Freigeben über

Virtuelles Netzwerk Unterstützung von Whitepaper

Ihre Organisation kann Azure Virtual Network verwenden, um sicherzustellen, dass ihre Power Platform-Dienste in einer sicheren und kontrollierten Netzwerkumgebung arbeiten, wodurch das Risiko von Datenschutzverletzungen und unbefugtem Zugriff verringert wird. Dieses Whitepaper bietet eine ausführliche Analyse der Azure Virtual Network Unterstützung in Power Platform. Es hebt die wichtigsten Vorteile hervor, skizziert den Implementierungsprozess und die technische Architektur, erläutert praxisnahe Anwendungsfälle und bietet praktische Erkenntnisse aus einer erfolgreichen Fallstudie. Es ist eine wertvolle Ressource für IT-Experten und Entscheidungsträger, die ihre Netzwerksicherheit und betriebliche Effizienz verbessern möchten.

Wesentliche Vorteile

  • Erhöhte Sicherheit: Hosten Sie Power Platform Dienste in einem sicheren Netzwerk und schützen Sie sensible Daten vor unbefugtem Zugriff und potenziellen Verstößen.

  • Improved connectivity: Stellen Sie sichere und zuverlässige Verbindungen zwischen Power Platform-Diensten und anderen Azure Ressourcen her, wodurch die Gesamtkonnektivität verbessert wird.

  • Optimiertes Netzwerkmanagement: Vereinfachen Sie das Netzwerkmanagement mit einem zentralisierten und konsistenten Ansatz für die Konfiguration und Verwaltung von Netzwerkeinstellungen für Power Platform Dienste.

  • Skalierbarkeit: Skalieren Sie Power Platform Dienste effizient und stellen Sie sicher, dass Netzwerkressourcen entsprechend den Geschäftsanforderungen wachsen können.

  • Compliance: Erfüllen Sie gesetzliche Vorschriften und Compliance-Anforderungen für Netzwerksicherheit und Datenschutz.

Hintergrund

Microsoft Power Platform ist eine führende Low-Code-/No-Code-Plattform, die es Menschen ermöglicht, Anwendungen zu erstellen, Workflows zu automatisieren und Daten zu analysieren – auch wenn sie nicht Pro-Entwickler sind – um benutzerdefinierte Lösungen zu erstellen, die auf bestimmte Geschäftsanforderungen zugeschnitten sind, Innovationen zu fördern und die Produktivität zu steigern. Power Platform umfasst die folgenden Microsoft Dienste:

  • Dataverse dient als zugrunde liegende Datenplattform und bietet eine sichere und skalierbare Umgebung zum Speichern und Verwalten von Daten.
  • Power Apps bietet eine benutzerfreundliche Benutzeroberfläche zum Erstellen von benutzerdefinierten Anwendungen.
  • Power Automate bietet eine Drag-and-Drop-Schnittstelle zum Automatisieren sich wiederholender Aufgaben und Workflows.
  • Power BI bietet robuste Datenvisualisierungs- und Analysefunktionen.
  • Power Pages bietet eine benutzerfreundliche Benutzeroberfläche für die Erstellung von Websites mit professioneller Qualität.
  • Copilot Studio erleichtert das Erstellen intelligenter Bots und Agents ohne fundierte Kenntnisse im KI-Engineering.

Die Integration dieser Komponenten mit Azure Ressourcen, die virtuelle Netzwerke verwenden, verbessert die Gesamtfunktionalität und Sicherheit von Power Platform. Virtuelle Netzwerke bieten eine sichere und isolierte Netzwerkumgebung, in der Power Platform Dienste ausgeführt werden können, sodass Ihre Organisation den Netzwerkverkehr steuern und verwalten und gleichzeitig sicherstellen kann, dass Daten in Übereinstimmung mit den gesetzlichen Anforderungen geschützt werden.

Netzwerksicherheit und Virtual Network Integration

Netzwerksicherheit ist ein kritischer Aspekt jeder digitalen Infrastruktur. Der Schutz des ausgehenden Datenverkehrs von Power Platform-Diensten ist unerlässlich, um unbefugten Zugriff, Datenschutzverletzungen und andere Sicherheitsbedrohungen zu verhindern. Virtual Network Integration spielt eine wichtige Rolle. Durch die Bereitstellung eines sicheren Weges für die Datenübertragung und die Sicherstellung, dass der gesamte Datenverkehr von Power Platform-Diensten über eine kontrollierte und überwachte Netzwerkumgebung geleitet wird, verringert es das Risiko potenzieller Bedrohungen.

