Các hạn chế kết nối đến và đi của liên đối tượng thuê
Microsoft Power Platform có một hệ sinh thái kết nối phong phú dựa trên Microsoft Entra đó cho phép người dùng được ủy quyền Microsoft Entra xây dựng các ứng dụng và luồng hấp dẫn, thiết lập kết nối với dữ liệu kinh doanh có sẵn thông qua các kho dữ liệu này. Quy trình tách biệt đối tượng thuê giúp quản trị viên dễ dàng đảm bảo rằng những trình kết nối như vậy có thể được khai thác theo cách an toàn và bảo mật trong đối tượng thuê, đồng thời giảm thiểu rủi ro rò rỉ dữ liệu ra bên ngoài đối tượng thuê. Cách ly đối tượng thuê cho phép quản trị viên và Power Platform quản trị viên Toàn cầu quản lý hiệu quả việc di chuyển dữ liệu đối tượng thuê từ các nguồn dữ liệu được ủy quyền đến và đi từ Microsoft Entra đối tượng thuê của họ.
Lưu ý rằng Power Platform cách ly đối tượng thuê khác với Microsoft Entra giới hạn đối tượng thuê trên toàn ID. Nó không ảnh hưởng đến Microsoft Entra quyền truy cập dựa trên ID bên ngoài Power Platform. Power Platform cách ly đối tượng thuê chỉ hoạt động đối với các trình kết nối sử dụng Microsoft Entra xác thực dựa trên ID như Office 365 Outlook hoặc SharePoint.
Cảnh báo
Trình kết nối Azure DevOps gặp một sự cố đã biết dẫn đến việc không thực thi được chính sách tách biệt đối tượng thuê đối với những kết nối được thiết lập bằng trình kết nối này. Nếu một vectơ tấn công nội bộ là một mối quan tâm, bạn nên hạn chế sử dụng trình kết nối hoặc các hành động của nó bằng cách sử dụng các chính sách dữ liệu.
Cấu hình mặc định trong Power Platform Tắt cách ly đối tượng thuê là cho phép thiết lập liền mạch các kết nối giữa các đối tượng thuê, nếu người dùng từ đối tượng thuê A thiết lập kết nối với đối tượng thuê B trình bày thông tin xác thực thích hợp Microsoft Entra . Nếu quản trị viên chỉ muốn cho phép một nhóm đối tượng thuê nhất định thiết lập kết nối đến hoặc từ đối tượng thuê mà họ sở hữu, họ có thể Bật quy trình tách biệt đối tượng thuê.
Khi quy trình tách biệt đối tượng thuê ở trạng thái Bật, tất cả đối tượng thuê đều bị hạn chế. Kết nối đến (kết nối với đối tượng thuê từ đối tượng thuê bên ngoài) và kết nối đi (kết nối từ đối tượng thuê đến đối tượng thuê bên ngoài) bị chặn ngay Power Platform cả khi người dùng trình bày thông tin đăng nhập hợp lệ cho Microsoft Entra nguồn dữ liệu được bảo mật. Bạn có thể sử dụng các quy tắc để thêm trường hợp ngoại lệ.
Quản trị viên có thể chỉ định danh sách cho phép rõ ràng gồm những đối tượng thuê mà họ muốn bật kết nối vào, kết nối ra hoặc cả hai. Như vậy, các chế độ kiểm soát quy trình tách biệt đối tượng thuê sẽ bị bỏ qua khi được đặt cấu hình. Quản trị viên có thể sử dụng mẫu đặc biệt "*" để cho phép tất cả đối tượng thuê đi theo một chiều cụ thể khi quy trình tách biệt đối tượng thuê ở trạng thái bật. Mọi kết nối khác giữa các đối tượng thuê, ngoại trừ những kết nối trong danh sách cho phép đều bị Power Platform từ chối.
Bạn có thể đặt cấu hình quy trình tách biệt đối tượng thuê trong Trung tâm quản trị Power Platform . Quy trình này sẽ ảnh hưởng đến các ứng dụng canvas trong Power Platform và dòng trong Power Automate. Để thiết lập quy trình tách biệt đối tượng thuê, bạn cần phải là quản trị viên đối tượng thuê.
