kecuali yang dalam senarai dibenarkan ditolak oleh Power Platform.
Pengasingan penyewa boleh dikonfigurasikan dalam pusat pentadbir Power Platform. Ini menjejaskan aplikasi kanvas Power Platform dan aliran Power Automate. Untuk menyediakan pengasingan penyewa, anda perlu menjadi pentadbir penyewa.
Keupayaan pengasingan penyewa Power Platform boleh didapati dengan dua pilihan: sekatan sehala atau dua hala.
Memahami senario dan kesan pengasingan penyewa
Sebelum anda mula mengkonfigurasi sekatan pengasingan penyewa, semak senarai berikut untuk memahami senario dan kesan pengasingan penyewa.
- Pentadbir mahu menghidupkan pengasingan penyewa.
- Pentadbir bimbang bahawa apl dan aliran sedia ada menggunakan sambungan silang penyewa akan berhenti berfungsi.
- Pentadbir memutuskan untuk mendayakan pengasingan penyewa dan menambah peraturan pengecualian untuk menghapuskan kesan.
- Pentadbir menjalankan laporan pengasingan silang penyewa untuk menentukan penyewa yang perlu dikecualikan. Maklumat lanjut:Tutorial: Mencipta laporan pengasingan silang penyewa (pratonton)
Pengasingan penyewa dua hala (sekatan sambungan masuk dan keluar)
Pengasingan penyewa dua hala juga akan menyekat percubaan pewujudan sambungan kepada penyewa anda daripada penyewa lain. Di samping itu, pengasingan penyewa dua hala juga akan menyekat percubaan pewujudan sambungan daripada penyewa anda kepada penyewa lain.
Dalam senario ini, pentadbir penyewa telah mendayakan pengasingan penyewa dua hala pada penyewa Contoso manakala penyewa luaran Fabrikam belum ditambah ke senarai dibenarkan.
Pengguna yang log masuk ke Power Platform penyewa Contoso tidak dapat mewujudkan sambungan berasaskan ID keluar ke Microsoft Entra sumber data dalam penyewa Fabrikam walaupun mengemukakan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Ini merupakan pengasingan penyewa keluar untuk penyewa Contoso.
Begitu juga, pengguna yang log masuk ke penyewa Fabrikam tidak dapat mewujudkan sambungan berasaskan ID masuk Power Platform ke Microsoft Entra sumber data dalam penyewa Contoso walaupun menyampaikan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Ini merupakan pengasingan penyewa yang keluar untuk penyewa Contoso.
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) | Fabrikam | Tidak (keluar) |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) | Tidak (masuk) |
| Fabrikam | Fabrikam | Ya |
Nota
Percubaan sambungan yang dimulakan oleh pengguna tetamu daripada penyewa hos mereka yang menyasarkan sumber data dalam penyewa hos yang sama tidak dinilai oleh peraturan pengasingan penyewa.
Pengasingan penyewa dengan senarai dibenarkan
Pengasingan penyewa sehala atau pengasingan masuk akan menyekat percubaan pewujudan sambungan kepada penyewa anda daripada penyewa lain.
Senario: Senarai dibenarkan yang keluar – Fabrikam ditambah ke senarai dibenarkan yang keluar bagi penyewa Contoso
Dalam senario ini, pentadbir menambah penyewa fabrikam dalam senarai dibenarkan yang keluar manakala pengasingan penyewa Dihidupkan.
Pengguna yang log masuk ke Power Platform penyewa Contoso boleh mewujudkan sambungan berasaskan ID keluar ke Microsoft Entra sumber data dalam penyewa Fabrikam jika mereka mengemukakan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Pewujudan sambungan keluar ke penyewa Fabrikam dibenarkan oleh sebab entri senarai dibenarkan yang dikonfigurasikan.
Walau bagaimanapun, pengguna yang log masuk ke penyewa Fabrikam masih tidak dapat mewujudkan sambungan berasaskan ID masuk Power Platform ke Microsoft Entra sumber data dalam penyewa Contoso walaupun mengemukakan kelayakan yang sesuai Microsoft Entra untuk mewujudkan sambungan. Pewujudan sambungan yang masuk daripada penyewa Fabrikam masih tidak dibenarkan walaupun entri senarai dibenarkan dikonfigurasikan dan membenarkan sambungan keluar.
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke senarai dibenarkan yang keluar |
Fabrikam | Ya |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke senarai dibenarkan yang keluar |
Tidak (masuk) |
| Fabrikam | Fabrikam | Ya |
Senario: Senarai dibenarkan dua arah – Fabrikam ditambah ke senarai dibenarkan yang masuk dan keluar bagi penyewa Contoso
Dalam senario ini, pentadbir menambah penyewa Fabrikam dalam senarai dibenarkan yang masuk dan keluar manakala pengasingan penyewa Dihidupkan.
| Penyewa pencipta sambungan | Penyewa daftar masuk sambungan | Akses dibenarkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke kedua-dua senarai dibenarkan |
Fabrikam | Ya |
| Fabrikam | Contoso (pengasingan penyewa Hidupkan) Fabrikam ditambah ke kedua-dua senarai dibenarkan |
Ya |
| Fabrikam | Fabrikam | Ya |
Dayakan pengasingan penyewa dan konfigurasikan senarai dibenarkan
Dalam pusat pentadbir Power Platform, pengasingan penyewa ditetapkan dengan Dasar>Pengasingan penyewa.