Durch die Implementierung Virtual Network Unterstützung kann Ihre Organisation strenge Sicherheitsrichtlinien erzwingen, den Netzwerkdatenverkehr überwachen und Anomalien in Echtzeit erkennen. Dieses Maß an Kontrolle ist entscheidend für die Wahrung der Integrität und Vertraulichkeit sensibler Daten. Gleichzeitig vereinfacht Virtual Network Integration Ihre gesamte Netzwerkarchitektur und verbessert die Zuverlässigkeit, indem Power Platform-Dienste nahtlos mit anderen Azure Ressourcen verbunden werden können.

Übersicht über die Unterstützung für virtuelle Netzwerke in Power Platform

Virtual Network Unterstützung ist eine erhebliche Verbesserung, die stabile Sicherheit und verbesserte Konnektivität zu Power Platform bietet. Virtuelle Netzwerke sind eine grundlegende Komponente der Netzwerkfunktionen Azure, sodass Ihre Organisation Power Platform-Dienste mit Ressourcen in privaten Unternehmensnetzwerken verbinden kann. Sie richten eine sichere Kommunikation zwischen Power Platform-Diensten, anderen Azure Ressourcen und Netzwerken ein, z. B. lokale Dienste, Datenbanken, Speicherkonten und einen Schlüsseltresor.

Indem der gesamte ausgehende Datenverkehr von Power Platform Diensten über ein virtuelles Netzwerk geleitet wird, kann Ihre Organisation sicherstellen, dass Daten sicher übertragen werden und vor unbefugtem Zugriff geschützt bleiben. Ein virtuelles Netzwerk verbessert auch die Konnektivität, indem es eine zuverlässige und konsistente Netzwerkumgebung bereitstellt. Das Herstellen sicherer Verbindungen zwischen Power Platform-Diensten und anderen Azure Ressourcen sorgt für einen nahtlosen Datenfluss und eine effizientere Nutzung von Netzwerkressourcen.

Hinter den Kulissen

Die Power Platform-Infrastruktur besteht aus einer serverlosen Container-Orchestrierungsebene, die Workloads mit einer strengen Sicherheitsgrenze ausführt und individuelle Verfügbarkeit, Verfügbarkeit auf Workloadebene und Skalierbarkeit garantiert. Die Container-Orchestrierungsebene verarbeitet alle Workloads, die Isolation benötigen, einschließlich interner Microsoft-Workloads wie Connectors und Kundenworkloads wie Plug-Ins.

Die containerisierte Workload ermöglicht der Power Platform, die Unterstützung der Isolation auf Netzwerkebene mithilfe einer Kombination aus Azure-Subnetzdelegierung und Virtual Network-Injektionsfunktionen. Mit der Einbindung in ein virtuelles Netzwerk kann ein Container durch Hinzufügen einer Netzwerk-Interface-Karte in ein virtuelles Netzwerk eingebunden werden. Jede Workload, die auf diesem Container ausgeführt wird, wird im Netzwerk des Kunden ausgeführt und kann private IP-Adressen innerhalb des Netzwerks verwenden. Plug-in-Workloads können auf Benutzerdienste, Ressourcen oder Azure-Ressourcen zugreifen, die über einen privaten Link verfügen, der für dasselbe virtuelle Netzwerk verfügbar gemacht wird. Auf ähnliche Weise kann eine Connector-Workload auf die Zielressource oder den Zielendpunkt innerhalb desselben virtuellen Netzwerks zugreifen.

Azure Subnetzdelegierung

Die Unterstützung von Virtual Network für die Power Platform basiert auf der Azure Subnetzdelegierung. Unternehmen delegieren ein Subnetz zur Verwendung durch Power Platform-Dienste wie Dataverse-Plug-Ins und -Konnektoren, um Anforderungen zur Laufzeit zu verarbeiten. Container verwenden die IP-Adresse aus dem delegierten Subnetz, um diese Anforderungen zu verarbeiten.

Da der Container innerhalb der Grenzen des delegierten Subnetzes ausgeführt wird und dessen IP-Adresse verwendet, bleibt jeder ausgehende Aufruf vom Container innerhalb der Netzwerkgrenzen des Unternehmens, d. h., der Anruf bleibt im virtuellen Netzwerk, das Teil dieses Subnetzes ist. Dieses Setup ermöglicht Ihrer Organisation die vollständige Kontrolle über die Richtlinien, Regeln und Netzwerkpakete für Container. Sie können auf das delegierte Subnetz die gleichen Steuerelemente anwenden wie auf Ihr eigenes Netzwerk.

