Inkommande och utgående begränsningar mellan innehavare

Microsoft Power Platform har ett omfattande utbud av anslutningar baserade på Microsoft Entra som gör det möjligt för behöriga Microsoft Entra användare att skapa intressanta program och flöden som skapar anslutningar till affärsdata som är tillgängliga via dessa dataarkiv. Isolering av klientorganisationer gör det enkelt för administratörer att säkerställa att de här anslutningarna kan användas på ett säkert sätt i klientorganisationen samtidigt som risken för datafiltrering minimeras utanför klientorganisationen. Klientorganisationisolering tillåter Power Platform administratörer att effektivt styra rörelsen av klientorganisationsdata från Microsoft Entra auktoriserade datakällor till och från sin klientorganisation.

Power Platform isolering av klientorganisation skiljer sig från Microsoft Entra ID-omfattande begränsning av klientorganisationen. Det påverkar inte för Microsoft Entra ID-baserade åtkomsten utanför Power Platform. Isolering av Power Platform-klientorganisationer fungerar endast för anslutningsprogram som använder Microsoft Entra ID-baserad autentisering, t.ex. Office 365 Outlook eller SharePoint.

Varning

Det finns ett känt problem med Azure DevOps-anslutningsprogram som resulterar i att principen för isolering av klientorganisation inte tillämpas för anslutningar som upprättas med hjälp av den här anslutningsprogram. Om en insiderattackvektor är ett problem rekommenderar vi att du begränsar användningen av anslutningsappen eller dess åtgärder med hjälp av dataprinciper.

Standardkonfigurationen i Power Platform med isolering av klientorganisation Av är att tillåta anslutningar mellan klientorganisationer, om en användare från klientorganisation A som upprättar en anslutning till klientorganisation B visar lämpliga Microsoft Entra-autentiseringsuppgifter. Om administratörer endast vill tillåta att ett urval av klientorganisationer upprättar anslutningar till eller från klientorganisationen, kan de ställa in isolering av klientorganisation på På.

Med isolering av klientorganisation På begränsas alla klientorganisationer. Inkommande (anslutningar till klientorganisationen från externa klientorganisationer) och utgående (anslutningar från klientorganisationen till externa klientorganisationer) anslutningar mellan klientorganisationer blockeras av Power Platform även om användaren uppvisar giltiga autentiseringsuppgifter till den Microsoft Entra-skyddade datakällan. Med hjälp av regler kan du lägga till undantag.

Administratörer kan ange en explicit lista över tillåtna klientorganisationer som de vill tillåta som inkommande, utgående eller både och, vilket kringgår kontroller för isolering av klientorganisation när de konfigureras. Administratörer kan använda ett speciellt mönster “*” för att tillåta ”alla klientorganisation i en specifik riktning när klientorganisationens isolering är aktiverad. Alla andra anslutningar för flera klientorganisationer förutom de i listan över tillåtna avvisas av Power Platform.

Isolering av klientorganisation kan konfigureras i Power Platform administrationscenter. Den påverkar Power Platform arbetsyteappar och Power Automate-flöden. Om du vill konfigurera isolering av klientorganisationen måste du vara administratör i klientorganisationen.

Isoleringsfunktionen för Power Platform-klientorganisationer finns med två alternativ: enkelriktad eller dubbelriktad begränsning.

Förstå isoleringsscenarier för klientorganisation och påverkan

Innan du börjar konfigurera begränsningar för isolering av klientorganisation bör du gå igenom följande lista och se scenarierna och påverkan på isoleringen av klientorganisationen.

• Administratören vill aktivera klientisolering.
• Administratören är bekymrad över att befintliga appar och flöden som använder anslutningar mellan klientorganisationer slutar fungera.
• Administratören bestämmer sig för att aktivera isolering av klientorganisation och lägga till undantagsregler för att eliminera påverkan.
• Administratören kör isoleringsrapporterna för flera klientorganisationer för att fastställa vilka klientorganisationer som behöver vara undantagna. Mer information: Självstudier: Skapa isoleringsrapporter för flera klientorganisationer (förhandsgranskning)

Dubbelriktad klientorganisationsisolering (begränsning av inkommande och utgående anslutning)

Dubbelriktad isolering av klientorganisation blockerar anslutningsförsök till din klientorganisation från andra klientorganisationer. Dubbelriktad isolering av klientorganisation blockerar dessutom försök till anslutningsetablering från din klientorganisation till andra klientorganisationer.

I det här scenariot tillåter administratören för klientorganisationen dubbelriktad isolering av klientorganisationen på Contoso-klientorganisationen, medan den externa Fabrikam-klientorganisationen inte har lagts till på listan över tillåtna.

Användare som är inloggade på Power Platform i Contoso-klientorganisationen kan inte upprätta utgående Microsoft Entra ID-baserade anslutningar till datakällor i Fabrikam-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Det här är en utgående klientorganisation för Contoso-klientorganisationen.

