Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ihre Organisation kann Azure Virtual Network verwenden, um sicherzustellen, dass ihre Power Platform Dienste in einer sicheren und kontrollierten Netzwerkumgebung ausgeführt werden, wodurch das Risiko von Datenschutzverletzungen und unbefugtem Zugriff verringert wird. Dieses Whitepaper enthält eine eingehende Analyse der Unterstützung von Azure Virtual Network in Power Platform. Es hebt die wichtigsten Vorteile hervor, skizziert den Implementierungsprozess und die technische Architektur, diskutiert reale Anwendungsfälle und bietet praktische Einblicke aus einer erfolgreichen Fallstudie, was es zu einer wertvollen Ressource für IT-Experten und Entscheidungsträger macht, die ihre Netzwerksicherheit und betriebliche Effizienz verbessern möchten.
Wesentliche Vorteile
Erhöhte Sicherheit: Hosten Sie Power Platform Dienste in einem sicheren Netzwerk und schützen Sie sensible Daten vor unbefugtem Zugriff und potenziellen Verstößen.
Verbesserte Konnektivität: Stellen Sie sichere und zuverlässige Verbindungen zwischen Power Platform Diensten und anderen Azure-Ressourcen her, um die allgemeine Konnektivität zu verbessern.
Optimiertes Netzwerkmanagement: Vereinfachen Sie das Netzwerkmanagement mit einem zentralisierten und konsistenten Ansatz für die Konfiguration und Verwaltung von Netzwerkeinstellungen für Power Platform Dienste.
Skalierbarkeit: Skalieren Sie Power Platform Dienste effizient und stellen Sie sicher, dass Netzwerkressourcen entsprechend den Geschäftsanforderungen wachsen können.
Compliance: Erfüllen Sie gesetzliche Vorschriften und Compliance-Anforderungen für Netzwerksicherheit und Datenschutz.
Hintergrund
Microsoft Power Platform ist eine führende Low-Code-/No-Code-Plattform, die es Menschen ermöglicht, Anwendungen zu erstellen, Workflows zu automatisieren und Daten zu analysieren, auch wenn sie keine professionellen Entwickler sind, um benutzerdefinierte Lösungen zu erstellen, die auf spezifische Geschäftsanforderungen zugeschnitten sind, Innovationen zu fördern und die Produktivität zu steigern. Power Platform umfasst die folgenden Microsoft Dienste:
- Dataverse dient als zugrunde liegende Datenplattform und bietet eine sichere und skalierbare Umgebung zum Speichern und Verwalten von Daten.
- Power Apps bietet eine benutzerfreundliche Oberfläche zum Erstellen benutzerdefinierter Anwendungen.
- Power Automate bietet eine Drag-and-Drop-Oberfläche zur Automatisierung sich wiederholender Aufgaben und Workflows.
- Power BI bietet robuste Datenvisualisierungs- und Analysefunktionen.
- Power Pages bietet eine benutzerfreundliche Oberfläche zum Erstellen professioneller Websites.
- Copilot Studio vereinfacht die Erstellung intelligenter Bots und Agenten ohne tiefgreifende Kenntnisse der KI-Technik.
Die Integration dieser Komponenten mit Azure-Ressourcen mithilfe virtueller Netzwerke verbessert die Gesamtfunktionalität und -Sicherheit von Power Platform. Virtuelle Netzwerke bieten eine sichere und isolierte Netzwerkumgebung, in der Power Platform Dienste ausgeführt werden können, sodass Ihre Organisation den Netzwerkverkehr steuern und verwalten und gleichzeitig sicherstellen kann, dass Daten in Übereinstimmung mit den gesetzlichen Anforderungen geschützt werden.
Netzwerksicherheit und Virtual Network-Integration
Netzwerksicherheit ist ein kritischer Aspekt jeder digitalen Infrastruktur. Der Schutz des ausgehenden Datenverkehrs von Power Platform-Diensten ist unerlässlich, um unbefugten Zugriff, Datenschutzverletzungen und andere Sicherheitsbedrohungen zu verhindern. Die Integration von Virtual Network spielt eine wichtige Rolle. Durch die Bereitstellung eines sicheren Pfads für die Datenübertragung, der sicherstellt, dass der gesamte Datenverkehr von Power Platform Diensten durch eine kontrollierte und überwachte Netzwerkumgebung geleitet wird, wird das Risiko potenzieller Bedrohungen reduziert.
