Pembatasan masuk dan keluar lintas penyewa
Microsoft Power Platform memiliki ekosistem konektor yang kaya berdasarkan Microsoft Entra yang memungkinkan pengguna yang berwenang Microsoft Entra untuk membangun aplikasi dan alur yang menarik untuk membangun koneksi ke data bisnis yang tersedia melalui penyimpanan data ini. isolasi penyewa memudahkan administrator untuk memastikan konektor ini dapat dimanfaatkan dengan cara yang aman dan terjamin dalam penyewa, sekaligus meminimalkan risiko penggalian data di luar penyewa. Isolasi penyewa memungkinkan Power Platform administrator untuk secara efektif mengatur pergerakan data penyewa dari Microsoft Entra sumber data resmi ke dan dari penyewa mereka.
Perhatikan bahwa Power Platform isolasi penyewa berbeda dari Microsoft Entra pembatasan penyewa di seluruh ID. Ini tidak memengaruhi Microsoft Entra akses berbasis ID di luar Power Platform. Power Platform Isolasi penyewa hanya berfungsi untuk konektor yang menggunakan Microsoft Entra Autentikasi berbasis ID seperti Office 365 Outlook atau SharePoint.
Peringatan
Ada masalah yang diketahui dengan konektor Azure DevOps sehingga kebijakan isolasi penyewa tidak dijalankan untuk koneksi yang ditetapkan menggunakan konektor ini. Jika vektor serangan orang dalam menjadi perhatian, disarankan untuk membatasi penggunaan konektor atau tindakannya menggunakan kebijakan data.
Konfigurasi default dengan Power Platform isolasi penyewa adalah untuk memungkinkan koneksi lintas penyewa dibuat dengan mulus, jika pengguna dari penyewa A yang membuat koneksi ke penyewa B menyajikan kredensial yang sesuai Microsoft Entra . Jika admin hanya ingin mengizinkan rangkaian penyewa pilihan untuk menetapkan sambungan ke atau dari penyewanya, mereka dapat mengaktifkan isolasi penyewa.
Dengan isolasi penyewa Aktif, semua penyewa dibatasi. Koneksi lintas penyewa masuk (koneksi ke penyewa dari penyewa eksternal) dan keluar (koneksi dari penyewa ke penyewa eksternal) diblokir bahkan Power Platform jika pengguna menyajikan kredensial yang valid ke Microsoft Entra sumber data yang diamankan. Anda dapat menggunakan aturan untuk menambahkan pengecualian.
Admin dapat menentukan daftar izin eksplisit penyewa yang ingin mereka masuk, keluar, atau keduanya, yang akan memintas kontrol isolasi penyewa bila dikonfigurasi. Admin dapat menggunakan pola khusus "*" untuk memungkinkan semua penyewa ke arah tertentu saat isolasi penyewa diaktifkan. Semua koneksi penyewa silang lainnya, kecuali koneksi dalam daftar yang diizinkan ditolak oleh Power Platform.
Isolasi penyewa dapat dikonfigurasi di pusat admin Power Platform. Ini memengaruhi aplikasi Canvas Power Platform dan alur Power Automate. Untuk mengkonfigurasikan penyewa terpisah, Anda harus menjadi admin penyewa.
kemampuan isolasi penyewa Power Platform tersedia dengan dua pilihan: pembatasan satu arah atau dua arah.
Memahami skenario dan dampak isolasi penyewa
Sebelum Anda mulai mengonfigurasi pembatasan isolasi penyewa, tinjau daftar berikut untuk memahami skenario dan dampak isolasi penyewa.
- Admin ingin mengaktifkan isolasi penyewa.
- Admin khawatir bahwa aplikasi dan alur yang ada menggunakan koneksi lintas penyewa akan berhenti berfungsi.
- Admin memutuskan untuk mengaktifkan isolasi penyewa dan menambahkan aturan pengecualian untuk menghilangkan dampaknya.
