Pembatasan masuk dan keluar lintas penyewa

  • Artikel

Microsoft Power Platform memiliki ekosistem konektor yang kaya berdasarkan Microsoft Entra yang memungkinkan pengguna yang berwenang untuk membangun aplikasi dan alur yang menarik membangun koneksi ke data bisnis yang Microsoft Entra tersedia melalui penyimpanan data ini. isolasi penyewa memudahkan administrator untuk memastikan konektor ini dapat dimanfaatkan dengan cara yang aman dan terjamin dalam penyewa, sekaligus meminimalkan risiko penggalian data di luar penyewa. Isolasi penyewa memungkinkan administrator dan Power Platform administrator Global untuk secara efektif mengatur pergerakan data penyewa dari sumber data resmi ke dan dari Microsoft Entra penyewa mereka.

Perhatikan bahwa Power Platform isolasi penyewa berbeda dari Microsoft Entra pembatasan penyewa di seluruh ID. Ini tidak memengaruhi Microsoft Entra akses berbasis ID di Power Platform luar. Power Platform isolasi penyewa hanya berfungsi untuk konektor yang menggunakan Microsoft Entra autentikasi berbasis ID seperti Office 365 Outlook atau SharePoint.

Peringatan

Ada masalah yang diketahui dengan konektor Azure DevOps sehingga kebijakan isolasi penyewa tidak dijalankan untuk koneksi yang ditetapkan menggunakan konektor ini. Jika vektor serangan orang dalam menjadi perhatian, disarankan untuk membatasi penggunaan konektor atau tindakannya menggunakan kebijakan data.

Konfigurasi default dengan Power Platform isolasi penyewa Nonaktif adalah untuk memungkinkan koneksi lintas penyewa dibuat dengan mulus, jika pengguna dari penyewa A yang membuat koneksi ke penyewa B menyajikan kredensial yang sesuai Microsoft Entra . Jika admin hanya ingin mengizinkan rangkaian penyewa pilihan untuk menetapkan sambungan ke atau dari penyewanya, mereka dapat mengaktifkan isolasi penyewa.

Dengan isolasi penyewa Aktif, semua penyewa dibatasi. Koneksi lintas penyewa masuk (koneksi ke penyewa dari penyewa eksternal) dan keluar (koneksi dari penyewa ke penyewa eksternal) diblokir oleh Power Platform bahkan jika pengguna menyajikan kredensial yang valid ke Microsoft Entra sumber data yang aman. Anda dapat menggunakan aturan untuk menambahkan pengecualian.

Admin dapat menentukan daftar izin eksplisit penyewa yang ingin mereka masuk, keluar, atau keduanya, yang akan memintas kontrol isolasi penyewa bila dikonfigurasi. Admin dapat menggunakan pola khusus "*" untuk memungkinkan semua penyewa ke arah tertentu saat isolasi penyewa diaktifkan. Semua koneksi penyewa silang lainnya, kecuali koneksi dalam daftar yang diizinkan ditolak oleh Power Platform.

Isolasi penyewa dapat dikonfigurasi di pusat admin Power Platform. Ini memengaruhi aplikasi Canvas Power Platform dan alur Power Automate. Untuk mengkonfigurasikan penyewa terpisah, Anda harus menjadi admin penyewa.

kemampuan isolasi penyewa Power Platform tersedia dengan dua pilihan: pembatasan satu arah atau dua arah.

Memahami skenario dan dampak isolasi penyewa

Sebelum Anda mulai mengonfigurasi pembatasan isolasi penyewa, tinjau daftar berikut untuk memahami skenario dan dampak isolasi penyewa.

  • Admin ingin mengaktifkan isolasi penyewa.
  • Admin khawatir bahwa aplikasi dan alur yang ada menggunakan koneksi lintas penyewa akan berhenti berfungsi.
  • Admin memutuskan untuk mengaktifkan isolasi penyewa dan menambahkan aturan pengecualian untuk menghilangkan dampaknya.
  • Admin menjalankan laporan isolasi lintas penyewa untuk menentukan penyewa yang perlu dikecualikan. Informasi selengkapnya:Tutorial: Membuat laporan isolasi lintas penyewa (pratinjau)

Isolasi penyewa dua arah (pembatasan sambungan masuk dan keluar)

Isolasi penyewa dua arah akan memblokir upaya menjalin koneksi ke penyewa Anda dari penyewa lain. Di samping itu, isolasi penyewa dua arah juga akan memblokir upaya menjalin koneksi dari penyewa Anda ke penyewa lain.

Dalam skenario ini, admin penyewa telah mengaktifkan isolasi penyewa dua arah pada penyewa Contoso, sementara penyewa Fabrikam eksternal belum ditambahkan ke daftar izinkan.