Durch die Implementierung der Unterstützung für virtuelle Netzwerke kann Ihre Organisation strenge Sicherheitsrichtlinien durchsetzen, den Netzwerkverkehr überwachen und Anomalien in Echtzeit erkennen. Dieses Maß an Kontrolle ist entscheidend für die Wahrung der Integrität und Vertraulichkeit sensibler Daten. Gleichzeitig vereinfacht die Integration von Virtual Network Ihre gesamte Netzwerkarchitektur und verbessert die Zuverlässigkeit, indem Power Platform Dienste nahtlos mit anderen Azure-Ressourcen verbunden werden können.
Überblick über den Support für Virtual Network in Power Platform
Die Unterstützung von Virtual Network ist eine bedeutende Erweiterung, die robuste Sicherheit und verbesserte Konnektivität für Power Platform bietet. Virtuelle Netzwerke sind eine grundlegende Komponente der Netzwerkfunktionen von Azure und ermöglichen es Ihrer Organisation, Power Platform Dienste mit Ressourcen in ihren privaten Unternehmensnetzwerken zu verbinden. Sie stellen eine sichere Kommunikation zwischen Power Platform Diensten, anderen Azure Ressourcen und Netzwerken her, z. B. lokalen Diensten, Datenbanken, Speicherkonten und einem Schlüsseltresor.
Indem der gesamte ausgehende Datenverkehr von Power Platform Diensten über ein virtuelles Netzwerk geleitet wird, kann Ihre Organisation sicherstellen, dass Daten sicher übertragen werden und vor unbefugtem Zugriff geschützt bleiben. Ein virtuelles Netzwerk verbessert auch die Konnektivität, indem es eine zuverlässige und konsistente Netzwerkumgebung bereitstellt. Das Herstellen sicherer Verbindungen zwischen Power Platform Diensten und anderen Azure-Ressourcen sorgt für einen nahtlosen Datenfluss und eine effizientere Nutzung von Netzwerkressourcen.
Hinter den Kulissen
Power Platform Infrastruktur besteht aus einer serverlosen Container-Orchestrierungsschicht, die Workloads mit einer strengen Sicherheitsgrenze ausführt und individuelle Verfügbarkeit und Skalierbarkeit auf Workload-Ebene garantiert. Die Container-Orchestrierungsebene wird für alle Workloads verwendet, die isoliert werden müssen, einschließlich interner Konnektoren ähnlich wie Microsoft-Workloads und Kunden-Workloads wie Plug-Ins.
Die containerisierte Workload ermöglicht Power Platform, die Isolierung auf Netzwerkebene mithilfe einer Kombination aus Azure-Subnetzdelegierung und Virtual Network Einfügevunktionen zu unterstützen. Mit Virtual Network Injection kann ein Container in ein virtuelles Netzwerk eingefügt werden, indem eine Netzwerkschnittstellenkarte angefügt wird. Jede Workload, die auf diesem Container ausgeführt wird, wird im Netzwerk des Kunden ausgeführt und kann private IP-Adressen innerhalb des Netzwerks verwenden. Plug-In-Workloads können über eine private Verbindung, die demselben virtuellen Netzwerk zur Verfügung gestellt wird, auf Benutzerdienste, Ressourcen oder Azure-Ressourcen zugreifen. Auf ähnliche Weise kann eine Connectorworkload auf die Zielressource oder den Zielendpunkt innerhalb desselben virtuellen Netzwerks zugreifen.
Azure Subnetzdelegierung
Die Unterstützung des virtuellen Netzwerks für Power Platform stützt sich auf die Azure Subnetzdelegierung. Unternehmen delegieren ein Subnetz zur Verwendung durch Power Platform Dienste wie Dataverse Plug-Ins und Konnektoren, um Anforderungen zur Laufzeit zu verarbeiten. Container verwenden die IP-Adresse aus dem delegierten Subnetz, um diese Anforderungen zu verarbeiten.
