Freigeben über

Sicherer Power Platform-Zugriff auf Ressourcen innerhalb Ihres virtuellen Netzwerks

Power Platform unterstützt die Verwendung von Azure Virtual Network für den Zugriff auf Ressourcen in Ihrem virtuellen Netzwerk, ohne sie dem öffentlichen Internet auszusetzen.

Tipp

Dieser Artikel bietet ein Beispielszenario und eine allgemeine Beispielarchitektur, um zu zeigen, wie Sie mit Azure Virtual Network für einen sicheren Power Platform-Zugriff auf Azure-Ressourcen sorgen können. Das Architekturbeispiel kann für viele verschiedene Szenarien und Branchen modifiziert werden.

Architekturdiagramm

Architekturdiagramm, das den sicheren Power Platform-Zugriff auf Azure-Ressourcen zeigt.

Workflow

Die folgenden Schritte beschreiben den Workflow, der im Beispielarchitekturdiagramm dargestellt ist:

  1. Fallverwaltungsanwendung: Eine Power Apps-Canvas- oder modellgesteuerte App verwendet einen benutzerdefinierten Power Platform Connector für den Zugriff auf eine Back-End-Datenbank oder einen Back-End-Dienst, die bzw. der in Azure gehostet wird. Die Konfiguration wird auf Umgebungsebene verwaltet, um bei Bedarf eine Verbindung mit einem bestimmten virtuellen Azure-Netzwerk herzustellen. Beispielsweise muss die Entwicklungsumgebung möglicherweise kein virtuelles Netzwerk verwenden, Test und Produktion jedoch schon.

  2. Suchanforderung: Eine Suchanforderung der App verwendet einen benutzerdefinierten Power Platform-Connector, um auf die in Azure gehostete Back-End-API zuzugreifen.

  3. Autorisierungsanforderung: Die Back-End-API ist durch die Microsoft Entra ID gesichert und die Microsoft Entra ID authentifiziert den Benutzenden bei der App. Der Connector verwendet OAuth, um den Zugriff des Benutzenden auf die Back-End-API zu autorisieren. Der Connector ruft die Client-ID und das Geheimnis aus einem Azure Key Vault mithilfe von Power Platform-Umgebungsvariablen ab.

  4. Netzwerkzugriff: Die Back-End-API wird in einem virtuellen Azure-Netzwerk gehostet und lässt keinen Zugriff auf das öffentliche Netzwerk zu. Das virtuelle Netzwerk delegiert ein Subnetz für die Power Platform-Umgebung, sodass die API-Anforderung und -Antwort das Netzwerk durchlaufen können, ohne das öffentliche Azure-Netzwerk zu verwenden.

  5. Back-End-API-Suche: Die Back-End-API empfängt die Suchanforderung und führt eine Datenbanksuche im Kontext des Benutzenden durch, der die Anfrage gestellt hat.

Komponenten

Power Platform-Umgebung: Enthält Power Platform-Ressourcen. Die Umgebung ist die Grenze für Datenzugriff und Sicherheit. Power Platform-Umgebungen können so konfiguriert werden, dass die Azure Virtual Network-Integration verwendet wird, mit der Power Platform-Ressourcen mit Azure-Ressourcen in einem virtuellen Netzwerk kommunizieren können.

Power Apps: Implementiert die Benutzererfahrung der Lösung. Benutzende melden sich bei einer Canvas- oder modellgesteuerten App mit Microsoft Entra ID an.

Benutzerdefinierte Power Platform Connectors: Legen Sie die Vorgänge fest, die Power Platform-Anwendungen über die Dienste, mit denen sie eine Verbindung herstellen, zur Verfügung stehen.

Azure Virtual Network: Unterstützt die Hybridkonnektivität mit lokalen und anderen Azure-Netzwerkfunktionen, um ein virtuelles Netzwerk in der Cloud bereitzustellen. Virtuelle Netzwerke können ein Subnetz an Power Platform-Ressourcen delegieren, sodass Power Platform- und Azure-Ressourcen über ein privates Netzwerk interagieren können, ohne Datenverkehr über öffentliche Netzwerke zu senden.

Azure Key Vault: Speichert die Anmeldeinformationen, die zum Herstellen einer Verbindung mit Back-End-APIs mithilfe von OAuth erforderlich sind. Ähnlich wie bei den Back-End-APIs greifen Power Platform-Ressourcen über das virtuelle Netzwerk auf den Azure Key Vault zu.

Einzelheiten zum Szenario

Organisationen mit hohen Sicherheitsanforderungen müssen eine sichere Kommunikation zwischen internen Systemen und Cloud-Diensten gewährleisten. Nutzen Sie die verfügbaren Sicherheitskontrollen, und integrieren Sie virtuelle Netzwerke zwischen Power Platform- und Azure-Ressourcen als Teil Ihrer Lösungsarchitektur.

Die Implementierung von Netzwerksicherheitskontrollen zwischen Anwendungskomponenten stellt häufig eine Herausforderung dar, insbesondere wenn sie sich auf unterschiedlichen Technologieabstraktionsebenen befinden. Mit Azure Virtual Network können Sie Lösungen mit Power Platform und Azure Komponenten erstellen, ohne die Komplexität einer typischen Lösung mit mehreren Netzwerken zu besitzen. Die Beispielarchitektur verwendet die Subnetzdelegierung des virtuellen Netzwerks, um die Zusammenarbeit von Power Platform- und Azure-Ressourcen in Lösungen zu erlauben, welche die Stärken beider Produkte nutzen, ohne dabei auf Einfachheit und Sicherheit zu verzichten.

