Indgående og udgående begrænsninger på tværs af lejere
Microsoft Power Platform har et rigt økosystem af connectorer, der er baseret på Microsoft Entra, som giver autoriserede brugere af Microsoft Entra mulighed for at udvikle fængslende apps og flows, som opretter forbindelser til de forretningsdata, der er tilgængelige via disse datalagre. Isolationen af lejere gør det nemt for administratorer at sikre, at disse connectorer kan udnyttes på en sikker måde i lejeren, samtidig med at risikoen for dataudtrækning uden for lejeren minimeres. Lejerisolation giver administratorer mulighed Power Platform for effektivt at styre flytningen af lejerdata fra Microsoft Entra autoriserede datakilder til og fra deres lejer.
Bemærk, at Power Platform-lejerens isolation er forskellig fra lejerbegrænsning i hele Microsoft Entra ID. Det påvirker ikke Microsoft Entra ID-baseret adgang uden for Power Platform. Power Platform-lejerisolation fungerer kun for forbindelser, der bruger Microsoft Entra ID-baseret godkendelse som f.eks. Office 365 Outlook eller SharePoint.
Advarsel!
Det er et kendt problem med Azure DevOps-connector, der medfører, at lejers isolationspolitik ikke gennemtvinges for forbindelser, der er oprettet ved hjælp af denne forbindelse. Hvis angreb af insiderviden er et angreb, anbefales det at begrænse brugen af forbindelsen eller dens handlinger ved hjælp af datapolitikker.
Standardkonfigurationen i Power Platform med lejerisolation Fra er at tillade problemfri oprettelse af forbindelser på tværs af lejere, hvis brugeren fra lejer A, der etablerer forbindelsen til lejer B, præsenterer de relevante Microsoft Entra-legitimationsoplysninger. Hvis administratorer kun vil give udvalgte lejere tilladelse til at etablere forbindelser til eller fra deres lejer, kan de slå lejerisolation Til.
Hvis lejerisolation er Til, er alle lejere begrænset. Indgående (forbindelser til lejeren fra eksterne lejere) og udgående (forbindelser fra lejeren til eksterne lejere) på tværs af lejerforbindelser af Power Platform, selvom brugeren præsenterer gyldige legitimationsoplysninger for den Microsoft Entra-sikrede datakilde. Du kan bruge regler til at tilføje undtagelser.
Administratorer kan angive en eksplicit liste over lejere, de vil aktivere indgående, udgående eller begge dele, hvilket vil springe lejerisolationskontrol over, når de konfigureres. Administratorer kan bruge et specielt mønster "*" til at tillade alle lejere i en bestemt retning, når isolationen af lejere er slået til. Alle andre forbindelser på tværs af lejere, undtagen dem på listen over tilladte, afvises af Power Platform.
Lejerisolation kan konfigureres i Power Platform Administration. Det påvirker Power Platform-lærredapps og Power Automate-flows. Hvis du vil konfigurere isolation af lejere, skal du være lejeradministrator.
Power Platform-funktionen til lejerisolation er tilgængelig med to muligheder: envejs- eller tovejsbegrænsning.
Om scenarier og påvirkning af isolation for lejer
Før du begynder at konfigurere lejerens isolationsbegrænsninger, skal du gennemgå følgende liste for at få en forståelse af scenarierne og påvirkningen af lejers isolation.
- Administrator ønsker at slå lejerens isolation til.
- Administrator er bekymret for, om eksisterende apps og strømme, der bruger forbindelser på tværs af lejere, holder op med at fungere.
- Administratoren beslutter at aktivere lejerens isolation og tilføje undtagelsesregler for at eliminere påvirkningen.
- Administrator kører isolationsrapporterne på tværs af lejere for at fastslå, hvilke lejere der skal være undtaget. Flere oplysninger: Selvstudium: Oprettelse af isolerede rapporter på tværs af lejere (forhåndsversion)
Tovejslejerisolation af lejere (begrænsning af indgående og udgående forbindelser)
Tovejslejerisolation af lejere blokerer forsøg på at etablere forbindelser til din lejer fra andre lejere. Tovejslejerisolation vil også blokere for forsøg på at etablere forbindelse fra din lejer til andre lejere.
