Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie sicher, dass nur autorisierte Benutzer auf vertrauliche Daten in Elementen in Ihrem Mandanten zugreifen können.
IP-Firewall
Das IP-Firewall-Feature in Microsoft Power Platform ist eine Sicherheitskontrolle, die nur für verwaltete Umgebungen mit Dataverse gilt. Es bietet eine wichtige Sicherheitsebene, indem es den eingehenden Datenverkehr in Power Platform-Umgebungen steuert. Administratoren können diese Funktion verwenden, um IP-basierte Zugriffssteuerungen zu definieren und durchzusetzen. Auf diese Weise können sie sicherstellen, dass nur autorisierte IP-Adressen auf die Power Platform-Umgebung zugreifen können. Durch den Einsatz von IP-Firewalls können Organisationen Risiken, die mit dem unbefugten Zugriff und Datenpannen zusammenhängen, mindern und dadurch die Sicherheit ihrer Power Platform-Bereitstellungen erhöhen. Weitere Informationen finden Sie unter IP-Firewall in Power Platform-Umgebungen.
Mandantenisolierung
Wenn sie die Mandantenisolierung verwenden, können Power Platform-Administratoren die Übertragung von Mandantendaten von durch Microsoft Entra autorisierten Datenquellen zu und von ihrem Mandanten steuern. Weitere Informationen finden Sie unter Den mandantenübergreifenden Zugriff auf ausgehende und eingehende Verbindungen beschränken.
IP-adressbasierte Cookiebindung
Das auf IP-Adressen basierende Cookiebindungsfeature gilt nur für verwaltete Umgebungen mit Dataverse. Es verhindert Session-Hijacking-Exploits in Dataverse durch IP-adressbasierter Cookiebindung. Weitere Informationen finden Sie unter Dataverse-Sitzungen mit IP-Cookiebindung absichern.
Umgebungssicherheitsgruppen
Sicherheitsgruppen helfen, zu steuern, welche lizenzierten Benutzer auf Umgebungen zugreifen können. Weitere Informationen finden Sie unter Benutzerzugriff auf Umgebungen mit Sicherheitsgruppen und Lizenzen kontrollieren.
Freigabe verwalten
Die Funktion „Freigabe verwalten“ gilt nur für verwaltete Umgebungen. Mithilfe der Freigabe können Administratoren steuern, was ihre Ersteller freigeben können und für welche anderen Benutzer und Sicherheitsgruppen sie es freigeben können. (Beispiele für Dinge, die geteilt werden können, sind Canvas-Apps, Cloud-Flows und Agents.) Diese Funktion stellt sicher, dass vertrauliche Informationen nur für autorisierte Benutzer verfügbar sind. Daher verringert es das Risiko von Datenschutzverletzungen und -missbrauch. Weitere Informationen finden Sie unter Freigabe einschränken.
App-Zugriffssteuerung (Vorschauversion)
Die App Zugriffsteuerung gilt nur für verwaltete Umgebungen. Sie verhindert die Datenexfiltration, indem sie steuert, welche Apps in den einzelnen Umgebungen zugelassen bzw. nicht zugelassen werden. Weitere Informationen finden Sie unter Zulassung von Apps in einer Umgebung steuern.
Gastzugang (Vorschauversion)
[Dieser Abschnitt ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Wichtig
- Dies ist eine Previewfunktion.
- Previewfunktionen sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Für diese Funktionen gelten ergänzende Nutzungsbedingungen, und sie stehen vor dem offiziellen Release zur Verfügung, damit Kund*innen früher Zugriff darauf erhalten und Feedback geben können.
Um die Datensicherheit und Compliance im Power Platform-Ökosystem sicherzustellen, müssen Sie das Risiko übermäßiger Freigaben unbedingt minimieren. Daher verbieten alle neuen, von Dataverse unterstützten Umgebungen den Gastzugriff standardmäßig. Sie können jedoch den Gastzugriff für eine Umgebung zulassen, wenn Ihr geschäftlicher Anwendungsfall dies erfordert. Sie können den Gastzugriff für bestehende Umgebungen auch rückwirkend deaktivieren (einschränken). In diesem Fall blockieren Sie Verbindungen zu Ressourcen, auf die Gäste zuvor Zugriff hatten.
Gastzugriff konfigurieren
- Melden Sie sich im Power Platform Admin Center als Systemadministrator an.
- Wählen Sie im Navigationsbereich Sicherheit.
- Wählen Sie im Abschnitt Sicherheit die Option Identität und Zugriff aus.
- Wählen Sie im Abschnitt Identität und Zugriff die Option Gastzugriff aus.
- Wählen Sie im Bereich Gastzugriff die Umgebung aus, für die Sie den Gastzugriff deaktivieren möchten.
- Wählen Sie Gastzugriff konfigurieren aus.
