Innkommende og utgående begrensninger på tvers av leier

  • Artikkel

Microsoft Power Platform har et omfattende system for tilkobling basert på Microsoft Entra som tillater å autorisere Microsoft Entra-brukere å bygge attraktive apper og flyter som etablerer tilkoblinger til forretningsdataene som er tilgjengelige via disse datalagrene. Leierisolasjon gjør det enkelt for administratorer å sikre at koblingene kan utnyttes på en sikker måte i leieren, samtidig som risikoen for datautløsing utenfor leieren reduseres. Leierisolasjon gjør at globale administratorer og Power Platform-administratorer effektivt kan styre flyttingen av leierdata fra Microsoft Entra-autoriserte datakilder til og fra leieren.

Vær oppmerksom på at Power Platform-leierisolasjon er forskjellig fra Microsoft Entra ID-bred leierbegrensning. Den har ikke innvirkning på Microsoft Entra ID-basert tilgang utenfor Power Platform. Power Platform-leierisolasjon fungerer bare for koblinger som bruker Microsoft Entra ID-basert godkjenning, for eksempel Office 365 Outlook eller SharePoint.

Advarsel!

Det er et kjent problem med Azure DevOps-tilkobling som fører til at leierens isolasjonspolicy ikke håndheves for tilkoblinger som er opprettet ved hjelp av denne koblingen. Hvis en innsideangrepsvektor er opptatt, anbefales det at du begrenser bruken av koblingen eller handlingene ved hjelp av datapolicyer.

Standardkonfigurasjonen i Power Platform med leierisolasjon Av er for å tillate at tilkoblinger på tvers av leiere opprettes sømløst, hvis brukeren fra leier A etablerer tilkoblingen til leier B viser riktig Microsoft Entra-legitimasjon. Hvis administratorer bare vil tillate at et utvalgt sett med leiere kan opprette tilkoblinger til eller fra leieren, kan de slå leierisolasjon.

Når er angitt for leierisolasjon, er alle leiere begrenset. Inngående (tilkoblinger til leieren fra eksterne leiere) og utgående (tilkoblinger fra leieren til eksterne leiere) kryssleierkoblinger blokkeres av Power Platform selv om brukeren viser gyldig legitimasjon til den Microsoft Entra-sikrede datakilden. Du kan bruke regler til å legge til unntak.

Administratorer kan angi en eksplisitt tillatelsesliste over leiere som de vil aktivere inngående, utgående eller begge deler, noe som vil omgå leierisolasjonskontroller når de er konfigurert. Administratorer kan bruke et spesielt mønster “*” for å tillate alle leiere i en bestemt retning når leierisolasjon er aktivert. Alle andre tilkoblinger på tvers av leiere unntatt koblingene i tillatelseslisten, blir avvist av Power Platform.

Leierisolasjon kan konfigureres i Administrasjonssenter for Power Platform. Det påvirker Power Platform-lerretsapper og Power Automate-flyter. Du må være leieradministrator for å konfigurere leierisolasjon.

Power Platform-leierisolasjonsmuligheten er tilgjengelig med to alternativer: enveis eller toveis begrensning.

Forstå scenarier og innvirkning for leierisolasjon

Før du begynner å konfigurere begrensningene for leierisolasjon, går du gjennom listen nedenfor for å finne ut hvilke scenarier og hva som påvirker leierisolasjonen.

  • Administrator vil aktivere leierisolasjon.
  • Administrator er urolig for at eksisterende apper og flyter som bruker tilkoblinger på tvers av leiere, slutter å fungere.
  • Administrator bestemmer seg for å aktivere leierens isolasjon og legge til unntaksregler for å eliminere virkningen.
  • Administrator kjører rapportene om isolasjon på tvers av leiere for å finne ut hvilke leiere som må utelates. Mer informasjon: Opplæring: Opprett rapporter om kryssleierisolasjon (forhåndsversjon)

Toveis leierisolering (innkommende og utgående tilkoblingsbegrensning)

Toveis leierisolasjon blokkerer tilkoblingsforsøk til leieren fra andre leiere. I tillegg vil toveis leierisolasjon også blokkere tilkoblingsforsøk fra leieren din til andre leiere.

I dette scenarioet har leieradministratoren aktivert toveis leierisolasjon i Contoso-leieren, mens den eksterne Fabrikam-leieren ikke er lagt til i tillatelseslisten.

