Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Logic Apps incluye muchos conectores para crear aplicaciones de integración y flujos de datos, así como para acceder a varios datos, aplicaciones, servicios, sistemas y otros recursos. Estos conectores autorizan el acceso a estos recursos mediante Microsoft Entra ID para autenticar sus credenciales.
Al crear una conexión desde el flujo de trabajo para acceder a un recurso, puede compartir esa conexión con otros usuarios del mismo inquilino de Microsoft Entra o de otro inquilino mediante el envío de un vínculo de consentimiento. Esta conexión compartida proporciona acceso al mismo recurso, pero crea una vulnerabilidad de seguridad.
Como medida de seguridad para evitar este escenario, puede bloquear el acceso hacia y desde su propio inquilino de Microsoft Entra a través de estas conexiones compartidas. También puede permitir, pero restringir las conexiones solo a inquilinos específicos. Al configurar una directiva de aislamiento de inquilinos, puede controlar mejor el movimiento de datos entre el inquilino y los recursos que requieren acceso autorizado de Microsoft Entra.
Requisitos previos
Una suscripción y una cuenta de Azure con permisos de propietario para configurar una nueva directiva o realizar cambios en las directivas de inquilino existentes.
Nota
Puede aplicar directivas que afecten solo a su propio inquilino, no a otros inquilinos.
Recopile la información siguiente:
Identificador de inquilino del inquilino de Microsoft Entra.
La opción de aplicar el aislamiento de inquilino bidireccional para las conexiones que no tienen un identificador de inquilino de cliente.
Por ejemplo, es posible que algunas conexiones heredadas no tengan un identificador de inquilino asociado. Por lo tanto, debe elegir si desea bloquear o permitir estas conexiones.
La opción de habilitar o deshabilitar la directiva de aislamiento.
Los identificadores de inquilino de los inquilinos en los que desea permitir conexiones hacia o desde el inquilino.
Si decide permitir estas conexiones, incluya la siguiente información:
La opción de permitir conexiones entrantes al inquilino desde cada inquilino permitido.
La opción de permitir conexiones salientes desde el inquilino a cada inquilino permitido.
Para probar la directiva de aislamiento de inquilinos, necesita un segundo inquilino de Microsoft Entra. Desde este inquilino, intentará conectarse a y desde el inquilino aislado después de que la directiva de aislamiento surta efecto.
Solicitud de una directiva de aislamiento para el inquilino
Para iniciar este proceso, solicitará una nueva directiva de aislamiento o actualizará la directiva de aislamiento existente para el inquilino. Solo los propietarios de suscripciones de Azure pueden solicitar nuevas directivas o cambios en las directivas existentes.
Abra una incidencia de soporte técnico para solicitar una nueva directiva de aislamiento o actualizar la ya existente para el inquilino.
Espere a que la solicitud finalice la comprobación y el procesamiento por parte de la persona que controla la incidencia de soporte técnico.
Nota
Las directivas surten efecto inmediatamente en la región Centro-oeste de EE. UU. Sin embargo, estos cambios pueden tardar hasta cuatro horas en replicarse en el resto de regiones.
Prueba de la directiva de aislamiento
Una vez que la directiva surte efecto en una región, pruébela. Puede probar inmediatamente en la región Centro-oeste de EE. UU.
Prueba de las conexiones entrantes al inquilino
Inicie sesión en el "otro" inquilino de Microsoft Entra.
Cree un flujo de trabajo de aplicación lógica con una conexión, como Office 365 Outlook.
Intente iniciar sesión en el inquilino aislado.
Recibirá un mensaje que indica que la conexión al inquilino aislado ha producido un error de autorización debido a una configuración de aislamiento de inquilino.
Prueba de las conexiones salientes desde el inquilino
Inicie sesión en el inquilino aislado.
Cree un flujo de trabajo de aplicación lógica con una conexión, como Office 365 Outlook.
Intente iniciar sesión en el otro inquilino.
Recibirá un mensaje que indica que la conexión al otro inquilino ha producido un error de autorización debido a una configuración de aislamiento de inquilino.