Restrições de entrada e saída entre inquilinos
O Microsoft Power Platform tem um ecossistema de conectores rico baseado no Microsoft Entra que permite aos utilizadores autorizados do Microsoft Entra criar aplicações e fluxos atraentes que estabelecem ligações aos dados empresariais disponíveis através destes arquivos de dados. O isolamento do inquilino facilita aos administradores garantir que estes conectores podem ser aproveitados de forma segura e protegida dentro do inquilino, minimizando o risco de exfiltração de dados fora do inquilino. Isolamento de inquilinos permite que Power Platform os administradores controlem efetivamente a movimentação de dados de locatários de fontes de Microsoft Entra dados autorizadas de e para seu locatário.
Note que o isolamento de inquilinos do Power Platform é diferente da restrição ao nível do inquilino do ID do Microsoft Entra. Não afeta o acesso baseado no ID do Microsoft Entra fora do Power Platform. O isolamento de inquilinos do Power Platform só funciona para os conectores que utilizam a autenticação baseada no ID do Microsoft Entra, como o Office 365 Outlook ou o SharePoint.
Aviso
Existe um problema conhecido com o conector do Azure DevOps que faz com que a política de isolamento de inquilinos não seja imposta para ligações estabelecidas utilizando este conector. Se um vetor de ataques interno for uma preocupação, recomenda-se que limite a utilização do conector ou das respetivas ações utilizando políticas de dados.
A configuração predefinida no Power Platform com o isolamento de inquilinos Desativado é permitir que as ligações entre inquilinos sejam estabelecidas de forma totalmente integrada, se o utilizador do inquilino A estabelecer a ligação ao inquilino B apresentar credenciais do Microsoft Entra apropriadas. Se os admins quiserem permitir que apenas um conjunto de inquilinos selecionado estabeleça ligações de ou para o respetivo inquilino, podem Ativar o isolamento de inquilinos.
Com o isolamento de inquilinos Ativado, todos os inquilinos são restringidos. As ligações entre inquilinos de entrada (ligações para o inquilino provenientes de inquilinos externos) e de saída (ligações do inquilino para inquilinos externos) são bloqueadas pelo Power Platform, mesmo que o utilizador apresente credenciais válidas para a origem de dados protegida pelo Microsoft Entra. Pode utilizar regras para adicionar exceções.
Os admins podem especificar uma lista de permissões de inquilinos explícita a quem pretendem ativar a entrada, saída ou ambos, os quais contornarão os controlos de isolamento de inquilinos quando configurados. Os admins podem utilizar um padrão especial “*” para permitir que todos os inquilinos numa direção específica quando o isolamento do inquilino é ativado. Todas as outras ligações entre inquilinos, exceto as da lista de admissão, são rejeitadas por Power Platform.
O isolamento de inquilinos pode ser configurado no centro de administração do Power Platform. Afeta aplicações de tela do Power Platform e fluxos do Power Automate. Para configurar o isolamento de inquilinos, precisa de ser um admin de inquilinos.
A funcionalidade de isolamento de inquilinos do Power Platform está disponível com duas opções: restrição unidirecional ou bidirecional.
Compreender cenários de isolamento de inquilinos e o impacto
Antes de começar a configurar as restrições do isolamento de inquilinos, reveja a lista que se segue para compreender os cenários e o impacto do isolamento de inquilinos.
- O admin pretende ativar o isolamento de inquilinos.
- O admin está preocupado que aplicações e fluxos existentes utilizem ligações entre inquilinos deixem de funcionar.
- O admin decide ativar o isolamento de inquilinos e adicionar regras de exceção para eliminar o impacto.
- O admin executa os relatórios de isolamento entre inquilinos para determinar que inquilinos necessitam de ser isentos. Mais informações: Tutorial: Criar relatórios de isolamento entre inquilinos (pré-visualização)
Isolamento de inquilinos bidirecional (restrição às ligações de entrada e saída)
O isolamento de inquilinos bidirecional irá bloquear as tentativas de estabelecimento de ligação ao seu inquilino provenientes de outros inquilinos. Além disso, o isolamento de inquilinos bidirecional também irá bloquear as tentativas de estabelecimento de ligações a partir do seu inquilino para outros inquilinos.
