Restricións de entrada e saída entre arrendatarios
Microsoft Power Platform Ten un rico ecosistema de conectores baseado no Microsoft Entra que permite aos usuarios autorizados Microsoft Entra construír aplicacións e fluxos convincentes establecendo conexións aos datos comerciais dispoñibles a través destas tendas de datos. O illamento dos inquilinos facilita aos administradores garantir que estes conectores se poidan aproveitar dun xeito seguro dentro do inquilino ao tempo que minimiza o risco de filtración de datos fóra do inquilino. O illamento do inquilino permite aos administradores e administradores globais gobernar eficazmente o movemento de datos arrendatarios de fontes de Power Platform datos autorizadas desde e Microsoft Entra cara ao seu inquilino.
Teña en conta que Power Platform o illamento dos inquilinos é diferente da restrición arrendataria Microsoft Entra de todo o ID. Non afecta o Microsoft Entra acceso baseado no ID fóra Power Platform. Power Platform O illamento dos inquilinos só funciona para conectores usando Microsoft Entra autenticación baseada en ID, como Office 365 Outlook ou SharePoint.
Aviso
Hai un problema coñecido co conector de Azure DevOps que provoca que non se aplique a política de illamento do inquilino para as conexións establecidas mediante este conector. Se un vector de ataque interno é unha preocupación, recoméndase limitar o uso do conector ou as súas accións mediante políticas de datos.
A configuración por defecto con Power Platform illamento arrendatario Off é permitir que as conexións cruzadas se establezan sen problemas, se o usuario do arrendatario A establecendo a conexión co arrendatario B presenta as credenciais adecuadas Microsoft Entra . Se os administradores queren permitir que só un conxunto selecto de inquilinos estableza conexións con ou desde o seu inquilino, poden Activar o illamento de inquilinos.
Co illamento dos inquilinos Activado, todos os inquilinos están restrinxidos. A entrada (conexións co inquilino de inquilinos externos) e saída (conexións do arrendatario a inquilinos externos) as conexións cruzadas están bloqueadas aínda Power Platform que o usuario presente credenciais válidas ao Microsoft Entra orixe de datos asegurado. Pode usar regras para engadir excepcións.
Os administradores poden especificar unha lista explícita de inquilinos que queren activar entrantes, saíntes, ou ambos, o que ignorar os controis de illamento do inquilino cando estea configurado. Os administradores poden usar un padrón especial "*" para permitir que todos os inquilinos sigan nunha dirección específica cando o illamento dos inquilinos está activado. Power Platform rexeita todas as demais conexións entre arrendatarios, excepto as da lista de permitidos.
O illamento dos inquilinos pódese configurar no centro de administración de Power Platform. Afecta ás aplicacións de lenzo de Power Platform e aos fluxos de Power Automate. Para configurar o illamento de inquilinos, debe ser administrador do inquilino.
A capacidade de illamento do inquilino de Power Platform está dispoñible con dúas opcións: restrición unidireccional ou bidireccional.
Comprender os escenarios de illamento do inquilino e o impacto
Antes de comezar a configurar as restricións de illamento do inquilino, revise a seguinte lista para comprender os escenarios e o impacto do illamento do inquilino.
- Admin quere converter o illamento do inquilino.
- Admin está preocupado de que as aplicacións e fluxos existentes usando conexións cruzadas deixen de funcionar.
- Admin decide permitir o illamento do inquilino e engadir regras de excepción para eliminar o impacto.
- Admin executa os informes de illamento cruzado para determinar os inquilinos que deben estar exentos. Máis información:Tutorial: Crear informes de illamento cruzado (vista previa)
Illamento de arrendatario bidireccional (restrición de conexión entrante e saínte)
O illamento do arrendatario bidireccional tamén bloqueará os intentos de establecemento de conexión do seu inquilino con outros inquilinos. Ademais, o illamento do arrendatario bidireccional tamén bloqueará os intentos de establecemento de conexión do seu inquilino con outros inquilinos.
Neste escenario, o administrador do inquilino activou o illamento bidireccional do inquilino no inquilino de Contoso mentres que o inquilino externo de Fabrikam non se engadiu á lista de permisos.
