Restrictions entrantes et sortantes entre clients
Microsoft Power Platform dispose d’un riche écosystème de connecteurs basé sur Microsoft Entra qui autorisent les utilisateurs de Microsoft Entra à créer des applications et des flux attrayants établissant des connexions aux données commerciales disponibles via ces magasins de données. L’isolement client permet aux administrateurs de s’assurer facilement que ces connecteurs peuvent être exploités de manière sûre et sécurisée au sein du client tout en minimisant le risque d’exfiltration de données en dehors du client. L’isolation du client permet aux administrateurs généraux et aux administrateurs Power Platform de gérer efficacement le mouvement des données des clients à partir des sources de données Microsoft Entra autorisées vers et depuis leur client.
Notez que l’isolation du client Power Platform est différent de la restriction du client au niveau de Microsoft Entra ID. Elle n’a pas d’impact sur l’accès basé sur Microsoft Entra ID en dehors de Power Platform. L’isolation du client Power Platform ne fonctionne que pour les connecteurs utilisant une authentification basée sur Microsoft Entra ID comme Office 365 Outlook ou SharePoint.
Avertissement
Il existe un problème connu avec le connecteur Azure DevOps qui empêche l’application de la stratégie d’isolation du client pour les connexions établies en utilisant ce connecteur. Si un vecteur d’attaque interne est un problème, il est recommandé de limiter l’utilisation du connecteur ou ses actions à l’aide de stratégies de données.
La configuration par défaut dans Power Platform avec isolement client Désactivé consiste à permettre l’établissement de connexions entre clients de manière transparente, si l’utilisateur du client A établissant la connexion au client B présente les identifiants Microsoft Entra. Si les administrateurs souhaitent autoriser uniquement un ensemble sélectionné de clients à établir des connexions vers ou depuis leur client, ils peuvent définir l’isolement client sur Activé.
Avec isolement de locataire Activé, tous les locataires sont restreints. Les connexions entre clients entrantes (connexions au client à partir de clients externes) et sortantes (connexions à partir du client vers des clients externes) sont bloquées par Power Platform même si l’utilisateur présente des informations d’identification valides à la source de données sécurisée Microsoft Entra. Vous pouvez utiliser des règles pour ajouter des exceptions.
Les administrateurs peuvent spécifier une liste d’autorisations explicites de clients qu’ils souhaitent activer comme entrantes, sortantes ou les deux, qui contourneront les contrôles d’isolement client lors de leur configuration. Les administrateurs peuvent utiliser un modèle spécial « * » pour autoriser tous les clients dans une direction spécifique lorsque l’isolation du client est activée. locaToutes les autres connexions entre clients, à l’exception de celles de la liste d’autorisation, sont rejetées par Power Platform.
L’isolation du client peut être configurée dans le centre d’administration Power Platform. Cela concerne les applications canevas Power Platform et les flux Power Automate. Pour configurer l’isolation du client, vous devez être un administrateur client.
La capacité d’isolement client Power Platform est disponible avec deux options : restriction unidirectionnelle ou bidirectionnelle.
Comprendre les scénarios d’isolation du client et leur impact
Avant de commencer à configurer les restrictions d’isolation du client, consultez la liste suivante pour comprendre les scénarios et l’impact de l’isolation du client.
- L’administrateur souhaite activer l’isolation du client.
- L’administrateur craint que les applications et flux existants utilisant des connexions entre clients ne cessent de fonctionner.
- L’administrateur décide d’activer l’isolation du client et d’ajouter des règles d’exception pour éliminer l’impact.
- L’administrateur exécute les rapports d’isolation entre clients pour déterminer les clients à exempter. Plus d’informations : Tutoriel : Créer des rapports d’isolation entre clients (version préliminaire)
Isolement client bidirectionnel (restriction de connexion entrante et sortante)
L’isolement client bidirectionnel bloquera les tentatives d’établissement de connexion vers votre client à partir d’autres clients. De plus, l’isolement client bidirectionnel bloquera les tentatives d’établissement de connexion depuis votre client vers d’autres clients.
Dans ce scénario, l’administrateur client a activé l’isolement client bidirectionnel sur le client Contoso alors que le client Fabrikam externe n’a pas été ajouté à la liste d’autorisation.
