Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Note
La communauté Power Platform Virtual Network sur Microsoft Viva Engage est disponible. Vous pouvez publier toutes les questions ou commentaires que vous avez sur cette fonctionnalité. Vous pouvez vous joindre en remplissant une demande via le formulaire suivant : Request access to Finance and Operations Viva Engage Community.
En utilisant Azure Virtual Network prise en charge de Power Platform, vous pouvez intégrer Power Platform à des ressources à l’intérieur de votre réseau virtuel sans les exposer sur l’Internet public. Virtual Network prise en charge utilise Azure délégation de sous-réseau pour gérer le trafic sortant à partir de Power Platform au moment de l’exécution. En utilisant Azure délégation de sous-réseau, les ressources protégées n'ont pas besoin d'être disponibles sur Internet pour s'intégrer à Power Platform. En utilisant la prise en charge du réseau virtuel, les composants Power Platform peuvent appeler des ressources appartenant à votre entreprise à l'intérieur de votre réseau, qu'elles soient hébergées dans Azure ou localement, et utiliser des plug-ins et des connecteurs pour effectuer des appels sortants.
Power Platform s’intègre généralement aux ressources d’entreprise sur les réseaux publics. Avec les réseaux publics, les ressources d’entreprise doivent être accessibles à partir d’une liste de plages d’adresses IP ou d’étiquettes de service Azure, qui décrivent les adresses IP publiques. Toutefois, Azure Virtual Network prise en charge de Power Platform vous permet d’utiliser un réseau privé et still intégrer à des services ou services cloud hébergés à l’intérieur de votre réseau d’entreprise.
Azure services sont protégés à l’intérieur d’un Virtual Network par des points de terminaison private. Vous pouvez utiliser Express Route pour placer vos ressources locales dans le Virtual Network.
Power Platform utilise les Virtual Network et sous-réseaux que vous déléguerez pour effectuer des appels sortants vers des ressources d’entreprise sur le réseau privé d’entreprise. En utilisant un réseau privé, vous n’avez pas besoin de router le trafic via l’Internet public, ce qui peut exposer des ressources d’entreprise.
Dans un Virtual Network, vous avez un contrôle total sur le trafic sortant à partir de Power Platform. Le trafic est soumis aux politiques réseau appliquées par votre administrateur réseau. Le diagramme suivant montre comment les ressources de votre réseau interagissent avec un Virtual Network.
Avantages du support Virtual Network
En utilisant Virtual Network prise en charge, vos composants Power Platform et Dataverse obtiennent tous les benefits que fournit la délégation de sous-réseau Azure, par exemple :
Data protection : Virtual Network permet aux services Power Platform de se connecter à vos ressources privées et protégées sans les exposer à Internet.
Aucun accès non autorisé : Virtual Network se connecte à vos ressources sans avoir besoin de plages d’adresses IP Power Platform ou de balises de service dans la connexion.
Estimation de la taille du sous-réseau pour les environnements Power Platform
Les données de télémétrie et les observations de l’année dernière indiquent que les environnements de production nécessitent généralement 25 à 30 adresses IP, la plupart des cas d’usage se trouvant dans cette plage. En fonction de ces informations, allouez 25 à 30 adresses IP pour les environnements de production et 6 à 10 adresses IP pour les environnements hors production, tels que le bac à sable ou les environnements de développement. Les conteneurs connectés au Virtual Network utilisent principalement des adresses IP au sein du sous-réseau. Lorsque l’environnement commence à être utilisé, il crée un minimum de quatre conteneurs, qui sont mis à l’échelle dynamiquement en fonction du volume d’appels, bien qu’ils restent généralement dans la plage de conteneurs de 10 à 30. Ces conteneurs exécutent toutes les requêtes pour leurs environnements respectifs et gèrent efficacement les demandes de connexion parallèles.