Tính năng cách ly đối tượng thuê của Power Platform có sẵn với hai lựa chọn: hạn chế một chiều hoặc hai chiều.
Hiểu các kịch bản và tác động cách ly đối tượng thuê
Trước khi bạn bắt đầu đặt cấu hình các hạn chế cách ly đối tượng thuê, hãy xem lại danh sách sau đây để hiểu các kịch bản và tác động của việc cách ly đối tượng thuê.
- Quản trị viên muốn bật tính năng cách ly đối tượng thuê.
- Quản trị viên lo ngại rằng các ứng dụng và luồng hiện có sử dụng kết nối đối tượng thuê chéo sẽ ngừng hoạt động.
- Quản trị viên quyết định bật tính năng cách ly đối tượng thuê và thêm các quy tắc ngoại lệ để loại bỏ tác động.
- Quản trị viên chạy báo cáo cách ly giữa các đối tượng thuê để xác định đối tượng thuê cần được miễn. Thông tin thêm:Hướng dẫn: Tạo báo cáo cách ly đối tượng thuê chéo (xem trước)
Cách ly đối tượng thuê hai chiều (hạn chế kết nối đến và đi)
Quy trình tách biệt đối tượng thuê hai chiều sẽ chặn những nỗ lực thiết lập kết nối của các đối tượng thuê khác với đối tượng thuê của bạn. Ngoài ra, cách ly đối tượng thuê hai chiều cũng sẽ chặn các nỗ lực thiết lập kết nối từ đối tượng thuê của bạn đến những đối tượng thuê khác.
Trong trường hợp này, quản trị viên đối tượng thuê đã bật quy trình tách biệt đối tượng thuê hai chiều đối với đối tượng thuê Contoso trong khi đối tượng thuê Fabrikam bên ngoài chưa được thêm vào danh sách cho phép.
Người dùng đã đăng nhập vào Power Platform đối tượng thuê Contoso không thể thiết lập kết nối dựa trên ID gửi đi Microsoft Entra đến các nguồn dữ liệu trong đối tượng thuê Fabrikam mặc dù trình bày thông tin đăng nhập thích hợp Microsoft Entra để thiết lập kết nối. Đây là quy trình tách biệt đối tượng thuê ra đối với đối tượng thuê Contoso.
Tương tự, người dùng đã đăng nhập vào Power Platform đối tượng thuê Fabrikam không thể thiết lập kết nối dựa trên ID đến đến Microsoft Entra các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù trình bày thông tin đăng nhập thích hợp Microsoft Entra để thiết lập kết nối. Đây là quy trình tách biệt đối tượng thuê vào đối với đối tượng thuê Contoso.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) | Fabrikam | Không (đi) |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) | Không (đến) |
| Fabrikam | Fabrikam | Có |
Lưu ý
Nỗ lực kết nối do người dùng khách khởi tạo từ đối tượng thuê máy chủ của họ nhắm mục tiêu các nguồn dữ liệu trong cùng một đối tượng thuê máy chủ lưu trữ không được đánh giá theo quy tắc cách ly đối tượng thuê.
Tách biệt đối tượng thuê theo danh sách cho phép
Cách ly đối tượng thuê một chiều hoặc cách ly đến sẽ chặn các nỗ lực thiết lập kết nối với đối tượng thuê của bạn khỏi những đối tượng thuê khác.
Trường hợp: Danh sách cho phép kết nối ra – Fabrikam được thêm vào danh sách cho phép kết nối ra của đối tượng thuê Contoso
Trong trường hợp này, quản trị viên thêm đối tượng thuê Fabrikam vào danh sách cho phép kết nối ra trong khi quy trình tách biệt đối tượng thuê ở trạng thái Bật.
