Inkommande och utgående begränsningar mellan innehavare
Microsoft Power Platform har ett omfattande utbud av anslutningar baserade på Microsoft Entra som gör det möjligt för behöriga Microsoft Entra användare att skapa intressanta program och flöden som skapar anslutningar till affärsdata som är tillgängliga via dessa dataarkiv. Isolering av klientorganisationer gör det enkelt för administratörer att säkerställa att de här anslutningarna kan användas på ett säkert sätt i klientorganisationen samtidigt som risken för datafiltrering minimeras utanför klientorganisationen. Klientorganisationisolering tillåter Power Platform administratörer att effektivt styra rörelsen av klientorganisationsdata från Microsoft Entra auktoriserade datakällor till och från sin klientorganisation.
Observera att isolering av Power Platform klientorganisation från Microsoft Entra ID omfattning av begränsning av klientorganisationen. Det påverkar inte för Microsoft Entra ID-baserade åtkomsten utanför Power Platform. Isolering av Power Platform-klientorganisationer fungerar endast för anslutningsprogram som använder Microsoft Entra ID-baserad autentisering, t.ex. Office 365 Outlook eller SharePoint.
Varning
Det finns ett känt problem med Azure DevOps-anslutningsprogram som resulterar i att principen för isolering av klientorganisation inte tillämpas för anslutningar som upprättas med hjälp av den här anslutningsprogram. Om en insiderattackvektor är ett problem rekommenderar vi att du begränsar användningen av anslutningsappen eller dess åtgärder med hjälp av dataprinciper.
Standardkonfigurationen i Power Platform med isolering av klientorganisation Av är att tillåta anslutningar mellan klientorganisationer, om en användare från klientorganisation A som upprättar en anslutning till klientorganisation B visar lämpliga Microsoft Entra-autentiseringsuppgifter. Om administratörer endast vill tillåta att ett urval av klientorganisationer upprättar anslutningar till eller från klientorganisationen, kan de ställa in isolering av klientorganisation på På.
Med isolering av klientorganisation På begränsas alla klientorganisationer. Inkommande (anslutningar till klientorganisationen från externa klientorganisationer) och utgående (anslutningar från klientorganisationen till externa klientorganisationer) anslutningar mellan klientorganisationer blockeras av Power Platform även om användaren uppvisar giltiga autentiseringsuppgifter till den Microsoft Entra-skyddade datakällan. Med hjälp av regler kan du lägga till undantag.
Administratörer kan ange en explicit lista över tillåtna klientorganisationer som de vill aktivera inkommande, utgående eller båda för, vilket kringgår kontroller för isolering av klientorganisation när de konfigureras. Administratörer kan använda ett speciellt mönster “*” för att tillåta ”alla klientorganisation i en specifik riktning när klientorganisationens isolering är aktiverad. Alla andra anslutningar för flera klientorganisationer förutom de i listan med tillåtna anslutningar avvisas av Power Platform.
Isolering av klientorganisation kan konfigureras i Power Platform administrationscenter. Den påverkar Power Platform arbetsyteappar och Power Automate-flöden. Om du vill konfigurera isolering i klientorganisationen måste du vara administratör i klientorganisationen.
Isoleringsfunktionen för Power Platform-klientorganisationer finns med två alternativ: enkelriktad eller dubbelriktad begränsning.
Förstå isoleringsscenarier för klientorganisation och påverkan
Innan du börjar konfigurera begränsningar för isolering av klientorganisation bör du gå igenom följande lista och se scenarierna och påverkan på isoleringen av klientorganisationen.
- Administratören vill aktivera isoleringen av klientorganisationen.
- Administratören är orolig för att befintliga appar och flöden med anslutningar mellan klientorganisationer ska sluta fungera.
- Administratören bestämmer sig för att aktivera isolering av klientorganisation och lägga till undantagsregler för att eliminera påverkan.
- Administratören kör isoleringsrapporterna för flera klientorganisationer för att fastställa vilka klientorganisationer som behöver vara undantagna. Mer information: Självstudier: Skapa isoleringsrapporter för flera klientorganisationer (förhandsgranskning)
Dubbelriktad klientorganisationsisolering (begränsning av inkommande och utgående anslutning)
Om en tvåvägsorganisation är isolerad blockeras anslutningsförsök till din klientorganisation från andra klientorganisationer. Dubbelriktad isolering av klientorganisation blockerar också försök till anslutningsetablering från din klientorganisation till andra klientorganisationer.
