Neue Governance Möglichkeiten für die PowerPlattform

Auf der Ignite wurden neue Möglichkeiten zur Kontrolle des Datenflusses in PowerApps Konnektoren vorgestellt.

Wussten Sie, dass man mit Microsofts Power Plattform auch auf Ressourcen und Datenbanken im lokalen Firmennetz zugreifen kann? Das ist sogar ganz einfach, denn dazu muss man nur auf einem Windows-Rechner im lokalen Netz das Gateway installieren, dieses bei O365 registrieren und für alle Kollegen freigeben, die dadurch auf lokale Daten zugreifen wollen und fertig.

Der eine oder andere von Ihnen wird sich aber nun die Frage stellen: "Klingt einfach, aber wo definiere ich denn, auf welche Ressourcen genau (also auf welches Netzlaufwerk und auf welche Datenbank) im lokalen Netz dann zugegriffen werden kann?".

Die Frage ist gut, denn im Moment können am Gateway selbst nur die Typen bereitzustellender Ressourcen (etwas Datenbank oder Netzlaufwerk) konfiguriert werden, nicht welche genau dieses sein sollen. Das entscheidet später der Anwender innerhalb der Powerplattform. Damit könnten ggf. Benutzer auch über das Netz auf Datenbanken zugreifen, auf die sie von außerhalb des lokalen Netzes eigentlich nicht zugreifen können sollten. HR Datenbanken sind häufig ein Beispiel dafür.

Die einzige Möglichkeit, sich davor zu schützen war bisher, das Gateway nur auf einem Rechner zu installieren, der durch Firewalls vom Rest des Netzes so abgetrennt ist, dass nur Zugriff auf die gewünschten Datenbanken möglich ist. Das könnte aber schon ein mittelgroßes Infrastrukturprojekt werden und ist mit Sicherheit weit vom "Low Code" Gedanken entfernt.

Twitter als anderes Beispiel

Wenn Sie ansonsten etwa verhindern wollen, dass ihre Mitarbeiter Workflows bauen, die Daten automatisiert bei Twitter posten, dann können Sie natürlich problemlos einfach den gesamten Twitter Konnektor deaktivieren. Die Marketing Abteilung kann dann nun aber auch keinen eigenen Flow mehr bauen, der Daten von Twitter ausliest und aus denen dann automatisiert Marketing Informationen gewonnen werden können. Der Konnektor ist als Ganzes deaktiviert und steht für dieses eigentlich sehr sinnvolle Anwendung nicht mehr zur Verfügung.

Neues von der Ignite

Und genau für diese Anwendungsfälle wurden auf der Ignite endlich neue Lösungsmöglichkeiten vorgestellt. Sie werden in den nächsten Monaten auf alle Tenants ausgerollt.

Endpoint Filtering

Zum einen haben wir da das "Endpoint Filtering". Damit kann im PowerPlattform Admin Center zentral für eine Umgebung definiert werden, auf welche Ressourcen/URLs/Datenbanken jeder einzelne Konnektor zugreifen kann oder auch nicht.

EndPointFiltering

Die oben beschriebene Herausforderung mit dem Zugriff auf lokale Datenbanken wird damit sicherlich lösbar sein. Wir definieren einfach die Datenbanken, auf die unsere Mitarbeiter im lokalen Netz zugreifen dürfen und die anderen sind gesperrt.

Damit haben wir dann auch gleich andere, "unautorisierte" Cloud-Datenbanken für unsere Benutzer gesperrt. Deren Adressen führen wir im Admin Center einfach nicht auf.

Connector Action Controls

Für den "Twitter" Anwendungsfall hilft uns das aber nicht viel. Twitter hat nur eine Adresse, die wir entweder sperren oder nicht sperren können.

Aber eigentlich würde es uns in diesem Anwendungsfall auch schon reichen, wenn wir über den Konnektor nur Lesen könnten und das Posten von neuen Tweets deaktiviert werden würde.

Genau dieses erlauben uns nun die neuen "Connector Action Controls". Hiermit können wir detailliert die Aktionen jedes einzelnen Konnektors für die User in unserer Umgebung aktivieren und deaktivieren und damit sehr granular bestimmen, welche Aktionen durchgeführt werden dürfen.

ConnectorActionControls

Tenant Isolation

Schließlich haben wir da dann noch die "Tenant Isolation". Hiermit haben wir nun die Möglichkeit, den Zugriff von und zu Tenants etwa der Konkurrenz oder eines Dienstleisters einzuschränken.

TenantIsolation

Mit aktivierter "Tenant Isolation" für eine bestimme Adresse können unsere Benutzer per Power Plattform nicht mehr auf die Ressourcen des anderen Tenants zugreifen. In die andere Richtung gilt das auch, da nun auch Mitarbeiter des anderen Tenants nicht mehr per Power Plattform auf Ressourcen unseres Tenants zugreifen können - selbst wenn Sie über die Oberfläche dafür freigeschaltet sind.

Damit können wir dann effektiv unterbinden, dass etwa Dienstleister eigene Powerapps auf unseren Ressourcen aufbauen und einfach bestimmte Auswertungen fahren können.

Wann kommt das?

Im Moment (16.03.2021) sind die drei Einstellungen noch nicht verfügbar, das wird sich aber in den nächsten Wochen ändern.

Hat dir das gefallen? Vielleicht magst du auch...

Low-Code-Programmierung: Software selbst bauen

Was verbirgt sich hinter den Begriffen? Wann kann ich das benutzen und worauf muss ich achten?

Zwei neue Features in der Powerplattform, die ich wirklich liebe

Mit den neuen Trigger Outputs und Named Formulas kann man die Wartbar- und Lesbarkeit von PowerPlattform Lösungen steigern

SharePoint Virtual Tables

SharePoint Listen als virtuelle Tabellen im Dataverse