Les utilisateurs connectés à Power Platform dans le client Contoso ne peuvent pas établir de connexions sortantes basées sur Microsoft Entra ID vers les sources de données dans le client Fabrikam malgré la présentation des informations d’identification Microsoft Entra appropriées pour établir la connexion. Il s’agit de l’isolement client sortant pour le client Contoso.
De même, les utilisateurs connectés à Power Platform dans le client Fabrikam ne peuvent pas établir de connexions entrantes basées sur Microsoft Entra ID vers les sources de données dans le client Contoso malgré la présentation appropriée des informations d’identification Microsoft Entra pour établir la connexion. Il s’agit de l’isolement client entrant pour le client Contoso.
| Client créateur de connexion | Client de connexion à la connexion | Accès autorisé ? |
|---|---|---|
| Contoso | Contoso | Oui |
| Contoso (isolement client Activé) | Fabrikam | Non (sortant) |
| Fabrikam | Contoso (isolement client Activé) | Non (entrant) |
| Fabrikam | Fabrikam | Oui |
Note
Une tentative de connexion lancée par un utilisateur invité à partir de son client hôte qui cible des sources de données au sein du même client hôte n’est pas évaluée par les règles d’isolation du client.
Isolement client avec des listes d’autorisation
L’isolement client unidirectionnel ou l’isolement entrant bloquera les tentatives d’établissement de connexion vers votre client à partir d’autres clients.
Scénario : liste d’autorisation sortante – Fabrikam est ajouté à la liste d’autorisation sortante du client Contoso
Dans ce scénario, l’administrateur ajoute le client Fabrikam dans la liste d’autorisation sortante tandis que l’isolement client est Activé.
Les utilisateurs connectés à Power Platform dans le client Contoso ne peuvent pas établir de connexions sortantes basées sur Microsoft Entra ID vers les sources de données dans le client Fabrikam s’ils présentent des informations d’identification Microsoft Entra appropriées pour établir la connexion. L’établissement d’une connexion sortante vers le client Fabrikam est autorisé en vertu de l’entrée de liste d’autorisation configurée.
Cependant, les utilisateurs connectés à Power Platform dans le client Fabrikam ne peuvent pas établir de connexions entrantes basées sur Microsoft Entra ID vers les sources de données dans le client Contoso malgré la présentation des informations d’identification Microsoft Entra appropriées pour établir la connexion. L’établissement d’une connexion entrante à partir du client Fabrikam est toujours interdit même si l’entrée de la liste d’autorisation est configurée et autorise les connexions sortantes.
| Client créateur de connexion | Client de connexion à la connexion | Accès autorisé ? |
|---|---|---|
| Contoso | Contoso | Oui |
| Contoso (isolement client Activé) Fabrikam ajouté à la liste d’autorisation sortante |
Fabrikam | Oui |
| Fabrikam | Contoso (isolement client Activé) Fabrikam ajouté à la liste d’autorisation sortante |
Non (entrant) |
| Fabrikam | Fabrikam | Oui |
Scénario : liste d’autorisation bidirectionnelle – Fabrikam est ajouté aux listes d’autorisation entrante et sortante du client Contoso
Dans ce scénario, l’administrateur ajoute le client Fabrikam dans les listes d’autorisation entrante et sortante tandis que l’isolement client est Activé.
| Client créateur de connexion | Client de connexion à la connexion | Accès autorisé ? |
|---|---|---|
| Contoso | Contoso | Oui |
| Contoso (isolement client Activé) Fabrikam ajouté aux listes d’autorisation sortante |
Fabrikam | Oui |
| Fabrikam | Contoso (isolement client Activé) Fabrikam ajouté aux listes d’autorisation sortante |
Oui |
| Fabrikam | Fabrikam | Oui |
Activer l’isolement client et configurer la liste d’autorisation
Dans le centre d’administration Power Platform, l’isolement client est défini avec Stratégies>Isolement client.
Note
Vous devez avoir un rôle Administrateur général ou un rôle Administrateur Power Platform pour voir et définir la stratégie d’isolation du client.