I det här scenariot har administratören för klientorganisationen aktiverat dubbelriktad isolering av klientorganisationen på Contoso-klientorganisationen medan den externa Fabrikam-klientorganisationen inte har lagts till på godkännandelistan.
Användare som är inloggade på Power Platform i Contoso-klientorganisationen kan inte upprätta utgående Microsoft Entra ID-baserade anslutningar till datakällor i Fabrikam-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Det här är en utgående klientorganisation för Contoso-klientorganisationen.
Användare som är inloggade på Power Platform i Fabrikam-klientorganisationen kan inte upprätta ingående Microsoft Entra ID-baserade anslutningar till datakällor i Contoso-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Det här är en inkommande klientorganisation för Contoso-klientorganisationen.
| Klientorganisation för skapande av anslutning | Klientorganisation för anslutning via inloggning | Åtkomst tillåten? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (klientorganisations isolering på) | Fabrikam | Nej (utgående) |
| Fabrikam | Contoso (klientorganisations isolering på) | Nej (inkommande) |
| Fabrikam | Fabrikam | Ja |
Kommentar
Ett anslutningsförsök som initieras av en gästanvändare från deras värdklientorganisation som riktar in sig på datakällor inom samma värdklientorganisation utvärderas inte av reglerna för klientisolering.
Isolering av klientorganisation med tillåtna listor
Enkelriktad isolering av klientorganisation eller inkommande isolering blockerar försök till anslutningsetablering till din klientorganisation från andra klientorganisationer.
Scenario: Utgående godkännandelista – Fabrikam läggs till i Contoso-klientorganisation utgående godkännandelista
I det här scenariot lägger administratören till Fabrikam-klientorganisation i den utgående godkännandelistan medan isolering på klientorganisation är På.
Användare som är inloggade på Power Platform i Contoso-klientorganisationen kan inte upprätta utgående Microsoft Entra ID-baserade anslutningar till datakällor i Fabrikam-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Utgående anslutning till Fabrikam-klientorganisationen tillåts genom att den konfigurerade tillåtlisteposten upprättas.
Användare som är inloggade på Power Platform i Fabrikam-klientorganisationen kan inte upprätta ingående Microsoft Entra ID-baserade anslutningar till datakällor i Contoso-klientorganisationen trots att det presenteras lämpligt Microsoft Entra autentiseringsuppgifter för att upprätta anslutningen. Ingående anslutning från Fabrikam-klientorganisationen är fortfarande diskvalificerad, även om lista över tillåtna är konfigurerad och tillåter utgående anslutningar.
| Klientorganisation för skapande av anslutning | Klientorganisation för anslutning via inloggning | Åtkomst tillåten? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (klientorganisations isolering på) Fabrikam har lagts till i utgående lista över tillåtna |
Fabrikam | Ja |
| Fabrikam | Contoso (klientorganisations isolering på) Fabrikam har lagts till i utgående lista över tillåtna |
Nej (inkommande) |
| Fabrikam | Fabrikam | Ja |
Scenario: Dubbelriktad godkännandelista – Fabrikam läggs till i Contoso-klientorganisation inkommande godkännandelista
I det här scenariot lägger administratören till Fabrikam-klientorganisation för både inkommande och utgående lista över tillåtna medan isolering på klientorganisation På.
| Klientorganisation för skapande av anslutning | Klientorganisation för anslutning via inloggning | Åtkomst tillåten? |
|---|---|---|
| Contoso | Contoso | Ja |
| Contoso (klientorganisations isolering på) Fabrikam har lagts till i båda listorna över tillåtna |
Fabrikam | Ja |
| Fabrikam | Contoso (klientorganisations isolering på) Fabrikam har lagts till i båda listorna över tillåtna |
Ja |
| Fabrikam | Fabrikam | Ja |
Aktivera isolering av klientorganisationen och konfigurera lista över tillåtna
I Power Platform administrationscenter, isolering av klientorganisation anges med Policyer>Isolering av klientorganisation.
Obs
Du måste ha en Power Platform administratörsroll för att kunna se och ange principen för klientisolering.
