Freigeben über

Blockieren der Connectornutzung in Azure Logic Apps

Gilt für: Azure Logic Apps (Verbrauch + Standard)

Falls Ihre Organisation das Herstellen einer Verbindung mit eingeschränkten oder nicht genehmigten Ressourcen mithilfe der verwalteten Connectors in Azure Logic Apps nicht erlaubt, können Sie die Funktion zum Erstellen und Verwenden dieser Verbindungen in Logik-App-Workflows blockieren. Mit Azure-Richtlinie können Sie Richtlinien definieren und erzwingen, die das Erstellen oder Verwenden von Verbindungen für Connectors verhindern, die Sie blockieren möchten. Es kann beispielsweise sein, dass Sie aus Sicherheitsgründen Verbindungen mit bestimmten Social Media-Plattformen oder anderen Diensten und Systemen blockieren möchten.

In diesem Leitfaden erfahren Sie, wie Sie eine Richtlinie einrichten, die bestimmte Verbindungen mithilfe des Azure-Portals blockiert. Sie können Richtliniendefinitionen auch auf andere Weise erstellen. Sie können z. B. die Azure REST-API, Azure PowerShell, Azure CLI oder Azure Resource Manager-Vorlagen verwenden. Weitere Informationen finden Sie unter Erstellen und Verwalten von Richtlinien zum Erzwingen der Compliance.

Voraussetzungen

  • Ein Azure-Konto und ein Azure-Abonnement. Sollten Sie noch kein Abonnement besitzen, erstellen Sie ein kostenloses Azure-Konto.

  • Die Verweis-ID für den Connector, den Sie blockieren möchten. In diesem Handbuch wird gezeigt, wie Sie diese Referenz-ID finden.

Ermitteln der Verweis-ID für den Connector

Wenn Sie bereits über einen Logik-App-Workflow mit der Verbindung verfügen, die Sie blockieren möchten, überspringen Sie diesen Abschnitt. Führen Sie andernfalls die folgenden Schritte aus, um die Connector-Referenz-ID zu finden:

Suchen der ID mithilfe des Verbinderreferenzdokuments

  1. Überprüfen Sie die Liste aller verwalteten Azure Logic Apps-Connectors.

  2. Suchen Sie nach der Referenzseite für den Connector, den Sie blockieren möchten.

    Wenn Sie beispielsweise den Gmail-Connector blockieren möchten, wechseln Sie zu dieser Seite:

    https://learn.microsoft.com/connectors/gmail/

  3. Kopieren Sie am Ende der Seiten-URL die Verweis-ID des Connectors ohne den Schrägstrich (/), z. B. gmail, und speichern Sie sie.

    Später beim Erstellen Ihrer Richtliniendefinition verwenden Sie diese ID in der Bedingungsanweisung der Definition, z. B.:

    "like": "*managedApis/gmail"

Suchen der ID mithilfe des Azure-Portals

  1. Öffnen Sie Ihre Logik-App-Ressource im Azure-Portal.

  2. Wählen Sie auf der Ressourcen-Randleiste eine der folgenden Optionen aus:

    • Verbrauchsbasierte Logik-App: Wählen Sie unter Entwicklungstools die Option API-Verbindungen aus.

    • Standard-Logik-App: Wählen Sie unter Workflows die Option Verbindungen aus. Wählen Sie im Bereich Verbindungen die Option API-Verbindungen aus, sofern noch nicht geschehen.

  3. Wählen Sie auf der Seite "API-Verbindungen " die Verbindung aus. Nachdem die Verbindungsseite geöffnet wurde, wählen Sie in der oberen rechten Ecke die JSON-Ansicht aus.

