Restriccions entrants i sortints entre inquilins
El Microsoft Power Platform té un ric ecosistema de connectors basats en l'Azure Active Directory (Azure AD) que permeten als usuaris de l'Azure AD autoritzats crear aplicacions i fluxos convincents que estableixin connexions amb les dades comercials disponibles a través d'aquests magatzems de dades. L'aïllament de l'inquilí permet als administradors garantir que aquests connectors puguin aprofitar-se de manera segura dins de l'inquilí i, al mateix temps, minimitzar el risc de filtració de dades fora de l'inquilí. L'aïllament dels inquilins permet als administradors i administradors globals governar eficaçment el moviment de dades dels inquilins des de Power Platform fonts de dades autoritzades cap i Azure AD des del seu inquilí.
Tingueu en compte que l'aïllament de l'inquilí del Power Platform és diferent de la restricció d'inquilins a l'Azure AD. No influeix en l'accés basat en l'Azure AD fora del Power Platform. L'aïllament de l'inquilí del Power Platform només funciona per a connectors que utilitzen l'autenticació basada en l'Azure AD, com ara l'Office 365 Outlook o el SharePoint.
Advertiment
Hi ha un problema conegut amb el connector de l'Azure DevOps que fa que la política d'aïllament de l'inquilí no s'apliqui per a les connexions establertes mitjançant aquest connector. Si un vector d'atac privilegiat és una preocupació, es recomana limitar l'ús del connector o les seves accions mitjançant polítiques de dades.
La configuració per defecte del Power Platform amb l'aïllament de l'inquilí Desactivat és permetre que les connexions entre inquilins s'estableixin sense problemes, si l'usuari de l'inquilí A que estableix la connexió amb l'inquilí B presenta les credencials de l'Azure AD adequades. Si els administradors volen permetre que només un conjunt selecte d'inquilins estableixi connexions entre el seu inquilí, poden Activar l'aïllament de l'inquilí.
Amb l'aïllament de l'inquilí Activat, tots els inquilins estan restringits. Les connexions entre inquilins entrants (connexions a l'inquilí des d'inquilins externs) i sortints (connexions de l'inquilí a inquilins externs) estan bloquejades pel Power Platform fins i tot si l'usuari presenta credencials vàlides a la font de dades protegit per Azure AD. Podeu utilitzar regles per afegir excepcions.
Els administradors poden especificar una llista d'elements permesos explícita d'inquilins que vulguin habilitar entrant, sortint o ambdós, que ometran els controls d'aïllament de l'inquilí quan es configurin. Els administradors poden utilitzar un patró especial "*" per permetre tots els inquilins en una direcció específica quan l'aïllament de l'inquilí estigui activat. El Power Platform rebutja la resta de connexions entre inquilins, tret de les de la llista de permesos.
L'aïllament de l'inquilí es pot configurar al Centre d'administració del Power Platform. Afecta les aplicacions de llenç del Power Platform i els fluxos del Power Automate. Per configurar l'aïllament de l'inquilí, heu de ser administrador d'inquilins.
La capacitat d'aïllament de l'inquilí del Power Platform està disponible amb dues opcions: restricció unidireccional o bidireccional.
Comprendre els escenaris d'aïllament i impacte dels inquilins
Abans de començar a configurar les restriccions d'aïllament dels inquilins, reviseu la llista següent per entendre els escenaris i l'impacte de l'aïllament dels inquilins.
- L'administrador vol activar l'aïllament dels inquilins.
- A l'administrador li preocupa que les aplicacions i els fluxos existents que utilitzen connexions entre inquilins deixin de funcionar.
- L'administrador decideix habilitar l'aïllament dels inquilins i afegir regles d'excepció per eliminar l'impacte.
- L'administrador executa els informes d'aïllament entre inquilins per determinar els inquilins que han d'estar exempts. Més informació:Tutorial: Crear informes d'aïllament entre inquilins (visualització prèvia)
Aïllament de l'inquilí bidireccional (restricció de connexió d'entrada i sortida)
A més, l'aïllament de l'inquilí bidireccional també bloquejarà els intents d'establiment de connexió amb el vostre inquilí per part d'altres inquilins. A més, l'aïllament de l'inquilí bidireccional també bloquejarà els intents d'establiment de connexió des del vostre inquilí a altres inquilins.