Power Platform verwaltet nicht die Konfiguration des delegierten Subnetzes. Die einzige Voraussetzung ist, dass das delegierte Subnetz nicht für andere Ressourcen verwendet oder an andere Dienste delegiert werden kann. Nachdem ein Subnetz delegiert wurde, werden die IP-Adressen innerhalb dieses für Power Platform reserviert.

Der Internetzugriff von den Containern ist standardmäßig nicht eingeschränkt. Es ist möglich, den Ausgang des Netzwerkdatenverkehrs durch die Konfiguration einzuschränken oder zu steuern, die auf das virtuelle Netzwerk angewendet wird. Informationen zum Einschränken des Internetzugriffs finden Sie unter Bewährte Methoden zum Sichern ausgehender Verbindungen.

In der folgenden Tabelle sind der Besitz des delegierten Subnetzes und der Steuerelemente zusammengefasst, die Kunden und Microsoft zur Verfügung stehen.

Steuerelemente Beschreibung Besitz
NAT Gateway Fügen Sie ein NAT-Gateway an das delegierte Subnetz an, um ausgehenden Internetdatenverkehr von Power Platform-Containern einzuschränken und zu steuern. Kunde
Netzwerksicherheitsgruppen (NSGs) Kunden können dem delegierten Subnetz NSGs zuordnen. Definieren und erzwingen Sie Sicherheitsregeln, um den ein- und ausgehenden Datenverkehr zum und vom Subnetz zu steuern. Kunde
Routingtabellen Kunden können Routingtabellen dem delegierten Subnetz zuordnen. Definieren Sie benutzerdefinierte Routingrichtlinien, um den Datenverkehrsfluss innerhalb des virtuellen Netzwerks und zu externen Netzwerken zu steuern. Kunde
Netzwerküberwachung Die Netzwerküberwachung hilft bei der Einhaltung von Sicherheitsrichtlinien, indem sie den Datenverkehr zwingt, über das virtuelle private Netzwerk des Unternehmens geleitet zu werden. Kunde
Verwaltung von IP-Adressen Kunden können den IP-Adressraum für das delegierte Subnetz vorgeben und dabei sicherstellen, dass private IP-Adressbereiche wiev10.0.0.0/8, 192.168.0.0/16 oder 172.16.0.0/12 verwendet werden. Kunde
DNS-Konfiguration Kunden können benutzerdefinierte DNS-Einstellungen für das delegierte Subnetz konfigurieren, einschließlich Azure DNS Einträgen. Kunde
Container Container führen Anforderungen von Virtual Network unterstützten Diensten aus und erwerben IP-Adressen aus dem delegierten Subnetz. Microsoft

Technischer Architekt

Das folgende Diagramm der technischen Architektur einer Power Platform Lösung zeigt, wie Komponenten wie Datenquellen, Konnektoren, Dienste und Anwendungen innerhalb der Lösung interagieren und integriert werden. Das Diagramm veranschaulicht die Verwendung virtueller Netzwerke zur Verbesserung von Sicherheit und Konnektivität, indem Power Platform Dienste eine Verbindung mit privaten und geschützten Ressourcen herstellen können, ohne diese dem Internet auszusetzen. Die Architektur veranschaulicht, wie Ausführungsanforderungen an Container im virtuellen Netzwerk weitergeleitet werden, wobei die Grenzen der Containerisolation beibehalten werden.

Diagramm, das die technische Architektur einer Power Platform Lösung veranschaulicht und die Verwendung virtueller Netzwerke für sichere Konnektivität und das Routing von Ausführungsanforderungen an Container im virtuellen Netzwerk hervorhebt.

In einer virtuellen Netzwerk-Konfiguration ist der Container, der das Plug-in oder den Konnektor ausführt, Teil des virtuellen Netzwerks der Organisation. Die Kommunikation mit Endpunkten im virtuellen Netzwerk bleibt innerhalb der Grenzen des virtuellen Netzwerks. Sie können die Grenze auf andere virtuelle oder lokale Netzwerke erweitern, indem Sie Virtual Network Peering und ExpressRoute oder VPN Gateway verwenden.

Power Platform Komponenten in einer containerisierten Workload eines virtuellen Netzwerks müssen mit anderen Komponenten in der Workload kommunizieren können. Power Platform muss möglicherweise ein Plug-In auslösen oder einen Konnektor in der Arbeitslast aufrufen.