Neste cenário, o admin de inquilinos ativou o isolamento de inquilinos bidirecional no inquilino Contoso, enquanto o inquilino Fabrikam externo não foi adicionado à lista de permissões.
Os utilizadores que iniciarem sessão no Power Platform no inquilino Contoso não podem estabelecer ligações de saída baseadas no ID do Microsoft Entra para origens de dados no inquilino Fabrikam apesar de apresentarem credenciais do Microsoft Entra adequadas para estabelecer a ligação. Isto é isolamento de inquilinos de saída para o inquilino Contoso.
De forma semelhante, os utilizadores que iniciarem sessão no Power Platform no inquilino Fabrikam não conseguem estabelecer ligações de entrada baseadas no ID do Microsoft Entra para origens de dados no inquilino Contoso apesar de apresentarem credenciais do Microsoft Entra adequadas para estabelecer a ligação. Isto é isolamento de inquilinos de entrada para o inquilino Contoso.
| Inquilino do criador de ligações | Inquilino de início de sessão da ligação | Acesso permitido? |
|---|---|---|
| Contoso | Contoso | Sim |
| Contoso (isolamento de inquilinos Ativado) | Fabrikam | Não (saída) |
| Fabrikam | Contoso (isolamento de inquilinos Ativado) | Não (entrada) |
| Fabrikam | Fabrikam | Sim |
Nota
Uma tentativa de ligação iniciada por um utilizador convidado a partir do inquilino de anfitrião que visa as origens de dados no mesmo inquilino de anfitrião não é avaliada pelas regras de isolamento de inquilinos.
Isolamento de inquilinos com listas de permissões
O isolamento de inquilinos unidirecional ou isolamento de saída irá bloquear as tentativas de estabelecimento de ligações ao seu inquilino a partir de outros inquilinos.
Cenário: Lista de permissões de saída – A Fabrikam é adicionada à lista de permissões de saída do inquilino Contoso
Neste cenário, o admin adiciona o inquilino Fabrikam à lista de permissões de saída enquanto o isolamento de inquilinos estiver Ativado.
Os utilizadores que iniciarem sessão no Power Platform no inquilino Contoso podem estabelecer ligações de saída baseadas no ID do Microsoft Entra para origens de dados no inquilino Fabrikam se apresentarem credenciais do Microsoft Entra adequadas para estabelecer a ligação. O estabelecimento da ligação de saída para o inquilino Fabrikam é permitido em virtude da entrada da lista de permissões configurada.
No entanto, os utilizadores que iniciarem sessão no Power Platform no inquilino Fabrikam não conseguem ainda estabelecer ligações de entrada baseadas no ID do Microsoft Entra para origens de dados no inquilino Contoso apesar de apresentarem credenciais do Microsoft Entra adequadas para estabelecer a ligação. O estabelecimento da ligação de entrada do inquilino Fabrikam ainda não é permitido, mesmo que a entrada da lista de permissões seja configurada e permita ligações de saída.
| Inquilino do criador de ligações | Inquilino de início de sessão da ligação | Acesso permitido? |
|---|---|---|
| Contoso | Contoso | Sim |
| Contoso (isolamento de inquilinos Ativado) Fabrikam adicionada à lista de permissões de saída |
Fabrikam | Sim |
| Fabrikam | Contoso (isolamento de inquilinos Ativado) Fabrikam adicionada à lista de permissões de saída |
Não (entrada) |
| Fabrikam | Fabrikam | Sim |
Cenário: Lista de permissões bidirecional – A Fabrikam é adicionada às listas de permissões de entrada e de saída do inquilino Contoso
Neste cenário, o admin adiciona o inquilino Fabrikam às listas de permissões de entrada e de saída enquanto o isolamento de inquilinos estiver Ativado.
| Inquilino do criador de ligações | Inquilino de início de sessão da ligação | Acesso permitido? |
|---|---|---|
| Contoso | Contoso | Sim |
| Contoso (isolamento de inquilinos Ativado) Fabrikam adicionada a ambas as listas de permissões |
Fabrikam | Sim |
| Fabrikam | Contoso (isolamento de inquilinos Ativado) Fabrikam adicionada a ambas as listas de permissões |
Sim |
| Fabrikam | Fabrikam | Sim |
Ativar o isolamento de inquilinos e configurar a lista de permissões
No centro de administração do Power Platform, o isolamento de inquilinos é definido com Políticas>Isolamento de inquilinos.
