跨租户入站和出站限制

Microsoft Power Platform 具有基于 Microsoft Entra 的丰富连接器生态系统，允许授权 Microsoft Entra 用户构建引人注目的应用和流程，建立与通过这些数据存储提供的业务数据的连接。 租户隔离使管理员可以轻松地确保可以在租户内以安全可靠的方式利用这些连接器，同时将数据外泄到租户外的风险降至最低。 租户隔离允许全局管理员和 Power Platform 管理员有效地管理租户数据从 Microsoft Entra 授权数据源到其租户的移动。

请注意，Power Platform 租户隔离与 Microsoft Entra ID 范围的租户限制不同。 它不影响 Power Platform 之外的基于 Microsoft Entra ID 的访问。 Power Platform 租户隔离仅适用于使用基于 Microsoft Entra ID 的身份验证的连接器，如 Office 365 Outlook 或 SharePoint。

警告

Azure DevOps 连接器存在一个已知问题，导致无法对使用此连接器建立的连接执行租户隔离策略。 如果内部攻击途径令人担忧，建议使用数据策略限制使用连接器或其操作。

租户隔离关闭的 Power Platform 中的默认配置将允许无缝建立跨租户连接，如果来自租户 A 的用户与租户 B 建立连接，将提供适当的 Microsoft Entra 凭据。 如果管理员希望仅允许一组选定的租户与他们的租户建立进出连接，他们可以打开租户隔离。

租户隔离为开时，所有租户都受到限制。 入站（从外部租户到租户的连接）和出站（从租户到外部租户的连接）跨租户连接将被 Power Platform 阻止，即使用户向受 Microsoft Entra 保护的数据源提供有效凭据。 您可以使用规则添加例外。

管理员可以指定他们想要启用入站、出站或两者都启用的租户的明确允许列表，这将在配置了租户隔离控制时绕过这些控制。 打开租户隔离后，管理员可以使用特殊模式“*”在特定方向允许所有租户。 除了允许列表中的跨租户连接之外，所有其他跨租户连接都将被 Power Platform 拒绝。

租户隔离可以在 Power Platform 管理中心配置。 它会影响 Power Platform 画布应用和 Power Automate 流。 要设置租户隔离，您需要是租户管理员。

Power Platform 租户隔离功能具有两个选项：单向或双向限制。

了解租户隔离场景和影响

在开始配置租户隔离限制之前，请查看以下列表，以了解租户隔离的场景和影响。

• 管理员希望启用租户隔离。
• 管理员担心使用跨租户连接的现有应用和流将停止工作。
• 管理员决定启用租户隔离，并添加例外规则来消除影响。
• 管理员运行跨租户隔离报告来确定需要豁免的租户。 更多信息：教程：创建跨租户隔离报告（预览）

双向租户隔离（入站和出站连接限制）

双向租户隔离将阻止其他租户尝试与您的租户建立连接。 此外，双向租户隔离还将阻止从您的租户到其他租户的连接建立尝试。

在这种情况下，租户管理员已在 Contoso 租户上启用双向租户隔离，而外部 Fabrikam 租户尚未被添加到允许列表中。

在 Contoso 租户中登录到 Power Platform 的用户无法与 Fabrikam 租户中的数据源建立基于 Microsoft Entra ID 的出站连接，尽管提供了适当的 Microsoft Entra 凭据来建立连接。 这是 Contoso 租户的出站租户隔离。

类似地，在 Fabrikam 租户中登录到 Power Platform 的用户无法与 Contoso 租户中的数据源建立基于 Microsoft Entra ID 的入站连接，尽管提供了适当的 Microsoft Entra 凭据来建立连接。 这是 Contoso 租户的入站租户隔离。

连接创建者租户	连接登录租户	允许访问？
Contoso	Contoso	是
Contoso（租户隔离打开）	Fabrikam	否（出站）
Fabrikam	Contoso（租户隔离打开）	否（入站）
Fabrikam	Fabrikam	是

备注

租户隔离规则不评估来宾用户从其主机租户针对同一主机租户内的数据源发起的连接尝试。

使用允许列表的租户隔离

单向租户隔离或入站隔离将阻止其他租户到您的租户的连接建立尝试。

场景：出站允许列表 – Fabrikam 被添加到 Contoso 租户的出站允许列表中

在此场景中，管理员将 Fabrikam 租户添加到出站允许列表中，并且租户隔离打开。

如果提供适当的 Microsoft Entra ID 凭据来建立连接，在 Contoso 租户中登录到 Power Platform 的用户可以与 Fabrikam 租户中的数据源建立基于 Microsoft Entra 的出站连接。 由于配置了允许列表条目，允许与 Fabrikam 租户建立出站连接。

