Partager via

Sécuriser l’accès Power Platform aux ressources à l’intérieur de votre réseau virtuel

Power Platform prend en charge l’utilisation du réseau virtuel Azure pour accéder aux ressources au sein de votre réseau virtuel sans les exposer à l’Internet public.

Astuce

Cet article fournit un exemple de scénario et un exemple d’architecture généralisée pour illustrer comment sécuriser l’accès de Power Platform aux ressources Azure avec le réseau virtuel Azure. L’exemple d’architecture peut être modifié pour de nombreux scénarios et secteurs différents.

Diagramme d’architecture

Diagramme d’architecture montrant comment sécuriser l’accès de Power Platform aux ressources Azure.

Flux de travail

Les étapes suivantes décrivent le workflow illustré dans l’exemple de diagramme d’architecture :

  1. Application de gestion des incidents : une application canevas ou une application pilotée par modèle Power Apps utilise un connecteur personnalisé Power Platform pour accéder à une base de données ou à un service backend hébergé dans Azure. La configuration est gérée au niveau de l’environnement pour se connecter à un réseau virtuel Azure spécifique selon les besoins. Par exemple, l’environnement de développement n’a peut-être pas besoin d’utiliser un réseau virtuel, contrairement aux environnements de test et de production.

  2. Demande de recherche : une demande de recherche de l’application utilise un connecteur personnalisé Power Platform pour accéder à l’API back-end hébergée dans Azure.

  3. Demander l’autorisation : l’API back-end est sécurisée par Microsoft Entra ID et Microsoft Entra ID authentifie l’utilisateur dans l’application. Le connecteur utilise OAuth pour autoriser l’accès de l’utilisateur à l’API back-end. Le connecteur obtient l’ID client et le secret à partir d’un Azure Key Vault en utilisant des variables d’environnement Power Platform.

  4. Accès au réseau : l’API back-end est hébergée dans un réseau virtuel Azure et n’autorise pas l’accès au réseau public. Le réseau virtuel délègue un sous-réseau pour l’environnement Power Platform, ce qui permet à la demande et à la réponse de l’API de traverser le réseau sans utiliser le réseau public Azure.

  5. Recherche de l’API back-end : l’API back-end reçoit la demande de recherche et effectue une recherche dans la base de données dans le contexte de l’utilisateur qui a effectué la demande.

Composants

Environnement Power Platform : contient des ressources Power Platform. L’environnement est la délimitation de l’accès et de la sécurité des données. Les environnements Power Platform peuvent être configurés pour utiliser l’intégration du réseau virtuel Azure, qui permet aux ressources Power Platform de communiquer avec les ressources Azure dans un réseau virtuel.

Power Apps : met en œuvre l’expérience utilisateur de la solution. Les utilisateurs se connectent à une application canevas ou à une application pilotée par modèle en utilisant Microsoft Entra ID.

Connecteurs personnalisés Power Platform : définissez les opérations disponibles pour les applications Power Platform à partir des services auxquels elles se connectent.

Réseau virtuel Azure : prend en charge la connectivité hybride avec les fonctionnalités locales et d’autres fonctionnalités de réseau Azure pour fournir un réseau virtuel dans le cloud. Les réseaux virtuels peuvent déléguer un sous-réseau aux ressources Power Platform, ce qui permet aux ressources Power Platform et Azure d’interagir sur un réseau privé sans envoyer le trafic sur des réseaux publics.

Azure Key Vault : stocke les informations d’identification requises pour se connecter aux API back-end avec OAuth. Comme pour les API back-end, les ressources Power Platform accèdent à Azure Key Vault via le réseau virtuel.

Détails du scénario

Les organisations ayant des besoins élevés en matière de sécurité doivent assurer une communication sécurisée entre les systèmes internes et les services cloud. Utilisez les contrôles de sécurité disponibles et intégrez les réseaux virtuels entre les ressources Power Platform et Azure dans le cadre de l’architecture de votre solution.

La mise en œuvre de contrôles de sécurité réseau entre les composants d’application présente souvent des défis, en particulier lorsqu’ils se situent à différents niveaux d’abstraction technologique. Avec le réseau virtuel Azure, vous pouvez créer des solutions avec des composants Power Platform et Azure sans la complexité d’une solution multi-réseaux typique. L’exemple d’architecture utilise la délégation du sous-réseau du réseau virtuel pour permettre aux ressources Power Platform et Azure de fonctionner ensemble dans des solutions qui utilisent les points forts des deux produits sans sacrifier la simplicité et la sécurité.

