Kiracılar arası gelen ve giden kısıtlamalar

  • Makale

Microsoft Power Platform, yetkili Microsoft Entra kullanıcılarının, bu veri depoları üzerinden erişilebilen iş verileriyle bağlantı sağlayan çekici uygulamalar ve akışlar oluşturmasına olanak tanıyan Microsoft Entra tabanlı bağlayıcılardan oluşan zengin bir ekosisteme sahiptir. Kiracı yalıtımı, yöneticilerin kiracı dışına veri sızdırma riskini en aza indirgeyerek bağlayıcılardan kiracı içinde güvenli ve güvenilir bir şekilde yararlanılabilmesini sağlamalarını kolaylaştırır. Kiracı yalıtımı, Genel yöneticilerin ve Power Platform yöneticilerinin Microsoft Entra yetkili veri kaynaklarından kiracılara ve kiracılardan veri kaynaklarına kiracı verileri taşıma işlemini etkin şekilde yönetmesine olanak tanır.

Power Platform Kiracı yalıtımının, Microsoft Entra ID çapında kiracı kısıtlamasından farklı olduğunu unutmayın. Power Platform dışındaki Microsoft Entra ID temelli erişimi etkilemez. Power Platform kiracı izolasyonu yalnızca Office 365 Outlook veya SharePoint gibi Microsoft Entra ID tabanlı kimlik doğrulamayı kullanan bağlayıcılar için işe yarar.

Uyarı

Azure DevOps bağlayıcısıyla ilgili, kiracı yalıtımı ilkesinin bu bağlayıcıyı kullanan bağlantılarda yürütülmemesine neden olan bilinen bir sorun vardır. İçeriden saldırı vektörü bir sorun ise, veri ilkelerini kullanarak bağlayıcının veya eylemlerinin sınırlandırılması önerilir.

Power Platform'da kiracı yalıtımı Kapalı olduğunda varsayılan yapılandırma, A kiracısında B kiracısına bağlantı kuran kullanıcı uygun Microsoft Entra kimlik bilgilerini sunarsa, kiracılar arası bağlantıların sorunsuzca kurulmasına izin verir. Yöneticiler, yalnızca belirli bir kiracı kümesinin bağlantı kurmasına izin vermek isterlerse kiracı yalıtımını Açık olarak ayarlayabilirler.

Kiracı yalıtımı seçeneği Açık olduğunda tüm kiracılar kısıtlanır. Kiracılar arasındaki gelen (harici kiracılardan kiracıya bağlantı) ve giden (kiracıdan harici kiracılara bağlantılar) bağlantılar, kullanıcı Microsoft Entra güvenli veri kaynağı için geçerli kimlik bilgilerini sunsa bile Power Platform tarafından engellenir. Özel durum eklemek için kuralları kullanabilirsiniz.

Yöneticiler, gelen, giden veya her ikisi için yapılandırıldığında kiracı yalıtımı denetimlerini atlayacak olan açık bir izin verilen kullanıcı listeleri belirletebilirler. Yöneticiler, kiracı yalıtımı açıkken tüm kiracılara belirli bir yönde izin vermek için özel bir desen "*" kullanabilirler. İzin verilenler listesi dışındaki tüm diğer kiracılar arası bağlantılar Power Platform tarafından reddedilir.

Kiracı yalıtımı Power Platform yönetim merkezinde yapılandırılabilir. Power Platform tuval uygulamalarını ve Power Automate akışlarını etkiler. Kiracı yalıtımı ayarlamak için bir kiracı yöneticisi olmanız gerekir.

Power Platform kiracı yalıtımı özelliği iki seçenekle sunulur: tek yönlü veya çift yönlü kısıtlama.

Kiracı yalıtım senaryolarını ve etkilerini anlama

Kiracı yalıtımı kısıtlamalarını yapılandırmaya başlamadan önce kiracı yalıtımı senaryolarını ve etkilerini anlamak için aşağıdaki listeyi inceleyin.

  • Yönetici kiracı yalıtımını açmak ister.
  • Yönetici, kiracılar arası bağlantıları kullanan mevcut uygulamaların ve akışların çalışmayı durduracağından endişe duyar.
  • Yönetici, kiracı yalıtımını etkinleştirmeye ve etkiyi ortadan kaldırmak için özel durum kuralları eklemeye karar verir.
  • Yönetici, dışlanması gereken kiracıları belirlemek için kiracılar arası yalıtım raporlarını çalıştırır. Daha fazla bilgi: Öğretici: Kiracılar arası yalıtım raporları oluşturma (önizleme)

Çift yönlü kiracı yalıtımı (gelen ve giden bağlantı sınırlaması)

Çift yönlü kiracı yalıtımı, diğer kiracılardan kiracınıza gelen bağlantı kurma girişimlerini engeller. Ek olarak, çift yönlü kiracı yalıtımı, sizin kiracınızdan diğer kiracılara yapılan bağlantı kurma girişimlerini de engeller.

Bu senaryoda, kiracı yöneticisi Contoso kiracısında çift yönlü yalıtım ayarlamış ve harici Fabrikam kiracısı izin verilenler listesine eklenmemiştir.