- Admin menjalankan laporan isolasi lintas penyewa untuk menentukan penyewa yang perlu dikecualikan. Informasi lebih lanjut: Tutorial: Membuat laporan isolasi penyewa lintas (pratinjau)
Isolasi penyewa dua arah (pembatasan sambungan masuk dan keluar)
Isolasi penyewa dua arah akan memblokir upaya menjalin koneksi ke penyewa Anda dari penyewa lain. Di samping itu, isolasi penyewa dua arah juga akan memblokir upaya menjalin koneksi dari penyewa Anda ke penyewa lain.
Dalam skenario ini, admin penyewa telah mengaktifkan isolasi penyewa dua arah pada penyewa Contoso, sementara penyewa Fabrikam eksternal belum ditambahkan ke daftar izinkan.
Pengguna yang masuk ke penyewa Power Platform Contoso tidak dapat membuat koneksi berbasis ID keluar Microsoft Entra ke sumber data di penyewa Fabrikam meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa keluar untuk penyewa Contoso.
Demikian pula, pengguna yang masuk ke penyewa Power Platform Fabrikam tidak dapat membuat koneksi berbasis ID masuk Microsoft Entra ke sumber data di penyewa Contoso meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa masuk untuk penyewa Contoso.
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) | Fabrikam | Tidak (Keluar) |
| Fabrikam | Contoso (isolasi penyewa Aktif) | Tidak (Masuk) |
| Fabrikam | Fabrikam | Ya |
Catatan
Upaya koneksi yang dimulai oleh pengguna tamu dari penyewa host mereka yang menargetkan sumber data dalam penyewa host yang sama tidak dievaluasi oleh aturan isolasi penyewa.
isolasi penyewa dengan daftar diizinkan
isolasi penyewa Satu arah atau isolasi masuk akan memblokir upaya menjalin koneksi ke penyewa dari penyewa lain.
Skenario: Daftar diizinkan keluar – Fabrikam ditambahkan ke daftar diizinkan keluar penyewa Contoso
Dalam skenario ini, admin menambahkan penyewa Fabrikam dalam daftar izin keluar saat isolasi penyewa adalah Aktif.
Pengguna yang masuk ke penyewa Power Platform Contoso dapat membuat koneksi berbasis ID keluar Microsoft Entra ke sumber data di penyewa Fabrikam jika mereka menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Penetapan sambungan keluar ke penyewa Fabrikam diizinkan berdasarkan entri daftar diizinkan yang dikonfigurasi.
Namun, pengguna yang masuk Power Platform ke penyewa Fabrikam masih tidak dapat membuat koneksi berbasis ID masuk Microsoft Entra ke sumber data di penyewa Contoso meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Penetapan sambungan masuk dari penyewa Fabrikam masih tidak dibolehkan meskipun entri daftar izin dikonfigurasi dan mengizinkan koneksi keluar.
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke daftar izin keluar |
Fabrikam | Ya |
| Fabrikam | Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke daftar izin keluar |
Tidak (Masuk) |
| Fabrikam | Fabrikam | Ya |
Skenario: Daftar diizinkan dua arah – Fabrikam ditambahkan ke daftar diizinkan masuk dan keluar penyewa Contoso
Dalam skenario ini, admin menambahkan penyewa Fabrikam baik daftar izin masuk maupun keluar saat isolasi penyewa adalah Aktif.
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke kedua daftar izin |
Fabrikam | Ya |
| Fabrikam | Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke kedua daftar izin |
Ya |
| Fabrikam | Fabrikam | Ya |
Mengaktifkan isolasi penyewa dan mengkonfigurasikan daftar izin
Di pusat admin Power Platform, ruang terpisah penyewa diatur dengan kebijakan>isolasi penyewa.
Catatan
Anda harus memiliki Power Platform peran administrator untuk melihat dan mengatur kebijakan isolasi penyewa.
Daftar izin isolasi penyewa dapat dikonfigurasi dengan menggunakan aturan penyewa baru pada halaman isolasi penyewa. Jika penyewa tidak aktif, Anda dapat menambah atau mengedit aturan dalam daftar. Namun, aturan ini tidak akan diterapkan hingga Anda mengaktifkan isolasi penyewa.
