Restricții de intrare și de ieșire a entității găzduite
Microsoft Power Platform are un ecosistem bogat de conectori bazat pe Microsoft Entra care permite utilizatorilor autorizați Microsoft Entra să construiască aplicații și fluxuri convingătoare, stabilind conexiuni la datele de afaceri disponibile prin aceste magazine de date. Izolarea entităților găzduite permite administratorilor să se asigure într-un mod mai simplu că acești conectori pot fi valorificați într-un mod sigur și securizat în interiorul entității găzduite, minimizând în același timp riscul de exfiltrare a datelor în afara entității găzduite. Izolarea entităților găzduite permite administratorilor și administratorilor globali să guverneze eficient transferul datelor entităților găzduite de la sursele de date autorizate către și Power Platform de la Microsoft Entra entitatea găzduită.
Rețineți că Power Platform izolarea entității găzduite este diferită de restricția entității găzduite la nivel de Microsoft Entra ID. Nu afectează accesul bazat pe ID în afara acestuia Microsoft Entra . Power Platform Power Platform Izolarea entității găzduite funcționează numai pentru conectorii care utilizează Microsoft Entra autentificarea bazată pe ID, cum Office 365 ar fi Outlook sau SharePoint.
Avertisment
Există o problemă cunoscută cu conectorul Azure DevOps, care are ca rezultat situația în care politica de izolare a entității găzduite nu este aplicată pentru conexiunile stabilite folosind acest conector. Dacă un vector de atac din interior reprezintă o preocupare, se recomandă limitarea utilizării conectorului sau a acțiunilor sale utilizând politicile de date.
Configurația implicită din cu izolarea Power Platform entității găzduite dezactivată este de a permite stabilirea fără probleme a conexiunilor între entitățile găzduite, dacă utilizatorul din entitatea găzduită A care stabilește conexiunea la entitatea găzduită B prezintă acreditările corespunzătoare Microsoft Entra . Dacă administratorii doresc să permită doar unui set selectat de entități găzduite să stabilească conexiuni la sau de la entitatea lor găzduită, pot activa izolarea entităților găzduite, setând opțiunea la Activat.
Cu izolarea entităților găzduite setată la Activat, toate entitățile găzduite sunt restricționate. Conexiunile de intrare (conexiuni la entitatea găzduită de la entitățile găzduite externe) și de ieșire (conexiuni de la entitatea găzduită la entitățile găzduite externe) sunt blocate chiar Power Platform dacă utilizatorul prezintă acreditări valide pentru Microsoft Entra sursă de date securizat. Puteți folosi reguli pentru a adăuga excepții.
Administratorii pot specifica o listă explicită de entități găzduite pe care doresc să le activeze pentru intrare, pentru ieșire sau în ambele direcții, care vor ocoli controalele de izolare a entităților găzduite atunci când sunt configurate. Administratorii pot folosi un model special „*” pentru a permite toate entitățile găzduite într-o anumită direcție, atunci când este activată izolarea entităților găzduite. Toate celelalte conexiuni între entitățile găzduite, cu excepția celor din lista permisă, sunt respinse de Power Platform.
Izolarea entităților găzduite poate fi configurată în centrul de administrare Power Platform. Aceasta afectează aplicațiile Power Platform create pe planșă și fluxurile Power Automate. Pentru a configura izolarea entităților găzduite, trebuie să fiți administrator al entităților găzduite.
Capacitatea de izolare a entității găzduite Power Platform este disponibilă cu două opțiuni: restricție unidirecțională sau bidirecțională.
Înțelegeți scenariile și impactul izolării entităților găzduite
Înainte de a începe configurarea restricțiilor de izolare a entităților găzduite, consultați următoarea listă pentru a înțelege scenariile și impactul izolării entităților găzduite.
- Administratorul dorește să activeze izolarea entității găzduite.
- Administratorul este îngrijorat de faptul că aplicațiile și fluxurile existente care utilizează conexiuni între entitățile găzduite nu vor mai funcționa.
- Administratorul decide să activeze izolarea entității găzduite și să adauge reguli de excepție pentru a elimina impactul.
- Administratorul rulează rapoartele de izolare între entitățile găzduite pentru a determina entitățile găzduite care trebuie scutite. Informații suplimentare:Tutorial: Crearea rapoartelor de izolare între entitățile găzduite (versiune preliminară)
Izolarea entității găzduite bidirecționale (restricția conexiunii de intrare și de ieșire)
Izolarea bidirecțională a entităților găzduite va bloca și încercările de stabilire a conexiunii către entitatea dvs. găzduită, de la alte entități găzduite. Mai mult, izolarea bidirecțională a entității găzduite va bloca de asemenea și încercările de stabilire a conexiunii de la entitatea dvs. găzduită la alte entități găzduite.
