Beschränkungen für einreisende und ausreisende Fremdmieter
Microsoft Power Platform verfügt über ein reichhaltiges Ökosystem von Connectors, die auf Microsoft Entra basieren, durch die befugte Microsoft Entra-Benutzer die Möglichkeit bekommen, überzeugende Apps und Flows zu erstellen, die Verbindungen zu den Geschäftsdaten herstellen, die über diese Datenspeicher verfügbar sind. Die Mandantenisolation macht es Administratoren leicht, sicherzustellen, dass diese Connectors auf sichere Weise innerhalb des Mandanten genutzt werden können, während das Risiko einer Datenexfiltration außerhalb des Mandanten minimiert wird. Die Mandantenisolation ermöglicht es globalen Administratoren und Power Platform-Administratoren, die Übertragung von Mandantendaten von durch Microsoft Entra autorisierte Datenquellen zu und von ihrem Mandanten effektiv zu steuern.
Beachten Sie, dass sich die Power Platform-Mandantenisolation von Microsoft Entra ID-weiten Mieterbeschränkungen unterscheidet. Der Microsoft Entra ID-basierte Zugriff außerhalb von Power Platform ist nicht betroffen. Die Isolierung von Power Platform Mandant funktioniert nur für Konnektoren mit Microsoft Entra ID-basierter Authentifizierung, wie z.B. Office 365 Outlook oder SharePoint.
Warnung
Das ist ein bekanntes Problem mit Azure DevOps Konnektor. Dies führt dazu, dass die Mandantenisolationsrichtlinie für Verbindungen, die mit diesem Connector hergestellt werden, nicht erzwungen wird. Wenn ein Insider-Angriffsvektor ein Problem darstellt, wird empfohlen, die Verwendung des Connectors oder seiner Aktionen mithilfe von Datenrichtlinien einzuschränken.
Die Standardkonfiguration in Power Platform mit deaktivierter Mandantenisolation soll es ermöglichen, dass mandantenübergreifende Verbindungen nahtlos aufgebaut werden können, wenn der Benutzer von Mandant A, der eine Verbindung mit Mandant B aufbaut, entsprechende Microsoft Entra-Anmeldeinformationen vorlegt. Wenn Administratoren nur einer ausgewählten Gruppe von Mandanten erlauben möchten, Verbindungen zu oder von ihrem Mandanten herzustellen, können sie die Mandantenisolation aktivieren.
Mit Mandantenisolation auf Ein werden alle Mandanten eingeschränkt. Eingehende (Verbindungen zum Mandanten von externen Mandanten) und ausgehende (Verbindungen vom Mandanten zu externen Mandanten) werden mandantenübergreifend von Power Platform blockiert, selbst wenn der Benutzer der Microsoft Entra-gesicherten Datenquelle gültige Anmeldeinformationen vorlegt. Sie können Regeln verwenden, um Ausnahmen hinzuzufügen.
Administratoren können eine explizite Positivliste von Mandanten angeben, für die sie eingehende, ausgehende oder beide Verbindungsmöglichkeiten aktivieren möchten, wodurch die Steuerelemente der Mandantenisolation umgangen werden, wenn sie konfiguriert sind. Administratoren können ein spezielles Muster „*“ verwenden, um allen Mandanten eine bestimmte Richtung zu erlauben, wenn die Mandantenisolation aktiviert ist. Alle anderen mandantenübergreifenden Verbindungen außer denen in der Positivliste werden von Power Platform abgelehnt.
Die Mandantenisolation kann im Power Platform Admin Center konfiguriert werden. Dies beeinflusst die Power Platform-Canvas-Apps und Power Automate-Flows. Um die Mandantenisolation einzurichten, müssen Sie Mandantenadministrator sein.
Die Power Platform-Mandantenisolationsfunktion ist mit zwei Optionen verfügbar: unidirektionale oder bidirektionale Beschränkung.
Szenarien und Auswirkungen der Mandantenisolierung verstehen
Bevor Sie mit der Konfiguration der Mandantenisolierungseinschränkungen beginnen, lesen Sie die folgende Liste, um die Szenarien und Auswirkungen der Mandantenisolierung zu verstehen.
- Der Administrierende möchte die Mandantenisolierung aktivieren.
- Der Administrierende befürchtet, dass vorhandene Apps und Flows, die mandantenübergreifende Verbindungen verwenden, nicht mehr funktionieren.
- Der Administrierende beschließt, die Mandantenisolierung zu aktivieren und Ausnahmeregeln hinzuzufügen, um die Auswirkungen zu beseitigen.