Considérations

Ces considérations mettent en œuvre les piliers de Power Platform Well-Architected, un ensemble de principes directeurs qui améliorent la qualité d’une charge de travail. Pour en savoir plus, consultez Microsoft Power Platform Well-Architected.

Fiabilité

Redondance : l’infrastructure Power Platform est créée pour utiliser une région principale et une région de basculement sans action explicite du client. Par exemple, si votre environnement Power Platform se trouve dans USA Ouest, la région de basculement est USA Est. Pour obtenir la meilleure résilience, configurez un réseau virtuel dans les deux régions Azure associées et établissez une connexion de peering entre elles. Cette configuration permet un basculement transparent des ressources Azure en cas de sinistre. Pour en savoir plus, consultez Continuité d’activité et reprise d’activité et Exemples de scénarios pour l’installation et la configuration d’un réseau virtuel.

Sécurité

Contrôle d’accès aux données : les API, le magasin de données et les autres ressources Azure de la solution sont isolés et accessibles uniquement à partir des applications exécutées dans l’environnement Power Platform connecté au réseau virtuel.

Segmentation et périmètres intentionnels : l’intégration du réseau virtuel Azure permet aux ressources Power Platform et Azure de communiquer en toute sécurité, isolées des autres interférences du réseau cloud. Cette configuration empêche les environnements de niveau inférieur, tels que les environnements de développement, de se connecter accidentellement aux ressources Azure de test ou de production, ce qui permet de maintenir un cycle de vie de développement sécurisé. Avec le réseau virtuel configuré dans un environnement Power Platform, vous contrôlez le trafic sortant de Power Platform. Pour en savoir plus, consultez Pratiques recommandées pour sécuriser les connexions sortantes à partir des services Power Platform

Chiffrement : les données transférées de Power Platform vers les services Azure dans le réseau virtuel ne traversent pas l’Internet public.

Excellence opérationnelle

Gestion du cycle de vie des applications (ALM) : l’intégration est configurée au niveau de l’environnement Power Platform. Les réseaux virtuels Azure correspondants constituent une zone d’atterrissage complète pour l’ensemble de la solution et peuvent isoler le développement, le test et la production ou des étapes spécifiques du cycle de vie dans les processus ALM de votre organisation.

Efficacité des performances

Collecter des données de performances : le service Azure Monitor collecte et agrège les mesures et les journaux de chaque composant de votre système, ce qui vous fournit une vue de la disponibilité, des performances et de la résilience. Pour en savoir plus, consultez Surveiller le réseau virtuel Azure.

Contributeurs

Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.

Principaux auteurs :

Étapes suivantes

Suivez ces étapes de haut niveau pour créer une solution de bout en bout :

  1. Configurer la prise en charge du réseau virtuel pour Power Platform.

  2. Créez une API REST hébergée sur Azure à l’aide de votre technique préférée. Protégez l’API avec Microsoft Entra ID. Pour en savoir plus, consultez Configurer votre service d’application ou votre application Azure Functions pour utiliser la connexion Microsoft Entra.

  3. Créez des variables d’environnement Power Platform pour contenir l’ID client et le secret d’Azure Key Vault. Pour en savoir plus, voir Utiliser les variables d’environnement pour les secrets Azure Key Vault.

  4. Créez un connecteur personnalisé pour votre API. Démarrez avec un didacticiel.

  5. Définissez le connecteur personnalisé pour utiliser OAuth 2.0 avec Azure Active Directory (Microsoft Entra ID) et activez la prise en charge du principal de service.

    Capture d’écran des paramètres d’authentification de la sécurité du connecteur personnalisé, montrant l’utilisation d’OAuth 2.0.

  6. Configurez l’ID client et la clé secrète client pour utiliser les valeurs des variables d’environnement que vous avez créées à l’étape 2.

    Capture d’écran des paramètres de sécurité du connecteur personnalisé affichant le champ ID client défini sur une variable d’environnement.

  7. Créez une application canevas dans Power Apps pour fournir une interface de recherche.

  • Last updated on