Restriccions entrants i sortints entre inquilins
Microsoft Power Platform té un ric ecosistema de connectors basats en Microsoft Entra els quals permeten als usuaris autoritzats Microsoft Entra crear aplicacions i fluxos convincents establint connexions amb les dades empresarials disponibles a través d'aquests magatzems de dades. L'aïllament de l'inquilí permet als administradors garantir que aquests connectors puguin aprofitar-se de manera segura dins de l'inquilí i, al mateix temps, minimitzar el risc de filtració de dades fora de l'inquilí. L'aïllament de l'inquilí permet Power Platform als administradors controlar eficaçment el moviment de dades de l'inquilí des de Microsoft Entra fonts de dades autoritzades cap al seu llogater.
Tingueu en compte que Power Platform l'aïllament de l'inquilí és diferent de la restricció de Microsoft Entra l'inquilí a tot l'ID. No afecta Microsoft Entra l'accés basat en identificació fora de Power Platform. Power Platform L'aïllament de l'inquilí només funciona per als connectors que utilitzen Microsoft Entra Autenticació basada en ID, com ara Office 365 Outlook o SharePoint.
Advertiment
Hi ha un problema conegut amb el connector de l'Azure DevOps que fa que la política d'aïllament de l'inquilí no s'apliqui per a les connexions establertes mitjançant aquest connector. Si un vector d'atac intern és un problema, es recomana limitar l'ús del connector o les seves accions mitjançant polítiques de dades.
La configuració predeterminada amb Power Platform l'aïllament de l'inquilí desactivat és permetre que les connexions entre inquilins s'estableixin sense problemes, si l'usuari de l'inquilí A que estableix la connexió amb l'inquilí B presenta les credencials adequades Microsoft Entra . Si els administradors volen permetre que només un conjunt selecte d'inquilins estableixi connexions entre el seu inquilí, poden Activar l'aïllament de l'inquilí.
Amb l'aïllament de l'inquilí Activat, tots els inquilins estan restringits. Les connexions entrants (connexions a l'inquilí des d'inquilins externs) i sortints (connexions de l'inquilí a inquilins externs) es bloquegen fins Power Platform i tot si l'usuari presenta credencials vàlides a la Microsoft Entra font de dades segura. Podeu utilitzar regles per afegir excepcions.
Els administradors poden especificar una llista d'elements permesos explícita d'inquilins que vulguin habilitar entrant, sortint o ambdós, que ometran els controls d'aïllament de l'inquilí quan es configurin. Els administradors poden utilitzar un patró especial "*" per permetre tots els inquilins en una direcció específica quan l'aïllament de l'inquilí estigui activat. El Power Platform rebutja la resta de connexions entre inquilins, tret de les de la llista de permesos.
L'aïllament de l'inquilí es pot configurar al Centre d'administració del Power Platform. Afecta les aplicacions de llenç del Power Platform i els fluxos del Power Automate. Per configurar l'aïllament de l'inquilí, heu de ser administrador d'inquilins.
La capacitat d'aïllament de l'inquilí del Power Platform està disponible amb dues opcions: restricció unidireccional o bidireccional.
Entendre els escenaris i l'impacte de l'aïllament de l'inquilí
Abans de començar a configurar les restriccions d'aïllament de l'inquilí, reviseu la llista següent per entendre els escenaris i l'impacte de l'aïllament de l'inquilí.
- L'administrador vol activar l'aïllament de l'inquilí.
- A l'administrador li preocupa que les aplicacions i els fluxos existents que utilitzen connexions entre inquilins deixin de funcionar.
- L'administrador decideix habilitar l'aïllament de l'inquilí i afegir regles d'excepció per eliminar l'impacte.
- L'administrador executa els informes d'aïllament entre inquilins per determinar els inquilins que han d'estar exempts. Més informació: Tutorial: Crear informes d'aïllament de l'inquilí (versió preliminar)
Aïllament de l'inquilí bidireccional (restricció de connexió d'entrada i sortida)
A més, l'aïllament de l'inquilí bidireccional també bloquejarà els intents d'establiment de connexió amb el vostre inquilí per part d'altres inquilins. A més, l'aïllament de l'inquilí bidireccional també bloquejarà els intents d'establiment de connexió des del vostre inquilí a altres inquilins.