Người dùng đã đăng nhập vào Power Platform đối tượng thuê Contoso có thể thiết lập kết nối dựa trên ID gửi đi Microsoft Entra đến các nguồn dữ liệu trong đối tượng thuê Fabrikam nếu họ trình bày thông tin đăng nhập thích hợp Microsoft Entra để thiết lập kết nối. Việc thiết lập kết nối ra với đối tượng thuê Fabrikam được cho phép nhờ vào mục nhập đã đặt cấu hình trong danh sách cho phép.
Tuy nhiên, người dùng đã đăng nhập vào Power Platform đối tượng thuê Fabrikam vẫn không thể thiết lập kết nối dựa trên ID đến đến Microsoft Entra các nguồn dữ liệu trong đối tượng thuê Contoso mặc dù trình bày thông tin đăng nhập thích hợp Microsoft Entra để thiết lập kết nối. Việc thiết lập kết nối vào từ đối tượng thuê Fabrikam vẫn không được phép ngay cả khi mục nhập trong danh sách cho phép được đặt cấu hình và cho phép kết nối ra.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào danh sách cho phép kết nối ra |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào danh sách cho phép kết nối ra |
Không (đến) |
| Fabrikam | Fabrikam | Có |
Trường hợp: Danh sách cho phép kết nối 2 chiều – Fabrikam được thêm vào danh sách cho phép kết nối vào và kết nối ra của đối tượng thuê Contoso
Trong trường hợp này, quản trị viên thêm đối tượng thuê Fabrikam vào cả danh sách cho phép kết nối vào lẫn kết nối ra trong khi quy trình tách biệt đối tượng thuê ở trạng thái Bật.
| Đối tượng thuê tạo kết nối | Đối tượng thuê đăng nhập kết nối | Cho phép truy cập? |
|---|---|---|
| Contoso | Contoso | Có |
| Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Fabrikam | Có |
| Fabrikam | Contoso (Bật quy trình tách biệt đối tượng thuê) Fabrikam được thêm vào cả hai danh sách cho phép |
Có |
| Fabrikam | Fabrikam | Có |
Bật quy trình tách biệt đối tượng thuê và đặt cấu hình danh sách cho phép
Trong Trung tâm quản trị Power Platform, quy trình tách biệt đối tượng thuê được đặt thông qua phần Chính sách>Tách biệt đối tượng thuê.
Lưu ý
Bạn phải có vai trò Quản trị viên toàn cầu hoặc Power Platform vai trò quản trị viên để xem và đặt chính sách cách ly đối tượng thuê.
Bạn có thể đặt cấu hình danh sách cho phép tách biệt đối tượng thuê thông qua phần Quy tắc đối tượng thuê mới trên trang Tách biệt đối tượng thuê . Nếu quy trình tách biệt đối tượng thuê ở trạng thái Tắt, bạn có thể thêm hoặc chỉnh sửa các quy tắc trong danh sách. Tuy nhiên, những quy tắc này sẽ không được thực thi cho đến khi bạn Bật quy trình tách biệt đối tượng thuê.
Trong danh sách thả xuống Chiều thuộc phần Quy tắc đối tượng thuê mới, chọn chiều của mục nhập trong danh sách cho phép.
Bạn cũng có thể nhập giá trị của đối tượng thuê được phép dưới dạng miền đối tượng thuê hoặc ID đối tượng thuê. Sau khi lưu, mục nhập sẽ được thêm vào danh sách quy tắc cùng với các đối tượng thuê được phép khác. Nếu bạn sử dụng miền của đối tượng thuê để thêm mục nhập trong danh sách cho phép, Trung tâm quản trị Power Platform sẽ tự động tính ID đối tượng thuê.
Khi mục nhập xuất hiện trong danh sách, ID đối tượng thuê và Microsoft Entra các trường tên đối tượng thuê được hiển thị. Lưu ý rằng trong Microsoft Entra ID, tên đối tượng thuê khác với miền đối tượng thuê. Đối tượng thuê chỉ có một tên đối tượng thuê duy nhất, nhưng có thể có nhiều miền đối tượng thuê.