Contoso kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen Fabrikam kiracısındaki veri kaynaklarına giden bir Microsoft Entra ID temelli bağlantı kuramamaktadır. Bu Contoso kiracısı için giden kiracı yalıtımıdır.

Benzer şekilde Fabrikam kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen Contoso kiracısındaki veri kaynaklarına gelen bir Microsoft Entra ID temelli bağlantı kuramamaktadır. Bu Contoso kiracısı için gelen kiracı yalıtımıdır.

Bağlantı oluşturucu kiracısı Bağlantı oturumu açma kiracısı Erişime izni verilsin mi?
Contoso Contoso Evet
Contoso (kiracı yalıtımı Açık) Fabrikam Hayır (giden)
Fabrikam Contoso (kiracı yalıtımı Açık) Hayır (gelen)
Fabrikam Fabrikam Evet

Giden ve gelen çapraz kiracı erişimini kısıtlama

Not

Bir konuk kullanıcı tarafından kendi ana kiracısından başlatılan ve aynı ana kiracı içindeki veri kaynaklarını hedef alan kiracı tarafından başlatılan bir bağlantı girişimi, kiracı yalıtım kuralları tarafından değerlendirilmez.

İizn verilenler listeleriyle kiracı yalıtımı

Tek yönlü kiracı yalıtımı veya gelen yalıtımı, diğer kiracılardan kiracınıza yapılan bağlantı kurma girişimlerini engeller.

Senaryo: Giden izin verilen listesi – Fabrikam, Contoso kiracısının giden izin verilenler listesine eklenir

Bu senaryoda, yönetici kiracı yalıtımı Açık durumdayken Fabrikam kiracısını giden izin verilenler listesine ekler.

Contoso kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunarsa Fabrikam kiracısındaki veri kaynaklarına giden bir Microsoft Entra ID temelli bağlantı kurabilir. Fabrikam kiracısında giden bağlantı kurmaya yapılandırılan izin verilenler listesi girişi nedeniyle izin verilir.

Ancak Fabrikam kiracısında Power Platform'da oturum açan kullanıcılar, bağlantıyı kurmak üzere uygun Microsoft Entra kimlik bilgileri sunulmasına rağmen hâlâ Contoso kiracısındaki veri kaynaklarına gelen bir Microsoft Entra ID temelli bağlantı kuramamaktadır. İzin verilenler listesi giriş yapılandırılmış olmasına ve giden bağlantılara izin vermesine karşın Fabrikam kiracısından gelen bağlantı kurulmasına yine de izin verilmez.

Bağlantı oluşturucu kiracısı Bağlantı oturumu açma kiracısı Erişime izni verilsin mi?
Contoso Contoso Evet
Contoso (kiracı yalıtımı Açık)
Fabrikam giden izin verilenler listesine eklendi		 Fabrikam Evet
Fabrikam Contoso (kiracı yalıtımı Açık)
Fabrikam giden izin verilenler listesine eklendi		 Hayır (gelen)
Fabrikam Fabrikam Evet

Gelen bağlantıyı kısıtlama.

Senaryo: Çift yönlü izin verilenler listesi – Fabrikam, Contoso kiracısının gelen ve giden izin verilenler listesine eklenir

Bu senaryoda, yönetici kiracı yalıtımı Açık durumdayken Fabrikam kiracısını hem gelen hem de giden izin verilenler listesine ekler.

Bağlantı oluşturucu kiracısı Bağlantı oturumu açma kiracısı Erişime izni verilsin mi?
Contoso Contoso Evet
Contoso (kiracı yalıtımı Açık)
Fabrikam her iki izin listesine de eklendi		 Fabrikam Evet
Fabrikam Contoso (kiracı yalıtımı Açık)
Fabrikam her iki izin listesine de eklendi		 Evet
Fabrikam Fabrikam Evet

Çift yönlü izin listeleri.

Kiracı yalıtımını etkinleştirme ve izin verilenler listesi yapılandırma

Power Platform yönetim merkezinde, kiracı yalıtımı İlkeler>Kiracı izolasyonu ile ayarlanır.

Not

Kiracı yalıtım ilkesini görmek ve ayarlamak için Genel Yönetici rolüne veya Power Platform Yönetici rolüne sahip olmanız gerekir.

Kiracılar yalıtımını etkinleştirme.

Kiracı yalıtımı izin verilenler listesi Kiracı Yalıtımı sayfasındaki Yeni kiracı kuralı kullanılarak yapılandırılabilir. Kiracı yalıtımı Kapalıysa, kuralları listeye ekleyebilir veya düzenleyebilirsiniz. Ancak bu kurallar, kiracı yalıtımı Açık oluncaya kadar zorunlu kılınmaz.

İzin verilenler listesine kural eklemek için yeni kiracı kuralı.

Yeni kiracı kuralı Yönü açılan listesinden izin verilenler listesi girişinin yönünü seçin.

Yeni kiracı kuralının yönünü seçin.

