Restriccions entrants i sortints entre inquilins
Nota
El centre Power Platform d'administració nou i millorat ja està en versió preliminar pública. Hem dissenyat el nou centre d'administració perquè sigui més fàcil d'utilitzar, amb una navegació orientada a tasques que us ajuda a aconseguir resultats específics més ràpidament. Publicarem documentació nova i actualitzada a mesura que el nou Power Platform centre d'administració passi a la disponibilitat general.
Microsoft Power Platform té un ric ecosistema de connectors basats en Microsoft Entra els quals permeten als usuaris autoritzats Microsoft Entra crear aplicacions i fluxos convincents establint connexions amb les dades empresarials disponibles a través d'aquests magatzems de dades. L'aïllament de l'inquilí permet als administradors garantir que aquests connectors puguin aprofitar-se de manera segura dins de l'inquilí i, al mateix temps, minimitzar el risc de filtració de dades fora de l'inquilí. L'aïllament de l'inquilí permet Power Platform als administradors controlar eficaçment el moviment de les dades de l'inquilí des de Microsoft Entra fonts de dades autoritzades cap a i des del seu inquilí.
Power Platform L'aïllament de l'inquilí és diferent de la restricció de Microsoft Entra l'inquilí a tot l'ID. No afecta Microsoft Entra l'accés basat en identificació fora de Power Platform. Power Platform L'aïllament de l'inquilí només funciona per a connectors que utilitzen Microsoft Entra l'autenticació basada en ID, com ara Office 365 l'Outlook o SharePoint.
Advertiment
Hi ha un problema conegut amb el Azure DevOps connector que fa que la política d'aïllament de l'inquilí no s'apliqui per a les connexions establertes amb aquest connector. Si un vector d'atac intern és un problema, us recomanem que limiteu l'ús del connector o les seves accions mitjançant polítiques de dades.
La configuració per defecte amb Power Platform l'aïllament de l'inquilí desactivat és permetre que les connexions entre inquilins s'estableixin sense problemes, si l'usuari de l'inquilí A que estableix la connexió amb l'inquilí B presenta les credencials adequades Microsoft Entra . Si els administradors volen permetre que només un conjunt selecte d'inquilins estableixi connexions entre el seu inquilí, poden Activar l'aïllament de l'inquilí.
Amb l'aïllament de l'inquilí Activat, tots els inquilins estan restringits. Les connexions entrants (connexions a l'inquilí des d'inquilins externs) i sortints (connexions des de l'inquilí a inquilins externs) es bloquegen fins Power Platform i tot si l'usuari presenta credencials vàlides a la Microsoft Entra font de dades segura. Podeu utilitzar regles per afegir excepcions.
Els administradors poden especificar una llista de permeses explícita dels inquilins que volen permetre l'entrada, la sortida o tots dos, que evita els controls d'aïllament de l'inquilí quan es configura. Els administradors poden utilitzar un patró especial "*" per permetre tots els inquilins en una direcció específica quan l'aïllament de l'inquilí estigui activat. Totes les altres connexions entre inquilins, excepte les de la llista de permeses, són rebutjades Power Platform.
L'aïllament de l'inquilí es pot configurar al Centre d'administració del Power Platform. Afecta les aplicacions de llenç del Power Platform i els fluxos del Power Automate. Per configurar l'aïllament de l'inquilí, heu de ser administrador d'inquilins.
La capacitat d'aïllament de l'inquilí del Power Platform està disponible amb dues opcions: restricció unidireccional o bidireccional.
Entendre els escenaris i l'impacte d'aïllament dels inquilins
Abans de començar a configurar les restriccions d'aïllament de l'inquilí, reviseu la llista següent per entendre els escenaris i l'impacte de l'aïllament de l'inquilí.
- L'administrador vol activar l'aïllament de l'inquilí.
- A l'administrador li preocupa que les aplicacions i els fluxos existents que utilitzen connexions entre inquilins deixin de funcionar.
- L'administrador decideix habilitar l'aïllament de l'inquilí i afegir regles d'excepció per eliminar l'impacte.
