管理允许注册本地数据网关的租户

可以使用新租户限制设置来控制允许哪些租户注册本地数据网关应用。 例如,组织可以选择只允许组织内的租户,以防止数据外泄。 默认情况下,对租户没有限制。

重要

尽管这些步骤是可供采取的良好安全措施,但它不能保证全面的数据外泄保护。

定义允许租户的列表后,请使用以下步骤将其添加到个人和企业网关版本的注册表中。

限制企业和个人本地数据网关

  1. 查找租户 ID.

  2. 通过 Windows 开始菜单 (regedit.exe) 运行注册表编辑器。

  3. 导航到 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  4. 按住(或右键单击)Microsoft 文件夹,然后选择“新建”>“密钥”。 为企业网关创建名为“本地数据网关”的密钥,或为个人网关创建名为“本地数据网关(个人模式)”的密钥。

  5. 按住(或右键单击)刚刚创建的“本地数据网关”文件夹,然后再次选择“新建”>“密钥”。 将此密钥命名为“注册”。

  6. 按住(或右键单击)右侧的窗口,然后选择“新建”>“字符串值”。 将值命名为 AllowedRegistrationTenants(确保它是复数,并且拼写全部正确)。 按住(或右键单击)AllowedRegistrationTenants 值,然后选择“修改”。 将其数据设置为计算机应允许的租户 ID 列表(以逗号分隔)。 租户由其 TenantID 标识,TenantID 是 GUID。 结果应显示在以下屏幕截图中。

    Screenshot of the registry editor with required keys added for the enterprise gateway.

    Screenshot of the registry editor with required keys added for the personal gateway.

本地数据网关注册租户设置

注册企业网关时,用于注册的租户会写入 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\On-premises data gateway\Registration\RegistrationTenant

注册个人网关时,用于注册的租户会写入 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\On-premises data gateway (personal mode)\Registration\RegistrationTenant

Screenshot of the registry editor with key of tenant used to register the gateway.

错误,与使用不在允许列表中的租户相关联

如果将注册表项设置为限制允许的租户,并且用户尝试使用未获特别允许租户的凭据注册网关,则此操作将生成错误,并且网关无法注册或启动。

在这种情况下,会在网关日志中写入错误,说明 [DM.GatewayServiceHost] Not starting transfer service because 'onmicrosoft.com' is not in tenant allow list。 用户收到 You cannot login with this email address. Please contact your tenant administrator for help with allowed registration tenants. 此消息表示用户试图使用不在租户注册允许列表中的租户进行注册或登录。

Screenshot of the error shown when using a tenant not in the registry to register the gateway.