En aquest escenari, l'administrador d'inquilins ha habilitat l'aïllament de l'inquilí bidireccional a l'inquilí de Contoso, mentre que l'inquilí extern de Fabrikam no s'ha afegit a la llista de permesos.
Els usuaris que han iniciat sessió al Power Platform a l'inquilí de Contoso no poden establir connexions sortints basades en l'Azure AD amb fonts de dades a l'inquilí de Fabrikam tot i presentar les credencials de l'Azure AD adequades per establir la connexió. Aquest és un aïllament de l'inquilí sortint per a l'inquilí de Contoso.
De manera similar, els usuaris que han iniciat sessió al Power Platform a l'inquilí de Fabrikam no poden establir connexions entrants basades en l'Azure AD amb fonts de dades a l'inquilí de Contoso tot i presentar les credencials de l'Azure AD adequades per establir la connexió. Aquest és un aïllament de l'inquilí entrant per a l'inquilí de Contoso.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) | Fabrikam | No (sortida) |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) | No (entrada) |
| Fabrikam | Fabrikam | Sí |
Nota
Un intent de connexió iniciat per un usuari convidat des del seu inquilí amfitrió que s'orienta a fonts de dades dins del mateix inquilí amfitrió no s'avalua per les normes d'aïllament de l'inquilí.
Aïllament de l'inquilí amb llistes de permesos
L'aïllament de l'inquilí unidireccional o aïllament d'entrada bloquejarà els intents d'establiment de connexió amb el vostre inquilí des d'altres inquilins.
Escenari: llista de permesos sortints: Fabrikam s'afegeix a la llista de permesos sortints de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam a la llista de permesos sortints mentre l'aïllament de l'inquilí estigui Activat.
Els usuaris que han iniciat sessió al Power Platform a l'inquilí de Contoso poden establir connexions sortints basades en l'Azure AD amb fonts de dades a l'inquilí de Fabrikam si presenten les credencials de l'Azure AD adequades per establir la connexió. L'establiment de la connexió sortint a l'inquilí de Fabrikam està permès en virtut de l'entrada configurada a la llista de permesos.
Tanmateix, els usuaris que han iniciat sessió al Power Platform a l'inquilí de Fabrikam encara no poden establir connexions entrants basades en l'Azure AD amb fonts de dades a l'inquilí de Contoso tot i presentar les credencials de l'Azure AD adequades per establir la connexió. L'establiment de connexions entrants des de l'inquilí de Fabrikam encara no està permès, fins i tot si l'entrada de la llista de permesos està configurada i permet les connexions sortints.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a la llista de permesos sortints |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a la llista de permesos sortints |
No (entrada) |
| Fabrikam | Fabrikam | Sí |
Escenari: llista de permesos bidireccional: Fabrikam s'afegeix a la llista de permesos entrants i sortints de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam tant a la llista de permesos entrants com sortints mentre l'aïllament de l'inquilí estigui Activat.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a ambdues llistes de permesos |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a ambdues llistes de permesos |
Sí |
| Fabrikam | Fabrikam | Sí |
Habilitar l'aïllament de l'inquilí i configurar la llista de permesos
Al Centre d'administració del Power Platform, l'aïllament de l'inquilí s'estableix en Normes>Aïllament de l'inquilí.
Nota
Heu de tenir una funció d'administrador global o una funció d'administrador per veure i definir la norma d'aïllament Power Platform dels inquilins.
La llista de permesos d'aïllament de l'inquilí es pot configurar mitjançant Norma d'inquilins nova a la pàgina Aïllament de l'inquilí. Si l'aïllament de l'inquilí està Desactivat, podeu afegir o editar les normes a la llista. Tanmateix, aquestes regles no s'aplicaran fins que activeu l'aïllament de l'inquilí.
