阻止与 Azure 逻辑应用中其他租户之间的连接
Azure 逻辑应用包含许多连接器,可用于生成集成应用和工作流,以及访问各种数据、应用、服务、系统和其他资源。 这些连接器使用 Microsoft Entra ID 对凭据进行身份验证,以此授权访问这些资源。
从工作流创建连接以访问资源时,可以通过发送同意链接来与同一 Microsoft Entra 租户或其他租户中的其他人共享该连接。 此共享连接提供对相同资源的访问权限,但会产生安全漏洞。
为了防止这种情况,你可以采取安全措施,阻止通过此类共享连接访问自己的 Microsoft Entra 租户以及从自己的 Microsoft Entra 租户进行访问。 也还可以允许访问,但仅限于特定租户的连接。 通过设置租户隔离策略,可以更好地控制租户与需要 Microsoft Entra 授权访问的资源之间的数据移动。
具有所有者权限的 Azure 订阅和帐户,可设置新策略或更改现有租户策略。
备注
可以应用仅影响你自己的租户而不影响其他租户的策略。
收集以下信息:
Microsoft Entra 租户的租户 ID。
选择是否对没有客户端租户 ID 的连接强制执行双向租户隔离。
例如,某些旧连接可能没有关联的租户 ID。 因此,你必须选择是阻止还是允许此类连接。
选择是启用还是禁用隔离策略。
你希望允许与你的租户建立进出连接的任何租户的租户 ID。
如果你选择允许此类连接,请提供以下信息:
选择是否允许从每个允许的租户到你的租户的入站连接。
选择是否允许从你的租户出站连接到每个允许的租户。
若要测试租户隔离策略,需要第二个 Microsoft Entra 租户。 在隔离策略生效后,你将尝试从该租户建立与租户的进出连接。
要开始此过程,你将请求新的隔离策略或更新租户的现有隔离策略。 只有 Azure 订阅所有者可以请求新策略或更改现有策略。
打开客户支持票证以请求新的隔离策略或更新租户的现有隔离策略。
等待处理支持票证的人完成验证和处理请求。
备注
政策在中国北部地区立即生效。 但是,这些更改可能需要最多四个小时才能在所有其他区域复制。
策略在区域生效后,测试策略。 可以立即在中国北部地区试用策略。
登录到其他 Microsoft Entra 租户。
使用连接创建逻辑应用工作流,例如 Office 365 Outlook。
尝试登录你的隔离租户。
你会收到一条消息,指出由于租户隔离配置,与隔离租户的连接授权失败。
登录到你的隔离租户。
使用连接创建逻辑应用工作流,例如 Office 365 Outlook。
尝试登录你的其他租户。
你会收到一条消息,指出由于租户隔离配置,与你的其他租户的连接授权失败。