I dette scenario har lejeradministratoren aktiveret tovejsisolation af lejere på Contoso-lejeren, mens den eksterne Fabrikam-lejer ikke er blevet føjet til listen over tilladte.
Brugere, der er logget på Power Platform i Contoso-lejeren , kan ikke oprette udgående Microsoft Entra ID-baserede forbindelser til datakilder i Fabrikam-lejeren, selvom de har fået de nødvendige Microsoft Entra-legitimationsoplysninger til at etablere forbindelsen. Dette er udgående lejerisolation for Contoso-lejeren.
Ligeledes kan brugere, der er logget på Power Platform i Fabrikam-lejeren, kan stadig ikke oprette indgående Microsoft Entra ID-baserede forbindelser til datakilder i Contoso-lejeren, selvom de har fået de nødvendige Microsoft Entra ID-legitimationsoplysninger til at etablere forbindelsen. Dette er indgående lejerisolation for Contoso-lejeren.
| Forbindelsesopretter-lejer | Forbindelseslogon-lejer | Adgang tilladt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (lejerisolation Til) | Fabrikam | Nej (udgående) |
| Fabrikam | Contoso (lejerisolation Til) | Nej (indgående) |
| Fabrikam | Fabrikam | Ja |
Bemærk
Et forbindelsesforsøg, der er startet af en bruger af værtsgruppen og målretter mod datakilder i samme værtsprofil, evalueres ikke af lejerens isolationsregler.
Lejerisolation med liste over tilladte
Envejslejerisolation eller indgående isolation vil blokere for forsøg på at etablere forbindelse til din lejer fra andre lejere.
Scenario: Udgående liste over tilladte – Fabrikam føjes til Contoso-lejerens udgående liste over tilladte
I dette scenario tilføjer administratoren Fabrikam-lejeren på den udgående liste over tilladte, mens lejerisolation er slået Til.
Brugere, der er logget på Power Platform i Contoso-lejeren , kan oprette udgående Microsoft Entra ID-baserede forbindelser til datakilder i Fabrikam-lejeren, hvis de fremviser de nødvendige Microsoft Entra-legitimationsoplysninger til at etablere forbindelsen. Udgående forbindelse til Fabrikam-lejeren tillades ved hjælp af den konfigurerede liste over tilladte.
Men brugere, der er logget på Power Platform i Fabrikam-lejeren, kan stadig ikke oprette indgående Microsoft Entra ID-baserede forbindelser til datakilder i Contoso-lejeren, selvom de har fået de nødvendige Microsoft Entra-legitimationsoplysninger til at etablere forbindelsen. Indgående forbindelse fra Fabrikam-lejeren kan stadig ikke tillades, selvom posten på listen over tilladte er konfigureret og tillader udgående forbindelser.
| Forbindelsesopretter-lejer | Forbindelseslogon-lejer | Adgang tilladt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (lejerisolation Til) Fabrikam er føjet til udgående liste over tilladte |
Fabrikam | Ja |
| Fabrikam | Contoso (lejerisolation Til) Fabrikam er føjet til udgående liste over tilladte |
Nej (indgående) |
| Fabrikam | Fabrikam | Ja |
Scenario: Tovejsliste over tilladte – Fabrikam føjes til Contoso-lejerens indgående og udgående liste over tilladte
I dette scenario tilføjer administratoren Fabrikam-lejeren på både den indgående og udgående liste over tilladte, mens lejerisolation er slået Til.
| Forbindelsesopretter-lejer | Forbindelseslogon-lejer | Adgang tilladt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (lejerisolation Til) Fabrikam er føjet til begge lister over tilladte |
Fabrikam | Ja |
| Fabrikam | Contoso (lejerisolation Til) Fabrikam er føjet til begge lister over tilladte |
Ja |
| Fabrikam | Fabrikam | Ja |
Aktivere lejerisolation og konfigurere liste over tilladte
I Power Platform-administrationen angives isolationen af lejere med Politikker>Lejerisolation.