- Der Administrierende führt die mandantenübergreifenden Isolierungsberichte aus, um die Mandanten zu ermitteln, für die eine Ausnahme gemacht werden muss. Weitere Informationen: Tutorial: Mandantenübergreifende Isolatierungsberichte erstellen (Vorschau)
Bidirektionale Mandantenisolation (Einschränkung der eingehenden und ausgehenden Verbindungen)
Die bidirektionale Mandantenisolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten. Darüber hinaus blockiert die bidirektionale Mandantenisolation auch die Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.
In diesem Szenario hat der Mandantenadministrator die bidirektionale Mandantenisolation auf dem Contoso-Mandanten aktiviert, während der externe Fabrikam-Mandant nicht der Positivliste hinzugefügt wurde.
Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können keine ausgehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die ausgehende Mandantenisolation für den Contoso-Mandanten.
Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können jedoch trotzdem keine eingehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die eingehende Mandantenisolation für den Contoso-Mandanten.
| Mandant des Verbindungserstellers | Verbindungsanmeldemandant | Wird der Zugriff erteilt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (Mandantenisolation Aktiviert) | Fabrikam | Nein (ausgehend) |
| Fabrikam | Contoso (Mandantenisolation Aktiviert) | Nein (eingehend) |
| Fabrikam | Fabrikam | Ja |
Anmerkung
Ein Verbindungsversuch, der von einem Gastbenutzer von seinem Host-Mandanten initiiert wird und auf Datenquellen innerhalb desselben Host-Mandanten abzielt, wird nicht von den Mandanten-Isolationsregeln ausgewertet.
Mandantenisolation mit Positivlisten
Die unidirektionale Mandantenisolation oder die eingehende Isolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.
Szenario: Positivliste für ausgehende Verbindungen – Fabrikam wird zur Positivliste für ausgehende Verbindungen des Contoso-Mandanten hinzugefügt
In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ausgehenden Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.
Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können ausgehende Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der ausgehende Verbindungsaufbau zum Fabrikam-Mandanten wird aufgrund des konfigurierten Positivlisteneintrags zugelassen.
Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können jedoch trotzdem keine eingehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der Aufbau eingehender Verbindungen vom Fabrikam-Mandanten ist weiterhin nicht zulässig, auch wenn der Positivlisteneintrag konfiguriert ist und ausgehende Verbindungen zulässt.
| Mandant des Verbindungserstellers | Verbindungsanmeldemandant | Wird der Zugriff erteilt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (Mandantenisolation Aktiviert) Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt |
Fabrikam | Ja |
| Fabrikam | Contoso (Mandantenisolation Aktiviert) Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt |
Nein (eingehend) |
| Fabrikam | Fabrikam | Ja |
Szenario: Bidirektionale Positivliste – Fabrikam wird zur Positivliste für ein- und ausgehende Verbindungen des Contoso-Mandanten hinzugefügt
In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ein- sowie ausgehende Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.
| Mandant des Verbindungserstellers | Verbindungsanmeldemandant | Wird der Zugriff erteilt? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (Mandantenisolation Aktiviert) Fabrikam zur beiden Positivlisten hinzugefügt |
Fabrikam | Ja |
| Fabrikam | Contoso (Mandantenisolation Aktiviert) Fabrikam zur beiden Positivlisten hinzugefügt |
Ja |
| Fabrikam | Fabrikam | Ja |
Mandantenisolierung aktivieren und Positivliste konfigurieren
Im Power Platform Admin Center ist die Mandantenisolation mit Richtlinien>Mandantenisolation eingestellt.
Anmerkung
Sie müssen über eine globale Administrator-Rolle oder eine Power Platform-Administrator-Rolle zum Anzeigen und Festlegen der Mandantenisolationsrichtlinie verfügen.
Die Positionliste für die Mandantenisolation kann mithilfe von Neue Mandantenregel auf der Seite Mandantenisolation konfiguriert werden. Wenn die Mandantenisolation deaktiviert ist, können Sie die Regeln in der Liste hinzufügen oder bearbeiten. Diese Regeln werden jedoch erst erzwungen, wenn Sie die Mandantenisolation aktivieren.
Wählen Sie aus der Dropdownliste Richtung neue Mandantenregel die Richtung des Positivlisteneintrags aus.
Sie können den Wert des zulässigen Mandanten auch als Mandantendomäne oder Mandanten-ID eingeben. Nach dem Speichern wird der Eintrag zusammen mit anderen zugelassenen Mandanten zur Regelliste hinzugefügt. Wenn Sie die Mandantendomäne verwenden, um den Positivlisteneintrag hinzuzufügen, berechnet das Power Platform Admin Center die Mandanten-ID automatisch.