Da der Container innerhalb der Grenzen des delegierten Subnetzes ausgeführt wird und dessen IP-Adresse verwendet, bleibt jeder ausgehende Aufruf vom Container innerhalb der Netzwerkgrenzen des Unternehmens, d. h., der Anruf bleibt im virtuellen Netzwerk, das Teil dieses Subnetzes ist. Dieses Setup ermöglicht Ihrer Organisation die vollständige Kontrolle über die Richtlinien, Regeln und Netzwerkpakete für Container. Sie können auf das delegierte Subnetz die gleichen Steuerelemente anwenden wie auf Ihr eigenes Netzwerk.
Power Platform verwaltet nicht die Konfiguration des delegierten Subnetzes. Die einzige Voraussetzung ist, dass das delegierte Subnetz nicht für andere Ressourcen verwendet oder an andere Dienste delegiert werden kann. Nachdem ein Subnetz delegiert wurde, werden die IP-Adressen innerhalb dieses für Power Platform reserviert.
Der Internetzugriff aus Containern ist standardmäßig deaktiviert. Wenn Code, der in Containern ausgeführt wird, Internetzugriff erfordert, müssen Sie Azure NAT Gateway im delegierten Subnetz konfigurieren, damit die Container eine Verbindung mit Ressourcen im Internet herstellen können.
In der folgenden Tabelle sind der Besitz des delegierten Subnetzes und der Steuerelemente zusammengefasst, die Kunden und Microsoft zur Verfügung stehen.
| Steuerelemente | Eigenschaft | Besitz |
|---|---|---|
| NAT Gateway | Wenn ein NAT Gateway mit einem Subnetz verbunden ist, wird er zum nächsten Hop für den gesamten für das Internet bestimmten Datenverkehr aus diesem Subnetz. Der gesamte Datenverkehr vom Subnetz zum Internet wird über das NAT Gateway geleitet. Alle Instanzen innerhalb des Subnetzes bleiben privat mit sicherer und skalierbarer ausgehender Konnektivität. | Customer |
| Netzwerksicherheitsgruppen (NSGs) | Kunden können dem delegierten Subnetz NSGs zuordnen. Definieren und erzwingen Sie Sicherheitsregeln, um den ein- und ausgehenden Datenverkehr zum und vom Subnetz zu steuern. | Customer |
| Routingtabellen | Kunden können Routingtabellen dem delegierten Subnetz zuordnen. Definieren Sie benutzerdefinierte Routingrichtlinien, um den Datenverkehrsfluss innerhalb des virtuellen Netzwerks und zu externen Netzwerken zu steuern. | Customer |
| Netzwerküberwachung | Die Netzwerküberwachung hilft bei der Einhaltung von Sicherheitsrichtlinien, indem sie den Datenverkehr zwingt, über das virtuelle private Netzwerk des Unternehmens geleitet zu werden. | Customer |
| Verwaltung von IP-Adressen | Kunden können den IP-Adressraum für das delegierte Subnetz vorgeben und dabei sicherstellen, dass private IP-Adressbereiche wiev10.0.0.0/8, 192.168.0.0/16 oder 172.16.0.0/12 verwendet werden. | Customer |
| DNS-Konfiguration | Kunden können benutzerdefinierte DNS-Einstellungen für das delegierte Subnetz konfigurieren, einschließlich Azure-DNS-Einträgen. | Customer |
| Container | Container führen Anforderungen von Diensten aus, die Virtual Network unterstützen, und rufen IP-Adressen aus dem delegierten Subnetz ab. | Microsoft |
Technischer Architekt
Das folgende Diagramm der technischen Architektur einer Power Platform Lösung zeigt, wie Komponenten wie Datenquellen, Konnektoren, Dienste und Anwendungen innerhalb der Lösung interagieren und integriert werden. Das Diagramm veranschaulicht die Verwendung virtueller Netzwerke zur Verbesserung von Sicherheit und Konnektivität, indem Power Platform Dienste eine Verbindung mit privaten und geschützten Ressourcen herstellen können, ohne diese dem Internet auszusetzen. Die Architektur veranschaulicht, wie Ausführungsanforderungen an Container im virtuellen Netzwerk weitergeleitet werden, wobei die Grenzen der Containerisolation beibehalten werden.