Listan över tillåtna isolering av klientorganisation kan konfigureras med Ny klientorganisationsregel på sidan Isolering av klientorganisation. Om klientorganisationens isolering är av kan du lägga till eller redigera reglerna i listan. De här reglerna tillämpas dock inte förrän du aktiverar isolering i klientorganisationen på.
Från listrutan Ny klientorganisationsregel riktning, välj riktning för godkännandelistan.
Du kan också ange värdet för den tillåtna klientorganisationen som antingen klientorganisationsdomän eller klientorganisations-ID. När posten har sparats läggs den till i regellistan tillsammans med andra tillåtna klientorganisationer. Om du använder klientorganisationens domän för att lägga till lista över tillåtna, Power Platform administrationscenter beräknar automatiskt klientorganisations-ID.
När posten visas i listan visas fälten klientorganisations-ID och Microsoft Entra klientorganisationsnamn visa. Observera att Microsoft Entra ID, klientorganisationens namn inte är samma namn som i klientorganisationens domän. Namnet på klientorganisationen är unikt för klientorganisationen, men en klientorganisation kan ha fler än ett domännamn.
Du kan använda "*" som ett specialtecken för att ange att alla innehavare tillåts i den angivna riktningen när klientorganisationens isolering är på.
Du kan redigera riktningen för tillåtslisteposten i klientorganisationen utifrån verksamhetskrav. Observera att fältet Klientorganisationsdomän eller ID inte kan redigeras på sidan Redigera regel för klientorganisation.
Obs
För att säkerställa att hyresgästisolering inte blockerar några samtal när de används, vänd på isolering av klientorganisation På, lägger till en ny klientorganisationsregel, anger klientorganisations-ID som "*" och anger tillåten riktning till inkommande och utgående.
Du kan utföra alla åtgärder för listan, till exempel lägga till, redigera och ta bort medan isolering i klientorganisationen är På eller Av. Poster för lista över tillåtna påverkar anslutningsbeteendet när klientorganisationens isolering är Av eftersom alla anslutningar för flera klientorganisation är tillåtna.
Designtidseffekt på program och flöden
Användare som skapar eller redigerar en resurs som påverkas av klientorganisationens isoleringsprincip visas ett relaterat felmeddelande. Till exempel Power Apps skapare kommer att se följande fel när de använder anslutningar mellan klientorganisationer i en app som är blockerad av policyer för isolering av klientorganisationer. Appen lägger inte till anslutningen.
Power Automate skapare kommer att se följande fel när de använder försöker spar ett flöde som använder kopplingar i ett flöde som är blockerat av policyer för isolering av klientorganisationer. Själva flödet sparas men markeras som "Pausat" och kommer inte att köras såvida inte tillverkaren löser problemet med policyn för att förhindra dataförlust (DLP).
Körningseffekt på appar och flöden
Som administratör kan du välja att ändra principer för klientorganisationens isoleringspolicyer för klientorganisationen när som helst. Om program och flöden skapades och kördes i enlighet med tidigare principer för isolering av innehavare kan vissa av dem påverkas negativt av eventuella principändringar du gör. Program eller flöden som strider mot isoleringspolicyn för klientorganisationen körs inte utan problem. Exempelvis körhistoriken inom Power Automate anger att flödeskörningen misslyckades. Om du markerar den misslyckade körningen visas information om felet.
För befintliga flöden som inte körs korrekt på grund av den senaste isoleringsprincipen för klientorganisation, ange körhistoriken i Power Automate och anger att flödeskörningen misslyckades.
Om du väljer den misslyckade körningen visas detaljer om den misslyckade flödeskörningen.
Kommentar
Det tar ungefär en timme innan de senaste isoleringspolicyändringarna för klientorganisationen gäller för aktiva program och flöden. Denna förändring sker inte omedelbart.
Kända problem
Azure DevOps anslutningsprogram använder Microsoft Entra autentisering som identitetsprovider, men använder sitt eget OAuth-flöde och STS för att auktorisera och utfärda en token. Eftersom den token som returneras från ADO-flödet baserat på anslutningsprogram konfiguration inte kommer från Microsoft Entra ID:t tillämpas inte principen för isolering av klientorganisation. Som en åtgärd rekommenderar vi att du använder andra typer av dataprinciper för att begränsa användningen av anslutningsprogram eller dess åtgärder.