Sobald der Eintrag in der Liste erscheint, werden die Felder Mandanten-ID und Microsoft Entra-Mandantenname angezeigt. Beachten Sie, das der Mandantenname in Microsoft Entra ID sich von der Mandantendomäne unterscheidet. Der Mandantenname ist für den Mandanten eindeutig, aber ein Mandant kann mehr als einen Domänennamen haben.
Sie können „*“ als Sonderzeichen verwenden, um anzuzeigen, dass alle Mandanten in die angegebene Richtung erlaubt sind, wenn die Mandantenisolation aktiviert ist.
Sie können die Richtung des Mandanten-Positivlisteneintrags je nach Ihren geschäftlichen Anforderungen bearbeiten. Bitte beachten Sie, dass das Feld Mandantendomäne oder -ID nicht auf der Seite Mandantenregel bearbeiten bearbeitet werden kann.
Sie können alle Positivlistenvorgänge wie Hinzufügen, Bearbeiten und Löschen ausführen, während die Mandantenisolation aktiviert oder deaktiviert ist. Positivlisteneinträge wirken sich auf das Verbindungsverhalten aus, wenn die Mandantenisolation deaktiviert, da alle mandantenübergreifenden Verbindungen erlaubt sind.
Auswirkungen der Entwurfszeit auf Apps und Flows
Benutzer, die eine von der Mandantenisolationsrichtlinie betroffene Ressource erstellen oder bearbeiten, erhalten eine entsprechende Fehlermeldung. Power Apps-Erstellern wird zum Beispiel der folgende Fehler angezeigt, wenn sie mandantenübergreifende Verbindungen in einer App verwenden, die durch Mandantenisolationsrichtlinien blockiert wird. Die App fügt die Verbindung nicht hinzu.
Power Automate-Erstellern wird ebenso der folgende Fehler angezeigt, wenn sie versuchen, einen Flow zu speichern, der Verbindungen in einem Flow verwendet, der durch Mandantenisolationsrichtlinien blockiert wird. Der Flow selbst wird gespeichert, aber als „angehalten“ gekennzeichnet und nicht ausgeführt, es sei denn, der Ersteller behebt den Verstoß gegen die Richtlinie zur Verhinderung von Datenverlust (DLP).
Auswirkungen der Laufzeit auf Apps und Flows
Als Administrator können Sie jederzeit entscheiden, die Mandantenisolationsrichtlinien für Ihren Mandanten zu ändern. Wenn Apps und Flows in Übereinstimmung mit früheren Richtlinien zur Mandantenisolation erstellt und ausgeführt wurden, könnten einige von ihnen durch von Ihnen vorgenommene Richtlinienänderungen negativ beeinflusst werden. Apps oder Flows, die gegen die Mandantenisolationsrichtlinie verstoßen, werden nicht erfolgreich ausgeführt. Der Ausführungsverlauf in Power Automate gibt zum Beispiel an, dass die Flowausführung fehlgeschlagen ist. Darüber hinaus werden bei Auswahl der fehlgeschlagenen Ausführung Details zum Fehler angezeigt.
Der Ausführungsverlauf in Power Automate zeigt für vorhandene Flows, die aufgrund der neuesten Mandantenisolationsrichtlinie nicht erfolgreich ausgeführt werden, an, dass die Flowausführung fehlgeschlagen ist.
Wenn Sie die fehlgeschlagenen Ausführung anzeigen, werden Details zur fehlgeschlagenen Ausführung angezeigt.
Notiz
Es dauert etwa eine Stunde, bis die neuesten Änderungen der Mandantenisolationsrichtlinie anhand aktiver Apps und Flows bewertet werden. Diese Änderung erfolgt nicht sofort.
Bekannte Probleme
Azure DevOps Verbinder Verwendet Microsoft Entra Authentifizierung als Identitätsanbieter, verwendet jedoch einen eigenen OAuth-Fluss und STS zum Autorisieren und Ausstellen eines Tokens. Da das vom ADO-Fluss basierend auf der Konfiguration dieses Connectors zurückgegebene Token nicht von Microsoft Entra ID stammt, wird die Mandantenisolationsrichtlinie nicht erzwungen. Als Abhilfe empfehlen wir die Verwendung anderer Arten von Datenrichtlinien, um die Verwendung des Konnektors oder seiner Aktionen einzuschränken.