  4. Suchen Sie das api-Objekt, das eine id-Eigenschaft und einen Wert im folgenden Format enthält:

    "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

    Das folgende Beispiel zeigt die Eigenschaft und den id Wert für eine Gmail-Verbindung:

    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Web/locations/westus/managedApis/gmail"

  5. Kopieren Sie den id-Eigenschaftswert und speichern Sie die am Ende erscheinende Connectorverweis-ID, z. B. gmail.

    Später beim Erstellen Ihrer Richtliniendefinition verwenden Sie diese ID in der Bedingungsanweisung der Definition, z. B.:

    "like": "*managedApis/gmail"

Blockieren der Verbindungserstellung

Führen Sie die folgenden Schritte aus, um das Erstellen einer Verbindung in einem Workflow zu blockieren:

  1. Geben Sie im Azure-Portal ins Suchfeld Richtlinie ein, und wählen Sie Richtlinie aus.

    Screenshot des Suchfelds im Azure-Portal, in das die Richtlinie eingegeben und hervorgehoben wurde.

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Definitionen aus. Wählen Sie auf der Symbolleiste "Definitionen " die Option "Richtliniendefinition" aus.

    Screenshot der Seite

  3. Geben Sie auf der Seite "Richtliniendefinition " die Informationen für Ihre Richtliniendefinition basierend auf den Eigenschaften in der Tabelle an, die dem Bild folgen:

    Screenshot zeigt die Richtliniendefinitionswerte zum Blockieren von Gmail.

    Parameter Erforderlich Wert BESCHREIBUNG
    Definitionsspeicherort Ja < Name des Azure-Abonnements> Das Azure-Abonnement, das für die Richtliniendefinition verwendet werden soll.

    1. Um Ihr Abonnement zu finden, wählen Sie die Ellipsenpunkte (...) aus.
    2. Suchen Sie in der Liste Abonnement nach Ihrem Abonnement, und wählen Sie es aus.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.
    Name Ja < Richtliniendefinitionsname> Der Name, der für die Richtliniendefinition verwendet werden soll.
    Beschreibung Nein < Richtliniendefinitionsname> Eine Beschreibung für die Richtliniendefinition.
    Kategorie Ja Logik-Apps Der Name für eine vorhandene Kategorie oder neue Kategorie für die Richtliniendefinition.

  4. Unter "Richtlinienregel" wird das JSON-Bearbeitungsfeld mit einer Richtliniendefinitionsvorlage vorgefüllt. Ersetzen Sie diese Vorlage durch Ihre Richtliniendefinition basierend auf den in der folgenden Tabelle beschriebenen Eigenschaften und verwenden Sie diese Syntax:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Wert BESCHREIBUNG
    mode All Der Modus, mit dem die von der Richtlinie ausgewerteten Ressourcentypen bestimmt werden.

    In diesem Szenario wird mode auf All festgelegt, um die Richtlinie auf Azure-Ressourcengruppen, -Abonnements und alle Ressourcentypen anzuwenden.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Modus.
    if {condition-to-evaluate} Bedingung, die bestimmt, wann die Richtlinienregel erzwungen werden soll

    In diesem Szenario wird mit {condition-to-evaluate} bestimmt, ob der Wert api.id in Microsoft.Web/connections/api.id mit dem Element *managedApis/{connector-name} übereinstimmt, in dem ein Platzhalterzeichen (*) angegeben ist.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.
    field Microsoft.Web/connections/api.id Wert field für den Vergleich mit der Bedingung

    In diesem Szenario wird für field der Alias, Microsoft.Web/connections/api.id verwendet, um auf den Wert in der Connectoreigenschaft api.id zuzugreifen.
    like *managedApis/{connector-name} Logischer Operator und Wert für den Vergleich des field-Werts

    In diesem Szenario wird mit dem Operator like und dem Platzhalterzeichen (*) jeweils sichergestellt, dass die Regel unabhängig von der Region funktioniert und dass die Zeichenfolge *managedApis/{connector-name} der Wert für den Abgleich ist. Hierbei steht {connector-name} für die ID des Connectors, den Sie blockieren möchten.

    Angenommen, Sie möchten die Erstellung von Verbindungen mit Social Media-Plattformen oder -Datenbanken blockieren:

    - X: x
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server oder Azure SQL: sql

    Informationen zu diesen Connector-IDs finden Sie weiter oben in diesem Artikel unter "Connectorreferenz-ID suchen".
    then {effect-to-apply} Auswirkung, die bei Erfüllung der if-Bedingung erfolgen soll

    In diesem Szenario umfasst {effect-to-apply} das Blockieren und Ablehnen einer Anforderung oder eines Vorgangs, die bzw. der die Bedingungen der Richtlinie nicht erfüllt.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.
    effect deny effect umfasst die Blockade der Anforderung, mit der die angegebene Verbindung erstellt werden soll

    Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen: Verweigern.

