Pembatasan masuk dan keluar lintas penyewa
Catatan
Pusat Power Platform admin yang baru dan ditingkatkan sekarang dalam pratinjau publik! Kami merancang pusat admin baru agar lebih mudah digunakan, dengan navigasi berorientasi tugas yang membantu Anda mencapai hasil tertentu dengan lebih cepat. Kami akan menerbitkan dokumentasi baru dan yang diperbarui saat pusat admin baru Power Platform beralih ke ketersediaan umum.
Microsoft Power Platform memiliki ekosistem konektor yang kaya berdasarkan Microsoft Entra yang memungkinkan pengguna yang berwenang Microsoft Entra untuk membangun aplikasi dan alur yang menarik untuk membangun koneksi ke data bisnis yang tersedia melalui penyimpanan data ini. isolasi penyewa memudahkan administrator untuk memastikan konektor ini dapat dimanfaatkan dengan cara yang aman dan terjamin dalam penyewa, sekaligus meminimalkan risiko penggalian data di luar penyewa. Isolasi penyewa memungkinkan Power Platform administrator untuk secara efektif mengatur pergerakan data penyewa dari Microsoft Entra sumber data resmi ke dan dari penyewa mereka.
Power Platform isolasi penyewa berbeda dari Microsoft Entra pembatasan penyewa di seluruh ID. Ini tidak memengaruhi Microsoft Entra akses berbasis ID di luar Power Platform. Power Platform isolasi penyewa hanya berfungsi untuk konektor yang menggunakan Microsoft Entra autentikasi berbasis ID seperti Office 365 Outlook atau SharePoint.
Peringatan
Ada masalah umum dengan konektor Azure DevOps yang mengakibatkan kebijakan isolasi penyewa tidak diberlakukan untuk koneksi yang dibuat menggunakan konektor ini. Jika vektor serangan orang dalam menjadi perhatian, kami sarankan Anda membatasi penggunaan konektor atau tindakannya menggunakan kebijakan data.
Konfigurasi default dengan Power Platform isolasi penyewa Nonaktif adalah untuk memungkinkan koneksi lintas penyewa dibuat dengan mulus, jika pengguna dari penyewa A yang membuat koneksi ke penyewa B menyajikan kredensial yang sesuai Microsoft Entra . Jika admin hanya ingin mengizinkan rangkaian penyewa pilihan untuk menetapkan sambungan ke atau dari penyewanya, mereka dapat mengaktifkan isolasi penyewa.
Dengan isolasi penyewa Aktif, semua penyewa dibatasi. Koneksi lintas penyewa masuk (koneksi ke penyewa dari penyewa eksternal) dan keluar (koneksi dari penyewa ke penyewa eksternal) diblokir bahkan Power Platform jika pengguna menyajikan kredensial yang valid ke Microsoft Entra sumber data yang diamankan. Anda dapat menggunakan aturan untuk menambahkan pengecualian.
Admin dapat menentukan daftar penyewa yang diizinkan secara eksplisit yang ingin mereka izinkan masuk, keluar, atau keduanya, yang melewati kontrol isolasi penyewa saat dikonfigurasi. Admin dapat menggunakan pola khusus "*" untuk memungkinkan semua penyewa ke arah tertentu saat isolasi penyewa diaktifkan. Semua koneksi lintas penyewa lainnya kecuali yang ada dalam daftar yang diizinkan ditolak oleh Power Platform.
Isolasi penyewa dapat dikonfigurasi di pusat admin Power Platform. Ini memengaruhi aplikasi Canvas Power Platform dan alur Power Automate. Untuk mengkonfigurasikan penyewa terpisah, Anda harus menjadi admin penyewa.
kemampuan isolasi penyewa Power Platform tersedia dengan dua pilihan: pembatasan satu arah atau dua arah.
Memahami skenario dan dampak isolasi penyewa
Sebelum Anda mulai mengonfigurasi pembatasan isolasi penyewa, tinjau daftar berikut untuk memahami skenario dan dampak isolasi penyewa.
- Admin ingin mengaktifkan isolasi penyewa.
- Admin khawatir bahwa aplikasi dan alur yang ada menggunakan koneksi lintas penyewa berhenti berfungsi.
- Admin memutuskan untuk mengaktifkan isolasi penyewa dan menambahkan aturan pengecualian untuk menghilangkan dampaknya.
