Freigeben über


Beschränkungen für einreisende und ausreisende Fremdmieter

Microsoft Power Platform verfügt über ein reichhaltiges Ökosystem von Connectors, die auf Microsoft Entra basieren, durch die befugte Microsoft Entra-Benutzer die Möglichkeit bekommen, überzeugende Apps und Flows zu erstellen, die Verbindungen zu den Geschäftsdaten herstellen, die über diese Datenspeicher verfügbar sind. Die Mandantenisolation macht es Administratoren leicht, sicherzustellen, dass diese Connectors auf sichere Weise innerhalb des Mandanten genutzt werden können, während das Risiko einer Datenexfiltration außerhalb des Mandanten minimiert wird. Mandantenisolierung ermöglicht Power Platform Administratoren, die Bewegung von Mandantendaten von Microsoft Entra autorisierten Datenquellen zu und von ihrem Mandanten effektiv zu steuern.

Beachten Sie, dass sich die Power Platform-Mandantenisolation von Microsoft Entra ID-weiten Mieterbeschränkungen unterscheidet. Der Microsoft Entra ID-basierte Zugriff außerhalb von Power Platform ist nicht betroffen. Die Isolierung von Power Platform Mandant funktioniert nur für Konnektoren mit Microsoft Entra ID-basierter Authentifizierung, wie z.B. Office 365 Outlook oder SharePoint.

Warnung

Das ist ein bekanntes Problem mit Azure DevOps Konnektor. Dies führt dazu, dass die Mandantenisolationsrichtlinie für Verbindungen, die mit diesem Connector hergestellt werden, nicht erzwungen wird. Wenn ein Insider-Angriffsvektor ein Problem darstellt, wird empfohlen, die Verwendung des Connectors oder seiner Aktionen mithilfe von Datenrichtlinien einzuschränken.

Die Standardkonfiguration in Power Platform mit deaktivierter Mandantenisolation soll es ermöglichen, dass mandantenübergreifende Verbindungen nahtlos aufgebaut werden können, wenn der Benutzer von Mandant A, der eine Verbindung mit Mandant B aufbaut, entsprechende Microsoft Entra-Anmeldeinformationen vorlegt. Wenn Administratoren nur einer ausgewählten Gruppe von Mandanten erlauben möchten, Verbindungen zu oder von ihrem Mandanten herzustellen, können sie die Mandantenisolation aktivieren.

Mit Mandantenisolation auf Ein werden alle Mandanten eingeschränkt. Eingehende (Verbindungen zum Mandanten von externen Mandanten) und ausgehende (Verbindungen vom Mandanten zu externen Mandanten) werden mandantenübergreifend von Power Platform blockiert, selbst wenn der Benutzer der Microsoft Entra-gesicherten Datenquelle gültige Anmeldeinformationen vorlegt. Sie können Regeln verwenden, um Ausnahmen hinzuzufügen.

Administratoren können eine explizite Positivliste von Mandanten angeben, für die sie eingehende, ausgehende oder beide Verbindungsmöglichkeiten aktivieren möchten, wodurch die Steuerelemente der Mandantenisolation umgangen werden, wenn sie konfiguriert sind. Administratoren können ein spezielles Muster „*“ verwenden, um allen Mandanten eine bestimmte Richtung zu erlauben, wenn die Mandantenisolation aktiviert ist. Alle anderen mandantenübergreifenden Verbindungen außer denen in der Positivliste werden von Power Platform abgelehnt.

Die Mandantenisolation kann im Power Platform Admin Center konfiguriert werden. Dies beeinflusst die Power Platform-Canvas-Apps und Power Automate-Flows. Um die Mandantenisolation einzurichten, müssen Sie Mandantenadministrator sein.

Die Power Platform-Mandantenisolationsfunktion ist mit zwei Optionen verfügbar: unidirektionale oder bidirektionale Beschränkung.

Szenarien und Auswirkungen der Mandantenisolierung verstehen

Bevor Sie mit der Konfiguration der Mandantenisolierungseinschränkungen beginnen, lesen Sie die folgende Liste, um die Szenarien und Auswirkungen der Mandantenisolierung zu verstehen.

