Verwalten von Mandanten, die zum Registrieren eines lokalen Datengateways berechtigt sind
Mit den neuen Mandanteneinschränkungseinstellungen können Sie steuern, welche Mandanten die lokale Datengatewayanwendung registrieren dürfen. Beispielsweise kann eine Organisation festlegen, dass nur Mandanten innerhalb der Organisation zugelassen werden, um Datenexfiltration zu verhindern. Standardmäßig gibt es keine Einschränkung für Mandanten.
Wichtig
Obwohl diese Schritte eine gute Sicherheitsmaßnahme sind, garantieren sie keinen vollständigen Datenexfiltrationsschutz.
Nachdem Sie eine Liste der zulässigen Mandanten definiert haben, führen Sie die folgenden Schritte aus, um sie der Registrierung sowohl für persönliche als auch für Enterprise-Gateway-Versionen hinzuzufügen.
Einschränken des lokalen Unternehmens- und persönlichen Datengateways
Führen Sie den Registrierungs-Editor über das Windows-Startmenü (regedit.exe) aus.
Navigieren Sie zu \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.
Wählen Sie den Microsoft-Ordner aus und halten Sie ihn gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie Neuer>Schlüssel aus. Erstellen Sie einen Schlüssel mit dem Namen Lokales Datengateway für das Unternehmensgateway oder Lokales Datengateway (persönlicher Modus) für das persönliche Gateway.
Wählen Sie den soeben erstellten Ordner „Lokales Datengateway“ aus und halten Sie ihn gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie erneut Neuer>Schlüssel aus. Nennen Sie diesen Schlüssel Registrierung.
Wählen Sie das Fenster rechts aus und halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie Neuer>Zeichenfolgenwert aus. Nennen Sie den Wert AllowedRegistrationTenants (stellen Sie sicher, dass es im Plural ist und alles richtig geschrieben ist). Wählen Sie den Wert AllowedRegistrationTenants aus und halten Sie ihn gedrückt (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie Ändern aus. Legen Sie die Daten auf eine kommagetrennte Liste der Mandanten-IDs fest, die der Computer zulassen soll. Mandanten werden durch ihre TenantID identifiziert, bei der es sich um eine GUID handelt. Die Ergebnisse sollten wie in den folgenden Screenshots angezeigt werden.
Registrierungsmandanteneinstellungen für das lokale Datengateway
Wenn Sie das Unternehmensgateway registrieren, wird der für die Registrierung verwendete Mandant in \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\On-premises data gateway\Registration\RegistrationTenant geschrieben.
Wenn Sie das persönliche Gateway registrieren, wird der zum Registrieren verwendete Mandant in \HKEY_CURRENT_USER\SOFTWARE\Microsoft\On-premises data gateway (personal mode)\Registration\RegistrationTenant geschrieben.
Fehler im Zusammenhang mit der Verwendung eines Mandanten, der nicht in der Zulassungsliste enthalten ist
Wenn der Registrierungsschlüssel so festgelegt ist, dass zulässige Mandanten beschränkt werden, und ein Benutzer versucht, das Gateway mit Anmeldeinformationen von einem nicht spezifisch zugelassenen Mandanten zu registrieren, generiert diese Aktion einen Fehler, und das Gateway kann nicht registriert oder gestartet werden.
In diesem Fall wird ein Fehler in die Gatewayprotokolle geschrieben, der [DM.GatewayServiceHost] Not starting transfer service because 'onmicrosoft.com' is not in tenant allow list angibt. Der Benutzer erhält eine You cannot login with this email address. Please contact your tenant administrator for help with allowed registration tenants. Diese Meldung gibt an, dass der Benutzer versucht hat, sich mit einem Mandanten zu registrieren oder anzumelden, der nicht in der Zulassungsliste der Mandantenregistrierung enthalten ist.