In einer Virtual Network-Konfiguration ist der Container, auf dem das Plug-In oder der Konnektor ausgeführt wird, Teil des virtuellen Netzwerks der Organisation. Die Kommunikation mit Endpunkten im virtuellen Netzwerk bleibt innerhalb der Grenzen des virtuellen Netzwerks. Sie können die Grenze auf andere virtuelle oder lokale Netzwerke ausweiten, indem Sie Peering für virtuelle Netzwerke und ExpressRoute oder VPN Gateway verwenden.
Power Platform Komponenten in einer containerisierten Workload eines virtuellen Netzwerks müssen mit anderen Komponenten in der Workload kommunizieren können. Power Platform muss möglicherweise ise ein Plug-In auslösen oder einen Konnektor in der Workload aufrufen.
Da der Container nicht direkt mit der Hauptnetzwerkinfrastruktur verbunden ist, wird ein spezieller Kommunikationspfad oder Kanal zwischen dem Container und der Orchestrierungsebene eingerichtet. Der Kanal verwendet eine spezielle lokale IP-Adresse, die als APIPA-Adresse bezeichnet wird, um bestimmte Anweisungen oder Signale an die im Container ausgeführte Workload zu senden. Nur bestimmte Arten von Nachrichten dürfen die Workload erreichen, um sicherzustellen, dass der Container und seine Workload sicher und isoliert bleiben.
Das folgende Diagramm veranschaulicht, wie Container voneinander und vom Hostsystem mithilfe virtueller Netzwerke isoliert werden, die Ausführungsanforderungen an Container weiterleiten und dabei die Isolationsgrenzen beibehalten.
Virtual Network Support für Power Platform aktivieren
Befolgen Sie die Anweisungen unter Virtual Network-Support für Power Platform einrichten.
Häufige Anwendungsfälle und Beispiele aus der Praxis
In diesem Abschnitt lernen Sie häufige Anwendungsfälle für virtuelle Netzwerke mit Power Platform Lösungen kennen. Sie untersuchen auch reale Beispiele, die zeigen, wie verschiedene Branchen von ihrer Verwendung profitiert haben.
Anwendungsfälle
Sichere Datenintegration: Ihre Organisation kann die Unterstützung von Virtual Network verwenden, um Power Platform Dienste sicher mit ihren privaten Datenquellen zu verbinden, z. B. Azure SQL-Datenbank, Azure-Speicher und lokalen Ressourcen. Ein virtuelles Netzwerk stellt sicher, dass Daten innerhalb der Netzwerkgrenzen der Organisation verbleiben und nicht dem öffentlichen Internet ausgesetzt sind.
Private Endpunkte für Konnektoren: Power Platform Konnektoren können die Unterstützung von Virtual Network verwenden, um private Endpunkte für eine sichere Kommunikation einzurichten. Das private Netzwerk macht öffentliche IP-Adressen überflüssig und reduziert das Risiko von Datenschutzverletzungen.
Sichere Copilot Studio Integrationen: Sie können den Virtual Network Support mit Power Platform Konnektoren in Copilot Studio verwenden, um eine sichere Verbindung mit Datenquellen herzustellen. Das private Netzwerk eliminiert die Risiken, die mit der Offenlegung der Datenquellen im öffentlichen Internet verbunden sind, und mindert die Risiken der Datenexfiltration.
Beispiele aus der Praxis
Organisationen aller Branchen können vom Virtual Network Support für Power Platform profitieren. Durch die sichere Verbindung von Power Platform Diensten mit privaten Datenquellen können Organisationen ihren Sicherheitsstatus verbessern, die Konnektivität verbessern und die Einhaltung gesetzlicher Anforderungen sicherstellen.
Finanzinstitute: Eine große Bank kann ein virtuelles Netzwerk nutzen, um Power Platform Lösungen und Dynamics 365-Apps sicher mit ihren geschützten Datenbanken und Diensten zu verbinden. Dieses Setup ermöglicht es der Bank, sichere Workflows zu erstellen und Prozesse zu automatisieren, ohne sensible Informationen dem öffentlichen Internet preiszugeben, und stellt so sicher, dass Kundendaten geschützt sind und den gesetzlichen Anforderungen entsprechen.
