分享方式:


跨用戶對內及對外存取限制

Microsoft Power Platform 擁有豐富的 Microsoft Entra 連接器生態系統,可讓經授權的 Microsoft Entra 使用者組建引人注目的應用程式和流程,並透過這些資料存放區建立與可用商務資料的連線。 租用戶隔離可讓管理員輕鬆確保在租用戶內以安全可靠的方式使用這些連接器,同時將資料洩露到租用戶外的風險降至最低。 租用戶隔離使 Power Platform 管理員能夠有效地管理租戶數據從 Microsoft Entra 授權數據源移入和移出其租戶的過程。

請注意,Power Platform 租用戶隔離與全 Microsoft Entra ID 租用戶限制不同。 它不會影響 Power Platform 之外的 Microsoft Entra ID 式存取權。 Power Platform 租用戶隔離僅適用於使用 Microsoft Entra ID 式驗證的連接器如 Office 365 Outlook 或 SharePoint。

警告

Azure DevOps 連接器存在一個已知問題,導致不會對使用此連接器建立的連接強制執行租用戶隔離原則。 如果擔心內部攻擊媒介,建議使用資料原則限制連接器的使用或其動作。

Power Platform 中租用戶隔離關閉的預設設定允許無縫建立跨租用戶連線,前提是租用戶 A 中的使用者在與租用戶 B 建立連線時提供適當的 Microsoft Entra 認證。 如果管理員只想允許一組選定的租用戶來建立與其租用戶的連線,則可以將租用戶隔離開啟

租用戶隔離開啟時,會限制所有租用戶。 Power Platform 會封鎖輸入 (從外部租用戶到租戶的連線) 和出站 (從租用戶到外部租用戶的連線) 跨租用戶連線,即便使用者向受 Microsoft Entra 保護的資料來源提供有效認證也會遭到封鎖。 您可以使用規則來新增例外狀況。

管理員可以指定要啟用傳入傳出或啟用兩者的明確租用戶允許清單,這將在設定時繞過租用戶隔離控制。 開啟租用戶隔離後,管理員可以使用特殊模式 “*” 允許所有租用戶進入特定方向。 Power Platform 會拒絕允許清單中跨租用戶連線之外的所有跨租用戶連線。

您可以在 Power Platform 系統管理中心設定租用戶隔離。 這會影響 Power Platform 畫布應用程式和 Power Automate 流程。 您必須是 租用戶管理員才能設定租用戶隔離。

Power Platform 租用戶隔離功能可提供兩個選項:單向或雙向限制。

瞭解租用戶隔離案例和影響

在開始設定租用戶隔離限制之前,請先查看下列清單,瞭解租用戶隔離的案例和影響。

  • 管理員想要開啟租用戶隔離。
  • 管理員擔心使用跨租用戶連接的現有應用程式和流程將會停止運作。
  • 管理員會決定啟用租用戶隔離,並新增例外規則以消除影響。
  • 管理員會執行跨租用戶隔離報表,來確定需要豁免的租用戶。 其他資訊:教學課程:建立跨租用戶隔離報表 (預覽版)

雙向租用戶隔離 (傳入和傳出連線限制)

雙向租用戶隔離將會封鎖其他租用戶嘗試連接至您租用戶的連線。 此外,雙向租用戶隔離也會封鎖您的租用戶嘗試連接至其他租用戶的連線。

在此案例中,租用戶管理員已在 Contoso 租用戶上啟用了雙向租用戶隔離,同時外部 Fabrikam 租用戶尚未新增至允許清單。

在 Contoso 租用戶中登入 Power Platform 的使用者無法與 Fabrikam 租用戶中的資料來源建立 Microsoft Entra ID 式傳出連線,即便提供適當的 Microsoft Entra 認證來建立連線也不行。 這是 Contoso 租用戶的傳出租用戶隔離。

同樣地,在 Fabrikam 租用戶中登入 Power Platform 的使用者無法與 Contoso 租用戶中的資料來源建立 Microsoft Entra ID 式輸入連線,即便提供適當的 Microsoft Entra 認證來建立連線也不行。 這是 Contoso 租用戶的傳入租用戶隔離。

連線建立者租用戶 連線登入租用戶 是否允許存取?
Contoso Contoso .是
Contoso (租用戶隔離 開啟) Fabrikam 否 (傳出)
Fabrikam Contoso (租用戶隔離 開啟) 否 (傳入)
Fabrikam Fabrikam .是

限制傳出和傳入跨租用戶存取。

注意

租用戶隔離規則不會評估來賓使用者從其主機租用戶,針對同一主機租用戶內的資料來源發起的連線嘗試。

使用允許清單進行租用戶隔離

單向租用戶隔離或傳入隔離將會封鎖其他租用戶嘗試連接至您租用戶的連線。

案例:傳出允許清單 – Fabrikam 會新增至 Contoso 租用戶的傳出允許清單

在此案例中,管理員會在租用戶隔離開啟時,在傳出允許清單中新增 Fabrikam 租用戶。

在 Contoso 租用戶中登入 Power Platform 的使用者可以與 Fabrikam 租用戶中的資料來源建立 Microsoft Entra ID 式傳出連線,前提是他們提供了適當的 Microsoft Entra 認證來建立連線。 借由設定的允許清單項目允許與 Fabrikam 租用戶建立傳出連線。