Da der Container nicht direkt mit der Hauptnetzwerkinfrastruktur verbunden ist, wird ein spezieller Kommunikationspfad oder Kanal zwischen dem Container und der Orchestrierungsebene eingerichtet. Der Kanal verwendet eine spezielle lokale IP-Adresse, die als APIPA-Adresse bezeichnet wird, um bestimmte Anweisungen oder Signale an die im Container ausgeführte Workload zu senden. Nur bestimmte Arten von Nachrichten dürfen die Workload erreichen, um sicherzustellen, dass der Container und seine Workload sicher und isoliert bleiben.

Das folgende Diagramm veranschaulicht, wie Container voneinander und vom Hostsystem mithilfe virtueller Netzwerke isoliert werden, die Ausführungsanforderungen an Container weiterleiten und dabei die Isolationsgrenzen beibehalten.

Diagramm, das die Grenzen der Containerisolation in einer Power Platform Lösung zeigt und sichere und isolierte Containervorgänge unter Verwendung von zwei virtuellen Netzwerken hervorhebt.

Aktivieren Sie die Unterstützung für virtuelle Netzwerke in Power Platform.

Folgen Sie den Anweisungen in Einrichten der Unterstützung von virtuellen Netzwerken für Power Platform.

Häufige Anwendungsfälle und Beispiele aus der Praxis

In diesem Abschnitt lernen Sie häufige Anwendungsfälle für virtuelle Netzwerke mit Power Platform Lösungen kennen. Sie untersuchen auch reale Beispiele, die zeigen, wie verschiedene Branchen von ihrer Verwendung profitiert haben.

Anwendungsfälle

Secure data integration: Ihre Organisation kann Virtual Network Unterstützung verwenden, um Power Platform-Dienste sicher mit privaten Datenquellen wie Azure SQL Database, Azure Storage und lokalen Ressourcen zu verbinden. Ein virtuelles Netzwerk stellt sicher, dass Daten innerhalb der Netzwerkgrenzen der Organisation verbleiben und nicht dem öffentlichen Internet ausgesetzt sind.

Private-Endpunkte für Connectors: Power-Platform-Connectors können die Unterstützung von Virtual Networks verwenden, um private Endpunkte für eine sichere Kommunikation herzustellen. Das private Netzwerk macht öffentliche IP-Adressen überflüssig und reduziert das Risiko von Datenschutzverletzungen.

Secure Copilot Studio-Integrationen: Sie können Virtual Network-Unterstützung für Power Platform-Connectors in Copilot Studio verwenden, um eine sichere Verbindung zu Datenquellen herzustellen. Das private Netzwerk eliminiert die Risiken, die mit der Offenlegung der Datenquellen im öffentlichen Internet verbunden sind, und mindert die Risiken der Datenexfiltration.

Beispiele aus der Praxis

Organisationen in allen Branchen können von Virtual Network Unterstützung für Power Platform profitieren. Durch die sichere Verbindung von Power Platform Diensten mit privaten Datenquellen können Organisationen ihren Sicherheitsstatus verbessern, die Konnektivität verbessern und die Einhaltung gesetzlicher Anforderungen sicherstellen.

Finanzinstitute: Eine große Bank kann ein virtuelles Netzwerk verwenden, um Power Platform Lösungen und Dynamics 365 Apps sicher mit ihren geschützten Datenbanken und Diensten zu verbinden. Dieses Setup ermöglicht es der Bank, sichere Workflows zu erstellen und Prozesse zu automatisieren, ohne sensible Informationen dem öffentlichen Internet preiszugeben, und stellt so sicher, dass Kundendaten geschützt sind und den gesetzlichen Anforderungen entsprechen.

Healthcare-Anbieter: Eine Gesundheitsorganisation kann ein virtuelles Netzwerk verwenden, um Power Platform-Lösungen und Dynamics 365 Apps mit ihren elektronischen Gesundheitsdatensatzsystemen zu verbinden. Das private Netzwerk kann für den sicheren Zugriff auf Patientendaten und zur Schaffung sicherer Kommunikationskanäle zwischen Abteilungen und zwischen dem Anbieter und externen Partnern verwendet werden.

Retail-Unternehmen: Ein Einzelhandelsunternehmen kann ein virtuelles Netzwerk verwenden, um Power Platform-Lösungen und Dynamics 365 Apps sicher mit seinen Bestandsverwaltungssystemen und Kundendatenbanken zu verbinden. Private Verbindungen ermöglichen es dem Unternehmen, Abläufe zu rationalisieren, die Bestandsverfolgung zu verbessern und den Kundenservice zu verbessern, während gleichzeitig sichergestellt wird, dass sensible Daten geschützt bleiben.