Gesundheitsdienstleister: Eine Gesundheitsorganisation kann ein virtuelles Netzwerk nutzen, um Power Platform Lösungen und Dynamics 365-Apps mit ihren elektronischen Patientenaktensystemen zu verbinden. Das private Netzwerk kann für den sicheren Zugriff auf Patientendaten und zur Schaffung sicherer Kommunikationskanäle zwischen Abteilungen und zwischen dem Anbieter und externen Partnern verwendet werden.
Einzelhandelsunternehmen: Ein Einzelhandelsunternehmen kann ein virtuelles Netzwerk verwenden, um Power Platform Lösungen und Dynamics 365-Apps sicher mit seinen Bestandsverwaltungssystemen und Kundendatenbanken zu verbinden. Private Verbindungen ermöglichen es dem Unternehmen, Abläufe zu rationalisieren, die Bestandsverfolgung zu verbessern und den Kundenservice zu verbessern, während gleichzeitig sichergestellt wird, dass sensible Daten geschützt bleiben.
Regierungsbehörden: Regierungsbehörden können ein virtuelles Netzwerk verwenden, um Power Platform Lösungen und Dynamics 365-Apps sicher mit ihren internen Systemen und Datenbanken zu verbinden. Private Verbindungen ermöglichen es Behörden, Prozesse zu automatisieren, den Datenaustausch zu verbessern und die Zusammenarbeit zu fördern, während gleichzeitig strenge Sicherheits- und Compliance-Standards eingehalten werden.
Integrationsmuster
Die Arten von Workloads, die Sie in einer Umgebung ausführen möchten, bestimmen das Integrationsmuster für Power Platform. Sie können den Virtual Network Support für Power Platform mit einigen Ausnahmen als Integrationsmuster in Ihrer Umgebung verwenden.
API-Workloads: Wenn Sie API-Workloads wie Plug-Ins, Konnektoren oder Dienstendpunkte ausführen möchten, ist ein virtuelles Netzwerk die einzige unterstützte Möglichkeit, sie sicher in Datenquellen innerhalb Ihres Netzwerks zu integrieren. Virtuelle Netzwerke unterstützen keine Teilmenge von Konnektoren, die nicht von Microsoft stammende Treiberanforderungen haben oder die Windows-Authentifizierung verwenden. Diese Konnektoren werden nicht häufig verwendet und müssen ein lokales Datengateway anstelle eines virtuellen Netzwerks verwenden. Die folgenden Plug-Ins und Konnektoren sind für die Verwendung in einem virtuellen Netzwerk allgemein verfügbar:
- Dataverse-Plug-Ins
- Benutzerdefinierte Konnektoren
- Azure Blob Storage
- Azure File Storage
- Azure Key Vault
- Azure-Warteschlangen
- Azure SQL Data Warehouse
- HTTP mit Microsoft Entra-ID (vorautorisiert)
- SQL Server
ETL-Workloads: ETL-Workloads (Power BI Extrahieren, Transformieren, Laden Power Platform) und Datenflows verwenden virtuelle Netzwerkdatengateways.
Das folgende Diagramm veranschaulicht die Integrationsmuster für API- und ETL-Workloads.
Konfigurationsüberlegungen
Beachten Sie die folgenden Überlegungen, wenn Sie den Virtual Network Suppot für Power Platform einrichten.
Regionen und Standorte
Delegierte Subnetze in Azure-Regionen müssen mit dem Standort der Power Platform Umgebung übereinstimmen. Wenn sich Ihre Power Platform Umgebung z. B. in den USA befindet, müssen sich die beiden virtuellen Netzwerke und Subnetze jeweils in den eastus und westus Azure-Regionen befinden. In der Liste der unterstützten Regionen und Standortzuordnungen finden Sie die neuesten Informationen zu Azure-Regionen und -Standorten.
Wenn sich Ihre Azure-Ressourcen in verschiedenen Azure-Regionen befinden, müssen Sie Ihre virtuellen Netzwerke dennoch für Power Platform Umgebungen am entsprechenden Azure-Standort für jede Umgebung bereitstellen. Verwenden Sie das Peering virtueller Netzwerke oder eine ähnliche Konnektivitätsoption mit hoher Geschwindigkeit und geringer Latenz, um die Ressourcen mit Ihren virtuellen Netzwerken zu verbinden. Das Microsoft globale Netzwerk bietet mehrere Optionen zum Herstellen einer Konnektivität zwischen dem Power Platform virtuellen Netzwerk und dem virtuellen Unternehmensnetzwerk.