Ayrıca, izin verilen kiracının değerini kiracı etki alanı veya kiracı kimliği olarak da girebilirsiniz. Kaydedildikten sonra giriş izin verilen diğer kiracılar ile birlikte kural listesine eklenir. İzin verilenler listesi girişini eklemek için kiracı etki alanını kullanırsanız, Power Platform yönetim merkezi kiracı kimliğini otomatik olarak hesaplar.

Yeni kiracı kuralı için kiracı etki alanı veya kiracı kimliğini seçin.

Giriş listede göründüğünde Kiracı Kimliği ve Microsoft Entra kiracı adı alanları görüntülenir. Microsoft Entra ID'de, kiracı adının kiracı etki alanından farklı olduğunu unutmayın. Kiracı adı kiracı için benzersizdir ancak bir kiracının birden çok etki alanı adı olabilir.

Yeni kiracı kuralı izin verilenler listesinde görünür.

Kiracı yalıtımı Açık olduğunda belirlenen yönde tüm kiracılara izin verildiğini belirtmek için "*" işaretini özel karakter olarak kullanabilirsiniz.

Kiracı yalıtımı açıkken tüm kiracılara belirtilen yönde izin verilir.

Kiracı izin verilenler listesi girişinin yönünü iş gereksinimlerine göre düzenleyebilirsiniz. Kiracı Etki Alanı veya Kimliği alanının Kiracı kuralını düzenle sayfasında düzenlenemeyeceğini unutmayın.

Kiracı kuralını düzenle.

Kiracı yalıtımı Açık veya Kapalıyken ekleme, düzenleme ve silme gibi tüm izin verilenler listesi işlemlerini gerçekleştirebilirsiniz. Tüm kiracılar arası bağlantılara izin verildiğinden kiracı yalıtımı Kapalı olduğunda izin verilenler listesi girişlerinin bağlantı davranışı üzerinde etkisi vardır.

Uygulama ve akışlarda tasarım zamanı etkisi

Kiracı yalıtım ilkesinden etkilenen bir kaynağı oluşturan veya düzenleyen kullanıcılar ilgili bir hata iletisi görür. Örneğin, Power Apps oluşturucuları kiracı yalıtım ilkeleriyle engellenen bir uygulamada kiracılar arası bağlantılar kullandıklarında aşağıdaki hatayı görür. Uygulama bağlantıyı ekleyemedi.

Hata: Veriler doğru şekilde yüklenmedi. Lütfen yeniden deneyin.

Benzer şekilde, Power Automate oluşturucuları kiracı yalıtım ilkeleriyle engellenen bir akışta bağlantılar kullanan bir akışı kaydetmeyi denediklerinde aşağıdaki hatayı görür. Akışın kendisi kaydedilir ancak "askıya alındı" olarak işaretlenir ve oluşturucu veri kaybı önleme ilkesi (DLP) ihlalini çözene kadar yürütülmez.

Hata: Değerler alınamadı. Dinamik çağırma isteği hata başarısız oldu - hata metni.

Uygulama ve akışlarda çalışma zamanı etkisi

Yönetici olarak, kiracınızın kiracı yalıtım ilkelerini istediğiniz herhangi bir noktada değiştirmeye karar verebilirsiniz. Uygulamalar ve akışlar daha önceki kiracı yalıtım ilkeleriyle uyumlu olarak oluşturulup yürütülürse, bazı ilke değişikliklerinden olumsuz etkilenmiş olabilir. Kiracı yalıtım ilkesini ihlal eden uygulamalar veya akışlar başarılı bir şekilde çalışmaz. Örneğin, Power Automate'deki çalışma geçmişi akış çalıştırmasının başarısız olduğunu gösterir. Ayrıca, başarısız olan bir çalıştırma seçildiğinde hatanın ayrıntıları gösterilir.

En son kiracı yalıtım ilkesi nedeniyle başarılı bir şekilde çalıştırılmayan mevcut akışlar için Power Automate içindeki çalışma geçmişi akış çalıştırmasının başarısız olduğunu gösterir.

Akış çalıştırma geçmişi listesi.

Başarısız olan bir çalıştırma seçildiğindehatalı akış çalıştırmasının ayrıntıları gösterilir.

Akış çalıştırması hata ayrıntıları.

Not

En son kiracı yalıtım ilke değişikliklerinin etkin uygulamalara ve akışlara göre değerlendirilmesi yaklaşık bir saat zaman alır. Bu değişiklik anlık değildir.

Bilinen sorunlar

Azure DevOps bağlayıcısı kimlik sağlayıcısı olarak Microsoft Entra kimlik doğrulama kullanır ancak kimlik doğrulama ve belirteç vermek için kendi OAuth akışını ve STS'i kullanır. Bu Bağlayıcının yapılandırmasına göre ADO akışından döndürülen belirteç Microsoft Entra ID'den olmadığı için kiracı yalıtım politikası uygulanmaz. Risk azaltma olarak, bağlayıcının veya onun eylemlerinin kullanımını sınırlamak için başka veri ilkesi türlerinin kullanılmasını öneririz.