Behörden: Behörden können ein virtuelles Netzwerk verwenden, um Power Platform-Lösungen und Dynamics 365-Anwendungen sicher mit ihren internen Systemen und Datenbanken zu verbinden. Private Verbindungen ermöglichen es Behörden, Prozesse zu automatisieren, den Datenaustausch zu verbessern und die Zusammenarbeit zu fördern, während gleichzeitig strenge Sicherheits- und Compliance-Standards eingehalten werden.

Integrationsmuster

Die Arten von Workloads, die Sie in einer Umgebung ausführen möchten, bestimmen das Integrationsmuster für Power Platform. Sie können Virtual Network Unterstützung für Power Platform als Integrationsmuster in Ihrer Umgebung mit einigen Ausnahmen verwenden.

API-Workloads: Wenn Sie API-Workloads wie Plug-Ins, Konnektoren oder Dienstendpunkte ausführen möchten, ist ein virtuelles Netzwerk die einzige unterstützte Möglichkeit, sie sicher in Datenquellen innerhalb Ihres Netzwerks zu integrieren. Virtuelle Netzwerke unterstützen keine Teilmenge von Connectors, die nicht von Microsoft stammende Treiberanforderungen aufweisen oder Windows authentication verwenden. Diese Konnektoren werden nicht häufig verwendet und müssen ein lokales Datengateway anstelle eines virtuellen Netzwerks verwenden. Die folgenden Plug-Ins und Konnektoren sind für die Verwendung in einem virtuellen Netzwerk allgemein verfügbar:

  • Dataverse-Plugins
  • Benutzerdefinierte Konnektoren
  • Azure Blob Storage (Speicherdienst von Microsoft)
  • Azure Dateispeicher
  • Azure Key Vault
  • Azure Warteschlangen
  • Azure SQL Data Warehouse
  • HTTP mit Microsoft Entra ID (vorautorisiert)
  • SQL Server

ETL-Workloads: Extrahieren, Transformieren, Laden (ETL)-Workloads in Power BI und Power Platform-Datenflüsse verwenden virtuelle Netzwerk-Datengateways.

Das folgende Diagramm veranschaulicht die Integrationsmuster für API- und ETL-Workloads.

Diagramm mit den Power Platform Konnektoren und Plug-Ins, die entweder allgemein verfügbar sind oder in der Vorschau für die Verwendung in einem virtuellen Netzwerk verfügbar sind.

Konfigurationsüberlegungen

Beachten Sie beim Einrichten von Virtual Network Unterstützung für Power Platform die folgenden Überlegungen.

Regionen und Standorte

Delegierte Subnetze in Azure Regionen müssen mit dem Standort der Power Platform-Umgebung übereinstimmen. Wenn sich Ihre Power Platform-Umgebung beispielsweise im United States befindet, müssen sich jedes von zwei virtuellen Netzwerken und Subnetzen in den Regionen eastus und westus Azure befinden. Überprüfen Sie die List der unterstützten Regionen und Standortzuordnungen, um die neuesten Informationen zu Azure Regionen und Standorten zu erhalten.

Wenn sich Ihre Azure Ressourcen in verschiedenen Azure Regionen befinden, müssen Sie ihre virtuellen Netzwerke für Power Platform-Umgebungen weiterhin am entsprechenden Azure Standort für jede Umgebung bereitstellen. Verwenden Sie Virtual Network Peering oder eine ähnliche Konnektivitätsoption mit hoher Geschwindigkeit und geringer Latenz, um die Ressourcen mit Ihren virtuellen Netzwerken zu verbinden. Das Microsoft globale Netzwerk bietet mehrere Optionen zum Herstellen einer Konnektivität zwischen dem Power Platform virtuellen Netzwerk und dem virtuellen Unternehmensnetzwerk.

Subnetzgröße

Die Größe des delegierten Subnetzes in einem virtuellen Netzwerk sollte zukünftiges Nutzungswachstum und das Hinzufügen neuer Dienste berücksichtigen. Durch die entsprechende Dimensionierung Ihres Subnetzes wird sichergestellt, dass Anforderungen nicht gedrosselt werden. Weitere Informationen zur Dimensionierung Ihres Subnetzes finden Sie unter Schätzen der Subnetzgröße für Power Platform Umgebungen.

