Freigeben über

Erweiterte Konnektorrichtlinien (Vorschauversion)

[Dieser Artikel ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]

Übersicht

Erweiterte Connectorrichtlinien (ACP) stellen die nächste Generation der Sicherung der Connectornutzung in Power Platform dar. ACP bietet einen modernen, flexiblen Ansatz für die Verwaltung zertifizierter Connectors und ersetzt das Klassifikationsmodell "Business/Non-Business/Blocked" in klassischen Datenrichtlinien durch eine strenge Zulassungsliste, die standardmäßig alle Connectors blockiert.

Wichtige Prinzipien erweiterter Connectorrichtlinien:

  • Standardverweigerungsstatus: Alle Connectors und Aktionen werden blockiert, es sei denn, dies ist explizit zulässig. Neue Anschlüsse, die der Plattform hinzugefügt werden, werden automatisch blockiert.
  • Unterstützung pro Umgebungs- und Umgebungsgruppe: Konfigurieren Sie Richtlinien direkt in einzelnen Umgebungen, oder stellen Sie über Umgebungsgruppen skaliert bereit.
  • Sichtbarkeit auf Aktionsebene: Anzeigen von Triggern, internen Aktionen und veralteten Aktionen in allen zertifizierten Connectors, um fundierte Governanceentscheidungen zu treffen.
  • Durchsetzung zur Entwurfszeit: Ersteller werden während der Erstellung für die Verwendung eingeschränkter Connectors blockiert, nicht nur zur Laufzeit.
  • Acp-only-Modus: Überspringen Sie optional die klassische Datenrichtlinienauswertung vollständig für einen sauberen Governancestatus.

Durch die Einführung erweiterter Konnektorrichtlinien erhalten Administrationsfachkräfte eine bessere Kontrolle und Granularität beim Schützen und Verwalten der Konnektornutzung. Gleichzeitig wird die allgemeine Governance ihrer Power Platform-Umgebungen verbessert.

Wichtig

Erweiterte Connectorrichtlinien gelten derzeit nur für zertifizierte Connectors. Benutzerdefinierte Connectors und HTTP-Connectors werden noch nicht unterstützt. Sie sind künftig als separater Regeltyp geplant. Um benutzerdefinierte Connectors und HTTP-Connectors heute zu verwalten, verwenden Sie weiterhin klassische Datenrichtlinien.

Wichtig

  • Dies ist eine Previewfunktion.
  • Previewfunktionen sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Für diese Features gelten ergänzende Nutzungsbedingungen. Die Features werden vor einer offiziellen Veröffentlichung zur Verfügung gestellt, sodass die Kundschaft frühzeitig Zugriff erhält und Feedback geben kann.

Unterstützte Connectortypen

Erweiterte Connectorrichtlinien basieren auf dem zertifizierten Connectorkatalog. ACP unterstützt nicht alle Connectortypen aus klassischen Datenrichtlinien.

Konnektortyp ACP-Unterstützung Hinweise
Zertifizierte Anschlüsse Unterstützt Erstanbieter- und zertifizierte Drittanbieter-Konnektoren. Vollständiges Zulassen/Blockieren auf der Verbinder- und Aktionsebene.
MCP-Steckverbinder Unterstützt Die Blockierung auf MCP-Serverebene ist verfügbar. Siehe MCP-Serververwaltung.
Benutzerdefinierte Konnektoren Noch nicht unterstützt Geplant als separater Regeltyp in einer zukünftigen Version. Verwenden Sie klassische Datenrichtlinien für die benutzerdefinierte Connectorgovernance.
HTTP-Connectoren Noch nicht unterstützt Geplant neben der Unterstützung für benutzerdefinierte Connectoren. Verwenden Sie klassische Datenrichtlinien und Endpunktfilterung für HTTP-Governance.
Virtuelle Verbindungen Nicht unterstützt Virtuelle Connectors werden von ACP nicht unterstützt und werden in Zukunft nicht hinzugefügt. Siehe Übergang zum virtuellen Connector.