Subnetzgröße
Die Größe des delegierten Subnetzes in einem virtuellen Netzwerk sollte zukünftiges Nutzungswachstum und das Hinzufügen neuer Dienste berücksichtigen. Durch die entsprechende Dimensionierung Ihres Subnetzes wird sichergestellt, dass Anforderungen nicht gedrosselt werden. Weitere Informationen zur Dimensionierung Ihres Subnetzes finden Sie unter Schätzen der Subnetzgröße für Power Platform Umgebungen.
Azure NAT-Gateway
Azure NAT Gateway verwendet Netzwerkadressenübersetzung (NAT), um Containern in einem delegierten Subnetz eine sichere Verbindung mit Internetressourcen zu ermöglichen, indem die privaten IP-Adressen von Containerinstanzen in eine statische, öffentliche IP-Adresse übersetzt werden. Statische IP-Adressen ermöglichen konsistente und sichere ausgehende Verbindungen.
Wenn Ihre Organisation die Unterstützung für virtuelle Netzwerke in einer Umgebung implementiert, in der nicht alle Datenquellen in das private Netzwerk migriert wurden, müssen Sie Azure NAT Gateway konfigurieren. Dies ist erforderlich, um Unterbrechungen bestehender Integrationen zu vermeiden, die Zugriff auf Internetressourcen erfordern, sodass Sie Ihre Integrationen ohne Auswirkungen auf aktuelle Workloads auf Virtual Network umstellen können.
Netzwerküberwachung
Die Netzwerküberwachung verfolgt und analysiert den Datenverkehrsfluss im delegierten Subnetz, was für die Identifizierung und Lösung potenzieller Probleme unerlässlich ist. Durch die Bereitstellung von Einblicken in die Leistung und den Zustand der Netzwerkkomponenten trägt die Überwachung dazu bei, dass das Netzwerk effizient und sicher arbeitet. Überwachungstools können Anomalien erkennen, wie ungewöhnliche Datenverkehrsmuster oder unbefugte Zugriffsversuche, sodass rechtzeitig eingegriffen und Maßnahmen zur Schadensbegrenzung ergriffen werden können.
Netzwerksicherheitsgruppen
Mithilfe von Netzwerksicherheitsgruppen (NSGs) können Sie Sicherheitsregeln definieren, die den Datenverkehr zu und von Ihren Azure-Ressourcen steuern. Wenn Sie ein Subnetz delegieren, können Sie NSGs konfigurieren, um sicherzustellen, dass nur autorisierter Datenverkehr zugelassen wird, und so die Sicherheit und Integrität Ihres Netzwerks aufrechtzuerhalten. NSGs können sowohl auf Subnetze als auch auf einzelne Netzwerkschnittstellen angewendet werden und bieten Flexibilität bei der Verwaltung des Datenverkehrs auf verschiedenen Ebenen.
Bewährte Methoden zum Sichern ausgehender Verbindungen von Power Platform-Diensten
Die folgenden bewährten Methoden helfen Ihnen, ausgehende Verbindungen von Power Platform Diensten zu sichern, was entscheidend ist, um das Risiko der Datenexfiltration zu mindern und die Einhaltung von Sicherheitsrichtlinien sicherzustellen.
Ausgehenden Datenverkehr einschränken: Beschränken Sie den ausgehenden Datenverkehr von Power Platform Ressourcen auf bestimmte Endpunkte. Verwenden Sie Netzwerksicherheitsgruppen und Azure Firewall, um Datenverkehrsregeln durchzusetzen und den Zugriff zu steuern.
Verwenden Sie private Endpunkte: Verwenden Sie private Endpunkte für die sichere Kommunikation zwischen Power Platform Diensten und Azure-Ressourcen. Private Endpunkte stellen sicher, dass der Datenverkehr innerhalb des Azure-Netzwerks verbleibt und nicht das öffentliche Internet durchquert.
Datenverkehr überwachen und prüfen: Verwenden Sie Azure Network Watcher und Microsoft Sentinel, um den ausgehenden Datenverkehr von Power Platform Diensten zu überwachen und zu prüfen, damit Sie potenzielle Sicherheitsbedrohungen in Echtzeit identifizieren und darauf reagieren können.