Pengguna yang masuk ke penyewa Contoso tidak dapat membuat koneksi berbasis ID keluar Power Platform ke Microsoft Entra sumber data di penyewa Fabrikam meskipun menunjukkan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa keluar untuk penyewa Contoso.

Demikian pula, pengguna yang masuk ke penyewa Fabrikam tidak dapat membuat koneksi berbasis ID masuk Power Platform ke Microsoft Entra sumber data di penyewa Contoso meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa masuk untuk penyewa Contoso.

Penyewa Kreator koneksi Penyewa masuk koneksi Akses diizinkan?
Contoso Contoso Ya
Contoso (isolasi penyewa Aktif) Fabrikam Tidak (Keluar)
Fabrikam Contoso (isolasi penyewa Aktif) Tidak (Masuk)
Fabrikam Fabrikam Ya

Batasi akses lintas penyewa keluar dan masuk.

Catatan

Upaya koneksi yang dimulai oleh pengguna tamu dari sumber data penargetan penyewa host mereka dalam penyewa host yang sama tidak dievaluasi oleh aturan isolasi penyewa.

isolasi penyewa dengan daftar diizinkan

isolasi penyewa Satu arah atau isolasi masuk akan memblokir upaya menjalin koneksi ke penyewa dari penyewa lain.

Skenario: Daftar diizinkan keluar – Fabrikam ditambahkan ke daftar diizinkan keluar penyewa Contoso

Dalam skenario ini, admin menambahkan penyewa Fabrikam dalam daftar izin keluar saat isolasi penyewa adalah Aktif.

Pengguna yang masuk ke penyewa Contoso dapat membuat koneksi berbasis ID keluar Power Platform ke Microsoft Entra sumber data di penyewa Fabrikam jika mereka menunjukkan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Penetapan sambungan keluar ke penyewa Fabrikam diizinkan berdasarkan entri daftar diizinkan yang dikonfigurasi.

Namun, pengguna yang masuk ke penyewa Fabrikam masih tidak dapat membuat koneksi berbasis ID masuk Power Platform ke Microsoft Entra sumber data di penyewa Contoso meskipun menunjukkan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Penetapan sambungan masuk dari penyewa Fabrikam masih tidak dibolehkan meskipun entri daftar izin dikonfigurasi dan mengizinkan koneksi keluar.

Penyewa Kreator koneksi Penyewa masuk koneksi Akses diizinkan?
Contoso Contoso Ya
Contoso (isolasi penyewa Aktif)
Fabrikam ditambahkan ke daftar izin keluar		 Fabrikam Ya
Fabrikam Contoso (isolasi penyewa Aktif)
Fabrikam ditambahkan ke daftar izin keluar		 Tidak (Masuk)
Fabrikam Fabrikam Ya

Batasi koneksi masuk.

Skenario: Daftar diizinkan dua arah – Fabrikam ditambahkan ke daftar diizinkan masuk dan keluar penyewa Contoso

Dalam skenario ini, admin menambahkan penyewa Fabrikam baik daftar izin masuk maupun keluar saat isolasi penyewa adalah Aktif.

Penyewa Kreator koneksi Penyewa masuk koneksi Akses diizinkan?
Contoso Contoso Ya
Contoso (isolasi penyewa Aktif)
Fabrikam ditambahkan ke kedua daftar izin		 Fabrikam Ya
Fabrikam Contoso (isolasi penyewa Aktif)
Fabrikam ditambahkan ke kedua daftar izin		 Ya
Fabrikam Fabrikam Ya

Daftar izin dua arah.

Mengaktifkan isolasi penyewa dan mengkonfigurasikan daftar izin

Di pusat admin Power Platform, ruang terpisah penyewa diatur dengan kebijakan>isolasi penyewa.

Catatan

Anda harus memiliki peran Administrator global atau Power Platform peran administrator untuk melihat dan mengatur kebijakan isolasi penyewa.

Aktifkan isolasi penyewa.

Daftar izin isolasi penyewa dapat dikonfigurasi dengan menggunakan aturan penyewa baru pada halaman isolasi penyewa. Jika penyewa tidak aktif, Anda dapat menambah atau mengedit aturan dalam daftar. Namun, aturan ini tidak akan diterapkan hingga Anda mengaktifkan isolasi penyewa.

Aturan penyewa baru untuk menambahkan aturan ke daftar bolehkan.

Dari daftar menurun Arahan aturan penyewa baru, pilih arah entri daftar izinkan.

Pilih arah untuk aturan penyewa baru.