Dari daftar menurun Arahan aturan penyewa baru, pilih arah entri daftar izinkan.
Anda juga dapat memasukkan nilai penyewa yang diizinkan sebagai domain penyewa atau ID penyewa. Setelah disimpan, entri akan ditambahkan ke daftar aturan bersama penyewa lain yang diizinkan. Jika Anda menggunakan domain penyewa untuk menambahkan entri daftar izinkan, pusat admin Power Platform akan secara otomatis menghitung ID penyewa.
Setelah entri muncul dalam daftar, ID penyewa dan Microsoft Entra bidang nama penyewa ditampilkan. Perhatikan bahwa di Microsoft Entra ID, nama penyewa berbeda dari domain penyewa. Nama penyewa unik untuk penyewa, namun penyewa mungkin memiliki lebih dari satu nama domain.
Anda dapat menggunakan "*" sebagai karakter khusus untuk menandakan semua penyewa diizinkan dalam arahan yang ditetapkan saat isolasi penyewa diaktifkan.
Anda dapat mengedit arah entri daftar izin penyewa berdasarkan persyaratan bisnis. Perhatikan bahwa bidang Domain Penyewa atau ID tidak dapat diedit di halaman aturan Edit penyewa.
Anda dapat melakukan semua operasi daftar yang diizinkan seperti menambah, mengedit, dan menghapus saat isolasi penyewa diaktifkan atau Tidak Aktif. Entri daftar izin memiliki pengaruh pada perilaku koneksi saat isolasi penyewa dinonaktifkan karena semua sambungan antar-penyewa diizinkan.
Dampak waktu desain pada aplikasi dan alur
Pengguna yang membuat atau mengedit sumber daya yang terpengaruh oleh kebijakan isolasi penyewa akan melihat pesan kesalahan terkait. Misalnya, pembuat Power Apps akan melihat kesalahan berikut saat menggunakan koneksi lintas-penyewa di aplikasi yang diblokir oleh kebijakan isolasi penyewa. Aplikasi tidak akan menambahkan sambungan.
Demikian pula, pembuat Power Automate akan melihat kesalahan berikut saat mereka mencoba menyimpan alur yang menggunakan koneksi dalam alur yang diblokir oleh kebijakan isolasi penyewa. Aliran akan disimpan, namun akan ditandai sebagai "ditangguhkan" dan tidak akan dijalankan kecuali pembuat mengatasi pelanggaran keputusan pelanggaran kehilangan data (DLP).
Dampak runtime terhadap aplikasi dan alur
Sebagai admin, Anda dapat memutuskan untuk memodifikasi Kebijakan isolasi penyewa untuk penyewa pada titik mana pun. Jika aplikasi dan alur dibuat dan dieksekusi sesuai dengan kebijakan isolasi penyewa sebelumnya, sebagian dari mereka mungkin terpengaruh secara negatif oleh perubahan kebijakan apa pun yang Anda buat. Aplikasi atau alur yang melanggar kebijakan isolasi penyewa tidak akan berhasil dijalankan. Contohnya, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal. Lebih lanjut, memilih eksekusi yang gagal akan menampilkan rincian kesalahan.
Untuk alur yang ada dan tidak berhasil dijalankan karena kebijakan isolasi penyewa terbaru, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal.
Memilih eksekusi yang gagal akan menampilkan rincian eksekusi alur yang gagal.
Catatan
Dibutuhkan sekitar satu jam hingga perubahan kebijakan isolasi penyewa terbaru dinilai terhadap aplikasi dan alur aktif. Perubahan ini tidak seketika.
Masalah yang diketahui
Azure DevOps konektor menggunakan Microsoft Entra autentikasi sebagai penyedia identitas, tetapi menggunakan alur dan STS sendiri OAuth untuk mengotorisasi dan menerbitkan token. Karena token yang dikembalikan dari alur ADO berdasarkan konfigurasi Konektor tersebut bukan dari Microsoft Entra ID, kebijakan isolasi penyewa tidak diterapkan. Sebagai mitigasi, sebaiknya gunakan jenis kebijakan data lain untuk membatasi penggunaan konektor atau tindakannya.