可以使用新的租户限制设置来控制允许哪些租户注册本地数据网关应用程序。 例如,组织可以选择只允许组织内的租户防止数据外泄。 默认情况下,租户没有限制。
重要
虽然这些步骤是一个很好的安全措施,但它不能保证完全保护数据不被泄露。
定义允许的租户列表后,使用以下步骤将其添加到个人和企业网关版本的注册表。
限制企业和个人本地数据网关
通过 Windows 开始菜单(regedit.exe)运行注册表编辑器。
导航到 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft。
选择并按住Microsoft文件夹并选择“ 新建>密钥”。 为企业网关创建名为“本地数据网关”的密钥,或为个人网关创建本地数据网关(个人模式)。
选择并按住刚刚创建的“本地数据网关”文件夹,然后再次选择 “新建>密钥 ”。 将此密钥命名 为注册。
在右侧的窗口中选择并按住(或右键单击),然后选择“ 新建>字符串值”。 将值 命名为 AllowedRegistrationTenants (确保其复数且拼写正确)。 在 AllowedRegistrationTenants 值上选择并按住(或右键单击),接着选择修改。 将其数据设置为机器应允许的租户ID的逗号分隔列表。 通过租户 ID(GUID)标识租户。 结果应如以下屏幕截图所示。
本地数据网关注册租户设置
注册企业网关时,用于注册的租户信息会被写入 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\On-premises 数据网关\Registration\RegistrationTenant。
当您注册个人网关时,用于注册的租户信息将被写入 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\On-premises 数据网关(个人模式)\Registration\RegistrationTenant。
与在允许列表中未使用租户关联的错误
如果注册表项设置为限制允许的租户,并且用户尝试使用来自未明确允许的租户的凭据注册网关,此操作会产生错误,导致网关无法完成注册或启动。
在这种情况下,错误将写入网关日志,指出 [DM.GatewayServiceHost] Not starting transfer service because 'onmicrosoft.com' is not in tenant allow list。 用户收到此 You cannot login with this email address. Please contact your tenant administrator for help with allowed registration tenants. 消息表示用户尝试使用不在租户注册允许列表中的租户注册或登录。