Bemærk
Du skal have en Power Platform administrator-rolle for at se og angive politikken for lejerisolering.
Lejerisolationens liste over tilladte kan konfigureres ved hjælp af en Ny lejerregel på siden Lejerisolation. Hvis lejerisolation er slået Fra, kan du tilføje eller redigere reglerne på listen. Disse regler håndhæves dog først, når du har slået lejerisolation Til.
Vælg retningen for posten med liste over tilladte på rullelisten Ny lejerregelretning.
Du kan også angive værdien for den tilladte lejer som enten lejerdomæne eller lejer-id. Når posten er gemt, føjes den til regellisten sammen med andre tilladte lejere. Hvis du bruger lejerdomænet til at tilføje posten på liste over tilladte, vil Power Platform Administration automatisk beregne lejer-id'et.
Når posten vises på listen, vises felterne Lejer-id og Microsoft Entra-lejernavn. Bemærk, at i Microsoft Entra er lejernavnet et andet end lejerdomænet. Lejernavnet er entydigt for lejeren, men en lejer kan have mere end ét domænenavn.
Du kan bruge "*" som specialtegn til at angive, at alle lejere er tilladt i den angivne retning, når lejerisolation er slået Til.
Du kan redigere retningen for lejerens liste over tilladte baseret på forretningskrav. Bemærk, at feltet Lejerdomæne eller -id ikke kan redigeres på siden Rediger lejerregel.
Du kan udføre alle handlinger på en liste over tilladte, f.eks. tilføj, rediger og slet, mens lejerisolation er slået Til eller Fra. Poster på liste over tilladte påvirker forbindelsesfunktionsmåden, når lejerisolation slås Fra, da alle forbindelser på tværs af lejere er tilladt.
Designtidspunktets indvirkning på apps og flows
Brugere, der opretter eller redigerer en ressource, der er påvirket af lejerisolationspolitik, kan se en relateret fejlmeddelelse. F.eks. kan Power Apps-udviklere se følgende fejl, når de bruger forbindelser på tværs af lejere i en app, der er blokeret af isolationspolitikker for lejere. Appen tilføjer ikke forbindelsen.
Ligeledes kan Power Automate-udviklere se følgende fejl, når de forsøger at gemme et flow, der bruger forbindelser i et flow, der er blokeret af isolationspolitikker for lejere. Selve flowet gemmes, men det markeres som "Suspenderet" og køres ikke, medmindre udvikleren løser problemet med overtrædelse af DLP-politik (forebyggelse af datatab).
Kørselstidspunktets indvirkning på apps og flow
Som administrator kan du når som helst vælge at ændre lejerisolationspolitikker for din lejer. Hvis apps og flows blev oprettet og udført i overensstemmelse med tidligere politikker for isolation af lejere, kan nogle af dem blive påvirket negativt af eventuelle politikændringer, du foretager. Apps eller flows, der er i strid med lejerens isolationspolitik, kan ikke køres korrekt. Det kan f.eks. være en kørselshistorik i Power Automate, der angiver, at flowkørslen er mislykket. Hvis du vælger den mislykkede kørsel, vises der desuden detaljer om fejlen.
I forbindelse med eksisterende flows, der ikke kører korrekt på grund af den seneste isolationspolitik for lejere, kan du køre en historik i Power Automate, der angiver, at flowkørslen mislykkedes.
Hvis du vælger den mislykkede kørsel, vises der detaljer om kørsel af flow.
Bemærk
Det tager ca. en time, før de seneste ændringer af lejerisolationspolitik vurderes i forhold til aktive apps og flows. Denne ændring sker ikke øjeblikkeligt.
Kendte problemer
Azure DevOps connector bruger Microsoft Entra godkendelse som identitetsudbyder, men bruger sit eget OAuth flow og STS til godkendelse og udstedelse af et token. Da tokenet, der returneres fra ADO-flowet baseret på denne Connectors konfiguration, ikke er fra Microsoft Entra ID, håndhæves lejerisoleringspolitikken ikke. Som en afhjælpning anbefaler vi, at du bruger andre typer datapolitikker til at begrænse brugen af connectoren eller dens handlinger.