Os usuarios rexistrados Power Platform no inquilino de Contoso non poden establecer conexións baseadas en ID de saída Microsoft Entra a fontes de datos no inquilino de Fabrikam a pesar de presentar credenciais adecuadas Microsoft Entra para establecer a conexión. Este é o illamento de inquilinos de saída para o inquilino de Contoso.
Do mesmo xeito, os Power Platform usuarios rexistrados no inquilino de Fabrikam non poden establecer conexións baseadas en ID de entrada Microsoft Entra a fontes de datos no inquilino de Contoso a pesar de presentar credenciais adecuadas Microsoft Entra para establecer a conexión. Este é o illamento de inquilinos de entrada para o inquilino de Contoso.
| Inquilino creador de conexións | Inquilino de inicio de sesión de conexión | Acceso permitido? |
|---|---|---|
| Contoso | Contoso | Si |
| Contoso (illamento do inquilino Activado) | Fabrikam | Non (saínte) |
| Fabrikam | Contoso (illamento do inquilino Activado) | Non (entrante) |
| Fabrikam | Fabrikam | Si |
Nota
Un intento de conexión iniciado por un usuario invitado do seu inquilino anfitrión dirixido a fontes de datos dentro do mesmo inquilino do hóspede non é avaliado polas regras de illamento do inquilino.
Illamento do inquilino con listas de permisos
O illamento do arrendatario unidireccional ou o illamento entrante bloqueará os intentos de establecemento de conexión do seu inquilino doutros inquilinos.
Escenario: lista de permisos de saída: engádese Fabrikam á lista de permisos de saída do arrendatario de Contoso
Neste caso, o administrador engade o inquilino de Fabrikam na lista de permisos de saída mentres o illamento do inquilino está Activado.
Os usuarios rexistrados Power Platform no inquilino de Contoso poden establecer conexións baseadas en ID de saída Microsoft Entra a fontes de datos no inquilino de Fabrikam se presentan credenciais adecuadas Microsoft Entra para establecer a conexión. Permítese o establecemento de conexións de saída ao inquilino de Fabrikam en virtude da entrada da lista de permisos configurada.
Non obstante, os Power Platform usuarios rexistrados no inquilino de Fabrikam aínda non poden establecer conexións baseadas en ID de entrada Microsoft Entra a fontes de datos no inquilino de Contoso a pesar de presentar credenciais adecuadas Microsoft Entra para establecer a conexión. O establecemento de conexións entrantes do inquilino de Fabrikam aínda está prohibido aínda que a entrada da lista permitida estea configurada e permita conexións de saída.
| Inquilino creador de conexións | Inquilino de inicio de sesión de conexión | Acceso permitido? |
|---|---|---|
| Contoso | Contoso | Si |
| Contoso (illamento do inquilino Activado) Fabrikam engadiuse á lista de permisos de saída |
Fabrikam | Si |
| Fabrikam | Contoso (illamento do inquilino Activado) Fabrikam engadiuse á lista de permisos de saída |
Non (entrante) |
| Fabrikam | Fabrikam | Si |
Escenario: lista de permisos bidireccionais: engádese Fabrikam ás listas de permisos de saída e entrada do arrendatario de Contoso
Neste caso, o administrador engade o inquilino de Fabrikam ás listas de permisos de saída e entrada mentres o illamento do inquilino está Activado.
| Inquilino creador de conexións | Inquilino de inicio de sesión de conexión | Acceso permitido? |
|---|---|---|
| Contoso | Contoso | Si |
| Contoso (illamento do inquilino Activado) Fabrikam engadiuse ás dúas listas de permisos |
Fabrikam | Si |
| Fabrikam | Contoso (illamento do inquilino Activado) Fabrikam engadiuse ás dúas listas de permisos |
Si |
| Fabrikam | Fabrikam | Si |
Activar o illamento dos inquilinos e configurar a lista de permisos
No centro de administración de Power Platform, o illamento de inquilinos establécese con Políticas>Illamento de inquilinos.
Nota
Debe ter un papel de administrador global ou un Power Platform papel de administrador para ver e establecer a política de illamento do inquilino.