但是,在 Fabrikam 租用戶中登入 Power Platform 的使用者仍無法與 Contoso 租用戶中的資料來源建立 Microsoft Entra ID 式輸入連線,即便提供適當的 Microsoft Entra 認證來建立連線也不行。 即使設定了允許清單項目並允許傳出連線,仍不允許從 Fabrikam 租用戶建立傳入連線。

連線建立者租用戶 連線登入租用戶 是否允許存取?
Contoso Contoso .是
Contoso (租用戶隔離 開啟)
Fabrikam 新增至傳出允許清單
Fabrikam .是
Fabrikam Contoso (租用戶隔離 開啟)
Fabrikam 新增至傳出允許清單
否 (傳入)
Fabrikam Fabrikam .是

限制傳入連線。

案例:雙向允許清單 – Fabrikam 會新增至 Contoso 租用戶的傳入和傳出允許清單

在此案例中,管理員會在租用戶隔離設為開啟時,將 Fabrikam 租用戶新增到輸入和輸出允許清單中。

連線建立者租用戶 連線登入租用戶 是否允許存取?
Contoso Contoso .是
Contoso (租用戶隔離 開啟)
Fabrikam 已新增至兩個允許清單
Fabrikam .是
Fabrikam Contoso (租用戶隔離 開啟)
Fabrikam 已新增至兩個允許清單
.是
Fabrikam Fabrikam .是

雙向允許清單。

啟用租用戶隔離並設定允許清單

在 Power Platform 系統管理中心中,使用原則>租用戶隔離來設定租用戶隔離。

注意

您必須具有 Power Platform 系統管理員角色才能查看和設置租用戶隔離策略。

使用租用戶隔離頁面上的新增租用戶規則來設定租用戶隔離允許清單。 如果租用戶隔離是關閉的,您可以在清單中新增或編輯規則。 但是,在您將租用戶隔離設為開啟前,這些規則不會強制執行。

新增租用戶規則方向下拉式清單中,選擇允許清單項目的方向。

選取新增租用戶規則的方向。

您還可以輸入允許租用戶的值做為租用戶網域或租用戶識別碼。 儲存之後,此項目會與其他允許的租用戶一起新增至規則清單。 如果您使用租用戶網域來新增允許清單項目,則 Power Platform 系統管理中心會自動計算租用戶識別碼。

項目出現在清單後,就會顯示租用戶識別碼Microsoft Entra 租用戶名稱欄位。 請注意,在 Microsoft Entra ID 中,租用戶名稱與租用戶網域不同。 租用戶名稱對於租用戶來說是唯一的,但一個租用戶可能有多個網域名稱。

您可以使用 "*" 做為特殊字元,表示當租用戶隔離開啟時,所有租用戶都可以在指定方向上。

您可以根據業務需求編輯租用戶允許清單項目的方向。 請注意,在編輯租用戶規則頁面中無法編輯租用戶網域或識別碼欄位。

您可以在開啟關閉租用戶隔離時執行所有允許清單作業 (例如新增、編輯和刪除)。 當租用戶隔離設為關閉時,允許清單項目確實會影響連線行為,因為這會允許所有跨租用戶連線。

對應用程式和流程造成的設計階段影響

建立或編輯受租用戶隔離原則影響之資源的使用者,將會看到相關的錯誤訊息。 例如,Power Apps 製作者在租用戶隔離原則封鎖的應用程式中使用跨租用戶連線時,會看到以下錯誤訊息。 應用程式將不會新增該連線。

錯誤:資料未正確載入。請再試一次。

同樣地,當 Power Automate 製作者嘗試儲存使用連線的流程時,他們會在租用戶隔離原則封鎖的流程中看到以下錯誤訊息。 將會儲存流程本身,但其會標示為「擱置」且不會執行,除非製作者解決了資料外洩防護原則 (DLP) 違規問題。

錯誤:無法擷取值。動態叫用要求失敗,出現錯誤 - 錯誤文字。

對應用程式和流程造成的執行階段影響

身為管理員,您可以隨時隨時修改您租用戶的租用戶隔離原則。 如果應用程式和流程是按照先前的租用戶隔離原則建立和執行的,則您所做的原則變更可能會對部分應用程式和流程造成負面影響。 違反租用戶隔離原則的應用程式或流程將無法順利執行。 例如,Power Automate 中的執行歷程記錄會表示流程執行失敗。 此外,選取失敗的執行將會顯示錯誤的詳細資料。

對於因最新的租用戶隔離原則而未成功執行的現有流程,Power Automate 中的執行歷程記錄會表示流程執行失敗。

執行歷程記錄清單。

選取失敗的執行將會顯示失敗流程執行的詳細資料。

流程執行失敗詳細資料。

注意

針對使用中的應用程式和流程評估最新的租用戶隔離原則變更大約需要一小時。 這不是及時變更。

已知問題

Azure DevOps Connector 使用 Microsoft Entra 身份驗證作為身份提供程式,但使用自己的 OAuth 流和 STS 來授權和頒發令牌。 由於基於該連接器的設定從 ADO 流程傳回的權杖不是來自 Microsoft Entra ID,因此不強制執行租用戶隔離原則。 作為緩解措施,我們建議使用其他類型的 數據策略 來限制連接器或其操作的使用。