  • Der Administrierende möchte die Mandantenisolierung aktivieren.
  • Der Administrierende befürchtet, dass vorhandene Apps und Flows, die mandantenübergreifende Verbindungen verwenden, nicht mehr funktionieren.
  • Der Administrierende beschließt, die Mandantenisolierung zu aktivieren und Ausnahmeregeln hinzuzufügen, um die Auswirkungen zu beseitigen.
  • Der Administrierende führt die mandantenübergreifenden Isolierungsberichte aus, um die Mandanten zu ermitteln, für die eine Ausnahme gemacht werden muss. Weitere Informationen: Tutorial: Mandantenübergreifende Isolatierungsberichte erstellen (Vorschau)

Bidirektionale Mandantenisolation (Einschränkung der eingehenden und ausgehenden Verbindungen)

Die bidirektionale Mandantenisolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten. Darüber hinaus blockiert die bidirektionale Mandantenisolation auch die Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.

In diesem Szenario hat der Mandantenadministrator die bidirektionale Mandantenisolation auf dem Contoso-Mandanten aktiviert, während der externe Fabrikam-Mandant nicht der Positivliste hinzugefügt wurde.

Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können keine ausgehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die ausgehende Mandantenisolation für den Contoso-Mandanten.

Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können jedoch trotzdem keine eingehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die eingehende Mandantenisolation für den Contoso-Mandanten.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert) Fabrikam Nein (ausgehend)
Fabrikam Contoso (Mandantenisolation Aktiviert) Nein (eingehend)
Fabrikam Fabrikam Ja

Den mandantenübergreifenden Zugriff auf ausgehende und eingehende Verbindungen beschränken

Anmerkung

Ein Verbindungsversuch, der von einem Gastbenutzer von seinem Host-Mandanten initiiert wird und auf Datenquellen innerhalb desselben Host-Mandanten abzielt, wird nicht von den Mandanten-Isolationsregeln ausgewertet.

Mandantenisolation mit Positivlisten

Die unidirektionale Mandantenisolation oder die eingehende Isolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.

Szenario: Positivliste für ausgehende Verbindungen – Fabrikam wird zur Positivliste für ausgehende Verbindungen des Contoso-Mandanten hinzugefügt

In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ausgehenden Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.

Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können ausgehende Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der ausgehende Verbindungsaufbau zum Fabrikam-Mandanten wird aufgrund des konfigurierten Positivlisteneintrags zugelassen.

Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können jedoch trotzdem keine eingehenden Microsoft Entra ID-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Microsoft Entra-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der Aufbau eingehender Verbindungen vom Fabrikam-Mandanten ist weiterhin nicht zulässig, auch wenn der Positivlisteneintrag konfiguriert ist und ausgehende Verbindungen zulässt.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert)
Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt
Fabrikam Ja
Fabrikam Contoso (Mandantenisolation Aktiviert)
Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt
Nein (eingehend)
Fabrikam Fabrikam Ja

Eingehende Verbindung eingeschränkt.

Szenario: Bidirektionale Positivliste – Fabrikam wird zur Positivliste für ein- und ausgehende Verbindungen des Contoso-Mandanten hinzugefügt

In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ein- sowie ausgehende Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert)
Fabrikam zur beiden Positivlisten hinzugefügt
Fabrikam Ja
Fabrikam Contoso (Mandantenisolation Aktiviert)
Fabrikam zur beiden Positivlisten hinzugefügt
Ja
Fabrikam Fabrikam Ja

Bidirektionale Positivlisten.

Mandantenisolierung aktivieren und Positivliste konfigurieren

Im Power Platform Admin Center ist die Mandantenisolation mit Richtlinien>Mandantenisolation eingestellt.

Anmerkung

Sie müssen über die Rolle Power Platform Administrator verfügen, um die Richtlinie Mandantenisolierung anzuzeigen und festzulegen.

Die Positionliste für die Mandantenisolation kann mithilfe von Neue Mandantenregel auf der Seite Mandantenisolation konfiguriert werden. Wenn die Mandantenisolation deaktiviert ist, können Sie die Regeln in der Liste hinzufügen oder bearbeiten. Diese Regeln werden jedoch erst erzwungen, wenn Sie die Mandantenisolation aktivieren.

Wählen Sie aus der Dropdownliste Richtung neue Mandantenregel die Richtung des Positivlisteneintrags aus.

Wählen Sie die Richtung für die neue Mandantenregel aus.

Sie können den Wert des zulässigen Mandanten auch als Mandantendomäne oder Mandanten-ID eingeben. Nach dem Speichern wird der Eintrag zusammen mit anderen zugelassenen Mandanten zur Regelliste hinzugefügt. Wenn Sie die Mandantendomäne verwenden, um den Positivlisteneintrag hinzuzufügen, berechnet das Power Platform Admin Center die Mandanten-ID automatisch.

