Sdílet prostřednictvím

Správa tenantů, kteří můžou zaregistrovat místní bránu dat

  • Článek

Pomocí nového nastavení omezení tenanta můžete určit, kteří tenanti můžou zaregistrovat aplikaci místní brány dat. Organizace se například může rozhodnout, že povolí pouze tenanty v organizaci, aby se zabránilo exfiltraci dat. Ve výchozím nastavení neexistuje žádné omezení pro tenanty.

Důležité

I když je tento postup dobrým bezpečnostním opatřením, nezaručuje celkovou ochranu před exfiltrací dat.

Po definování seznamu povolených tenantů je pomocí následujícího postupu přidejte do registru pro osobní i podnikové verze brány.

Omezení podnikové a osobní místní brány dat

  1. Najděte ID tenanta.

  2. Spusťte Editor registru prostřednictvím nabídky Start systému Windows (regedit.exe).

  3. Přejděte na \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

  4. Vyberte a podržte (nebo klikněte pravým tlačítkem) do složky Microsoft a vyberte Nový>klíč. Vytvořte klíč s názvem Místní brána dat pro podnikovou bránu nebo místní bránu dat (osobní režim) pro osobní bránu.

  5. Vyberte a podržte (nebo klikněte pravým tlačítkem) do složky Místní brána dat, kterou jste právě vytvořili, a znovu vyberte Nový>klíč . Pojmenujte tuto registraci klíče.

  6. Vyberte a podržte (nebo klikněte pravým tlačítkem) v okně vpravo a vyberte Nová>hodnota řetězce. Pojmenujte hodnotu AllowedRegistrationTenants (ujistěte se, že je v množném čísle a vše je napsané správně). Vyberte a podržte (nebo klikněte pravým tlačítkem) na hodnotu AllowedRegistrationTenants a vyberte Upravit. Nastavte data na čárkami oddělený seznam ID tenanta, které by měl počítač povolit. Tenanti jsou identifikovaní podle ID tenanta, což je identifikátor GUID. Výsledky by se měly zobrazit jako na následujících snímcích obrazovky.

    Screenshot of the registry editor with required keys added for the enterprise gateway.

    Screenshot of the registry editor with required keys added for the personal gateway.

Nastavení tenanta registrace místní brány dat

Při registraci podnikové brány se tenant použitý k registraci zapíše do \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\On-premises data gateway\Registration\RegistrationTenant.

Při registraci osobní brány se tenant použitý k registraci zapíše do \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Místní brána dat (osobní režim)\Registration\RegistrationTenant.

Screenshot of the registry editor with key of tenant used to register the gateway.

Chyba přidružená k použití tenanta, který není v seznamu povolených

Pokud je klíč registru nastavený tak, aby omezil povolené tenanty a uživatel se pokusí bránu zaregistrovat pomocí přihlašovacích údajů z tenanta, který není výslovně povolený, tato akce vygeneruje chybu a brána se nepodaří zaregistrovat nebo spustit.

V tomto případě se do protokolů brány zapíše chyba, která hlásí [DM.GatewayServiceHost] Not starting transfer service because 'onmicrosoft.com' is not in tenant allow list. Uživatel obdrží zprávu s oznámením You cannot login with this email address. Please contact your tenant administrator for help with allowed registration tenants. , že se uživatel pokusil zaregistrovat nebo přihlásit pomocí tenanta, který není v seznamu povolených registrací tenanta.

Screenshot of the error shown when using a tenant not in the registry to register the gateway.