În acest scenariu, administratorul entității găzduite a activat izolarea entităților găzduite în două sensuri pe entitatea găzduită Contoso, iar entitatea găzduită externă Fabrikam nu a fost adăugată la lista permisă.
Utilizatorii conectați la entitatea găzduită Contoso nu pot stabili conexiuni bazate pe ID-ul de ieșire Power Platform la Microsoft Entra sursele de date din entitatea găzduită Fabrikam, în ciuda prezentării acreditărilor corespunzătoare Microsoft Entra pentru stabilirea conexiunii. Aceasta este izolarea de ieșire a entităților găzduite, pentru entitatea găzduită Contoso.
În mod similar, utilizatorii conectați la entitatea găzduită Fabrikam nu pot stabili conexiuni bazate pe ID-ul de intrare la Power Platform sursele de Microsoft Entra date din entitatea găzduită Contoso, în ciuda prezentării acreditărilor corespunzătoare Microsoft Entra pentru stabilirea conexiunii. Aceasta este izolarea de intrare a entităților găzduite, pentru entitatea găzduită Contoso.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) | Fabrikam | Nr (de ieșire) |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) | Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Notă
O încercare de conectare inițiată de un utilizator invitat de la entitatea găzduită gazdă care vizează surse de date din cadrul aceleiași entități găzduite gazdă nu este evaluată de regulile de izolare a entității găzduite.
Izolarea entităților găzduite cu liste permise
Izolarea unidirecțională a entității găzduite sau izolarea la intrare va bloca încercările de stabilire a conexiunii către entitatea dvs. găzduită de la alte entități găzduite.
Scenariu: Listă permisă de ieșire – Fabrikam este adăugat la lista permisă de ieșire a entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam în lista permisă de ieșire, în timp ce izolarea entităților găzduite este Activă.
Utilizatorii conectați la entitatea găzduită Contoso pot stabili conexiuni bazate pe ID-ul de ieșire Power Platform la Microsoft Entra sursele de date din entitatea găzduită Fabrikam dacă prezintă acreditările corespunzătoare Microsoft Entra pentru a stabili conexiunea. Stabilirea conexiunii de ieșire către entitatea găzduită Fabrikam este permisă în virtutea intrării configurate în lista de permisiuni.
Cu toate acestea, utilizatorii conectați la entitatea găzduită Fabrikam tot nu pot stabili conexiuni bazate pe ID-ul de intrare la Power Platform sursele de Microsoft Entra date din entitatea găzduită Contoso, în ciuda prezentării acreditărilor corespunzătoare Microsoft Entra pentru a stabili conexiunea. Stabilirea conexiunii de intrare de la entitatea găzduită Fabrikam este în continuare interzisă, chiar dacă intrarea în lista de permisiuni este configurată și permite conexiuni de ieșire.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la lista de permisiuni de ieșire |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la lista de permisiuni de ieșire |
Nr (de intrare) |
| Fabrikam | Fabrikam | Da |
Scenariu: Listă permisă bidirecțională – Fabrikam este adăugat la lista permisă de intrare și la cea de ieșire ale entității găzduite Contoso
În acest scenariu, administratorul adaugă entitatea găzduită Fabrikam în lista permisă de ieșire și în lista permisă de intrare, iar izolarea entităților găzduite este Activă.
| Entitatea găzduită a creatorului de conexiune | Entitatea găzduită a conexiunii de conectare | Acces permis? |
|---|---|---|
| Contoso | Contoso | Da |
| Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la ambele liste de permisiuni |
Fabrikam | Da |
| Fabrikam | Contoso (izolarea entităților găzduite Activată) Fabrikam a fost adăugat la ambele liste de permisiuni |
Da |
| Fabrikam | Fabrikam | Da |
Activați izolarea entităților găzduite și configurați lista permisă
În centrul de administrare Power Platform, izolarea entităților găzduite este setată cu Politici>Izolarea entităților găzduite.
Notă
Trebuie să aveți un rol de administrator global sau un Power Platform rol de administrator pentru a vedea și a seta politica de izolare a entităților găzduite.