Überlegungen

Diese Überlegungen implementieren die Säulen von Power Platform Well-Architected, eine Reihe von Leitprinzipien, welche die Qualität einer Workload verbessern. Weitere Informationen finden Sie unter Microsoft Power Platform Well-Architected.

Zuverlässigkeit

Redundanz: Die Power Platform-Infrastruktur ist so konzipiert, dass eine primäre und eine Failover-Region ohne explizite Aktion des Kunden verwendet werden. Wenn sich Ihre Power Platform-Umgebung beispielsweise in der Region USA, Westen befindet, ist die Failoverregion USA, Osten. Um die beste Ausfallsicherheit zu erzielen, richten Sie ein virtuelles Netzwerk in beiden gepaarten Azure-Regionen ein, und stellen Sie eine Peeringverbindung zwischen ihnen her. Dieses Setup ermöglicht ein nahtloses Failover von Azure-Ressourcen im Notfall. Weitere Informationen finden Sie unter Business Continuity & Disaster Recovery und Beispielszenarien für die Einrichtung und Konfiguration von Virtual Network.

Sicherheit

Datenzugriffssteuerung: Die APIs, der Datenspeicher und andere Azure-Ressourcen für die Lösung sind isoliert und nur für Anwendungen zugänglich, die in der Power Platform-Umgebung ausgeführt werden, die mit dem virtuellen Netzwerk verbunden ist.

Bewusste Segmentierung und Perimeter: Durch die Integration von Azure Virtual Network können Power Platform- und Azure-Ressourcen sicher und isoliert von anderen Cloud-Netzwerkstörungen kommunizieren. Diese Einrichtung verhindert, dass Umgebungen auf niedrigerer Ebene, wie z. B. Entwicklungsumgebungen, versehentlich eine Verbindung zu Azure-Test- oder Produktionsressourcen herstellen, und hilft so, einen sicheren Entwicklungslebenszyklus aufrechtzuerhalten. Wenn das virtuelle Netzwerk in einer Power Platform-Umgebung konfiguriert ist, steuern Sie den ausgehenden Datenverkehr von Power Platform. Weitere Informationen finden Sie unter Bewährte Methoden zum Sichern ausgehender Verbindungen von Power Platform-Diensten.

Verschlüsselung: Daten, die im virtuellen Netzwerk von Power Platform- zu Azure-Diensten verschoben werden, durchlaufen nicht das öffentliche Internet.

Betriebliche Effizienz

Application Lifecycle Management (ALM): Die Integration wird auf Ebene der Power Platform-Umgebung konfiguriert. Entsprechende virtuelle Azure-Netzwerke bilden eine vollständige Zielzone für die gesamte Lösung und können Entwicklungs-, Test- und Produktions- oder bestimmte Lebenszyklusphasen in den ALM-Prozessen Ihrer Organisation isolieren.

Leistungsfähigkeit

Leistungsdaten sammeln: Der Azure Monitor-Dienst sammelt und aggregiert Metriken und Protokolle aus jeder Komponente Ihres Systems, sodass Sie einen Überblick über Verfügbarkeit, Leistung und Ausfallsicherheit haben. Erfahren Sie mehr über Azure Virtual Network.

Mitwirkende

Dieser Artikel wird von Microsoft gepflegt. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

Nächste Schritte,

Befolgen Sie diese allgemeinen Schritte, um eine End-to-End-Lösung zu erstellen:

  1. Virtuellen Netzwerk-Support für Power Platform einrichten.

  2. Erstellen Sie eine von Azure gehostete REST-API mit Ihrer bevorzugten Technik. Schützen Sie die API mit Microsoft Entra ID. Weitere Informationen finden Sie unter Konfigurieren Ihrer App Service- oder Azure Functions-App zur Verwendung der Microsoft Entra-Anmeldung.

  3. Erstellen Sie Power Platform-Umgebungsvariablen für die Client-ID und das Geheimnis aus einem Azure Key Vault. Weitere Informationen: Azure Key Vault-Geheimnisse in Umgebungsvariablen verwenden.

  4. Erstellen Sie einen benutzerdefinierten Connector für Ihre API. Machen Sie die ersten Schritte mit einem Tutorial.

  5. Legen Sie fest, dass der benutzerdefinierte Connector OAuth 2.0 mit Azure Active Directory (Microsoft Entra ID) verwendet, und aktivieren Sie die Dienstprinzipalunterstützung.

    Screenshot der Sicherheitsauthentifizierungseinstellungen eines benutzerdefinierten Connectors, der die Verwendung von OAuth 2.0 zeigt.

  6. Konfigurieren Sie die Client-ID und den geheimen Clientschlüssel so, dass die Werte aus den Umgebungsvariablen verwendet werden, die Sie in Schritt 2 erstellt haben.

    Screenshot der benutzerdefinierten Sicherheitseinstellungen für Connectors, wobei das Client-ID-Feld auf eine Umgebungsvariable festgelegt ist.

  7. Erstellen Sie eine Canvas-App in Power Apps, um eine Suchoberfläche bereitzustellen.

  • Last updated on