Übergang des virtuellen Verbinders

Virtuelle Connectors sind nur Governance-Konstrukte in klassischen Datenrichtlinien, die nicht auf einer RESTful-API basieren. ACP ist rund um den zertifizierten Connectorkatalog konzipiert und unterstützt keine virtuellen Connectors. Die folgenden Übergangspfade gelten:

  • Copilot Studio virtuelle Connectors: Diese Connectors entwickeln sich in ihren eigenen dedizierten Governanceregeln, getrennt von ACP. Administratoren sollten weiterhin klassische Datenrichtlinien für die Governance des virtuellen Connectors von Copilot Studio verwenden, bis die neuen Regeln verfügbar sind.
  • Desktop Flow virtulle Connectors: Desktop Flow-Connectors wechseln zu zertifizierten Connectors. Nach der Zertifizierung verwalten Sie sie über ACP wie jeden anderen zertifizierten Connector.

Eine erweiterte Konnektorrichtlinie konfigurieren

Sie können erweiterte Connectorrichtlinien auf Umgebungsgruppenebene für die Massenbereitstellung oder direkt in einzelnen Umgebungen für gezielte Governance konfigurieren.

Umgebungsgruppenkonfiguration

Führen Sie die folgenden Schritte aus, um eine erweiterte Connectorrichtlinie für eine Umgebungsgruppe zu konfigurieren:

  1. Melden Sie sich im Power Platform Admin Center an.
  2. Wählen Sie im Navigationsbereich die Option Verwalten aus.
  3. Wählen Sie im Bereich "Verwalten"die Option "Umgebungsgruppen" aus.
  4. Wählen Sie auf der Seite "Umgebungsgruppen " die Umgebungsgruppe aus, in der Sie die Richtlinie anwenden möchten.
  5. Die Seite der Umgebungsgruppe wird angezeigt. Wählen Sie die Registerkarte "Regeln " aus.
  6. Wählen Sie Erweiterte Connector-Richtlinien (Vorschauversion) aus. Der Bereich Erweiterte Connector-Richtlinien (Vorschauversion) wird angezeigt.
  7. Legen Sie die Richtlinie fest. Beachten Sie Folgendes:
    • Standardmäßig werden die nicht blockierbaren Connectors als zulässig vorgeladen.
    • Um neue Connectors hinzuzufügen, wählen Sie Connectors hinzufügen, um aus allen zertifizierten Connectors auszuwählen.
    • Um Connectors zu entfernen, wählen Sie erst sie und dann Connector entfernen aus. Sie können jeden Konnektor entfernen, um ihn zu blockieren.
  8. Wenn alle Connectors wie gewünscht festgelegt sind, wählen Sie Speichern aus.
  9. Die Seite der Umgebungsgruppe wird erneut angezeigt. Nachdem Sie alle Regeln auf Ihre Anforderungen aktualisiert haben, wählen Sie in der Befehlsleiste " Regeln veröffentlichen " aus.

Während der Veröffentlichung führt das System einen Umgebungslebenszyklusvorgang für jede Umgebung aus, die Teil der Gruppe ist. Dieser Vorgang ist im Umgebungsverlauf als Verwaltete Umgebungseinstellungen aktualisieren verfügbar und kaskadiert die neue Connector-Richtlinie an die Entwurfszeit- und Laufzeitinfrastruktur.

Konfiguration einer einzelnen Umgebung

Sie können auch eine erweiterte Connectorrichtlinie direkt in einer einzelnen Umgebung konfigurieren, ohne Umgebungsgruppen zu verwenden. Dieser Ansatz eignet sich ideal für gezielte Governance in Umgebungen mit hohem Risiko, Pilot oder regulierten Umgebungen.