Sicherheitsrichtlinien anwenden: Erzwingen Sie Sicherheitsrichtlinien mit Azure Policy und Azure Firewall, um sicherzustellen, dass alle ausgehenden Verbindungen den Sicherheitsanforderungen Ihrer Organisation entsprechen. Um den Datenfluss zu steuern, wenden Sie Richtlinien zum Schutz vor Datenverlust und Endpunkt-Filterung auf Konnektoren an.
Beispielkonfigurationen für Virtual Network
In diesem Abschnitt stellen wir Beispielkonfigurationen für den virtuellen Nezwerksuppor in Power Platform bereit. Diese Konfigurationen veranschaulichen, wie virtuelle Netzwerke und Subnetze für verschiedene Szenarien eingerichtet werden, um eine sichere Konnektivität zwischen Power Platform Diensten und Azure-Ressourcen sicherzustellen.
Wenn sich Ihre Azure-Ressourcen in einer gepaarten Azure-Region befinden und sich die Power Platform Umgebung in den Vereinigten Staaten befindet
In diesem Szenario gehen wir von folgenden Annahmen aus:
- Ihre Power Platform Umgebung befindet sich in den Vereinigten Staaten.
- Die Azure-Region für das virtuelle Netzwerk ist auf USA, Westen und USA, Osten festgelegt.
- Ihre Unternehmensressourcen befinden sich in einem virtuellen Netzwerk (VNET1) in der Region „USA, Westen“.
Die folgende Mindestkonfiguration ist erforderlich, um die Unterstützung für Virtual Network in diesem Szenario einzurichten:
- Erstellen Sie ein virtuelles Netzwerk, VNet1, im Westen der USA, und richten Sie Subnetze für die Delegierung ein.
- Erstellen Sie ein zweites virtuelles Netzwerk, VNet2, im Osten der USA, und richten Sie Subnetze für die Delegierung ein.
- Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet2 her.
- Konfigurieren Sie die Power Platform virtuelle Neztwerk-Integration für die gewünschten Umgebungen mithilfe der Subnetze, die Sie in Schritt 1 und 2 erstellt haben.
Wenn sich Ihre Azure-Ressourcen in einer gepaarten Azure-Region in USA (Mitte) befinden und sich die Power Platform Umgebung in den Vereinigten Staaten befindet
In diesem Szenario gehen wir von folgenden Annahmen aus:
- Ihre Power Platform Umgebung befindet sich in den Vereinigten Staaten.
- Die primäre und Failover Azure-Region für das virtuelle Netzwerk ist auf USA Westen und USA Osten festgelegt.
- Ihre Unternehmensressourcen befinden sich in einem virtuellen Netzwerk (VNet1) in der Region „USA, Mitte“.
Die folgende Mindestkonfiguration ist erforderlich, um die Unterstützung für Virtual Network in diesem Szenario einzurichten:
- Erstellen Sie ein virtuelles Netzwerk (VNet2) in „USA, Westen“, und richten Sie Subnetze für die Delegierung ein.
- Erstellen Sie ein andees virtuelles Netzwerk, VNet3, im Osten der USA, und richten Sie Subnetze für die Delegierung ein.
- Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet2 her.
- Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet3 her.
- Konfigurieren Sie die Power Platform virtuelle Neztwerk-Integration für die gewünschten Umgebungen mithilfe der Subnetze, die Sie in Schritt 1 und 2 erstellt haben.
Fallstudie
Die folgende Fallstudie zeigt, wie ein Microsoft-Kunde erfolgreich die virtuelle Netzwerk-Unterstützung für Power Platform implementiert hat, um die Sicherheit und Konnektivität zu verbessern und gleichzeitig die Einhaltung gesetzlicher Anforderungen sicherzustellen.
Ein Unternehmen verbessert seine geschäftliche Agilität mit generativer KI und sicherer Integration mit Azure Virtual Network
Um praktische, geschäftliche Anwendungsfälle für generative KI zu erkunden, führte unser Kunde einen Hackathon durch. Die Veranstaltung brachte mehrere Citizen Developer zusammen, die in nur einem Monat einen erfolgreichen Prototyp mit Hilfe von Power Platform und Azure KI-Diensten erstellten. Der Hackathon zeigte nicht nur das Potenzial generativer KI, sondern bot den Teilnehmern auch wertvolle praktische Erfahrungen und förderte Innovation und Zusammenarbeit innerhalb der Organisation.