Användare som är inloggade på Power Platform i Fabrikam-klientorganisationen kan inte upprätta ingående Microsoft Entra ID-baserade anslutningar till datakällor i Contoso-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Det här är en inkommande klientorganisation för Contoso-klientorganisationen.

Klientorganisation för skapande av anslutning	Klientorganisation för anslutning via inloggning	Åtkomst tillåten?
Contoso	Contoso	Ja
Contoso (klientorganisations isolering på)	Fabrikam	Nej (utgående)
Fabrikam	Contoso (klientorganisations isolering på)	Nej (inkommande)
Fabrikam	Fabrikam	Ja

Obs

Ett anslutningsförsök som initieras av en gästanvändare, från deras värdklientorganisation som riktar sig mot datakällor inom samma värdklientorganisation, utvärderas inte av reglerna för klientisolering.

Isolering av klientorganisation med listor över tillåtna

Enkelriktad isolering av klientorganisation eller inkommande isolering blockerar försök till anslutningsetablering till din klientorganisation från andra klientorganisationer.

Scenario: Utgående lista över godkända – Fabrikam läggs till i Contoso-klientorganisations utgående lista över tillåtna

I det här scenariot lägger administratören till Fabrikam-klientorganisation i den utgående listan över tillåtna, medan isolering av klientorganisation är På.

Användare som är inloggade på Power Platform i Contoso-klientorganisationen kan inte upprätta utgående Microsoft Entra ID-baserade anslutningar till datakällor i Fabrikam-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Utgående anslutning till Fabrikam-klientorganisationen tillåts genom att den konfigurerade tillåt-listposten upprättas.

Användare som är inloggade på Power Platform i Fabrikam-klientorganisationen kan inte upprätta ingående Microsoft Entra ID-baserade anslutningar till datakällor i Contoso-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Ingående anslutning från Fabrikam-klientorganisationen är fortfarande ej tillåten, även om tillåt-listposten är konfigurerad och tillåter utgående anslutningar.

Klientorganisation för skapande av anslutning	Klientorganisation för anslutning via inloggning	Åtkomst tillåten?
Contoso	Contoso	Ja
Contoso (klientorganisations isolering på) Fabrikam har lagts till i utgående lista över tillåtna	Fabrikam	Ja
Fabrikam	Contoso (klientorganisations isolering på) Fabrikam har lagts till i utgående lista över tillåtna	Nej (inkommande)
Fabrikam	Fabrikam	Ja

Scenario: Dubbelriktad lista över tillåtna – Fabrikam läggs till i Contoso-klientorganisations inkommande och utgående lista över tillåtna

I det här scenariot lägger administratören till Fabrikam-klientorganisation i listorna för såväl inkommande som utgående, medan isolering av klientorganisation är På.

Klientorganisation för skapande av anslutning	Klientorganisation för anslutning via inloggning	Åtkomst tillåten?
Contoso	Contoso	Ja
Contoso (klientorganisations isolering på) Fabrikam har lagts till i båda listor över tillåtna	Fabrikam	Ja
Fabrikam	Contoso (klientorganisations isolering på) Fabrikam har lagts till i båda listor över tillåtna	Ja
Fabrikam	Fabrikam	Ja

Tillåt isolering av klientorganisationen och konfigurera listan över tillåtna

Nytt administrationscenter

1. Gå till administratörscenter för Power Platform.

2. I den navigeringsrutan väljer du Säkerhet.

3. I fönstret Säkerhet väljer du Identitet och åtkomst.

4. På sidan Identitets- och åtkomsthantering väljer du Isolering av klientorganisation.

5. Om du vill tillåta isolering av klientorganisationer aktiverar du alternativet Begränsa anslutningar mellan klientorganisationer.

6. Om du vill tillåta kommunikation mellan klientorganisationer väljer du Lägg till undantag i fönstret Isolering av klientorganisation.

   Om isolering av klientorganisation är Av kan du ändå lägga till eller redigera undantagslistan. Undantagslistorna tillämpas emellertid inte förrän du aktiverar isolering av klientorganisationen.

7. Från listrutan Tillåten riktning väljer du riktningen för posten för listan över tillåtna.

8. Ange värdet för den tillåtna klientorganisationen som antingen klientorganisationens domän eller ID i fältet Klientorganisations-ID. När posten har sparats läggs den till i listan över tillåtna tillsammans med andra tillåtna klientorganisationer. Om du använder klientorganisationens domän för att lägga till posten för listan över tillåtna kommer administratörscentret för Power Platform att automatiskt beräkna klientorganisationens ID.

   Du kan använda ”*” som ett specialtecken för att ange att alla klientorganisationer tillåts i den angivna riktningen när isolering av klientorganisationen är På.

9. Välj Spara.

Klassiskt administrationscenter

1. Gå till administratörscenter för Power Platform.

2. I navigeringsfönstret väljer du Policyer > Isolering av klientorganisation. Sidan Isolering av klientorganisation.

3. Om du vill tillåta isolering av klientorganisationen anger du växlingsknappen som På.

   Om isolering av klientorganisation är Av kan du lägga till eller redigera reglerna i listan över tillåtna. Dessa regler tillämpas emellertid inte förrän du aktiverar isolering av klientorganisation som På.