- Admin menjalankan laporan isolasi lintas penyewa untuk menentukan penyewa yang perlu dikecualikan. Informasi selengkapnya: Tutorial: Membuat laporan isolasi lintas penyewa (pratinjau)
Isolasi penyewa dua arah (pembatasan sambungan masuk dan keluar)
Isolasi penyewa dua arah memblokir upaya pembentukan koneksi ke penyewa Anda dari penyewa lain. Selain itu, isolasi penyewa dua arah juga memblokir upaya pembentukan koneksi dari penyewa Anda ke penyewa lain.
Dalam skenario ini, admin penyewa mengizinkan isolasi penyewa dua arah pada penyewa Contoso sementara penyewa Fabrikam eksternal belum ditambahkan ke daftar yang diizinkan.
Pengguna yang masuk ke penyewa Power Platform Contoso tidak dapat membuat koneksi berbasis ID keluar Microsoft Entra ke sumber data di penyewa Fabrikam meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa keluar untuk penyewa Contoso.
Demikian pula, pengguna yang masuk ke penyewa Power Platform Fabrikam tidak dapat membuat koneksi berbasis ID masuk Microsoft Entra ke sumber data di penyewa Contoso meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Ini adalah isolasi penyewa masuk untuk penyewa Contoso.
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) | Fabrikam | Tidak (Keluar) |
| Fabrikam | Contoso (isolasi penyewa Aktif) | Tidak (Masuk) |
| Fabrikam | Fabrikam | Ya |
Catatan
Upaya koneksi yang dimulai oleh pengguna tamu, dari penyewa host mereka yang menargetkan sumber data dalam penyewa host yang sama, tidak dievaluasi oleh aturan isolasi penyewa.
Isolasi penyewa dengan daftar yang diizinkan
Isolasi penyewa satu arah atau isolasi masuk memblokir upaya pembentukan koneksi ke penyewa Anda dari penyewa lain.
Skenario: Daftar izin keluar – Fabrikam ditambahkan ke daftar izin keluar penyewa Contoso
Dalam skenario ini, admin menambahkan penyewa Fabrikam dalam daftar izin keluar saat isolasi penyewa aktif .
Pengguna yang masuk ke penyewa Power Platform Contoso dapat membuat koneksi berbasis ID keluar Microsoft Entra ke sumber data di penyewa Fabrikam jika mereka menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Penetapan koneksi keluar ke penyewa Fabrikam diizinkan berdasarkan entri izin yang dikonfigurasi.
Namun, pengguna yang masuk Power Platform ke penyewa Fabrikam masih tidak dapat membuat koneksi berbasis ID masuk Microsoft Entra ke sumber data di penyewa Contoso meskipun menyajikan kredensial yang sesuai Microsoft Entra untuk membuat koneksi. Pembentukan koneksi masuk dari penyewa Fabrikam masih tidak diizinkan meskipun entri daftar yang diizinkan dikonfigurasi dan mengizinkan koneksi keluar.
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke daftar yang diizinkan keluar |
Fabrikam | Ya |
| Fabrikam | Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke daftar yang diizinkan keluar |
Tidak (Masuk) |
| Fabrikam | Fabrikam | Ya |
Skenario: Daftar yang diizinkan dua arah – Fabrikam ditambahkan ke daftar izin masuk dan keluar penyewa Contoso
Dalam skenario ini, admin menambahkan penyewa Fabrikam ke daftar izin masuk dan keluar saat isolasi penyewa Aktif .
| Penyewa Kreator koneksi | Penyewa masuk koneksi | Akses diizinkan? |
|---|---|---|
| Contoso | Contoso | Ya |
| Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke kedua daftar yang diizinkan |
Fabrikam | Ya |
| Fabrikam | Contoso (isolasi penyewa Aktif) Fabrikam ditambahkan ke kedua daftar yang diizinkan |
Ya |
| Fabrikam | Fabrikam | Ya |
Izinkan isolasi penyewa dan konfigurasikan daftar yang diizinkan
Di panel navigasi, pilih Keamanan.
Di panel Keamanan , pilih Identitas dan akses.
Di halaman Manajemen identitas dan akses, pilih Isolasi penyewa.
Untuk mengizinkan isolasi penyewa, aktifkan opsi Batasi koneksi lintas penyewa.
Untuk mengizinkan komunikasi lintas penyewa, pilih Tambahkan pengecualian di panel Isolasi penyewa.