A lista permitida de illamento de inquilinos pódese configurar mediante unha Nova regra de inquilino na páxina Illamento de inquilinos. Se o illamento do inquilino está Desactivado, pode engadir ou editar as regras da lista. Non obstante, estas regras non se aplicarán ata que Active o illamento do inquilino.
Na lista despregable Nova regra de inquilino Dirección, escolla a dirección da entrada da lista permitida.
Tamén pode introducir o valor do inquilino permitido como dominio de inquilino ou ID de inquilino. Unha vez gardada, a entrada engádese á lista de regras xunto con outros inquilinos permitidos. Se utiliza o dominio do inquilino para engadir a entrada da lista permitida, o centro de administración de Power Platform calcula automaticamente o ID do inquilino.
Unha vez que a entrada aparece na lista, móstranse os campos de identificación arrendatario e Microsoft Entra os campos de nomes arrendatarios. Nótese que no Microsoft Entra DNI, o nome do inquilino é diferente do dominio arrendatario. O nome do inquilino é único para o inquilino, pero un inquilino pode ter máis dun nome de dominio.
Pode usar "*" como carácter especial para indicar que todos os inquilinos están permitidos na dirección indicada cando o illamento dos inquilinos está Activado.
Pode editar a dirección da entrada da lista de permisos dos inquilinos en función dos requisitos da empresa. Teña en conta que o campo Dominio ou ID de inquilino non se pode editar na páxina Editar regra de inquilino.
Pode realizar todas as operacións da lista permitida, como engadir, editar e eliminar mentres o illamento do inquilino está Activado ou Desactivado. As entradas da lista permitidas teñen un efecto no comportamento da conexión cando se Desactiva o illamento do inquilino xa que se permiten todas as conexións entre inquilinos.
Impacto en tempo de deseño sobre aplicacións e fluxos
Os usuarios que creen ou editen un recurso afectado pola política de illamento de arrendatarios verán unha mensaxe de erro relacionada. Por exemplo, os creadores de Power Apps verán o seguinte erro cando usen conexións entre arrendatarios nunha aplicación que non está bloqueada por políticas de illamento de arrendatarios. A aplicación non engadirá a conexión.
De xeito similar, os creadores de Power Automate verán o seguinte erro cando tente gardar un fluxo que use conexións nun fluxo que estea bloqueado por políticas de illamento de arrendatarios. Gardarase o fluxo en si, pero estará marcado como "Suspendido" e non se executará a menos que o creador resolva a violación da política de prevención de perda de datos (DLP).
Impacto en tempo de execución sobre aplicacións e fluxos
Como administrador, pode decidir modificar as políticas de illamento de arrendatarios para o seu inquilino en calquera momento. Se as aplicacións e os fluxos foron creados e executados de acordo con políticas de illamento de arrendatarios anteriores, algúns delas poderían verse afectadas negativamente polos cambios que faga. As aplicacións ou fluxos que infrinxen a política de illamento dos inquilinos non se executarán correctamente. Por exemplo, o historial de execución dentro de Power Automate indica que a execución do fluxo fallou. Ademais, ao seleccionar a execución fallida, mostraranse detalles do erro.
Para os fluxos existentes que non se executan correctamente debido á última política de illamento de inquilinos, o historial de execución dentro de Power Automate indica que a execución do fluxo fallou.
Ao seleccionar a execución fallida, mostraranse detalles da execución de fluxo con erros.
Nota
Tarda aproximadamente unha hora en avaliarse os últimos cambios na política de illamento dos inquilinos en función dos fluxos e aplicacións activos. Este cambio non é instantáneo.
Problemas coñecidos
Azure DevOps O conector utiliza Microsoft Entra a autenticación como provedor de identidade, pero usa o seu propio fluxo OAuth e STS para autorizar e emitir un token. Dado que o token devolto do fluxo ADO baseado na configuración de Connector non é de ID, a política de Microsoft Entra illamento do inquilino non se aplica. Como mitigación, recomendamos utilizar outro tipo de políticas de datos para limitar o uso do conector ou as súas accións.