Nota
Anda mesti mempunyai peranan Pentadbir global atau Power Platform peranan pentadbir untuk melihat dan mengesetkan dasar pengasingan penyewa.
Senarai dibenarkan pengasingan penyewa boleh dikonfigurasikan dengan menggunakan Peraturan penyewa baharu pada Halaman pengasingan penyewa. Jika pengasingan penyewa tidak Dimatikan, anda boleh menambah atau mengedit peraturan dalam senarai. Walau bagaimanapun, peraturan ini tidak akan dikuatkuasakan sehingga anda menghidupkan pengasingan penyewa Hidupkan.
Daripada Senarai juntai bawah arah peraturan penyewa baharu, pilih arah entri senarai dibenarkan.
Anda juga boleh memasukkan nilai penyewa yang dibenarkan sebagai sama ada domain penyewa atau ID penyewa. Sebaik sahaja disimpan, entri akan ditambah ke senarai peraturan bersama penyewa lain yang dibenarkan. Jika anda menggunakan domain penyewa untuk menambahkan entri senarai dibenarkan, pusat pentadbir Power Platform akan mengira ID penyewa secara automatik.
Sebaik sahaja entri muncul dalam senarai, medan ID Penyewa dan Microsoft Entra nama penyewa dipaparkan. Ambil perhatian bahawa dalam Microsoft Entra ID, nama penyewa adalah berbeza daripada domain penyewa. Nama penyewa adalah unik untuk penyewa tetapi penyewa mungkin mempunyai lebih daripada satu nama domain.
Anda boleh menggunakan "*" sebagai aksara khas untuk menandakan semua penyewa dibenarkan dalam arahan yang ditetapkan apabila pengasingan penyewa Dihidupkan.
Anda boleh mengedit arahan entri senarai dibenarkan penyewa berdasarkan keperluan perniagaan. Harap maklum bahawa Domain Penyewa atau medan ID tidak boleh diedit dalam halaman Edit peraturan penyewa.
Anda boleh melaksanakan semua operasi senarai dibenarkan seperti tambah, edit dan padam sementara pengasingan penyewa Dihidupkan atau Dimatikan. Entri senarai dibenarkan mempunyai kesan ke atas tingkah laku sambungan apabila pengasingan penyewa Dimatikan kerana semua sambungan merentas penyewa dibenarkan.
Masa reka bentuk memberi kesan pada aplikasi dan aliran
Pengguna yang mencipta atau mengedit sumber yang dipengaruhi oleh dasar pengasingan penyewa akan melihat mesej ralat yang berkaitan. Sebagai contoh, pembuat Power Apps akan melihat ralat berikut semasa mereka menggunakan penyambung merentas penyewa dalam aplikasi yang disekat oleh dasar pengasingan penyewa. Aplikasi tidak akan menambah sambungan.
Begitu juga, pembuat Power Automate akan melihat ralat berikut semasa mereka cuba menyimpan aliran yang menggunakan penyambung dalam aliran yang disekat oleh dasar pengasingan penyewa. Aliran itu sendiri akan disimpan, tetapi akan ditandakan sebagai "Digantung" dan tidak akan dilaksanakan kecuali pembuatnya menyelesaikan pelanggaran dasar pencegahan kehilangan data (DLP).
Kesan masa jalanan pada aplikasi dan aliran
Sebagai pentadbir, anda boleh memutuskan untuk mengubah suai dasar pengasingan penyewa bagi penyewa anda pada bila-bila masa. Jika aplikasi dan aliran dicipta dan dilaksanakan dalam pematuhan dengan dasar pengasingan penyewa sebelumnya, beberapa daripadanya mungkin dipengaruhi secara negatif oleh perubahan dasar yang anda buat. Aplikasi atau aliran yang melanggar dasar pengasingan penyewa tidak berjaya dijalankan. Sebagai contoh, jalankan sejarah dalam petunjuk Power Automate bahawa larian aliran gagal. Selanjutnya, memilih jalan yang gagal akan menunjukkan butiran ralat.
Untuk aliran sedia ada yang tidak berjaya berjalan kerana dasar pengasingan penyewa terkini, jalankan sejarah dalam Power Automate menunjukkan bahawa larian aliran gagal.
Selanjutnya, memilih jalan yang gagal akan menunjukkan pelaksanaan aliran yang gagal.
Nota
Ia mengambil masa kira-kira sejam untuk perubahan dasar pengasingan penyewa yang terkini dinilai terhadap aplikasi dan aliran aktif. Perubahan ini tidak seketika.
Isu yang diketahui
Azure DevOps penyambung menggunakan pengesahan sebagai pembekal identiti, tetapi menggunakan Microsoft Entra aliran OAuth sendiri dan STS untuk membenarkan dan mengeluarkan token. Memandangkan token yang dikembalikan daripada aliran ADO berdasarkan konfigurasi Penyambung itu bukan daripada Microsoft Entra ID, dasar pengasingan penyewa tidak dikuatkuasakan. Sebagai pengurangan, kami mengesyorkan menggunakan jenis dasar data untuk menghadkan penggunaan penyambung atau tindakannya.