Den mandantenübergreifenden Zugriff auf ausgehende und eingehende Verbindungen beschränken (Vorschau)

[Dieser Artikel ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]

Microsoft Power Platform verfügt über ein reichhaltiges Ökosystem von Connectors, die auf Azure Active Directory (Azure AD) basieren, durch die befugte Azure AD-Benutzer die Möglichkeit bekommen, überzeugende Apps und Flows zu erstellen, die Verbindungen zu den Geschäftsdaten herstellen, die über diese Datenspeicher verfügbar sind. Die Mandantenisolation macht es Administratoren leicht, sicherzustellen, dass diese Connectors auf sichere Weise innerhalb des Mandanten genutzt werden können, während das Risiko einer Datenexfiltration außerhalb des Mandanten minimiert wird. Die Mandantenisolation ermöglicht es Administratoren, die Übertragung von Mandantendaten von durch Azure AD autorisierte Datenquellen zu und von ihrem Mandanten effektiv zu steuern.

Wichtig

  • Dies ist eine Vorschauversion.
  • Funktionen in der Vorschau sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Diese Funktionen stehen vor der offiziellen Veröffentlichung zur Verfügung, damit Kunden frühzeitig Zugriff erhalten und Feedback geben können.
  • Diese Funktion wird schrittweise in allen Regionen eingeführt und ist möglicherweise in Ihrer Region noch nicht verfügbar.

Beachten Sie, dass sich die Power Platform-Mandantenisolation von Azure AD-weiten Mieterbeschränkungen unterscheidet. Der Azure AD-basierte Zugriff außerhalb von Power Platform ist nicht betroffen. Die Isolierung von Power Platform Mandant funktioniert nur für Konnektoren mit Azure AD-basierter Authentifizierung, wie z.B. Office 365 Outlook oder SharePoint.

Die Standardkonfiguration in Power Platform mit deaktivierter Mandantenisolation soll es ermöglichen, dass mandantenübergreifende Verbindungen nahtlos aufgebaut werden können, wenn der Benutzer von Mandant A, der eine Verbindung mit Mandant B aufbaut, entsprechende Azure AD-Anmeldeinformationen vorlegt. Wenn Administratoren nur einer ausgewählten Gruppe von Mandanten erlauben möchten, Verbindungen zu oder von ihrem Mandanten herzustellen, können sie die Mandantenisolation aktivieren.

Mit Mandantenisolation auf Ein werden alle Mandanten eingeschränkt. Eingehende (Verbindungen zum Mandanten von externen Mandanten) und ausgehende (Verbindungen vom Mandanten zu externen Mandanten) werden mandantenübergreifend von Power Platform blockiert, selbst wenn der Benutzer der Azure AD-gesicherten Datenquelle gültige Anmeldeinformationen vorlegt. Sie können Regeln verwenden, um Ausnahmen hinzuzufügen.

Administratoren können eine explizite Positivliste von Mandanten angeben, für die sie eingehende, ausgehende oder beide Verbindungsmöglichkeiten aktivieren möchten, wodurch die Steuerelemente der Mandantenisolation umgangen werden, wenn sie konfiguriert sind. Administratoren können ein spezielles Muster „*“ verwenden, um allen Mandanten eine bestimmte Richtung zu erlauben, wenn die Mandantenisolation aktiviert ist. Alle anderen mandantenübergreifenden Verbindungen außer denen in der Positivliste werden von Power Platform abgelehnt.

Die Mandantenisolation kann im Power Platform Admin Center konfiguriert werden. Dies beeinflusst die Power Platform-Canvas-Apps und Power Automate-Flows. Um die Mandantenisolation einzurichten, müssen Sie Mandantenadministrator sein.

Die Power Platform-Mandantenisolationsfunktion ist mit zwei Optionen verfügbar: unidirektionale oder bidirektionale Beschränkung.

Bidirektionale Mandantenisolation (Einschränkung der eingehenden und ausgehenden Verbindungen)

Die bidirektionale Mandantenisolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten. Darüber hinaus blockiert die bidirektionale Mandantenisolation auch die Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.

In diesem Szenario hat der Mandantenadministrator die bidirektionale Mandantenisolation auf dem Contoso-Mandanten aktiviert, während der externe Fabrikam-Mandant nicht der Positivliste hinzugefügt wurde.

Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können keine ausgehenden Azure AD-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, auch wenn sie angemessene Azure AD-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die ausgehende Mandantenisolation für den Contoso-Mandanten.

Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können gleichermaßen keine eingehenden Azure AD-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Azure AD-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Dies ist die eingehende Mandantenisolation für den Contoso-Mandanten.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert) Fabrikam Nein (ausgehend)
Fabrikam Contoso (Mandantenisolation Aktiviert) Nein (eingehend)
Fabrikam Fabrikam Ja

Den mandantenübergreifenden Zugriff auf ausgehende und eingehende Verbindungen beschränken

Mandantenisolation mit Positivlisten

Die unidirektionale Mandantenisolation oder die eingehende Isolation blockiert Verbindungsaufbauversuche zu Ihrem Mandanten von anderen Mandanten.

Szenario: Positivliste für ausgehende Verbindungen – Fabrikam wird zur Positivliste für ausgehende Verbindungen des Contoso-Mandanten hinzugefügt

In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ausgehenden Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.

Benutzer, die in Power Platform über den Contoso-Mandanten angemeldet sind, können ausgehende Azure AD-basierten Verbindungen zu Datenquellen im Fabrikam-Mandanten herstellen, wenn sie angemessene Azure AD-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der ausgehende Verbindungsaufbau zum Fabrikam-Mandanten wird aufgrund des konfigurierten Positivlisteneintrags zugelassen.

Benutzer, die in Power Platform über den Fabrikam-Mandanten angemeldet sind, können jedoch trotzdem keine eingehenden Azure AD-basierten Verbindungen zu Datenquellen im Contoso-Mandanten herstellen, auch wenn sie angemessene Azure AD-Anmeldeinformationen zum Herstellen der Verbindung vorlegen. Der Aufbau eingehender Verbindungen vom Fabrikam-Mandanten ist weiterhin nicht zulässig, auch wenn der Positivlisteneintrag konfiguriert ist und ausgehende Verbindungen zulässt.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert)
Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt
Fabrikam Ja
Fabrikam Contoso (Mandantenisolation Aktiviert)
Fabrikam zur Positivliste für ausgehende Verbindungen hinzugefügt
Nein (eingehend)
Fabrikam Fabrikam Ja

Eingehende Verbindung eingeschränkt.

Szenario: Bidirektionale Positivliste – Fabrikam wird zur Positivliste für ein- und ausgehende Verbindungen des Contoso-Mandanten hinzugefügt

In diesem Szenario fügt der Administrator den Fabrikam-Mandanten der Positivliste für ein- sowie ausgehende Verbindungen hinzu, wobei die Mandantenisolation Aktiviert ist.

Mandant des Verbindungserstellers Verbindungsanmeldemandant Wird der Zugriff erteilt?
Contoso Contoso Ja
Contoso (Mandantenisolation Aktiviert)
Fabrikam zur beiden Positivlisten hinzugefügt
Fabrikam Ja
Fabrikam Contoso (Mandantenisolation Aktiviert)
Fabrikam zur beiden Positivlisten hinzugefügt
Ja
Fabrikam Fabrikam Ja

Bidirektionale Positivlisten.

Mandantenisolierung aktivieren und Positivliste konfigurieren

Im Power Platform Admin Center ist die Mandantenisolation mit Richtlinien > Mandantenisolation eingestellt.

Mandantenisolation aktivieren.

Die Positionliste für die Mandantenisolation kann mithilfe von Neue Mandantenregel auf der Seite Mandantenisolation konfiguriert werden. Wenn die Mandantenisolation deaktiviert ist, können Sie die Regeln in der Liste hinzufügen oder bearbeiten. Diese Regeln werden jedoch erst erzwungen, wenn Sie die Mandantenisolation aktivieren.

Neue Mandantenregel zum Hinzufügen einer Regel zur Positivliste.

Wählen Sie aus der Dropdownliste Richtung neue Mandantenregel die Richtung des Positivlisteneintrags aus.

Wählen Sie die Richtung für die neue Mandantenregel aus.

Sie können den Wert des zulässigen Mandanten auch als Mandantendomäne oder Mandanten-ID eingeben. Nach dem Speichern wird der Eintrag zusammen mit anderen zugelassenen Mandanten zur Regelliste hinzugefügt. Wenn Sie die Mandantendomäne verwenden, um den Positivlisteneintrag hinzuzufügen, berechnet das Power Platform Admin Center die Mandanten-ID automatisch.

Wählen Sie die Mandantendomäne oder Mandanten-ID für die neue Mandantenregel aus.