Planification de plusieurs environnements
Si vous utilisez le même sous-réseau délégué pour plusieurs environnements Power Platform, vous aurez peut-être besoin d’un plus grand bloc d’adresses IP de routage inter-domaines sans classe (CIDR). Tenez compte du nombre recommandé d’adresses IP pour les environnements de production et de non-production lorsque vous liez des environnements à une stratégie unique. Chaque sous-réseau réserve cinq adresses IP. Incluez donc ces adresses réservées dans votre estimation.
Note
Pour améliorer la visibilité de l’utilisation des ressources, l’équipe produit travaille sur l’exposition de la consommation d’adresses IP de sous-réseau déléguées pour les stratégies d’entreprise et les sous-réseaux.
Exemple d’allocation IP
Prenons l’exemple d’un client avec deux stratégies d’entreprise. La première stratégie concerne les environnements de production, et la deuxième stratégie concerne les environnements hors production.
Politique d’entreprise de production
Si vous avez quatre environnements de production associés à votre stratégie d’entreprise et que chaque environnement nécessite 30 adresses IP, l’allocation d’adresses IP totale est la suivante :
(Quatre environnements x 30 adresses IP) + 5 adresses IP réservées = 125 adresses IP
Ce scénario nécessite un bloc CIDR de /25, d’une capacité de 128 adresses IP.
Stratégie d’entreprise hors production
Pour une stratégie d’entreprise hors production avec 20 environnements de développeur et de bac à sable, et chaque environnement nécessite 10 adresses IP, l’allocation d’adresses IP totale est :
(Vingt environnements x 10 adresses IP) + 5 adresses IP réservées = 205 adresses IP
Ce scénario nécessite un bloc CIDR de /24, qui a la capacité de 256 adresses IP et a suffisamment d’espace pour ajouter d’autres environnements à la stratégie d’entreprise.
Scénarios pris en charge
Power Platform prend en charge Virtual Network pour les plug-ins Dataverse et les connectors. Grâce à cette prise en charge, vous pouvez créer une connectivité sécurisée, privée et sortante de Power Platform vers des ressources au sein de votre Virtual Network. Les plug-ins et connecteurs Dataverse améliorent la sécurité de l’intégration des données en se connectant à des sources de données externes à partir de Power Apps, de Power Automate et d’applications Dynamics 365. Par exemple, vous pouvez :
- Utilisez les plug-ins Dataverse pour vous connecter à vos sources de données cloud, telles que Azure SQL, Azure Storage, stockage d’objets blob ou Azure Key Vault. Vous pouvez protéger vos données contre l’exfiltration de données et autres incidents.
- Utilisez les plug-ins Dataverse pour vous connecter en toute sécurité à des ressources privées protégées par des points de terminaison dans Azure, telles que l’API web ou toutes les ressources de votre réseau privé, telles que SQL et API web. Vous pouvez protéger vos données contre les violations de données et autres menaces externes.
- Utilisez des connecteurs Virtual Network-pris en charge tels que SQL Server pour se connecter en toute sécurité à vos sources de données hébergées dans le cloud, telles que Azure SQL ou SQL Server, sans les exposer à Internet. De même, vous pouvez utiliser Azure File d’attente connecteur pour établir des connexions sécurisées à des files d’attente Azure Azure privées.
- Utilisez Azure Key Vault connecteur pour se connecter en toute sécurité à un Azure Key Vault privé protégé par point de terminaison.
- Utilisez des connecteurs customes pour vous connecter en toute sécurité à vos services protégés par des points de terminaison privés dans Azure ou des services hébergés dans votre réseau privé.
- Utilisez Azure Stockage de fichiers pour vous connecter en toute sécurité au stockage de fichiers Azure privé activé pour les points de terminaison.
- Utilisez HTTP avec Microsoft Entra ID (préautorisé) pour extraire en toute sécurité des ressources sur des réseaux virtuels à partir de différents services web, authentifiés par Microsoft Entra ID ou à partir d’un service web local.