Azure NAT Gateway

Azure NAT Gateway bietet sichere, skalierbare ausgehende Konnektivität für Container in einem delegierten Subnetz. Wenn es an ein Subnetz angefügt ist, wird das NAT-Gateway zum nächsten Hop für den gesamten internetzielgerichteten Datenverkehr, wobei private IP-Adressen in eine statische öffentliche IP-Adresse übersetzt werden. Dadurch erhält Ihre Organisation einen zentralen Kontrollpunkt für die Verwaltung des ausgehenden Internetzugriffs.

Netzwerküberwachung

Die Netzwerküberwachung verfolgt und analysiert den Datenverkehrsfluss im delegierten Subnetz, was für die Identifizierung und Lösung potenzieller Probleme unerlässlich ist. Durch die Bereitstellung von Einblicken in die Leistung und den Zustand der Netzwerkkomponenten trägt die Überwachung dazu bei, dass das Netzwerk effizient und sicher arbeitet. Überwachungstools können Anomalien erkennen, wie ungewöhnliche Datenverkehrsmuster oder unbefugte Zugriffsversuche, sodass rechtzeitig eingegriffen und Maßnahmen zur Schadensbegrenzung ergriffen werden können.

Netzwerksicherheitsgruppen

Mit Netzwerksicherheitsgruppen (Network Security Groups, NSGs) können Sie Sicherheitsregeln definieren, die den Datenverkehr zu und aus Ihren Azure Ressourcen steuern. Wenn Sie ein Subnetz delegieren, können Sie NSGs konfigurieren, um sicherzustellen, dass nur autorisierter Datenverkehr zugelassen wird, und so die Sicherheit und Integrität Ihres Netzwerks aufrechtzuerhalten. NSGs können sowohl auf Subnetze als auch auf einzelne Netzwerkschnittstellen angewendet werden und bieten Flexibilität bei der Verwaltung des Datenverkehrs auf verschiedenen Ebenen.

Bewährte Methoden zum Sichern ausgehender Verbindungen von Power Platform-Diensten

Die folgenden bewährten Methoden helfen Ihnen, ausgehende Verbindungen von Power Platform-Diensten zu sichern, die entscheidend sind, um Datenexfiltrationsrisiken zu minimieren und die Einhaltung von Sicherheitsrichtlinien sicherzustellen.

  • Internetzugriff einschränken: Standardmäßig verfügen Container über uneingeschränkten ausgehenden Internetzugriff. Fügen Sie ein NAT-Gateway an das delegierte Subnetz an, um den gesamten internetgebundenen Datenverkehr über einen kontrollierten Pfad zu erzwingen, um sicherzustellen, dass alle Verbindungen über Ihr privates Netzwerk weitergeleitet werden.

Hinweis

Wenn ein NAT-Gateway nicht bereitgestellt werden kann, ist es möglich, den Internetzugriff weiterhin einzuschränken, indem der gesamte Datenverkehr vollständig durch Ihr Netzwerk weitergeleitet wird, indem ein nächster Hop innerhalb des virtuellen Netzwerks konfiguriert wird, indem beispielsweise eine benutzerdefinierte Routingtabelle hinzugefügt wird. Weitere Informationen finden Sie unter Azure-Routing für virtuellen Netzwerkdatenverkehr.

  • Einschränken des ausgehenden Datenverkehrs: Nachdem Ihr NAT-Gateway bereitgestellt wurde, beschränken Sie den ausgehenden Datenverkehr von Power Platform-Ressourcen auf bestimmte Endpunkte. Verwenden Sie Netzwerksicherheitsgruppen und Azure Firewall, um Datenverkehrsregeln zu erzwingen und den Zugriff zu steuern.

Hinweis

Wenn nur Netzwerksicherheitsgruppen konfiguriert werden, ohne den nächsten Hop zu konfigurieren (d. h. das Anfügen eines NAT-Gateways oder das Hinzufügen einer benutzerdefinierten Routingtabelle), wird der Datenverkehr gemäß den angegebenen Regeln eingeschränkt. Internetgebundener Datenverkehr geht jedoch weiterhin von den IP-Adressen der Power Platform aus.

  • Nutzung privater Endpunkte: Verwenden Sie private Endpunkte für die sichere Kommunikation zwischen Power Platform-Diensten und Azure Ressourcen. Private Endpunkte stellen sicher, dass der Datenverkehr innerhalb des Azure Netzwerks verbleibt und das öffentliche Internet nicht durchläuft.

  • Überwachen und Prüfen des Datenverkehrs: Verwenden Sie Azure Network Watcher und Microsoft Sentinel, um den ausgehenden Datenverkehr von Power Platform-Diensten zu überwachen und zu prüfen, um potenzielle Sicherheitsbedrohungen in Echtzeit zu erkennen und darauf reagieren zu können.