Sobald der Eintrag in der Liste erscheint, werden die Felder Mandanten-ID und Azure AD-Mandantenname angezeigt. Beachten Sie, das der Mandantenname in Azure AD sich von der Mandantendomäne unterscheidet. Der Mandantenname ist für den Mandanten eindeutig, aber ein Mandant kann mehr als einen Domänennamen haben.

Neue Mandantenregel wird in der Positivliste angezeigt.

Sie können „*“ als Sonderzeichen verwenden, um anzuzeigen, dass alle Mandanten in die angegebene Richtung erlaubt sind, wenn die Mandantenisolation aktiviert ist.

Alle Mandanten dürfen sich in die festgelegte Richtung bewegen, wenn die Mandantenisolation aktiviert ist.

Sie können die Richtung des Mandanten-Positivlisteneintrags je nach Ihren geschäftlichen Anforderungen bearbeiten. Bitte beachten Sie, dass das Feld Mandantendomäne oder -ID nicht auf der Seite Mandantenregel bearbeiten bearbeitet werden kann.

Eine Mandantenregel bearbeiten.

Sie können alle Positivlistenvorgänge wie Hinzufügen, Bearbeiten und Löschen ausführen, während die Mandantenisolation aktiviert oder deaktiviert ist. Positivlisteneinträge wirken sich auf das Verbindungsverhalten aus, wenn die Mandantenisolation deaktiviert, da alle mandantenübergreifenden Verbindungen erlaubt sind.

Auswirkungen der Entwurfszeit auf Apps und Flows

Benutzer, die eine von der Mandantenisolationsrichtlinie betroffene Ressource erstellen oder bearbeiten, erhalten eine entsprechende Fehlermeldung. Power Apps-Erstellern wird zum Beispiel der folgende Fehler angezeigt, wenn sie mandantenübergreifende Verbindungen in einer App verwenden, die durch Mandantenisolationsrichtlinien blockiert wird. Die App fügt die Verbindung nicht hinzu.

Fehler: Die Daten wurden nicht korrekt geladen. Bitte versuchen Sie es erneut.

Power Automate-Erstellern wird ebenso der folgende Fehler angezeigt, wenn sie versuchen, einen Flow zu speichern, der Verbindungen in einem Flow verwendet, der durch Mandantenisolationsrichtlinien blockiert wird. Der Flow selbst wird gespeichert, aber als „angehalten“ gekennzeichnet und nicht ausgeführt, es sei denn, der Ersteller behebt den Verstoß gegen die Richtlinie zur Verhinderung von Datenverlust (DLP).

Fehler: Werte konnten nicht abgerufen werden. Die dynamische Aufrufsanforderung ist mit Fehler fehlgeschlagen – Fehlertext.

Auswirkungen der Laufzeit auf Apps und Flows

Als Administrator können Sie jederzeit entscheiden, die Mandantenisolationsrichtlinien für Ihren Mandanten zu ändern. Wenn Apps und Flows in Übereinstimmung mit früheren Richtlinien zur Mandantenisolation erstellt und ausgeführt wurden, könnten einige von ihnen durch von Ihnen vorgenommene Richtlinienänderungen negativ beeinflusst werden. Apps oder Flows, die gegen die Mandantenisolationsrichtlinie verstoßen, werden nicht erfolgreich ausgeführt. Der Ausführungsverlauf in Power Automate gibt zum Beispiel an, dass die Flowausführung fehlgeschlagen ist. Darüber hinaus werden bei Auswahl der fehlgeschlagenen Ausführung Details zum Fehler angezeigt.

Der Ausführungsverlauf in Power Automate zeigt für vorhandene Flows, die aufgrund der neuesten Mandantenisolationsrichtlinie nicht erfolgreich ausgeführt werden, an, dass die Flowausführung fehlgeschlagen ist.

Flowausführungsverlaufsliste.

Wenn Sie die fehlgeschlagenen Ausführung anzeigen, werden Details zur fehlgeschlagenen Ausführung angezeigt.

Fehlerdetails der Flowausführung.

Hinweis

Es dauert etwa eine Stunde, bis die neuesten Änderungen der Mandantenisolationsrichtlinie anhand aktiver Apps und Flows bewertet werden. Diese Änderung erfolgt nicht sofort.

Hinweis

Können Sie uns Ihre Präferenzen für die Dokumentationssprache mitteilen? Nehmen Sie an einer kurzen Umfrage teil. (Beachten Sie, dass diese Umfrage auf Englisch ist.)

Die Umfrage dauert etwa sieben Minuten. Es werden keine personenbezogenen Daten erhoben. (Datenschutzbestimmungen).