Limites
- Les plug-ins low-code Dataverse qui utilisent des connecteurs ne sont pris en charge que lorsque ces types de connecteurs sont mis à jour pour utiliser la délégation du sous-réseau.
- Vous utilisez des opérations de copie, de sauvegarde et de restauration du cycle de vie de l’environnement dans les environnements Power Platform pris en charge par le réseau virtuel. Vous pouvez effectuer l’opération de restauration au sein du même réseau virtuel et dans différents environnements, à condition qu’elles soient connectées au même réseau virtuel. De plus, l’opération de restauration est autorisée depuis les environnements qui ne prennent pas en charge les réseaux virtuels jusqu’à ceux qui les prennent en charge.
Régions prises en charge
Avant de créer votre stratégie Virtual Network et d'entreprise, validez la région de votre environnement Power Platform pour vous assurer qu'elle se trouve dans une région prise en charge. Vous pouvez utiliser l’applet Get-EnvironmentRegion de commande à partir du module PowerShell des diagnostics de sous-réseau pour récupérer les informations de région de votre environnement.
Après avoir confirmé la région de votre environnement, vérifiez que votre stratégie d'entreprise et vos ressources de Azure sont configurées dans les régions Azure prises en charge correspondantes. Par exemple, si votre environnement Power Platform se trouve au Royaume-Uni, vos Virtual Network et sous-réseaux doivent se trouver dans les régions uksouth et ukwest Azure. Dans le cas où une région Power Platform comporte plus de deux paires de régions disponibles, vous devez utiliser la paire de régions spécifique qui correspond à la région de votre environnement. Par exemple, si Get-EnvironmentRegion retourne westus pour votre environnement, vos Virtual Network et sous-réseaux doivent se trouver dans eastus et westus.
| Région Power Platform | région Azure |
|---|---|
| United States | eastus, westus |
| Afrique du Sud | Afrique du Sud Nord, Afrique du Sud Ouest |
| Royaume-Uni | uksouth, ukwest |
| Japon | japon-est, japon-ouest |
| Inde | Inde centrale, Inde du Sud |
| France | francecentral, francesouth |
| Europe | Europe de l'Ouest, Europe du Nord |
| Allemagne | allemagne-nord, allemagne-centre-ouest |
| Suisse | suisse du nord, suisse de l'ouest |
| Canada | centreducanada, estducanada |
| Brésil | brazilsouth |
| Australie | sud-est australien, est australien |
| Asie | eastasia, sud-estasia |
| Émirats arabes unis | uaenorth |
| Corée | koreasouth, koreacentral |
| Norvège | norvège-ouest, norvège-est |
| Singapour | southeastasia |
| Suède | swedencentral |
| Italie | italynorth |
| Gouvernement américain | usgovtexas, usgovvirginia |
Note
L'assistance dans le Cloud communautaire du gouvernement américain (GCC) est actuellement disponible uniquement pour les environnements déployés dans le GCC High. La prise en charge des environnements DoD et GCC n'est pas fournie.
Services pris en charge
Le tableau suivant répertorie les services qui prennent en charge Azure délégation de sous-réseau pour Virtual Network prise en charge de Power Platform.
| Domaine | Services Power Platform | Virtual Network prendre en charge la disponibilité |
|---|---|---|
| Dataverse | Plug-ins Dataverse | Généralement disponible |
| Connecteurs | Généralement disponible | |
| Connecteurs | Généralement disponible |
Environnements pris en charge
Virtual Network prise en charge de Power Platform n'est pas disponible pour tous les environnements Power Platform. Le tableau suivant répertorie les types d’environnement qui prennent en charge Virtual Network.
| Type d’environnement | Soutenu |
|---|---|
| Production | Oui |
| Par défaut | Oui |
| Bac à sable | Oui |
| Developer | Oui |
| Essai | Non |
| Microsoft Dataverse pour Teams | Non |
Considérations relatives à l’activation Virtual Network prise en charge de l’environnement Power Platform
Lorsque vous utilisez Virtual Network prise en charge dans un environnement Power Platform, tous les services pris en charge, tels que les plug-ins et les connecteurs Dataverse, exécutent des requêtes au moment de l’exécution dans votre sous-réseau délégué et sont soumis à vos stratégies réseau. Les appels aux ressources accessibles au public commencent à échouer.