- L'administrador executa els informes d'aïllament entre inquilins per determinar els inquilins que han d'estar exempts. Més informació: Tutorial: Crear informes d'aïllament entre inquilins (visualització prèvia)
Aïllament de l'inquilí bidireccional (restricció de connexió d'entrada i sortida)
L'aïllament bidireccional de l'inquilí bloqueja els intents d'establiment de connexió amb l'inquilí des d'altres inquilins. A més, l'aïllament bidireccional de l'inquilí també bloqueja els intents d'establiment de connexió del vostre inquilí a altres inquilins.
En aquest escenari, l'administrador d'inquilins permet l'aïllament bidireccional de l'inquilí a l'inquilí de Contoso mentre l'inquilí extern de Fabrikam no s'ha afegit a la llista de permisos.
Els usuaris que Power Platform han iniciat la sessió a l'inquilí de Contoso no poden establir connexions basades en ID de Microsoft Entra sortida a fonts de dades a l'inquilí de Fabrikam tot i presentar les credencials adequades Microsoft Entra per establir la connexió. Aquest és un aïllament de l'inquilí sortint per a l'inquilí de Contoso.
De la mateixa manera, els usuaris que han iniciat Power Platform la sessió a l'inquilí de Fabrikam no poden establir connexions basades en ID d'entrada Microsoft Entra a les fonts de dades de l'inquilí de Contoso tot i presentar les credencials adequades Microsoft Entra per establir la connexió. Aquest és un aïllament de l'inquilí entrant per a l'inquilí de Contoso.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) | Fabrikam | No (sortida) |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) | No (entrada) |
| Fabrikam | Fabrikam | Sí |
Nota
Un intent de connexió iniciat per un usuari convidat, des del seu inquilí de l'amfitrió que té com a objectiu fonts de dades dins del mateix inquilí de l'amfitrió, no s'avalua mitjançant les regles d'aïllament de l'inquilí.
Aïllament de l'inquilí amb llistes de permeses
L'aïllament unidireccional de l'inquilí o l'aïllament d'entrada bloqueja els intents d'establiment de connexió amb l'inquilí des d'altres inquilins.
Escenari: llista de permisos de sortida: Fabrikam s'afegeix a la llista de permesos de sortida de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam a la llista de permesos de sortida mentre l'aïllament de l'inquilí està activat.
Els usuaris que hagin iniciat Power Platform sessió a l'inquilí de Contoso poden establir connexions basades en ID de sortida Microsoft Entra a fonts de dades de l'inquilí de Fabrikam si presenten les credencials adequades Microsoft Entra per establir la connexió. L'establiment de la connexió de sortida a l'inquilí de Fabrikam està permès en virtut de l'entrada de permís configurat.
Tanmateix, els usuaris que han iniciat Power Platform la sessió a l'inquilí de Fabrikam encara no poden establir connexions basades en ID d'entrada Microsoft Entra a les fonts de dades de l'inquilí de Contoso tot i presentar les credencials adequades Microsoft Entra per establir la connexió. L'establiment de connexions d'entrada des de l'inquilí de Fabrikam encara no està permès fins i tot quan l'entrada de la llista de permesos està configurada i permet connexions de sortida.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam afegit a la llista de permesos de sortida |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam afegit a la llista de permesos de sortida |
No (entrada) |
| Fabrikam | Fabrikam | Sí |
Escenari: llista de permesos bidireccional: Fabrikam s'afegeix a les llistes de permeses d'entrada i sortida de l'inquilí de Contoso
En aquest escenari, l'administrador afegeix l'inquilí de Fabrikam a les llistes de permís d'entrada i de sortida mentre l'aïllament de l'inquilí està activat.
| Inquilí de creador de la connexió | Inquilí d'inici de la sessió de la connexió | Es permet l'accés? |
|---|---|---|
| Contoso | Contoso | Sí |
| Contoso (aïllament de l'inquilí Activat) Fabrikam afegit a les dues llistes de permesos |
Fabrikam | Sí |
| Fabrikam | Contoso (aïllament de l'inquilí Activat) Fabrikam afegit a les dues llistes de permesos |
Sí |
| Fabrikam | Fabrikam | Sí |
Permetre l'aïllament de l'inquilí i configurar la llista de permesos
A la subfinestra de navegació, seleccioneu Seguretat.
A la subfinestra Seguretat , seleccioneu Identitat i accés.
A la pàgina Gestió d'identitats i accessos, seleccioneu Aïllament d'inquilins.