但是，在 Fabrikam 租户中登录到 Power Platform 的用户仍然无法与 Contoso 租户中的数据源建立基于 Microsoft Entra ID 的入站连接，尽管提供了适当的 Microsoft Entra 凭据来建立连接。 即使配置了允许列表条目并允许出站连接，但仍不允许从 Fabrikam 租户建立入站连接。

连接创建者租户	连接登录租户	允许访问？
Contoso	Contoso	是
Contoso（租户隔离打开） Fabrikam 被添加到出站允许列表	Fabrikam	是
Fabrikam	Contoso（租户隔离打开） Fabrikam 被添加到出站允许列表	否（入站）
Fabrikam	Fabrikam	是

场景：双向允许列表 – Fabrikam 被添加到 Contoso 租户的入站和出站允许列表中

在此场景中，管理员将 Fabrikam 租户同时添加到入站和出站允许列表中，并且租户隔离打开。

连接创建者租户	连接登录租户	允许访问？
Contoso	Contoso	是
Contoso（租户隔离打开） Fabrikam 被添加到两个允许列表	Fabrikam	是
Fabrikam	Contoso（租户隔离打开） Fabrikam 被添加到两个允许列表	是
Fabrikam	Fabrikam	是

启用租户隔离和配置允许列表

在 Power Platform 管理中心，租户隔离通过策略>租户隔离进行设置。

备注

您必须具有全局管理员角色或 Power Platform 管理员角色才能查看和设置租户隔离策略。

可以使用租户隔离页面的新建租户规则配置租户隔离允许列表。 如果租户隔离关闭，您可以在列表中添加或编辑规则。 但是，只有在您打开租户隔离后，才会强制执行这些规则。

从新租户规则方向下拉列表中，选择允许列表条目的方向。

您还可以输入允许租户的值作为租户域或租户 ID。 保存后，条目将与其他允许的租户一起添加到规则列表中。 如果您使用租户域添加允许列表条目，Power Platform 管理中心会自动计算租户 ID。

条目出现在列表中后，将显示租户 ID 和 Microsoft Entra 租户名称字段。 请注意，在 Microsoft Entra ID 中，租户名称与租户域不同。 租户名称对租户是唯一的，但一个租户可能有多个域名。

当租户隔离打开时，您可以使用“*”作为特殊字符来表示在指定的方向允许所有租户。

您可以根据业务要求编辑租户允许列表条目的方向。 请注意，租户域或 ID 字段无法在编辑租户规则页面进行编辑。

在租户隔离打开或关闭时，您可以执行所有允许列表操作，如添加、编辑和删除。 当租户隔离关闭时，允许列表条目确实会影响连接行为，因为将允许所有跨租户连接。

设计时对应用和流的影响

创建或编辑受租户隔离策略影响的资源的用户将看到相关的错误消息。 例如，Power Apps 制作者在被租户隔离策略阻止的应用中使用跨租户连接时会看到以下错误。 应用不会添加连接。

同样，对于使用被租户隔离策略阻止的流中的连接的流，Power Automate 制作者在尝试保存此类流时会看到以下错误。 流本身将被保存，但将被标记为“暂停”并且不会执行，除非制作者解决了数据丢失防护策略 (DLP) 违规问题。

运行时对应用和流的影响

作为管理员，您可以决定随时修改租户的租户隔离策略。 如果应用和流是按照早期的租户隔离策略创建和执行的，其中一些可能会受到您所做的任何策略更改的影响。 违反租户隔离策略的应用或流将无法成功运行。 例如，Power Automate 内的运行历史记录表明流运行失败。 此外，选择失败的运行将显示错误详细信息。

对于因最新租户隔离策略而未成功运行的现有流，Power Automate 内的运行历史记录表明流运行失败。

选择失败的运行将显示失败的流运行的详细信息。

备注

根据活动应用和流评估最新的租户隔离策略更改大约需要一个小时。 此更改不是瞬间完成的。

已知问题

Azure DevOps 连接器使用 Microsoft Entra 身份验证作为标识提供者，但使用自己的 OAuth 流和 STS 来授权和发放令牌。 由于基于该连接器配置的从 ADO 流返回的令牌不是来自 Microsoft Entra ID，因此不实施租户隔离策略。 作为缓解措施，我们建议使用其他类型的数据策略来限制此连接器或其操作的使用。