Lista permisă pentru izolarea entităților găzduite poate fi configurată utilizând Regulă nouă pentru entitate găzduită, din pagina Izolarea entităților găzduite. Dacă izolarea entităților găzduite este Dezactivată, puteți adăuga sau edita regulile din listă. Dar aceste reguli nu vor fi aplicate până când nu activați izolarea entităților găzduite, setând-o la Activat.
Din lista verticală Direcție regulă nouă entitate găzduită, alegeți direcția intrării în lista de permisiuni.
De asemenea, puteți introduce valoarea entității găzduite permise ca domeniu de entitate găzduită sau ca ID de entitate găzduită. Odată salvată, intrarea este adăugată la lista de reguli împreună cu alte entități găzduite permise. Dacă utilizați domeniul entității găzduite pentru a adăuga intrarea în lista permisă, centrul de administrare Power Platform calculează automat ID-ul entității găzduite.
Odată ce intrarea apare în listă, se afișează câmpurile ID entitate găzduită și Microsoft Entra nume entitate găzduită. Rețineți că, în Microsoft Entra ID, numele entității găzduite este diferit de domeniul entității găzduite. Numele entității găzduite este unic pentru entitatea găzduită, dar o entitate găzduită poate avea mai multe nume de domeniu.
Puteți folosi „*” drept caracter special pentru a semnifica că toate entitățile găzduite au permisiune în direcția desemnată, atunci când izolarea entităților găzduite este setată la Activat.
Puteți edita direcția intrării în lista de permisiuni a entității găzduite, în funcție de cerințele companiei. Rețineți că câmpul Domeniu sau ID entitate găzduită nu poate fi editat în pagina Editați regula entității găzduite.
Puteți efectua toate operațiunile în lista de permisiuni, cum ar fi adăugarea, editarea și ștergerea, când este Activată sau Dezactivată izolarea entităților găzduite. Intrările din lista de permisiuni au un efect asupra comportamentului conexiunii atunci când izolarea entităților găzduite este Dezactivată, deoarece sunt permise toate conexiunile între entitățile găzduite.
Impactul duratei proiectare asupra aplicațiilor și a fluxurilor
Utilizatorii care creează sau editează o resursă afectată de politica de izolare a entităților găzduite vor vedea un mesaj de eroare corespunzător. De exemplu, creatorii Power Apps vor vedea următoarea eroare atunci când utilizează conectori între entități găzduite, într-o aplicație care este exclusă de politicile de izolare a entităților găzduite. Aplicația nu va adăuga conexiunea.
În mod similar, creatorii Power Automate vor vedea următoarea eroare atunci când vor încerca să salveze un flux care utilizează conexiuni dintr-un flux blocat de politicile de izolare a entităților găzduite. Fluxul în sine va fi salvat, dar va fi marcat ca „Suspendat” și nu va fi executat decât dacă creatorul soluționează încălcarea politicii de prevenire a pierderii datelor (DLP).
Impactul rulării asupra aplicațiilor și a fluxurilor
Ca administrator, puteți decide în orice moment să modificați izolarea entităților găzduite pentru entitatea dvs. găzduită. Dacă aplicațiile și fluxurile au fost create și executate în conformitate cu o politică anterioară de izolare a entităților găzduite, unele dintre ele ar putea fi afectate în mod negativ de orice modificări de politică pe care le faceți. Aplicațiile sau fluxurile care încalcă politica de izolare a entităților găzduite nu vor rula. De exemplu, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat. În plus, selectarea executării eșuate va afișa detalii despre eroare.
Pentru fluxurile existente care nu rulează din cauza celei mai recente politici de izolare a entităților găzduite, istoricul rulării în Power Automate indică faptul că rularea fluxului a eșuat.
Selectarea rulării eșuate va afișa detalii despre rularea de flux eșuată.
Notă
Este nevoie de aproximativ o oră pentru ca cele mai recente modificări ale politicii de izolare a entităților găzduite să fie evaluate în raport cu aplicațiile și fluxurile active. Această schimbare nu este instantanee.
Probleme cunoscute
Azure DevOps conectorul utilizează autentificarea ca furnizor de identitate, dar utilizează Microsoft Entra propriul flux OAuth și STS pentru autorizarea și emiterea unui simbol. Deoarece simbolul returnat din fluxul ADO pe baza configurației conectorului respectiv nu provine din ID, politica de Microsoft Entra izolare a entității găzduite nu este aplicată. Ca măsură de atenuare, vă recomandăm să utilizați alte tipuri de politici de date pentru a limita utilizarea conectorului sau acțiunile acestuia.