- Aktivieren Sie die Option Gastzugriff deaktivieren.
- Wählen Sie Speichern aus. Der Bereich Gastzugriff wird erneut angezeigt.
- Wiederholen Sie die Schritte 5 bis 8 bei Bedarf für andere Umgebungen.
- Wenn Sie fertig sind, schließen Sie den Bereich Gastzugriff.
Verbessern Sie Ihre Sicherheitsbewertung und handeln Sie auf Empfehlungen
Die Einschränkung des Gastzugriffs ist eine wichtige Möglichkeit, die Sicherheitslage Ihres Mandanten zu verbessern. Sie können auch direkt aktiv werden, indem Sie die Empfehlung Gastbenutzerzugriff beschränken auf der Hauptseite Sicherheit oder auf der Aktionsseite im Power Platform Admin Center auswählen. Nachdem Sie Einschränkungen für den Gastzugriff konfiguriert haben, verbessert sich die Sicherheitsbewertung Ihres Mandanten basierend auf der Anzahl der konfigurierten Umgebungen.
Zu berücksichtigende Latenz
Die Zeit, die erforderlich ist, um den Gastzugriff effektiv zu blockieren, hängt vom Volumen der Umgebungen und Ressourcen in diesen Umgebungen ab. In den extremsten Fällen beträgt die Latenz für die vollständige Durchsetzung 24 Stunden.
Bekannte Einschränkungen
Der Gastzugriff ist eine Previewfunktion. Weitere Verbesserungen sind geplant. Es hat unter anderem die folgenden bekannten Einschränkungen:
- Durch das Blockieren des Gastzugriffs verhindern Sie, dass ein Gast Ressourcen speichert und verwendet. Eventuell hindert dies einen Gast jedoch nicht daran, auf das Power Apps Maker Portal zuzugreifen.
- Elemente, die in Copilot Studio erstellt wurden, verwenden eventuell Graph-Connectors als Wissensquellen von außerhalb von Microsoft Power Platform. Derzeit sind die darin enthaltenen Informationen möglicherweise für Gäste zugänglich, auch wenn der Gastzugriff gesperrt ist.
Administratorberechtigungen (Vorschauversion)
[Dieser Abschnitt ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Wichtig
- Dies ist eine Previewfunktion.
- Previewfunktionen sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Diese Funktionen unterliegen den ergänzenden Nutzungsbedingungen und stehen vor dem offiziellen Release zur Verfügung, damit die Kundschaft frühen Zugriff darauf erhalten und Feedback geben können.
Das Administrationsrechte-Feature gilt nur für verwaltete Umgebungen. Indem Sie die Anzahl der Benutzer begrenzen, die über Administrationsrollen mit hohen Berechtigungen in Microsoft Entra ID und Microsoft Power Platform verfügen, können Sie die Sicherheitsbewertung Ihres Mandanten verbessern. Sie können diese Funktion verwenden, um Benutzer mit diesen privilegierten Rollen sowie die Benutzerliste zu überprüfen und Benutzer zu entfernen, die keinen privilegierten Zugriff mehr haben sollen. Weitere Informationen finden Sie unter : Übersicht über das Power Platform Admin Center.
Benutzer mit Administratorberechtigungen
Der Bereich Administratorrechte gibt proaktiv eine Empfehlung, wenn in Ihrem Mandanten viele Benutzer Administratorrechte haben. Sie können die Empfehlung öffnen, um eine Liste der Umgebungen anzuzeigen, in denen viele Benutzer die Sicherheitsrolle „Systemadministrator“ besitzen. (Derzeit zeigt die Liste Umgebungen, in denen mehr als 20 Benutzer diese Rolle haben.) Wählen Sie für jede Umgebung in der Liste den Link in der Spalte Fachkräfte für die Systemadministration aus, um die Seite Sicherheitsrollen zu öffnen. Dort können Sie die Sicherheitsrolle Fachkraft für die Systemadministration und dann Mitgliedschaft auswählen, um die Seite Mitgliedschaft zu öffnen. Auf dieser Seite wird eine Liste der Benutzer angezeigt, denen die Rolle zugewiesen wurde. Sie können Benutzer auswählen, um sie einzeln aus der Rolle zu entfernen.
Notiz
Nur Benutzer, denen die Rolle „globaler Administrator“ zugewiesen ist, können andere Benutzer aus der Rolle „globaler Administrator“ entfernen.
Bekannte Probleme
Beachten Sie die folgenden bekannten Probleme mit diesem Feature:
- Auf der Seite Mitgliedschaft für die Sicherheitsrolle werden nur die Sicherheitsrollen in der Standardunternehmenseinheit angezeigt. Um sich alle Sicherheitsrollen in allen Unternehmenseinheiten anzeigen zu lassen, deaktivieren Sie die Option Nur übergeordnete Sicherheitsrollen anzeigen.