Important
Avant d’activer la prise en charge de l’environnement virtuel pour l’environnement Power Platform, assurez-vous de vérifier le code des plug-ins et des connecteurs. Vous devez mettre à jour les URL et les connexions pour qu’elles fonctionnent avec une connectivité privée.
Par exemple, un plug-in peut essayer de se connecter à un service disponible publiquement, mais votre stratégie réseau n'autorise pas l'accès à Internet public au sein de votre Virtual Network. La stratégie réseau bloque l’appel à partir du plug-in. Pour éviter l’appel bloqué, vous pouvez héberger le service disponible publiquement dans votre Virtual Network. Sinon, si votre service est hébergé dans Azure, vous pouvez utiliser un point de terminaison privé sur le service avant d’activer Virtual Network prise en charge dans l’environnement Power Platform.
Questions fréquemment posées
Quelle est la différence entre une passerelle de données Virtual Network et Azure Virtual Network prise en charge de Power Platform ?
Une passerelle de données Virtual Network est une passerelle managée que vous utilisez pour accéder aux services Azure et Power Platform à partir de votre Virtual Network sans avoir à configurer une passerelle de données locale. Par exemple, la passerelle est optimisée pour les charges de travail ETL (extraire, transformer, charger) dans les flux de données Power BI et Power Platform.
Azure Virtual Network prise en charge de Power Platform utilise une délégation de sous-réseau Azure pour votre environnement Power Platform. Les sous-réseaux sont utilisés par les charges de travail dans l’environnement Power Platform. Les charges de travail de l’API Power Platform utilisent Virtual Network prise en charge, car les requêtes sont à courte durée et optimisées pour un grand nombre de requêtes.
Quels sont les scénarios dans lesquels je dois utiliser Virtual Network prise en charge de Power Platform et de la passerelle de données virtual network ?
Virtual Network prise en charge de Power Platform est la seule option prise en charge pour tous les scénarios de connectivité sortante à partir de Power Platform, à l’exception de Power BI et Flux de donnéesPower Platform.
Power BI et Flux de donnéesPower Platform continuent d’utiliser passerelle de données de réseau virtuel (vNet).
Comment pouvez-vous garantir qu’un sous-réseau du réseau virtuel ou une passerelle de données d’un client n’est pas utilisé par un autre client dans Power Platform ?
Virtual Network prise en charge de Power Platform utilise Azure délégation de sous-réseau.
Chaque environnement Power Platform est lié à un sous-réseau du réseau virtuel. Seuls les appels depuis cet environnement sont autorisés à accéder à ce réseau virtuel.
La délégation vous permet de désigner un sous-réseau spécifique pour n’importe quel Azure platform as a service (PaaS) qui doit être injecté dans votre réseau virtuel.
Virtual Network prend-il en charge le basculement de Power Platform ?
Oui, vous devez déléguer les réseaux virtuels pour les deux régions Azure associées à votre région Power Platform. Par exemple, si votre environnement Power Platform se trouve au Canada, vous devez créer, déléguer et configurer des réseaux virtuels dans CanadaCentral et CanadaEast.
Comment un environnement Power Platform dans une région peut-il se connecter à des ressources hébergées dans une autre région ?
Un Virtual Network lié à un environnement Power Platform doit résider dans la région de l'environnement Power Platform. Si le Virtual Network se trouve dans une autre région, créez une Virtual Network dans la région de l'environnement Power Platform et utilisez Virtual Network peering sur les deux réseaux virtuels délégués de la région Azure pour combler l'écart avec le Virtual Network dans la région distincte.