La liste d’autorisation d’isolement client peut être configurée via Nouvelle règle client sur la page Isolement client. Si l’isolement client est Désactivé, vous pouvez ajouter ou modifier les règles dans la liste. Cependant, ces règles ne seront pas appliquées tant que vous n’avez défini l’isolement client sur Activé.
Depuis le menu déroulant Nouvelle règle client, choisissez la direction de l’entrée de la liste d’autorisation.
Vous pouvez également entrer la valeur du client autorisée en tant que domaine de client ou ID de client. Une fois enregistrée, l’entrée est ajoutée à la liste des règles avec les autres clients autorisés. Si vous utilisez le domaine du client pour ajouter l’entrée de la liste d’autorisation, le centre d’administration Power Platform calcule automatiquement l’ID client.
Une fois que l’entrée apparaît dans la liste, les champs ID client et nom du client Microsoft Entra sont affichés. Notez que dans Microsoft Entra ID, le nom du client est différent du domaine du client. Le nom du client est unique pour le client, mais un client peut avoir plusieurs noms de domaine.
Vous pouvez utiliser « * » comme caractère spécial pour signifier que tous les clients sont autorisés dans la direction désignée lorsque l’isolation du client est Activée.
Vous pouvez modifier la direction de l’entrée de la liste d’autorisation des clients en fonction des besoins de l’entreprise. Notez que le champ Domaine ou ID client ne peut pas être modifié dans la page Modifier la règle client.
Vous pouvez effectuer toutes les opérations de liste d’autorisation telles que l’ajout, la modification et la suppression pendant que l’isolement client est Activé ou Désactivé. Les entrées de la liste d’autorisation ont un effet sur le comportement de la connexion lorsque l’isolement client est Désactivé puisque toutes les connexions entre clients sont autorisées.
Impact au moment de la conception sur les applications et les flux
Les utilisateurs qui créent ou modifient une ressource affectée par la stratégie d’isolement client verront un message d’erreur associé. Par exemple, les créateurs Power Apps verront l’erreur suivante lorsqu’ils utiliseront des connexions interclients dans une application bloquée par les politiques d’isolement client. L’application n’ajoutera pas la connexion.
De même, les créateurs Power Automate verront l’erreur suivante lorsqu’ils essayent d’enregistrer un flux qui utilise des connexions dans un flux bloqué par les politiques d’isolement client. Le flux lui-même sera enregistré, mais il sera marqué comme « Suspendu » et ne sera pas exécuté à moins que le créateur ne résolve la violation de la politique de prévention des pertes de données (DLP).
Impact de l’exécution sur les applications et les flux
En tant qu’administrateur, vous pouvez décider de modifier à tout moment les stratégies d’isolement client pour votre client. Si des applications et des flux ont été créés et exécutés conformément aux stratégies d’isolement client antérieures, certains d’entre eux peuvent être affectés négativement par les modifications de stratégie que vous apportez. Les applications ou les flux qui enfreignent la stratégie d’isolement client ne s’exécuteront pas correctement. Par exemple, exécutez l’historique dans Power Automate indique que l’exécution du flux a échoué. De plus, la sélection de l’exécution ayant échoué affichera les détails de l’erreur.
Pour les flux existants qui ne s’exécutent pas correctement en raison de la dernière stratégie d’isolement client, exécuter l’historique dans Power Automate indique que l’exécution du flux a échoué.
De plus, la sélection de l’exécution ayant échoué affichera les détails de l’erreur.
Note
Il faut environ une heure pour que les dernières modifications apportées à la stratégie d’isolement client soient évaluées par rapport aux applications et aux flux actifs. Il ne s’agit pas d’une modification instantanée.
Problèmes connus
Le connecteur Azure DevOps utilise l’authentification Microsoft Entra en tant que fournisseur d’identité, mais utilise son propre flux OAuth et STS pour autoriser et émettre un jeton. Étant donné que le jeton renvoyé par le flux ADO en fonction de la configuration de ce connecteur ne provient pas de Microsoft Entra ID, la stratégie d’isolation du client n’est pas appliquée. Comme mesure d’atténuation, nous vous recommandons d’utiliser d’autres types de stratégies de données pour limiter l’utilisation du connecteur ou ses actions.