Brukere som er logget på Power Platform i Contoso-leieren, kan ikke opprette utgående Microsoft Entra ID-baserte tilkoblinger til datakilder i Fabrikam-leieren, selv om de presenterer riktig Microsoft Entra-legitimasjon for å opprette tilkoblingen. Dette er utgående leierisolasjon for Contoso-leieren.

På samme måte kan ikke brukere som er logget på Power Platform i Fabrikam-leieren, opprette innkommende Microsoft Entra ID-baserte tilkoblinger til datakilder i Contoso-leieren, selv om de presenterer riktig Microsoft Entra-legitimasjon for å opprette tilkoblingen. Dette er inngående leierisolasjon for Contoso-leieren.

Leier for tilkoblingsoppretter Leier for tilkoblingspålogging Tilgang tillatt?
Contoso Contoso Ja
Contoso (leierisolasjon ) Fabrikam Nei (utgående)
Fabrikam Contoso (leierisolasjon ) Nei (innkommende)
Fabrikam Fabrikam Ja

Begrense utgående og innkommende tilgang på tvers av leieren.

Obs!

Et tilkoblingsforsøk som startes av en gjestebruker fra vertsleieren, som retter seg mot datakilder i samme vertsleier, evalueres ikke av leierisolasjonsreglene.

Leierisolasjon med tillatelseslister

Enveis leierisolasjon eller innkommende isolasjon blokkerer tilkoblingsforsøk på leieren din fra andre leiere.

Scenario: Utgående tillatelsesliste – Fabrikam legges til i den utgående tillatelseslisten for Contoso-leieren

I dette scenarioet legger administratoren til Fabrikam-leieren i den utgående tillatelseslisten mens leierisolering er .

Brukere som er logget på Power Platform i Contoso-leieren, kan opprette utgående Microsoft Entra ID-baserte tilkoblinger til datakilder i Fabrikam-leieren hvis de presenterer riktig Microsoft Entra-legitimasjon for å opprette tilkoblingen. Utgående tilkobling til Fabrikam-leieren er tillatt i kraft av oppføringen for konfigurert tillatelsesliste.

Brukere som er logget på Power Platform i Fabrikam-leieren, kan fremdeles ikke opprette innkommende Microsoft Entra ID-baserte tilkoblinger til datakilder i Contoso-leieren, selv om de presenterer riktig Microsoft Entra-legitimasjon for å opprette tilkoblingen. Innkommende tilkoblingsoppretting fra Fabrikam-leieren er fremdeles ikke tillatt selv om oppføringen for tillatelseslisten er konfigurert og tillater utgående tilkoblinger.

Leier for tilkoblingsoppretter Leier for tilkoblingspålogging Tilgang tillatt?
Contoso Contoso Ja
Contoso (leierisolasjon )
Fabrikam er lagt til i utgående tillatelsesliste		 Fabrikam Ja
Fabrikam Contoso (leierisolasjon )
Fabrikam er lagt til i utgående tillatelsesliste		 Nei (innkommende)
Fabrikam Fabrikam Ja

Begrens innkommende tilkobling.

Scenario: Toveis tillatelsesliste – Fabrikam legges til i den innkommende og utgående tillatelseslisten for Contoso-leieren

I dette scenarioet legger administratoren til Fabrikam-leieren i både den innkommende og utgående tillatelseslisten mens leierisolering er .

Leier for tilkoblingsoppretter Leier for tilkoblingspålogging Tilgang tillatt?
Contoso Contoso Ja
Contoso (leierisolasjon )
Fabrikam er lagt til i begge tillatelseslistene		 Fabrikam Ja
Fabrikam Contoso (leierisolasjon )
Fabrikam er lagt til i begge tillatelseslistene		 Ja
Fabrikam Fabrikam Ja

Toveis tillatelseslister.

Aktiver leierisolasjon og konfigurer tillatelsesliste

I administrasjonssenteret for Power Platform angis leierisolasjon med Policyer>Leierisolasjon.

Obs!

Du må ha rollen Global administrator eller en Power Platform-administratorrolle for å kunne se og angi policyen for leierisolasjon.

Aktiver leierisolasjon.

Tillatelseslisten for leierisolasjon kan konfigureres ved å bruke Ny leierregelpå siden Leierisolasjon. Hvis leierisolasjon er Av, kan du legge til eller redigere reglene i listen. Disse reglene håndheves imidlertid ikke før du slår leierisolasjon.