Jika isolasi penyewa Nonaktif , Anda masih dapat menambahkan atau mengedit daftar pengecualian. Namun, daftar pengecualian tidak diberlakukan hingga Anda mengaktifkan isolasi penyewa.
Dari daftar dropdown Arah yang diizinkan, pilih arah entri daftar yang diizinkan.
Masukkan nilai penyewa yang diizinkan sebagai domain penyewa atau ID penyewa di bidang ID Penyewa . Setelah disimpan, entri akan ditambahkan ke daftar yang diizinkan bersama dengan penyewa lain yang diizinkan. Jika Anda menggunakan domain penyewa untuk menambahkan entri daftar yang diizinkan, Power Platform pusat admin secara otomatis menghitung ID penyewa.
Anda dapat menggunakan "*" sebagai karakter khusus untuk menandakan semua penyewa diizinkan ke arah yang ditentukan saat isolasi penyewa diaktifkan.
Pilih Simpan.
Catatan
Anda harus memiliki Power Platform peran administrator untuk melihat dan mengatur kebijakan isolasi penyewa.
Catatan
Untuk memastikan bahwa isolasi penyewa tidak memblokir panggilan apa pun saat digunakan, aktifkan isolasi penyewa, tambahkan aturan penyewa baru, atur ID Penyewa sebagai "*", dan atur arah yang diizinkan ke masuk dan keluar.
Anda dapat melakukan semua operasi daftar yang diizinkan seperti menambahkan, mengedit, dan menghapus saat isolasi penyewa diaktifkan atau dinonaktifkan. Entri daftar yang diizinkan memang berpengaruh pada perilaku koneksi saat isolasi penyewa dinonaktifkan karena semua koneksi lintas penyewa diizinkan.
Dampak waktu desain pada aplikasi dan alur
Pengguna yang membuat atau mengedit sumber daya, yang dipengaruhi oleh kebijakan isolasi penyewa, melihat pesan kesalahan terkait. Misalnya, Power Apps pembuat melihat kesalahan berikut saat mereka menggunakan koneksi lintas penyewa di aplikasi yang diblokir oleh kebijakan isolasi penyewa. Aplikasi tidak menambahkan koneksi.
Demikian pula, Power Automate pembuat melihat kesalahan berikut ketika mereka mencoba menyimpan alur yang menggunakan koneksi dalam alur yang diblokir oleh kebijakan isolasi penyewa. Alur itu sendiri disimpan, tetapi ditandai sebagai "Ditangguhkan" dan tidak dijalankan kecuali pembuat menyelesaikan pelanggaran kebijakan pencegahan kehilangan data (DLP).
Dampak runtime terhadap aplikasi dan alur
Sebagai admin, Anda dapat memutuskan untuk memodifikasi Kebijakan isolasi penyewa untuk penyewa pada titik mana pun. Jika aplikasi dan alur dibuat dan dieksekusi sesuai dengan kebijakan isolasi penyewa sebelumnya, sebagian dari mereka mungkin terpengaruh secara negatif oleh perubahan kebijakan apa pun yang Anda buat. Aplikasi atau alur yang melanggar kebijakan isolasi penyewa tidak berhasil berjalan. Contohnya, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal. Selanjutnya, memilih eksekusi yang gagal menunjukkan detail kesalahan.
Untuk alur yang ada dan tidak berhasil dijalankan karena kebijakan isolasi penyewa terbaru, riwayat eksekusi dalam Power Automate menunjukkan bahwa eksekusi alur gagal.
Memilih eksekusi yang gagal memperlihatkan detail eksekusi alur yang gagal.
Catatan
Dibutuhkan sekitar satu jam hingga perubahan kebijakan isolasi penyewa terbaru dinilai terhadap aplikasi dan alur aktif. Perubahan ini tidak seketika.
Masalah yang diketahui
Azure DevOps konektor menggunakan Microsoft Entra autentikasi sebagai penyedia identitas, tetapi menggunakan alur dan STS sendiri OAuth untuk mengotorisasi dan menerbitkan token. Karena token yang dikembalikan dari alur ADO berdasarkan konfigurasi Konektor tersebut bukan dari Microsoft Entra ID, kebijakan isolasi penyewa tidak diterapkan. Sebagai mitigasi, sebaiknya gunakan jenis kebijakan data lain untuk membatasi penggunaan konektor atau tindakannya.