Sobald der Eintrag in der Liste erscheint, werden die Felder Mandanten-ID und Microsoft Entra-Mandantenname angezeigt. Beachten Sie, das der Mandantenname in Microsoft Entra ID sich von der Mandantendomäne unterscheidet. Der Mandantenname ist für den Mandanten eindeutig, aber ein Mandant kann mehr als einen Domänennamen haben.

Sie können „*“ als Sonderzeichen verwenden, um anzuzeigen, dass alle Mandanten in die angegebene Richtung erlaubt sind, wenn die Mandantenisolation aktiviert ist.

Sie können die Richtung des Mandanten-Positivlisteneintrags je nach Ihren geschäftlichen Anforderungen bearbeiten. Bitte beachten Sie, dass das Feld Mandantendomäne oder -ID nicht auf der Seite Mandantenregel bearbeiten bearbeitet werden kann.

Sie können alle Positivlistenvorgänge wie Hinzufügen, Bearbeiten und Löschen ausführen, während die Mandantenisolation aktiviert oder deaktiviert ist. Positivlisteneinträge wirken sich auf das Verbindungsverhalten aus, wenn die Mandantenisolation deaktiviert, da alle mandantenübergreifenden Verbindungen erlaubt sind.

Auswirkungen der Entwurfszeit auf Apps und Flows

Benutzer, die eine von der Mandantenisolationsrichtlinie betroffene Ressource erstellen oder bearbeiten, erhalten eine entsprechende Fehlermeldung. Power Apps-Erstellern wird zum Beispiel der folgende Fehler angezeigt, wenn sie mandantenübergreifende Verbindungen in einer App verwenden, die durch Mandantenisolationsrichtlinien blockiert wird. Die App fügt die Verbindung nicht hinzu.

Fehler: Die Daten wurden nicht korrekt geladen. Bitte versuchen Sie es erneut.

Power Automate-Erstellern wird ebenso der folgende Fehler angezeigt, wenn sie versuchen, einen Flow zu speichern, der Verbindungen in einem Flow verwendet, der durch Mandantenisolationsrichtlinien blockiert wird. Der Flow selbst wird gespeichert, aber als „angehalten“ gekennzeichnet und nicht ausgeführt, es sei denn, der Ersteller behebt den Verstoß gegen die Richtlinie zur Verhinderung von Datenverlust (DLP).

Fehler: Werte konnten nicht abgerufen werden. Die dynamische Aufrufsanforderung ist mit Fehler fehlgeschlagen – Fehlertext.

Auswirkungen der Laufzeit auf Apps und Flows

Als Administrator können Sie jederzeit entscheiden, die Mandantenisolationsrichtlinien für Ihren Mandanten zu ändern. Wenn Apps und Flows in Übereinstimmung mit früheren Richtlinien zur Mandantenisolation erstellt und ausgeführt wurden, könnten einige von ihnen durch von Ihnen vorgenommene Richtlinienänderungen negativ beeinflusst werden. Apps oder Flows, die gegen die Mandantenisolationsrichtlinie verstoßen, werden nicht erfolgreich ausgeführt. Der Ausführungsverlauf in Power Automate gibt zum Beispiel an, dass die Flowausführung fehlgeschlagen ist. Darüber hinaus werden bei Auswahl der fehlgeschlagenen Ausführung Details zum Fehler angezeigt.

Der Ausführungsverlauf in Power Automate zeigt für vorhandene Flows, die aufgrund der neuesten Mandantenisolationsrichtlinie nicht erfolgreich ausgeführt werden, an, dass die Flowausführung fehlgeschlagen ist.

Flowausführungsverlaufsliste.

Wenn Sie die fehlgeschlagenen Ausführung anzeigen, werden Details zur fehlgeschlagenen Ausführung angezeigt.

Fehlerdetails der Flowausführung.

Notiz

Es dauert etwa eine Stunde, bis die neuesten Änderungen der Mandantenisolationsrichtlinie anhand aktiver Apps und Flows bewertet werden. Diese Änderung erfolgt nicht sofort.

Bekannte Probleme

Azure DevOps Connector verwendet Microsoft Entra Authentifizierung als Identitätsanbieter, nutzt jedoch seinen eigenen OAuth Flow und STS zum Autorisieren und Ausgeben eines Tokens. Da das vom ADO-Fluss basierend auf der Konfiguration dieses Connectors zurückgegebene Token nicht von Microsoft Entra ID stammt, wird die Mandantenisolationsrichtlinie nicht erzwungen. Zur Risikominderung empfehlen wir die Verwendung anderer Arten von Datenrichtlinien , um die Verwendung des Connectors oder seiner Aktionen einzuschränken.