- Nachdem Sie einen Benutzer aus der Systemadministratorrolle entfernt haben, dauert es etwa 24 Stunden, bis auf der Seite die aktualisierte Administratoranzahl angezeigt wird.
Authentifizierung für Agents (Vorschau)
[Dieser Abschnitt ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Wichtig
- Dies ist eine Previewfunktion.
- Previewfunktionen sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Für diese Funktionen gelten ergänzende Nutzungsbedingungen, und sie stehen vor dem offiziellen Release zur Verfügung, damit Kund*innen früher Zugriff darauf erhalten und Feedback geben können.
Mit diesem Feature können Administratoren die Authentifizierung für alle Agentinteraktionen in der Umgebung konfigurieren. Administratoren können eine der folgenden Optionen auswählen:
- Die Authentifizierung über Microsoft oder die manuelle Authentifizierung ermöglicht es Ihnen, die Authentifizierung über die Microsoft Entra-ID zu veranlassen oder sich manuell zu authentifizieren. Dadurch wird verhindert, dass Entwickler Agents ohne Authentifizierung erstellen oder verwenden.
- Keine Authentifizierung ermöglicht anonymen Zugriff.
Informationen zu den Authentifizierungsoptionen in Copilot Studio finden Sie unter "Konfigurieren der Benutzerauthentifizierung in Copilot Studio".
Die Authentifizierung für Agenten ist ein modernisiertes Framework des vorhandenen virtuellen Konnektors, Chat ohne Microsoft Entra ID. Es hilft Ihnen, durch Konfigurationen und Regeln auf Umgebungsebene zu navigieren. Wenn Sie sowohl den virtuellen Connector als auch die Authentifizierung für Agents im Sicherheitsbereich des Power Platform Admin Centers verwenden, muss der Zugriff an beiden Stellen zulässig sein, damit er zur Laufzeit zulässig ist. Wenn Sie in einem der Bereiche anonymen Zugriff blockieren, wird zur Laufzeit das restriktivste Verhalten erzwungen und der Zugriff wird blockiert. Betrachten Sie beispielsweise die Informationen in der folgenden Tabelle.
| Zugriff im virtuellen Connector | Zugriff auf die Einstellungen Authentifizierung für Agenten im Power Platform Admin Center | Laufzeit-Erzwingung |
|---|---|---|
| Blocked | Blocked | Blocked |
| Zulässig | Blocked | Blocked |
| Blocked | Zulässig | Blocked |
| Zulässig | Zulässig | Zulässig |
Es wird empfohlen, dass alle Kunden die Einstellung " Authentifizierung für Agents " im Power Platform Admin Center verwenden, um die Funktion von Gruppen und Regeln zu nutzen.
Agent-Zugriffspunkte (Vorschau)
[Dieser Abschnitt ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Wichtig
- Dies ist eine Previewfunktion.
- Previewfunktionen sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Für diese Funktionen gelten ergänzende Nutzungsbedingungen, und sie stehen vor dem offiziellen Release zur Verfügung, damit Kund*innen früher Zugriff darauf erhalten und Feedback geben können.
Dieses Feature ermöglicht Administratoren die Kontrolle darüber, wo Agents veröffentlicht werden können, sodass kundenübergreifendes Engagement auf mehreren Plattformen möglich ist. Administratoren können mehrere verfügbare Kanäle auswählen, z. B. Microsoft Teams, Direct Line, Facebook, Dynamics 365 for Customer Service, SharePoint und WhatsApp.
Das Feature „Agent-Zugriffspunkte“ ist ein modernisiertes Framework der vorhandenen virtuellen Anschlüsse. Es hilft Ihnen, die Konfigurationen und Regeln auf der Umgebungsebene zu skalieren. Wenn Sie sowohl virtuelle Connectors als auch die Einstellungen für Agent-Zugriffspunkte im Sicherheitsbereich des Power Platform Admin Centers verwenden, muss der Zugriff an beiden Stellen zulässig sein, damit er zur Laufzeit zulässig ist. Wenn Sie den Kanalzugriff an einer der Stellen blockieren, wird zur Laufzeit das restriktivste Verhalten durchgesetzt und der Zugriff blockiert. Betrachten Sie beispielsweise die Informationen in der folgenden Tabelle.
| Zugriff im virtuellen Connector | Zugriff unter den Einstellungen für Agent-Zugriffspunkte im Power Platform Admin Center | Laufzeit-Erzwingung |
|---|---|---|
| Blocked | Blocked | Blocked |
| Zulässig | Blocked | Blocked |
| Blocked | Zulässig | Blocked |
| Zulässig | Zulässig | Zulässig |
Es wird empfohlen, dass alle Kunden die Einstellungen für Agent-Zugriffspunkte im Power Platform Admin Center verwenden, um die Funktion von Gruppen und Regeln zu nutzen.