Ny leierregel for å legge til regel i tillatelseslisten.

Velg retningen til oppføringen for tillatelsesliste i rullegardinlisten Retning for ny leierregel.

Velg retningen for den nye leierregelen.

Du kan også angi verdien til den tillatte leieren som enten leierdomene eller leier-ID. Når oppføringen er lagret, legges den til i regellisten sammen med andre tillatte leiere. Hvis du bruker leierdomenet til å legge til oppføringen for tillatelseslisten, beregner Power Platform-administrasjonssenteret automatisk leier-ID-en.

Velg leierdomene eller leier-ID for den nye leierregelen.

Når oppføringen vises i listen, vises feltene Leier-Id og Microsoft Entra-leiernavn. Vær oppmerksom på at Microsoft Entra ID-leiernavnet er forskjellig fra leierdomenet. Leiernavnet er unikt for leieren, men en leier kan ha mer enn ett domenenavn.

Ny leierregel vises i tillatelseslisten.

Du kan bruke "*" som et spesialtegn for å angi at alle leiere er tillatt i angitt retning når leierisolasjon er slått .

Alle leiere er tillatt i angitt retning når leierisolasjon er aktivert.

Du kan redigere retningen til oppføringen for tillatelsesliste basert på forretningskrav. Vær oppmerksom på at feltet leierdomene eller -ID ikke kan redigeres siden Rediger leierregel.

Rediger en leierregel.

Du kan utføre alle tillatelseslisteoperasjoner som å legge til, redigere og slette mens leierisolasjon er slått eller av. Tillatelseslisteoppføringer har innvirkning på tilkoblingsfunksjonaliteten når leierisolasjon er av fordi alle tilkoblinger på tvers av leiere er tillatt.

Innvirkning ved utformingstid på apper og flyter

Brukere som oppretter eller redigerer en ressurs som er berørt av leierisolasjonspolicyen, ser en relatert feilmelding. Power Apps-utviklere vil for eksempel se følgende feilmelding når de bruker tilkoblinger på tvers av leiere i en app som er blokkert av leierisolasjonspolicyer. Appen legger ikke til tilkoblingen.

Feil: Dataene ble ikke lastet inn riktig. Prøv på nytt.

På samme måten vil Power Automate-utviklere for eksempel se følgende feilmelding når de prøver å lagre en flyt som bruker tilkoblinger i en flyt som er blokkert av leierisolasjonspolicyer. Selve flyten lagres, men den merkes som Opphevet og kjøres ikke med mindre den utvikleren løser bruddet på policyen for hindring av datatap.

Feil: Kan ikke hente verdier. Den dynamiske aktiveringsforespørselen mislyktes med feil – feiltekst.

Innvirkning ved kjøretid på apper og flyter

Som administrator kan du når som helst bestemme deg for å endre leierisolasjonspolicyer. Hvis apper og flyter ble opprettet og kjørt i samsvar med tidligere leierisolasjonspolicyer, kan noen av dem bli negativt påvirket av eventuelle policyendringer du gjør. Apper eller flyter som er i strid med leierisolasjonspolicy, kjører ikke riktig. Hvis du for eksempel kjører loggen i Power Automate, angir dette at flytkjøringen mislyktes. Hvis du velger det mislykkede kjøringen, vises det også detaljer om feilen.

For eksisterende flyter som ikke kjører som de skal på grunn av den nyeste leierisolasjonspolicy, indikerer kjøring av loggen i Power Automate at flytkjøringen mislyktes.

Loggliste for flytkjøring.

Hvis du velger det mislykkede kjøringen, vises det også detaljer om den mislykkede flytkjøringen.

Detaljer om flytkjøringsfeil.

Obs!

Det tar ca. én time før de nyeste endringene for leierisolasjonspolicy vurderes mot aktive apper og flyter. Denne endringen skjer ikke umiddelbart.

Kjente problemer

Azure DevOps -tilkobling bruker Microsoft Entra-godkjenning som identitetsleverandør, men bruker sin egen OAuth-flyt og STS for autorisasjon og utstedelse av et token. Siden tokenet som ble returnert fra ADO-flyten basert på den koblingens konfigurasjon, ikke er fra Microsoft Entra ID, håndheves ikke retningslinjen for leietakerisolering. Som en løsning anbefaler vi at du bruker andre typer datapolicyer til å begrense bruken av koblingen eller dens handlinger.