    Angenommen, Sie möchten das Erstellen von Verbindungen mit dem Gmail-Connector blockieren. Hier ist die Richtliniendefinition angegeben, die Sie verwenden können:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    So wird das Richtlinienregelfeld angezeigt:

    Screenshot des Richtlinienregel-Feldes mit einem Beispiel für eine Regel.

    Bei mehreren Verbindern können Sie beispielsweise mehrere Bedingungen hinzufügen:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/x"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Klicken Sie auf Speichern, wenn Sie fertig sind.

    Nachdem Sie die Richtliniendefinition gespeichert haben, werden von Azure Policy weitere Eigenschaftswerte generiert und der Richtliniendefinition hinzugefügt.

Wenn Sie die Richtliniendefinition zuweisen möchten, an der Sie die Richtlinie erzwingen möchten, erstellen Sie eine Richtlinienzuweisung, wie weiter unten in diesem Artikel beschrieben.

Weitere Informationen zu Azure-Richtliniendefinitionen finden Sie unter:

Blockieren der Zuordnung von Verbindungen zu Logik-Apps

Wenn Sie eine Verbindung in einem Workflow erstellen, ist diese Verbindung als separate Azure-Ressource vorhanden. Wenn Sie nur die Workflow- oder Logik-App-Ressource löschen, wird die Verbindungsressource nicht automatisch gelöscht und ist bis zum Löschen weiterhin vorhanden. Möglicherweise gibt es ein Szenario, in dem die Verbindungsressource bereits vorhanden ist oder wo Sie die Verbindungsressource für die Verwendung außerhalb der Logik-App-Ressource erstellen müssen.

Sie können weiterhin die Möglichkeit blockieren, die Verbindung mit einer anderen Logik-App-Ressource zu verknüpfen, indem Sie eine Richtlinie erstellen, die das Speichern von Workflows verhindert, welche versuchen, die eingeschränkte oder nicht genehmigte Verbindung zu verwenden. Diese Richtlinie betrifft nur Workflows, die die Verbindung noch nicht verwenden.

  1. Geben Sie im Azure-Portal ins Suchfeld Richtlinie ein, und wählen Sie Richtlinie aus.

    Screenshot des Suchfelds des Azure-Portals mit eingegebener Policy und hervorgehobener Policy.

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Definitionen aus. Wählen Sie auf der Symbolleiste " Definitionen" die Option "Richtliniendefinition" aus.

    Screenshot der Seite

  3. Geben Sie unter Richtliniendefinition die Informationen für Ihre Richtliniendefinition an, basierend auf den Eigenschaften in der Tabelle, die auf das Bild folgt.

    Screenshot zeigt Richtliniendefinitionswerte zum Speichern von Gmail-Verbindungen.

    Parameter Erforderlich Wert BESCHREIBUNG
    Definitionsspeicherort Ja < Name des Azure-Abonnements> Das Azure-Abonnement, das für die Richtliniendefinition verwendet werden soll.

    1. Wählen Sie die Schaltfläche mit den Auslassungszeichen ( ... ) aus, um nach Ihrem Abonnement zu suchen.
    2. Suchen Sie in der Liste Abonnement nach Ihrem Abonnement, und wählen Sie es aus.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.
    Name Ja < Richtliniendefinitionsname> Der Name, der für die Richtliniendefinition verwendet werden soll.
    Beschreibung Nein < Richtliniendefinitionsname> Eine Beschreibung für die Richtliniendefinition.
    Kategorie Ja Logik-Apps Der Name einer vorhandenen Kategorie oder neuen Kategorie für die Richtliniendefinition.