Puis-je surveiller le trafic sortant des sous-réseaux délégués ?
Oui. Vous pouvez utiliser le groupe de sécurité réseau et des pare-feu pour surveiller le trafic sortant des sous-réseaux délégués. Pour plus d’informations, consultez Monitor Azure Virtual Network.
Puis-je passer des appels via Internet à partir de plug-ins ou de connecteurs une fois mon environnement délégué au sous-réseau ?
Oui. L’accès lié à Internet est disponible par défaut à partir de plug-ins et de connecteurs dans un environnement délégué par sous-réseau. Nous vous recommandons d’attacher une passerelle NAT Azure au sous-réseau délégué afin que votre organisation puisse contrôler et sécuriser l’accès sortant. Pour plus d’informations, consultez les meilleures pratiques pour sécuriser les connexions sortantes à partir des services Power Platform.
Puis-je mettre à jour la plage d’adresses IP du sous-réseau une fois qu’il est délégué à « Microsoft.PowerPlatform/enterprisePolicies » ?
Non, pas tant que la fonctionnalité est utilisée dans votre environnement. Vous ne pouvez pas modifier la plage d’adresses IP du sous-réseau une fois qu’elle a été déléguée à « Microsoft.PowerPlatform/enterprisePolicies ». Dans ce cas, la configuration de la délégation est interrompue et l’environnement cesse de fonctionner. Pour modifier la plage d’adresses IP, supprimez la fonctionnalité de délégation de votre environnement, apportez les modifications nécessaires, puis activez la fonctionnalité pour votre environnement.
Puis-je mettre à jour l'adresse DNS de mon Virtual Network après son délégué à « Microsoft.PowerPlatform/enterprisePolicies » ?
Non, pas tant que la fonctionnalité est utilisée dans votre environnement. Vous ne pouvez pas modifier l'adresse DNS du Virtual Network après son délégué à « Microsoft.PowerPlatform/enterprisePolicies ». Si vous le faites, la modification n'est pas récupérée dans la configuration et votre environnement peut cesser de fonctionner. Pour modifier l’adresse DNS, supprimez la fonctionnalité de délégation de votre environnement, apportez les modifications nécessaires, puis activez la fonctionnalité pour votre environnement.
Puis-je utiliser la même stratégie d’entreprise pour plusieurs environnements Power Platform ?
Oui. Vous pouvez utiliser la même stratégie d’entreprise pour plusieurs environnements Power Platform. Cependant, il existe une limitation : les environnements du cycle de lancement anticipé ne peuvent pas être utilisés avec la même stratégie d’entreprise que d’autres environnements.
Mon Virtual Network a un DNS personnalisé configuré. Power Platform utilise-t-il mon DNS personnalisé ?
Oui. Power Platform utilise le DNS personnalisé configuré dans le Virtual Network qui contient le sous-réseau délégué pour résoudre tous les points de terminaison. Après avoir délégué l’environnement, vous pouvez mettre à jour les plug-ins pour utiliser le point de terminaison approprié afin que votre DNS personnalisé puisse les résoudre.
Mon environnement dispose de plug-ins fournis par un ISV. Ces plug-ins fonctionneraient-ils dans le sous-réseau délégué ?
Oui. Tous les plug-ins clients et plug-ins ISV peuvent s’exécuter à l’aide de votre sous-réseau. Si les plug-ins ISV disposent d’une connectivité sortante, ces URL devront peut-être être répertoriées dans votre pare-feu.
Les certificats TLS de mon point de terminaison local ne sont pas signés par des autorités de certification racine (CA) connues. Prenez-vous en charge les certificats inconnus ?
Non Nous devons garantir que le point de terminaison présente un certificat TLS avec la chaîne complète. Il n’est pas possible d’ajouter votre autorité de certification racine personnalisée à notre liste d’autorités de certification connues.
Quelle est la configuration recommandée d'un Virtual Network au sein d'un client ?