Anda juga dapat memasukkan nilai penyewa yang diizinkan sebagai domain penyewa atau ID penyewa. Setelah disimpan, entri akan ditambahkan ke daftar aturan bersama penyewa lain yang diizinkan. Jika Anda menggunakan domain penyewa untuk menambahkan entri daftar izinkan, pusat admin Power Platform akan secara otomatis menghitung ID penyewa.

Pilih domain penyewa atau ID penyewa untuk aturan penyewa baru.

Setelah entri muncul dalam daftar,Bidang ID penyewa dan Microsoft Entra nama penyewa ditampilkan. Perhatikan bahwa dalam Microsoft Entra ID, nama penyewa berbeda dari domain penyewa. Nama penyewa unik untuk penyewa, namun penyewa mungkin memiliki lebih dari satu nama domain.

Aturan penyewa baru muncul dalam daftar yang diizinkan.

Anda dapat menggunakan "*" sebagai karakter khusus untuk menandakan semua penyewa diizinkan dalam arahan yang ditetapkan saat isolasi penyewa diaktifkan.

Semua penyewa diizinkan ke arah yang ditentukan saat isolasi penyewa diaktifkan.

Anda dapat mengedit arah entri daftar izin penyewa berdasarkan persyaratan bisnis. Perhatikan bahwa bidang Domain Penyewa atau ID tidak dapat diedit di halaman aturan Edit penyewa.

Edit aturan penyewa.

Anda dapat melakukan semua operasi daftar yang diizinkan seperti menambah, mengedit, dan menghapus saat isolasi penyewa diaktifkan atau Tidak Aktif. Entri daftar izin memiliki pengaruh pada perilaku koneksi saat isolasi penyewa dinonaktifkan karena semua sambungan antar-penyewa diizinkan.

Dampak waktu desain pada aplikasi dan alur

Pengguna yang membuat atau mengedit sumber daya yang terpengaruh oleh kebijakan isolasi penyewa akan melihat pesan kesalahan terkait. Misalnya, pembuat Power Apps akan melihat kesalahan berikut saat menggunakan koneksi lintas-penyewa di aplikasi yang diblokir oleh kebijakan isolasi penyewa. Aplikasi tidak akan menambahkan sambungan.

Kesalahan: Data tidak dimuat dengan benar. Silakan coba lagi.

Demikian pula, pembuat Power Automate akan melihat kesalahan berikut saat mereka mencoba menyimpan alur yang menggunakan koneksi dalam alur yang diblokir oleh kebijakan isolasi penyewa. Aliran akan disimpan, namun akan ditandai sebagai "ditangguhkan" dan tidak akan dijalankan kecuali pembuat mengatasi pelanggaran keputusan pelanggaran kehilangan data (DLP).

Kesalahan: Tidak dapat mengambil nilai. Permintaan pemanggilan dinamis gagal dengan teks kesalahan - kesalahan.

Dampak runtime terhadap aplikasi dan alur

Sebagai admin, Anda dapat memutuskan untuk memodifikasi Kebijakan isolasi penyewa untuk penyewa pada titik mana pun. Jika aplikasi dan alur dibuat dan dieksekusi sesuai dengan kebijakan isolasi penyewa sebelumnya, sebagian dari mereka mungkin terpengaruh secara negatif oleh perubahan kebijakan apa pun yang Anda buat. Aplikasi atau alur yang melanggar kebijakan isolasi penyewa tidak akan berhasil dijalankan. Contohnya, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal. Lebih lanjut, memilih eksekusi yang gagal akan menampilkan rincian kesalahan.

Untuk alur yang ada dan tidak berhasil dijalankan karena kebijakan isolasi penyewa terbaru, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal.

Daftar riwayat eksekusi alur.

Memilih eksekusi yang gagal akan menampilkan rincian eksekusi alur yang gagal.

Detail kegagalan eksekusi alur.

Catatan

Dibutuhkan sekitar satu jam hingga perubahan kebijakan isolasi penyewa terbaru dinilai terhadap aplikasi dan alur aktif. Perubahan ini tidak seketika.

Masalah yang diketahui

Azure DevOps konektor menggunakan autentikasi sebagai penyedia identitas, tetapi menggunakan Microsoft Entra alur OAuth dan STS-nya sendiri untuk mengotorisasi dan menerbitkan token. Karena token yang dikembalikan dari alur ADO berdasarkan konfigurasi Konektor tersebut bukan dari Microsoft Entra ID, kebijakan isolasi penyewa tidak diberlakukan. Sebagai mitigasi, sebaiknya gunakan jenis kebijakan data lainnya untuk membatasi penggunaan konektor atau tindakannya.