  4. Unter "Richtlinienregel" wird das JSON-Bearbeitungsfeld mit einer Richtliniendefinitionsvorlage vorgefüllt. Ersetzen Sie diese Vorlage durch Ihre Richtliniendefinition basierend auf den in der folgenden Tabelle beschriebenen Eigenschaften und verwenden Sie diese Syntax:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Wert BESCHREIBUNG
    mode All Der Modus, mit dem die von der Richtlinie ausgewerteten Ressourcentypen bestimmt werden.

    In diesem Szenario wird mode auf All festgelegt, um die Richtlinie auf Azure-Ressourcengruppen, -Abonnements und alle Ressourcentypen anzuwenden.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Modus.
    if {condition-to-evaluate} Bedingung, die bestimmt, wann die Richtlinienregel erzwungen werden soll

    In diesem Szenario wird mit {condition-to-evaluate} bestimmt, ob die Zeichenfolgenausgabe von [string(field('Microsoft.Logic/workflows/parameters'))] die Zeichenfolge {connector-name} enthält.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.
    value [string(field('Microsoft.Logic/workflows/parameters'))] Wert für den Vergleich mit der Bedingung

    In diesem Szenario ist value die Zeichenfolgenausgabe von [string(field('Microsoft.Logic/workflows/parameters'))], mit der das Objekt $connectors im Objekt Microsoft.Logic/workflows/parameters in eine Zeichenfolge konvertiert wird.
    contains {connector-name} Logischer Operator und Wert für den Vergleich mit der Eigenschaft value

    In diesem Szenario wird mit dem Operator contains sichergestellt, dass die Regel unabhängig davon funktioniert, wo {connector-name} erscheint. Hierbei ist die Zeichenfolge {connector-name} die ID für den Connector, den Sie einschränken oder blockieren möchten.

    Angenommen, Sie möchten die Verwendung von Verbindungen mit Social Media-Plattformen oder -Datenbanken blockieren:

    - X: x
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server oder Azure SQL: sql

    Informationen zu diesen Connector-IDs finden Sie weiter oben in diesem Artikel unter "Connectorreferenz-ID suchen".
    then {effect-to-apply} Auswirkung, die bei Erfüllung der if-Bedingung erfolgen soll

    In diesem Szenario umfasst {effect-to-apply} das Blockieren und Ablehnen einer Anforderung oder eines Vorgangs, die bzw. der die Bedingungen der Richtlinie nicht erfüllt.

    Weitere Informationen finden Sie unter Struktur von Richtliniendefinitionen: Richtlinienregel.
    effect deny effect dient zum Ablehnen (deny) oder Blockieren der Anforderung zum Speichern einer Logik-App, von der die angegebene Verbindung genutzt wird

    Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen: Verweigern.

    Angenommen, Sie möchten das Speichern von Logik-Apps blockieren, die Gmail-Verbindungen verwenden. Hier ist die Richtliniendefinition angegeben, die Sie verwenden können:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    So wird die Richtliniendefinitionsregel angezeigt:

    Ein Screenshot zeigt eine Richtliniendefinitionsregel.

  5. Klicken Sie auf Speichern, wenn Sie fertig sind.

    Nachdem Sie die Richtliniendefinition gespeichert haben, werden von Azure Policy weitere Eigenschaftswerte generiert und der Richtliniendefinition hinzugefügt.

Wenn Sie die Richtliniendefinition zuweisen möchten, an der Sie die Richtlinie erzwingen möchten, erstellen Sie eine Richtlinienzuweisung, wie weiter unten in diesem Leitfaden beschrieben.

Weitere Informationen zu Azure-Richtliniendefinitionen finden Sie unter:

Erstellen einer Richtlinienzuweisung

Sie müssen die Richtliniendefinition zuweisen, in der Sie die Richtlinie erzwingen möchten. Beispielsweise können Sie die Richtliniendefinition einer einzelnen Ressourcengruppe, mehreren Ressourcengruppen, einem Microsoft Entra-Mandanten oder einem Azure-Abonnement zuweisen. Führen Sie die folgenden Schritte aus, um eine Richtlinienzuweisung zu erstellen:

  1. Geben Sie im Azure-Portal ins Suchfeld Richtlinie ein, und wählen Sie Richtlinie aus.

    Screenshot des Suchfelds des Azure-Portals mit eingegebener Policy und hervorgehobener Policy.