Herausforderungen für den Kunden: Der Übergang vom Prototyp zur Produktion stellte eine große Herausforderung dar. Die größte Hürde bestand darin, eine sichere, private Netzwerkarchitektur auf Power Platform und Azure zu etablieren, die den strengen internen Sicherheitsrichtlinien des Unternehmens entsprach. Die Gewährleistung von Datenschutz und Datensicherheit bei gleichzeitiger Aufrechterhaltung von Agilität und Skalierbarkeit war für den Kunden von entscheidender Bedeutung.
Lösung: Der Kunde hat die Azure-Subnetzdelegierung, d. h. ein virtuelles Netzwerk, mit einer verwalteten Umgebung verwendet, um eine private Netzwerkarchitektur zwischen Power Platform und privaten Azure-Ressourcen einzurichten. Mithilfe dieser Architektur hat der Kunde seine Power Platform Anwendungen sicher mit Azure-Diensten verbunden, ohne sensible Daten dem öffentlichen Internet preiszugeben.
Vorteile: Die Implementierung dieser Lösung brachte mehrere wichtige Vorteile.
Der Kunde schuf eine sichere und agile Integrationsgrundlage zwischen Power Platform und Azure und beschleunigte so die Realisierung des Geschäftswerts. Die Integration ermöglichte einen nahtlosen Datenfluss und eine verbesserte abteilungsübergreifende Zusammenarbeit.
Durch die neue Architektur entfallen die Kosten und Einschränkungen, die mit lokalen Datengateways verbunden sind. Durch den Verzicht auf eine lokale Infrastruktur konnte der Kunde die Betriebskosten senken und die Wartung vereinfachen.
Der Kunde ist nun in der Lage, andere interne Datenquellen, wie z. B. private Amazon Web Services und lokale APIs, über diese Plattform mit Azure ExpressRoute zu integrieren. Die Erweiterung ermöglicht es dem Kunden, eine breitere Palette von Daten und Diensten zu nutzen und so weitere Innovationen und Effizienz voranzutreiben.
Schlussfolgerung
In diesem Whitepaper haben wir verschiedene Aspekte der Integration von Virtual Network Support mit Power Platform untersucht. Wir haben die Sicherheitsvorteile der Verwendung eines virtuellen Netzwerks erörtert, z. B. den Schutz vertraulicher Daten vor unbefugtem Zugriff und die Gewährleistung einer sicheren Kommunikation zwischen Power Platform Diensten und privaten Ressourcen. Wir haben häufige Anwendungsfälle und Beispiele aus der Praxis besprochen, Integrationsmuster für verschiedene Szenarien bereitgestellt und Überlegungen zur Konfiguration der Unterstützung für virtuelle Netzwerke angestellt. Wir haben bewährte Methoden zum Sichern ausgehender Verbindungen von Power Platform Diensten vorgestellt, darunter:
- Einschränken des ausgehenden Datenverkehrs
- Verwenden von privaten Endpunkten und Subnetzdelegierung
- Überwachen und Prüfen des Datenverkehrs
- Anwenden von Sicherheitsrichtlinien
Letztendlich haben wir eine Fallstudie von einem Microsoft-Kunde angeschaut, der erfolgreich die virtuelle Netzwerk-Unterstützung für Power Platform implementiert hat, um die Sicherheit und Konnektivität zu verbessern und gleichzeitig die Einhaltung gesetzlicher Anforderungen sicherzustellen.
Die Unterstützung von virtuellen Netzwerken für Power Platform ist eine wichtige Funktion, mit der Organisationen ihre Netzwerksicherheit verbessern, die Konnektivität optimieren und die Einhaltung gesetzlicher Anforderungen sicherstellen können. Organisationen, die die Unterstützung von Virtual Network nutzen, können Power Platform Dienste sicher mit ihren privaten Datenquellen verbinden und so die Risiken beseitigen, die mit der Offenlegung dieser Quellen im öffentlichen Internet verbunden sind.