  • Apply-Sicherheitsrichtlinien: Erzwingen Sie Sicherheitsrichtlinien mithilfe von Azure Policy und Azure Firewall, um sicherzustellen, dass alle ausgehenden Verbindungen den Sicherheitsanforderungen Ihrer Organisation entsprechen. Um den Datenfluss zu steuern, wenden Sie Richtlinien zum Schutz vor Datenverlust und Endpunkt-Filterung auf Konnektoren an.

Beispielkonfigurationen für Virtual Network

In diesem Abschnitt stellen wir Beispielkonfigurationen für Virtual Network Unterstützung in Power Platform bereit. Diese Konfigurationen veranschaulichen, wie virtuelle Netzwerke und Subnetze für verschiedene Szenarien eingerichtet werden, um eine sichere Konnektivität zwischen Power Platform-Diensten und Azure Ressourcen sicherzustellen.

Wenn sich Ihre Azure-Ressourcen in einer gekoppelten Azure-Region befinden und sich die Power Platform-Umgebung in den Vereinigten Staaten befindet

In diesem Szenario gehen wir von folgenden Annahmen aus:

  • Ihre Power Platform-Umgebung befindet sich im United States.
  • Die Azure-Region für das virtuelle Netzwerk ist auf West USA und Ost USA festgelegt.
  • Ihre Unternehmensressourcen befinden sich in einem virtuellen Netzwerk (VNET1) in der Region „USA, Westen“.

Die folgende Mindestkonfiguration ist erforderlich, um Virtual Network Unterstützung in diesem Szenario einzurichten:

  1. Erstellen Sie ein virtuelles Netzwerk, VNet1, im Westen der USA, und richten Sie Subnetze für die Delegierung ein.
  2. Erstellen Sie ein zweites virtuelles Netzwerk, VNet2, im Osten der USA, und richten Sie Subnetze für die Delegierung ein.
  3. Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet2 her.
  4. Konfigurieren Sie die Integration von Power Platform Virtual Network für die gewünschten Umgebungen mithilfe der Subnetze, die Sie in den Schritten 1 und 2 erstellt haben.

Diagramm zur Darstellung der Konfiguration der Unterstützung für Virtual Networks, wenn sich Azure-Ressourcen in einer der gepaarten Azure-Regionen befinden und die Power Platform-Umgebung in den Vereinigten Staaten ist.

Wenn sich Ihre Azure-Ressourcen in der Region "Zentral USA Azure" befinden und sich die Power Platform-Umgebung in den Vereinigten Staaten befindet.

In diesem Szenario gehen wir von folgenden Annahmen aus:

  • Ihre Power Platform-Umgebung befindet sich im United States.
  • Die Azure-Regionen für die virtuellen Netzwerke sind auf West USA und Ost USA konfiguriert.
  • Ihre Unternehmensressourcen befinden sich in einem virtuellen Netzwerk (VNet1) in der Region „USA, Mitte“.

Die folgende Mindestkonfiguration ist erforderlich, um Virtual Network Unterstützung in diesem Szenario einzurichten:

  1. Erstellen Sie ein virtuelles Netzwerk (VNet2) in „USA, Westen“, und richten Sie Subnetze für die Delegierung ein.
  2. Erstellen Sie ein andees virtuelles Netzwerk, VNet3, im Osten der USA, und richten Sie Subnetze für die Delegierung ein.
  3. Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet2 her.
  4. Stellen Sie eine Peeringverbindung zwischen VNet1 und VNet3 her.
  5. Konfigurieren Sie die Integration von Power Platform Virtual Network für die gewünschten Umgebungen mithilfe der Subnetze, die Sie in den Schritten 1 und 2 erstellt haben.

Diagramm mit der Konfiguration der Virtual Network-Unterstützung, wenn sich die Azure-Ressourcen in der Azure-Region Mittlerer Westen der USA befinden und sich die Power Platform-Umgebung in den Vereinigten Staaten befindet.

Fallstudie

In der folgenden Fallstudie wird veranschaulicht, wie ein Microsoft-Kunde Virtual Network Unterstützung für Power Platform erfolgreich implementiert hat, um die Sicherheit und Konnektivität zu verbessern und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Ein Unternehmen verbessert seine Geschäftliche Flexibilität mit generativer KI und sicherer Integration mithilfe von Azure Virtual Network

Um praktische, geschäftliche Anwendungsfälle für generative KI zu erkunden, führte unser Kunde einen Hackathon durch. Die Veranstaltung brachte mehrere Bürgerentwickler zusammen, die einen erfolgreichen Prototyp in nur einem Monat mit Power Platform und Azure AI Services aufgebaut haben. Der Hackathon zeigte nicht nur das Potenzial generativer KI, sondern bot den Teilnehmern auch wertvolle praktische Erfahrungen und förderte Innovation und Zusammenarbeit innerhalb der Organisation.