  2. Wählen Sie im Menü Richtlinie unter Erstellen die Option Zuweisungen aus. Wählen Sie auf der Symbolleiste " Aufgaben " die Option "Richtlinie zuweisen" aus.

    Screenshot der Symbolleiste

  3. Geben Sie auf der Seite "Richtlinie zuweisen" unter "Grundlagen" diese Informationen für die Richtlinienzuweisung an:

    Parameter Erforderlich BESCHREIBUNG
    Umfang Ja Die Ressourcen, für die Sie die Richtlinienzuweisung erzwingen möchten.

    1. Wählen Sie neben dem Feld Bereich die Schaltfläche mit den Auslassungszeichen ( ... ) aus.
    2. Wählen Sie in der Liste Abonnement das Azure-Abonnement aus.
    3. Wählen Sie optional in der Liste Ressourcengruppe die Ressourcengruppe aus.
    4. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.
    Ausschlüsse Nein Alle Azure-Ressourcen, die aus der Richtlinienzuweisung ausgeschlossen werden sollen.

    1. Wählen Sie neben dem Feld Ausschlüsse die Schaltfläche mit den Auslassungszeichen ( ... ) aus.
    2. Wählen Sie in der Liste Ressource die Ressource und dann die Option > aus.
    3. Klicken Sie auf Speichern, wenn Sie fertig sind.
    Ressourcenselektoren Nein
    Richtliniendefinition Ja Der Name für die Richtliniendefinition, die Sie zuweisen und erzwingen möchten. Dieses Beispiel wird mit der Beispiel-Gmail-Richtlinie fortgesetzt, " Gmail-Verbindungen blockieren".

    1. Wählen Sie neben dem Feld Richtliniendefinition die Schaltfläche mit den Auslassungszeichen ( ... ) aus.
    2. Suchen Sie nach der Richtliniendefinition, und wählen Sie sie aus, indem Sie den Filter Typ oder das Feld Suche verwenden.
    3. Wählen Sie die Option Auswählen aus, wenn Sie fertig sind.
    Überschreibt Nein
    Zuweisungsname Ja Der Name, der für die Richtlinienzuweisung verwendet werden soll, wenn es sich von der Richtliniendefinition unterscheidet.
    Beschreibung Nein Eine Beschreibung für die Richtlinienzuweisung.
    Richtlinienerzwingung Ja Die Einstellung, die die Richtlinienzuweisung aktiviert oder deaktiviert.

    Um beispielsweise die Richtlinie einer Azure-Ressourcengruppe mithilfe des Gmail-Beispiels zuzuweisen:

    Der Screenshot zeigt die Richtlinienzuweisungswerte.

  4. Wählen Sie abschließend Überprüfen + erstellen aus.

    Nachdem Sie eine Richtlinie erstellt haben, müssen Sie ggf. bis zu 15 Minuten warten, bis sie wirksam wird. Bei Änderungen kann es zu ähnlichen Verzögerungen kommen.

Nachdem die Richtlinie wirksam wurde, testen Sie Ihre Richtlinie im nächsten Abschnitt.

Weitere Informationen finden Sie unter Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht kompatibler Ressourcen.

Testen der Richtlinie

Beginnen Sie zum Testen Ihrer Richtlinie mit der Erstellung einer Verbindung, indem Sie den nun eingeschränkten Connector im Workflow-Designer verwenden. Im Zusammenhang mit dem Gmail-Beispiel erhalten Sie beim Anmelden bei Gmail eine Fehlermeldung, dass der Workflow die Verbindung nicht herstellen konnte.

Die Fehlermeldung enthält diese Informationen:

BESCHREIBUNG Inhalt
Grund für den Fehler "Resource 'gmail' was disallowed by policy."
Zuweisungsname "Block Gmail connections"
Zuweisungs-ID "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
Richtliniendefinitions-ID "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Verwandte Inhalte

  • Last updated on