Nota
Você deve ter uma Power Platform função Administrador para ver e definir a política de isolamento de inquilinos.
A lista de permissões de isolamento de inquilinos pode ser configurada utilizando Nova regra do inquilino na página Isolamento de Inquilinos. Se o isolamento de inquilinos estiver Desativado, pode adicionar ou editar as regras da lista. No entanto, estas regras não serão aplicadas até que Ative o isolamento de inquilinos.
A partir da lista pendente Direção da nova regra do inquilino, escolha a direção da entrada da lista de permissões.
Também pode introduzir o valor do inquilino permitido como o domínio do inquilino ou o ID do inquilino. Uma vez guardada, a entrada é adicionada à lista de regras juntamente com outros inquilinos permitidos. Se utilizar o domínio do inquilino para adicionar a entrada da lista de permissões, o centro de administração do Power Platform calcula automaticamente o ID do inquilino.
Quando a entrada aparecer na lista, os campos ID do Inquilino e Nome do inquilino do Microsoft Entra são apresentados. Note que no ID do Microsoft Entra, o nome do inquilino é diferente do domínio do inquilino. O nome do inquilino é exclusivo do inquilino, mas um inquilino pode ter mais do que um nome de domínio.
Pode utilizar "*" como um caráter especial para significar que todos os inquilinos são permitidos na direção designada quando o isolamento de inquilinos está Ativado.
Pode editar a direção da entrada da lista de permissões de inquilinos baseada em requisitos de negócio. Note que o campo Domínio ou ID do Inquilino não pode ser editado na página Editar regra do inquilino.
Pode executar todas as operações de lista de permissões, como adicionar, editar e eliminar enquanto o isolamento de inquilinos estiver Ativado ou Desativado. As entradas da lista de permissões têm um efeito no comportamento da ligação quando o isolamento de inquilinos é Desativado, uma vez que todas as ligações entre inquilinos são permitidas.
Impacto no tempo de design sobre aplicações e fluxos
Os utilizadores que criam ou editam um recurso afetado pela política de isolamento de inquilinos verão uma mensagem de erro relacionada. Por exemplo, os criadores do Power Apps verão o seguinte erro quando utilizam ligações entre inquilinos numa aplicação que é bloqueada por políticas de isolamento de inquilinos. A aplicação não adicionará a ligação.
De forma semelhante, os criadores do Power Automate verão o seguinte erro quando tentam guardar um fluxo que utiliza ligações num fluxo que é bloqueado por políticas de isolamento de inquilinos. O fluxo em si será guardado, mas será marcado como "Suspenso" e não será executado a menos que o criador resolva a violação da política de prevenção de perda de dados (DLP).
Impacto no runtime sobre aplicações e fluxos
Como admin, pode decidir modificar as políticas de isolamento de inquilinos para o seu inquilino a qualquer momento. Se as aplicações e fluxos foram criados e executados em conformidade com as políticas de isolamento de inquilinos anteriores, algumas delas poderão ser negativamente afetadas por quaisquer mudanças de política que fizer. Aplicações ou fluxos que violam a política de isolamento de inquilinos não serão executados com sucesso. Por exemplo, o histórico de execuções dentro do Power Automate indica que a execução do fluxo falhou. Além disso, selecionar a execução falhada mostrará detalhes do erro.
Para os fluxos existentes que não são executados com sucesso por causa da mais recente política de isolamento de inquilinos, o histórico de execuções dentro do Power Automate indica que a execução do fluxo falhou.
Selecionar a execução falhada mostrará detalhes da execução de fluxo falhada.
Nota
Demora cerca de uma hora para que as alterações mais recentes à política de isolamento de inquilinos sejam avaliadas contra aplicações e fluxos ativos. Esta alteração não é instantânea.
Problemas conhecidos
Azure DevOps connector usa Microsoft Entra autenticação como o provedor de identidade, mas usa seu próprio OAuth fluxo e STS para autorizar e emitir um token. Como o token obtido do fluxo ADO baseado na configuração desse Conector não provém do ID do Microsoft Entra, a política de isolamento de inquilinos não é imposta. Como atenuação, recomendamos o uso de outros tipos de políticas de dados para limitar o uso do conector ou suas ações.