Per permetre l'aïllament de l'inquilí, activeu l'opció Restringiu les connexions entre inquilins.
Per permetre la comunicació entre inquilins, seleccioneu Afegeix excepcions a la subfinestra Aïllament de l'inquilí .
Si l'aïllament de l'inquilí està desactivat, encara podeu afegir o editar la llista d'excepcions. Tanmateix, les llistes d'excepcions no s'apliquen fins que no activeu l'aïllament de l'inquilí.
A la llista desplegable Direcció permesa, seleccioneu la direcció de l'entrada de la llista de permisos.
Introduïu el valor de l'inquilí permès com a domini o ID d'inquilí al camp Identificador d'inquilí . Un cop desada, l'entrada s'afegeix a la llista de permesos juntament amb altres inquilins permesos. Si utilitzeu el domini de l'inquilí per afegir l'entrada de la llista de permisos, el centre d'administració Power Platform calcula automàticament l'identificador de l'inquilí.
Podeu utilitzar "*" com a caràcter especial per indicar que tots els inquilins estan permesos en la direcció designada quan l'aïllament de l'inquilí està activat.
Seleccioneu Desa.
Nota
Heu de tenir una Power Platform funció d'administrador per veure i definir la norma d'aïllament de l'inquilí.
Nota
Per assegurar-vos que l'aïllament de l'inquilí no bloquegi cap trucada quan s'utilitza, activeu l'aïllament de l'inquilí, afegiu una regla d'inquilí nova, definiul'identificador de l'inquilí com a "*" i definiu la direcció permesa com a entrant i sortint.
Podeu realitzar totes les operacions de la llista de permisos, com ara afegir, editar i suprimir mentre l'aïllament de l'inquilí està activat o desactivat . Les entrades de la llista de permesos tenen un efecte en el comportament de connexió quan l'aïllament de l'inquilí està desactivat , ja que es permeten totes les connexions entre inquilins.
Impacte en temps de disseny a aplicacions i fluxos
Els usuaris que creen o editen un recurs, afectats per la norma d'aïllament de l'inquilí, veuen un missatge d'error relacionat. Per exemple, Power Apps els creadors veuen l'error següent quan utilitzen connexions entre inquilins en una aplicació bloquejada per les polítiques d'aïllament de l'inquilí. L'aplicació no afegeix la connexió.
De la mateixa manera, Power Automate els creadors veuen l'error següent quan intenten desar un flux que utilitza connexions en un flux bloquejat per les normes d'aïllament de l'inquilí. El flux en si es desa, però es marca com a "suspès" i no s'executa tret que el creador resolgui la infracció de la política de prevenció de pèrdua de dades (DLP).
Incidència al temps d'execució d'aplicacions i fluxos
Com a administrador, podeu decidir si voleu modificar les normes d'aïllament de l'inquilí per a l'inquilí o per a entorns específics en qualsevol moment. Si les aplicacions i els fluxos s'han creat i executat d'acord amb normes d'aïllament de l'inquilí anteriors, pot ser que algunes es vegin afectades negativament pels canvis de normes que feu. Les aplicacions o els fluxos que infringeixen la norma d'aïllament de l'inquilí no s'executen correctament. Per exemple, l'historial d'execucions al Power Automate indica que l'execució de flux ha fallat. A més, seleccionant l'execució fallida es mostren els detalls de l'error.
Per als fluxos existents que no s'executen correctament a causa de la norma d'aïllament de l'inquilí, l'historial d'execucions del Power Automate indica que l'execució del flux ha fallat.
En seleccionar l'execució fallida, es mostren els detalls de l'execució de flux fallida.
Nota
Els últims canvis a la norma d'aïllament de l'inquilí triguen aproximadament una hora a avaluar-se a les aplicacions i els fluxos actius. Aquest canvi no és instantani.
Problemes coneguts
Azure DevOps El connector utilitza Microsoft Entra l'autenticació com a proveïdor d'identitat, però utilitza el seu propi OAuth flux i STS per autoritzar i emetre un testimoni. Com que el testimoni retornat del flux de l'ADO basat en la configuració d'aquest connector no és de l'ID, la norma d'aïllament Microsoft Entra de l'inquilí no s'aplica. Com a mitigació, us recomanem que utilitzeu altres tipus de normes de dades per limitar l'ús del connector o les seves accions.