4. Om du vill tillåta kommunikation mellan klientorganisationer väljer du Ny klientorganisationsregel för att konfigurera listan över tillåtna klientorganisationer för isolering.

5. I fönstret Ny klientorganisationsregel väljer du listrutan Riktning. Välj riktning för posten i listan över tillåtna.

6. Ange värdet för den tillåtna klientorganisationen som antingen klientorganisationens domän eller ID i fältet Klientorganisations-domän eller -ID. När posten har sparats läggs den till i regellistan tillsammans med andra tillåtna klientorganisationer.

   Om du använder klientorganisationens domän för att lägga till posten för listan över tillåtna kommer administratörscentret för Power Platform att automatiskt beräkna klientorganisationens ID.

   När posten väl visas i listan, visas klientorganisationens ID samt Microsoft Entra-klientorganisationens namn. I Microsoft Entra ID är klientorganisationens namn inte detsamma som klientorganisationens domän. Namnet på klientorganisationen är unikt för klientorganisationen, men en klientorganisation kan ha fler än ett domännamn.

   Du kan använda ”*” som ett specialtecken för att ange att alla klientorganisationer tillåts i den angivna riktningen när isolering av klientorganisationen är På.

7. Du kan redigera riktningen för klientorganisationens post för listan över tillåtna utifrån verksamhetskraven. Fältet Klientorganisationsdomän eller -ID kan inte redigeras på sidan Redigera regel för klientorganisation.

8. Du kan utföra alla åtgärder för listan, till exempel lägga till, redigera och ta bort, medan isolering av klientorganisationen är På eller Av. Posterna i listan över tillåtna påverkar anslutningsbeteendet när klientorganisationens isolering är Av, detta eftersom alla anslutningar för flera klientorganisationer är tillåtna.

9. Välj Spara.

Obs

Du måste ha en Power Platform administratörsroll för att kunna se och ange principen för klientisolering.

Obs

För att säkerställa att hyresgästisolering inte blockerar några samtal när de används, vänd på isolering av klientorganisation På, lägger till en ny klientorganisationsregel, anger klientorganisations-ID som ”*” och anger tillåten riktning till inkommande och utgående.

Du kan utföra alla åtgärder för listan, till exempel lägga till, redigera och ta bort, medan isolering av klientorganisationen är På eller Av. Posterna i listan över tillåtna påverkar anslutningsbeteendet när klientorganisationens isolering är Av, detta eftersom alla anslutningar för flera klientorganisationer är tillåtna.

Designtidseffekt på program och flöden

Användare som skapar eller redigerar en resurs som påverkas av klientorganisationens isoleringspolicy, se relaterat felmeddelande. Till exempel ser Power Apps-utvecklare följande fel när de använder anslutningar mellan klientorganisationer i ett program som är blockerat av policyer för isolering av klientorganisationer. Appen lägger inte till anslutningen.

På samma sätt kommer Power Automate-utvecklare att se följande fel när de försöker spara ett flöde som använder kopplingar i ett flöde som blockeras av policyer för isolering av klientorganisationer. Själva flödet sparas men markeras som ”Pausat”, och kommer inte att köras såvida inte utvecklaren löser problemet med policyn för att förhindra dataförlust (DLP).

Körningseffekt på appar och flöden

Som administratör kan du välja att ändra principer för klientorganisationens isoleringspolicyer för klientorganisationen när som helst. Om program och flöden skapades och kördes i enlighet med tidigare principer för isolering av innehavare kan vissa av dem påverkas negativt av eventuella principändringar du gör. Program eller flöden som strider mot isoleringspolicyn för klientorganisationen körs inte korrekt. Exempelvis körhistoriken inom Power Automate anger att flödeskörningen misslyckades. Om du markerar den misslyckade körningen visas dessutom information om felet.

För befintliga flöden som inte körs korrekt på grund av den senaste isoleringsprincipen för klientorganisation, ange körhistoriken i Power Automate och anger att flödeskörningen misslyckades.

Om du väljer den misslyckade körningen visas detaljer om den misslyckade flödeskörningen.

Obs

Det tar ungefär en timme innan de senaste isoleringspolicyändringarna för klientorganisationen gäller för aktiva program och flöden. Denna förändring sker inte omedelbart.

Kända problem

Azure DevOps anslutningsprogram använder Microsoft Entra autentisering som identitetsprovider, men använder sitt eget OAuth-flöde och STS för att auktorisera och utfärda en token. Eftersom den token som returneras från ADO-flödet baserat på anslutningsprogram konfiguration inte kommer från Microsoft Entra ID:t tillämpas inte principen för isolering av klientorganisation. Som en åtgärd rekommenderar vi att du använder andra typer av dataprinciper för att begränsa användningen av anslutningsprogram eller dess åtgärder.