En aquest escenari, l'administrador d'inquilins ha habilitat l'aïllament de l'inquilí bidireccional a l'inquilí de Contoso, mentre que l'inquilí extern de Fabrikam no s'ha afegit a la llista de permesos.
Els usuaris que hagin iniciat Power Platform la sessió a l'inquilí de Contoso no poden establir connexions basades en ID de Microsoft Entra sortida a fonts de dades a l'inquilí de Fabrikam tot i presentar les credencials adequades Microsoft Entra per establir la connexió. Aquest és un aïllament de l'inquilí sortint per a l'inquilí de Contoso.
De la mateixa manera, els usuaris que hagin iniciat Power Platform sessió a l'inquilí de Fabrikam no poden establir connexions basades en ID d'entrada Microsoft Entra a les fonts de dades de l'inquilí de Contoso tot i presentar les credencials adequades Microsoft Entra per establir la connexió. Aquest és un aïllament de l'inquilí entrant per a l'inquilí de Contoso.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) | Fabrikam | No (sortida) |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) | No (entrada) |
| Fabrikam | Fabrikam | Sí |
Nota
Un intent de connexió iniciat per un usuari convidat des del seu inquilí d'amfitrió orientat a fonts de dades dins del mateix inquilí d'amfitrió no s'avalua mitjançant les regles d'aïllament de l'inquilí.
Aïllament de l'inquilí amb llistes de permesos
L'aïllament de l'inquilí unidireccional o aïllament d'entrada bloquejarà els intents d'establiment de connexió amb el vostre inquilí des d'altres inquilins.
Escenari: llista de permesos sortints: Fabrikam s'afegeix a la llista de permesos sortints de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam a la llista de permesos sortints mentre l'aïllament de l'inquilí estigui Activat.
Els usuaris que hagin iniciat Power Platform sessió a l'inquilí de Contoso poden establir connexions basades en ID de sortida Microsoft Entra a fonts de dades de l'inquilí de Fabrikam si presenten les credencials adequades Microsoft Entra per establir la connexió. L'establiment de la connexió sortint a l'inquilí de Fabrikam està permès en virtut de l'entrada configurada a la llista de permesos.
Tanmateix, els usuaris que han iniciat Power Platform la sessió a l'inquilí de Fabrikam encara no poden establir connexions basades en ID d'entrada Microsoft Entra a les fonts de dades de l'inquilí de Contoso tot i presentar les credencials adequades Microsoft Entra per establir la connexió. L'establiment de connexions entrants des de l'inquilí de Fabrikam encara no està permès, fins i tot si l'entrada de la llista de permesos està configurada i permet les connexions sortints.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a la llista de permesos sortints |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a la llista de permesos sortints |
No (entrada) |
| Fabrikam | Fabrikam | Sí |
Escenari: llista de permesos bidireccional: Fabrikam s'afegeix a la llista de permesos entrants i sortints de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam tant a la llista de permesos entrants com sortints mentre l'aïllament de l'inquilí estigui Activat.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a ambdues llistes de permesos |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam s'ha afegit a ambdues llistes de permesos |
Sí |
| Fabrikam | Fabrikam | Sí |
Habilitar l'aïllament de l'inquilí i configurar la llista de permesos
Al Centre d'administració del Power Platform, l'aïllament de l'inquilí s'estableix en Normes>Aïllament de l'inquilí.
Nota
Heu de tenir una Power Platform funció d'administrador per veure i definir la norma d'aïllament de l'inquilí.
La llista de permesos d'aïllament de l'inquilí es pot configurar mitjançant Norma d'inquilins nova a la pàgina Aïllament de l'inquilí. Si l'aïllament de l'inquilí està Desactivat, podeu afegir o editar les normes a la llista. Tanmateix, aquestes regles no s'aplicaran fins que activeu l'aïllament de l'inquilí.