Herausforderungen für den Kunden: Der Übergang vom Prototyp zur Produktion stellte eine große Herausforderung dar. Die wichtigste Hürde war die Schaffung einer sicheren, privaten Netzwerkarchitektur auf Power Platform und Azure, die den strengen internen Sicherheitsrichtlinien des Unternehmens entsprechen. Die Gewährleistung von Datenschutz und Datensicherheit bei gleichzeitiger Aufrechterhaltung von Agilität und Skalierbarkeit war für den Kunden von entscheidender Bedeutung.

Solution: Der Kunde hat Azure Subnetzdelegierung verwendet, d. h. ein virtuelles Netzwerk mit einer verwalteten Umgebung, um eine Architektur für private Netzwerke zwischen Power Platform und privaten Azure-Ressourcen einzurichten. Mit dieser Architektur hat der Kunde seine Power Platform-Anwendungen sicher mit Azure Diensten verbunden, ohne vertrauliche Daten für das öffentliche Internet verfügbar zu machen.

Diagramm mit der Architektur, die unser Kunde verwendet hat, um seine Power Platform-Anwendungen sicher mit Azure Diensten zu verbinden, ohne vertrauliche Daten für das öffentliche Internet verfügbar zu machen.

Vorteile: Die Implementierung dieser Lösung brachte mehrere wichtige Vorteile.

  • Der Kunde hat eine sichere und agile Integrations-Grundlage zwischen Power Platform und Azure aufgebaut, wodurch die Realisierung des Geschäftswerts beschleunigt wird. Die Integration ermöglichte einen nahtlosen Datenfluss und eine verbesserte abteilungsübergreifende Zusammenarbeit.

  • Durch die neue Architektur entfallen die Kosten und Einschränkungen, die mit lokalen Datengateways verbunden sind. Durch den Verzicht auf eine lokale Infrastruktur konnte der Kunde die Betriebskosten senken und die Wartung vereinfachen.

  • Der Kunde ist nun bereit, andere interne Datenquellen wie private Amazon Web Services und lokale APIs über diese Plattform mit Azure ExpressRoute zu integrieren. Die Erweiterung ermöglicht es dem Kunden, eine breitere Palette von Daten und Diensten zu nutzen und so weitere Innovationen und Effizienz voranzutreiben.

Schlussfolgerung

In diesem Weißbuch haben wir verschiedene Aspekte der Integration der Unterstützung von virtuellen Netzwerken in die Power Platform untersucht. Wir haben die Sicherheitsvorteile der Verwendung eines virtuellen Netzwerks erörtert, z. B. den Schutz vertraulicher Daten vor unbefugtem Zugriff und die Gewährleistung einer sicheren Kommunikation zwischen Power Platform Diensten und privaten Ressourcen. Wir haben gängige Anwendungsfälle und Praxisbeispiele erörtert, Integrationsmuster für verschiedene Szenarien bereitgestellt und Überlegungen zum Konfigurieren Virtual Network Supports angeboten. Wir haben bewährte Methoden zum Sichern ausgehender Verbindungen von Power Platform Diensten vorgestellt, darunter:

  • Einschränken des ausgehenden Datenverkehrs
  • Verwenden von privaten Endpunkten und Subnetzdelegierung
  • Überwachen und Prüfen des Datenverkehrs
  • Anwenden von Sicherheitsrichtlinien

Schließlich haben wir eine Fallstudie eines Microsoft-Kunden untersucht, die Virtual Network Unterstützung für Power Platform erfolgreich implementiert hat, um die Sicherheit und Konnektivität zu verbessern und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Virtual Network Unterstützung für Power Platform ist ein wichtiges Feature, mit dem Organisationen ihre Netzwerksicherheit verbessern, Konnektivität optimieren und die Einhaltung gesetzlicher Anforderungen sicherstellen können. Organisationen, die Virtual Network Support verwenden, können Power Platform-Dienste sicher mit ihren privaten Datenquellen verbinden, wodurch die Risiken beseitigt werden, die mit der Veröffentlichung dieser Quellen für das öffentliche Internet verbunden sind.

Zugehöriger Inhalt

  • Last updated on