Der Security Hub mit erweiterten Connectorrichtlinienoptionen unter

So konfigurieren Sie eine erweiterte Connectorrichtlinie für eine einzelne Umgebung:

  1. Melden Sie sich im Power Platform Admin Center an.
  2. Wählen Sie im Navigationsbereich Sicherheit.
  3. Wählen Sie im Bereich Sicherheit die Option Daten und Datenschutz aus.
  4. Wählen Sie Erweiterte Connector-Richtlinien (Vorschauversion) aus.
  5. Definieren Sie die Richtlinie, indem Sie dieselben Zulassen- und Blockieren-Steuerelemente wie bei der Umgebungsgruppenerfahrung verwenden.
  6. Wählen Sie "Speichern " aus, um die Richtlinie anzuwenden.

Konfigurieren einer erweiterten Connectorrichtlinie in einer einzelnen Umgebung.

Hinweis

Jede Umgebung unterstützt maximal eine effektive erweiterte Connectorrichtlinie. Diese Richtlinie ist entweder direkt in der Umgebung konfiguriert oder von einer Umgebungsgruppe geerbt. Wenn Sie eine Umgebung aus einer Umgebungsgruppe entfernen, behält sie die letzte bekannte ACP-Konfiguration aus der Gruppe bei. Anschließend können Sie die Richtlinie individuell in dieser Umgebung anpassen.

Richtlinienstatus

Oben in jedem erweiterten Connectorrichtlinienbereich wird eine Status-Eigenschaft angezeigt, die angibt, ob die Regel angewendet oder nicht angewendet wird. Diese Eigenschaft bietet Administratoren eine schnelle visuelle Bestätigung des Durchsetzungsstatus für den aktuellen Anwendungsbereich.

Entfernen einer Regel

Erweiterte Connectorrichtlinien enthalten eine Schaltfläche " Regel entfernen " sowohl für Umgebungsgruppen als auch für einzelne Umgebungen. Wenn Sie diese Schaltfläche auswählen, deaktivieren Sie ACP vollständig für diesen Bereich, und entfernen Sie die Richtlinienerzwingung.

Tipp

Zuvor konnten Sie ACP nur über die API deaktivieren oder alle Connectors als erlaubt hinzufügen, was keine intuitive Erfahrung war. Die Schaltfläche " Regel entfernen " bietet eine einfache Möglichkeit, ACP bei Bedarf zu deaktivieren.

Mehr Transparenz und Kontrolle

In Datenrichtlinien konnten Kunden keine Trigger, keine internen Aktionen und auch nicht sehen, ob eine Aktion veraltet ist. Wenn Sie diese Tags über alle zertifizierten Connectors hinweg hinzufügen, können Administratoren schnell entscheiden, bestimmte Trigger für die Verwendung zu blockieren oder Aktionen zu deaktivieren, die veraltet sind und vom Connectorherausgeber nicht mehr unterstützt werden.

Administratoren können sich schnell entscheiden, bestimmte Auslöser daran zu hindern, Aktionen zu verwenden oder zu deaktivieren, die veraltet sind und nicht mehr unterstützt werden.

Leichtere Verwaltung

Basierend auf Kundenfeedback wird die Verwaltungserfahrung drastisch vereinfacht, indem die Richtlinie streng als Positivliste geführt wird. Wenn Sie die Einstellung vornehmen, blockieren Sie alle neuen Connectoren. Wenn Sie die zulässigen Aktionen für einen bestimmten Konnektor konfigurieren, sind keine neuen Aktionen, Trigger oder internen Aktionen zulässig. Das Konzept der Geschäfts- und Nichtgeschäftskategorien in Datenrichtlinien wird nicht vorgezogen, da es bei der Richtlinienverwaltung nicht als wirksam eingestuft wurde.