Des de la llista desplegable Direcció de norma de nou inquilí, trieu la direcció de l'entrada de la llista de permesos.
També podeu introduir el valor de l'inquilí permès com a domini d'inquilí o ID d'inquilí. Un cop desada, l'entrada s'afegirà a la llista de normes juntament amb altres inquilins permesos. Si utilitzeu el domini d'inquilí per afegir l'entrada de la llista de permesos, el Centre d'administració del Power Platform calcula automàticament l'ID de l'inquilí.
Un cop l'entrada apareix a la llista, es mostren els camps ID d'inquilí i Microsoft Entra nom de l'inquilí . Tingueu en compte que a Microsoft Entra l'ID, el nom de l'inquilí és diferent del domini de l'inquilí. El nom de l'inquilí és únic per a l'inquilí, però un inquilí pot tenir més d'un nom de domini.
Podeu utilitzar "*" com a caràcter especial per indicar que tots els inquilins poden anar en la direcció designada quan s'activa l'aïllament de l'inquilí.
Podeu editar la direcció de l'entrada de la llista de permesos d'inquilins segons els requisits empresarials. Tingueu en compte que el camp Domini o ID d'inquilí no es pot editar a la pàgina Edita la regla de l'inquilí.
Podeu dur a terme totes les operacions de llista de permesos, com ara afegir, editar i suprimir mentre s'activa o es desactiva l'aïllament de l'inquilí. Les entrades de la llista de permesos tenen un efecte sobre el comportament de la connexió quan es desactiva l'aïllament de l'inquilí, ja que totes les connexions entre inquilins estan permeses.
Impacte en temps de disseny a aplicacions i fluxos
Els usuaris que creen o editen un recurs afectats per la norma d'aïllament de l'inquilí veuran un missatge d'error relacionat. Per exemple, els creadors del Power Apps veuran el següent error quan utilitzin connexions entre inquilins en una aplicació que està bloquejada per les normes d'aïllament de l'inquilí. L'aplicació no afegirà la connexió.
De la mateixa manera, els creadors del Power Automate veuran l'error següent quan provin de desar un flux que utilitza connexions en un flux que està bloquejat per les normes d'aïllament de l'inquilí. El flux es desarà, però es marcarà com a "Suspès" i no s'executarà a menys que el creador resolgui la infracció de la norma de prevenció de pèrdua de dades (DLP).
Incidència al temps d'execució d'aplicacions i fluxos
Com a administrador, podeu decidir si voleu modificar les normes d'aïllament de l'inquilí per a l'inquilí o per a entorns específics en qualsevol moment. Si les aplicacions i els fluxos s'han creat i executat d'acord amb normes d'aïllament de l'inquilí anteriors, pot ser que algunes es vegin afectades negativament pels canvis de normes que feu. Les aplicacions o els fluxos que infringeixin la norma d'aïllament de l'inquilí no s'executaran correctament. Per exemple, l'historial d'execucions al Power Automate indica que l'execució de flux ha fallat. A més, si seleccioneu l'execució amb errors, es mostraran els detalls de l'error.
Per als fluxos existents que no s'executen correctament a causa de la norma d'aïllament de l'inquilí, l'historial d'execucions del Power Automate indica que l'execució del flux ha fallat.
Si seleccioneu l'execució amb errors, es mostraran els detalls de l'execució de flux que ha fallat.
Nota
Els últims canvis a la norma d'aïllament de l'inquilí triguen aproximadament una hora a avaluar-se a les aplicacions i els fluxos actius. Aquest canvi no és instantani.
Problemes coneguts
Azure DevOps El connector utilitza Microsoft Entra l'autenticació com a proveïdor d'identitat, però utilitza el seu propi OAuth flux i STS per autoritzar i emetre un testimoni. Com que el testimoni retornat del flux d'ADO basat en la configuració d'aquest connector no és de l'ID, la norma d'aïllament Microsoft Entra de l'inquilí no s'aplica. Com a mitigació, us recomanem que utilitzeu altres tipus de normes de dades per limitar l'ús del connector o les seves accions.