Nous ne recommandons aucune topologie spécifique. Toutefois, nos clients utilisent largement la topologie de réseau hub-spoke dans Azure.
La liaison d’un abonnement Azure à mon locataire Power Platform est-elle nécessaire pour activer Virtual Network ?
Oui, pour activer Virtual Network prise en charge des environnements Power Platform, il est essentiel d'avoir un abonnement Azure associé au locataire Power Platform.
Comment Power Platform utilise-t-il Azure délégation de sous-réseau ?
Lorsqu’un environnement Power Platform a un sous-réseau délégué Azure affecté, il utilise Azure Virtual Network injection pour injecter le conteneur au moment de l’exécution dans un sous-réseau délégué. Au cours de ce processus, une carte d’interface réseau (NIC) du conteneur se voit attribuer une adresse IP du sous-réseau délégué. La communication entre l’hôte (Power Platform) et le conteneur se produit via un port local sur le conteneur et le trafic transite sur Azure Fabric.
Puis-je utiliser un Virtual Network existant pour Power Platform ?
Oui, vous pouvez utiliser une Virtual Network existante pour Power Platform, si un seul sous-réseau dans le Virtual Network est délégué spécifiquement à Power Platform. Vous devez réserver le sous-réseau délégué à la délégation de sous-réseau et ne pouvez pas l’utiliser à d’autres fins.
Puis-je réutiliser le même sous-réseau délégué dans plusieurs stratégies d’entreprise ?
Non Vous ne pouvez pas réutiliser le même sous-réseau dans plusieurs stratégies d’entreprise. Chaque stratégie d’entreprise Power Platform doit avoir son propre sous-réseau unique pour la délégation.
Qu’est-ce qu’un plug-in dans Dataverse ?
Un plug-in Dataverse est un élément de code personnalisé que vous pouvez déployer dans un environnement Power Platform. Vous pouvez configurer ce plug-in pour qu’il s’exécute pendant les événements (par exemple, une modification des données) ou le déclencher en tant qu’API personnalisée. Pour plus d’informations, consultez Plug-ins Dataverse.
Comment un plug-in Dataverse s’exécute-t-il ?
Un plug-in Dataverse s’exécute dans un conteneur. Lorsque vous affectez un sous-réseau délégué à un environnement Power Platform, la carte d’interface réseau du conteneur obtient une adresse IP à partir de l’espace d’adressage de ce sous-réseau. L’hôte (Power Platform) et le conteneur communiquent via un port local sur le conteneur, et le trafic transite sur Azure Fabric.
Plusieurs plug-ins peuvent-ils s’exécuter dans le même conteneur ?
Oui. Dans un environnement Power Platform ou Dataverse donné, plusieurs plug-ins peuvent s’exécuter dans le même conteneur. Chaque conteneur utilise une adresse IP à partir de l’espace d’adressage du sous-réseau, et chaque conteneur peut exécuter plusieurs requêtes.
Comment l’infrastructure gère-t-elle une augmentation des exécutions simultanées de plug-ins ?
À mesure que le nombre d’exécutions simultanées de plug-ins augmente, l’infrastructure évolue vers le haut ou vers le bas pour s’adapter à la charge. Le sous-réseau délégué à un environnement Power Platform doit disposer de suffisamment d’espaces d’adressage pour gérer le volume maximal d’exécutions pour les charges de travail dans cet environnement Power Platform.
Qui contrôle les Virtual Network et les stratégies réseau associées ?
Vous avez la propriété et le contrôle sur le Virtual Network et ses stratégies réseau associées. En revanche, Power Platform utilise les adresses IP allouées à partir du sous-réseau délégué dans cette Virtual Network.
Les plug-ins prenant en charge Azure prennent-ils en charge Virtual Network ?
Non, les plug-ins prenant en charge Azure ne prennent pas en charge Virtual Network.
Étapes suivantes
Configurer le support Virtual Network