Bạn có thể sử dụng "*" làm ký tự đặc biệt để biểu thị rằng tất cả đối tượng thuê đều được phép theo chiều đã chỉ định khi Bật quy trình tách biệt đối tượng thuê.
Bạn có thể chỉnh sửa chiều của mục nhập trong danh sách cho phép của đối tượng thuê dựa trên yêu cầu kinh doanh. Lưu ý rằng bạn không thể chỉnh sửa trường Miền đối tượng thuê hoặc ID đối tượng thuê trên trang Chỉnh sửa quy tắc đối tượng thuê.
Bạn có thể thực hiện tất cả thao tác trong danh sách cho phép như thêm, chỉnh sửa và xóa khi quy trình tách biệt đối tượng thuê ở trạng thái Bật hoặc Tắt. Các mục nhập trong danh sách cho phép có ảnh hưởng đến hoạt động kết nối khi quy trình tách biệt đối tượng thuê bị Tắt vì tất cả kết nối giữa các đối tượng thuê đều được cho phép.
Ảnh hưởng của thời gian thiết kế đối với ứng dụng và dòng
Người dùng tạo hoặc chỉnh sửa tài nguyên chịu ảnh hưởng của chính sách tách biệt đối tượng thuê sẽ thấy thông báo lỗi có liên quan. Ví dụ: người tạo trong Power Apps sẽ thấy lỗi sau khi họ sử dụng kết nối giữa các đối tượng thuê trong ứng dụng bị chặn theo chính sách tách biệt đối tượng thuê. Ứng dụng sẽ không thêm kết nối.
Tương tự, người tạo trong Power Automate sẽ thấy lỗi sau khi cố lưu dòng sử dụng các kết nối trong một dòng bị chặn theo chính sách tách biệt đối tượng thuê. Dòng sẽ tự lưu nhưng sẽ được đánh dấu là "Bị tạm ngưng" và sẽ không được thực thi trừ khi người tạo giải quyết vấn đề vi phạm chính sách ngăn dữ liệu (DLP).
Ảnh hưởng của thời gian chạy đối với ứng dụng và dòng
Với vai trò quản trị viên, bạn có thể quyết định sửa đổi chính sách tách biệt đối tượng thuê cho đối tượng thuê của mình tại bất cứ lúc nào. Nếu ứng dụng và dòng được tạo và thực thi theo các chính sách tách biệt đối tượng thuê trước đó, một vài trong số những ứng dụng và dòng này có thể chịu ảnh hưởng tiêu cực của bất kỳ thay đổi nào mà bạn thực hiện đối với chính sách. Ứng dụng và dòng vi phạm chính sách tách biệt đối tượng thuê sẽ không chạy thành công. Ví dụ: lịch sử chạy trong Power Automate cho biết rằng dòng chạy không thành công. Hơn nữa, chi tiết lỗi sẽ hiển thị khi bạn chọn một lần chạy không thành công.
Đối với những dòng hiện có chạy không thành công do chính sách tách biệt đối tượng thuê mới nhất, lịch sử chạy trong Power Automate sẽ cho biết rằng dòng chạy không thành công.
Thông tin chi tiết về lần chạy dòng không thành công sẽ hiển thị khi bạn chọn lần chạy không thành công.
Lưu ý
Quá trình đánh giá những thay đổi của chính sách tách biệt đối tượng thuê mới nhất dựa trên ứng dụng và dòng hiện hoạt sẽ mất khoảng một giờ. Thay đổi này không xảy ra ngay lập tức.
Các vấn đề đã biết
Azure DevOps trình kết nối sử dụng xác thực làm nhà cung cấp danh tính, nhưng sử dụng Microsoft Entra luồng OAuth và STS của riêng nó để ủy quyền và phát hành mã thông báo. Vì mã thông báo được trả về từ luồng ADO dựa trên cấu hình của Trình kết nối đó không phải Microsoft Entra từ ID, chính sách cách ly đối tượng thuê không được thực thi. Để giảm thiểu rủi ro, bạn nên áp dụng các loại chính sách dữ liệu để hạn chế việc sử dụng trình kết nối hoặc các hành động của trình kết nối.