Des de la llista desplegable Direcció de norma de nou inquilí, trieu la direcció de l'entrada de la llista de permesos.
També podeu introduir el valor de l'inquilí permès com a domini d'inquilí o ID d'inquilí. Un cop desada, l'entrada s'afegirà a la llista de normes juntament amb altres inquilins permesos. Si utilitzeu el domini d'inquilí per afegir l'entrada de la llista de permesos, el Centre d'administració del Power Platform calcula automàticament l'ID de l'inquilí.
Quan l'entrada apareix a la llista, es mostren els camps ID d'inquilí i Nom de l'inquilí de l'Azure AD. Tingueu en compte que el nom de l'inquilí de l'Azure AD és diferent del domini de l'inquilí. El nom de l'inquilí és únic per a l'inquilí, però un inquilí pot tenir més d'un nom de domini.
Podeu utilitzar "*" com a caràcter especial per indicar que tots els inquilins poden anar en la direcció designada quan s'activa l'aïllament de l'inquilí.
Podeu editar la direcció de l'entrada de la llista de permesos d'inquilins segons els requisits empresarials. Tingueu en compte que el camp Domini o ID d'inquilí no es pot editar a la pàgina Edita la regla de l'inquilí.
Podeu dur a terme totes les operacions de llista de permesos, com ara afegir, editar i suprimir mentre s'activa o es desactiva l'aïllament de l'inquilí. Les entrades de la llista de permesos tenen un efecte sobre el comportament de la connexió quan es desactiva l'aïllament de l'inquilí, ja que totes les connexions entre inquilins estan permeses.
Impacte en temps de disseny a aplicacions i fluxos
Els usuaris que creen o editen un recurs afectats per la norma d'aïllament de l'inquilí veuran un missatge d'error relacionat. Per exemple, els creadors del Power Apps veuran el següent error quan utilitzin connexions entre inquilins en una aplicació que està bloquejada per les normes d'aïllament de l'inquilí. L'aplicació no afegirà la connexió.
De la mateixa manera, els creadors del Power Automate veuran l'error següent quan provin de desar un flux que utilitza connexions en un flux que està bloquejat per les normes d'aïllament de l'inquilí. El flux es desarà, però es marcarà com a "Suspès" i no s'executarà a menys que el creador resolgui la infracció de la norma de prevenció de pèrdua de dades (DLP).
Incidència al temps d'execució d'aplicacions i fluxos
Com a administrador, podeu decidir si voleu modificar les normes d'aïllament de l'inquilí per a l'inquilí o per a entorns específics en qualsevol moment. Si les aplicacions i els fluxos s'han creat i executat d'acord amb normes d'aïllament de l'inquilí anteriors, pot ser que algunes es vegin afectades negativament pels canvis de normes que feu. Les aplicacions o els fluxos que infringeixin la norma d'aïllament de l'inquilí no s'executaran correctament. Per exemple, l'historial d'execucions al Power Automate indica que l'execució de flux ha fallat. A més, si seleccioneu l'execució amb errors, es mostraran els detalls de l'error.
Per als fluxos existents que no s'executen correctament a causa de la norma d'aïllament de l'inquilí, l'historial d'execucions del Power Automate indica que l'execució del flux ha fallat.
Si seleccioneu l'execució amb errors, es mostraran els detalls de l'execució de flux que ha fallat.
Nota
Els últims canvis a la norma d'aïllament de l'inquilí triguen aproximadament una hora a avaluar-se a les aplicacions i els fluxos actius. Aquest canvi no és instantani.
Problemes coneguts
El connector de l'Azure DevOps utilitza l'autenticació de l'Azure AD com a proveïdor d'identitats, però utilitza el seu propi flux d'OAuth i STS per autoritzar i emetre un testimoni. Atès que el testimoni retornat del flux d'ADO basat en la configuració del connector no és de l'Azure AD, no s'aplica la norma d'aïllament de l'inquilí. Com a mitigació, es recomana utilitzar altres tipus de normes de dades per limitar l'ús del connector o de les seves accions.