Proaktive Richtlinienverwaltung

Erweiterte Connectorrichtlinien sind als Teil von Umgebungsgruppen und Regeln sowie in einzelnen Umgebungen verfügbar. Die Power Platform-API stellt öffentlich dokumentierte APIs bereit, sodass Sie automatisierte Szenarien erstellen können, z. B. das Erstellen neuer Richtlinien, das Aktualisieren von Richtlinien und das Verschieben von Umgebungen in Gruppen für die Verwaltung im großen Maßstab.

Modellkontextprotokoll (MCP)-Serververwaltung

Erweiterte Connectorrichtlinien unterstützen die Sichtbarkeit und Verwaltung von MCP-Servern (Model Context Protocol). MCP-Server sind spezielle Connectorendpunkte, die MCP-fähige APIs und Tools in Power Platform verfügbar machen.

Innerhalb erweiterter Connectorrichtlinien können Administratoren MCP-Server zusammen mit anderen Connectortypen anzeigen und einen gesamten MCP-Server blockieren. Ab sofort ist eine präzise Kontrolle über einzelne MCP-Tools (Endpunkte und Aktionen) innerhalb eines MCP-Servers nicht verfügbar. Das Blockieren des gesamten MCP-Servers wird unterstützt.

Blockieren sie den MCP-Server in erweiterten Connectorrichtlinien.

Nur-ACP-Modus

Im ACP-Modus können Administratoren klassische Datenrichtlinienauswertung vollständig überspringen und ausschließlich auf erweiterte Connectorrichtlinien für die Connectorgovernance angewiesen sein. Sie können diesen Modus sowohl auf Der Umgebungsgruppenebene als auch auf der Ebene der einzelnen Umgebung aktivieren.

Wenn Sie den ACP-nur-Modus aktivieren:

  • Das Richtlinienmodul wertet nur ACP-Regeln für die betroffenen Umgebungen aus.
  • Alle klassischen Datenrichtlinien werden für diese Umgebungen ignoriert, auch wenn sie noch konfiguriert sind.
  • Datenrichtlinienkonfigurationen werden nicht gelöscht. Sie bleiben bestehen, werden jedoch nicht erzwungen, während nur-ACP Modus aktiv ist.

Wichtig

Verwenden Sie den ACP-Modus für Organisationen, die ihre Konnektor-Governance vollständig zu ACP migriert haben und die Komplexität des gleichzeitigen Betriebs beider Richtliniensysteme vermeiden möchten.

Gründe für die Verwendung des nur-ACP-Modus

Das parallele Ausführen von klassischen Datenrichtlinien und ACP (gemischter Modus) kann Verwirrung für Administratoren und Entwickler erzeugen. Richtlinienverstöße können von beiden Systemen stammen, wodurch es schwieriger wird, das Erzwingungsverhalten zu verstehen und zu beheben. Der Modus nur für ACP bietet einen klaren Schnitt, indem die Governance in einem einzigen Richtlinienrahmen konsolidiert wird.

Nur ACP-Modus aktivieren

Sie können den NUR-ACP-Modus konfigurieren:

  • Aktivieren Sie in einer Umgebungsgruppe unter der Registerkarte "Regeln" die Regel "Nur erweiterte Connectorrichtlinien". Diese Einstellung gilt für alle Umgebungen in der Gruppe.
  • Aktivieren Sie in einer einzelnen Umgebung unter den Sicherheitsdaten>- und Datenschutzeinstellungen der Umgebung die Option "Erweiterte Connectorrichtlinien" nur. Diese Einstellung gilt nur für diese Umgebung.

Datenrichtlinie im gemischten Modus

Erweiterte Connectorrichtlinien können zusammen mit klassischen Datenrichtlinien im gemischten Modus ausgeführt werden. Dieser Ansatz ermöglicht es Ihnen, Konfigurationen zu ergänzen, sodass Datenrichtlinien Aktionssteuerung und Endpunktfilterung erreichen können, bis diese Features nativ zu ACP sind. Darüber hinaus können Sie ACP verwenden, um jeden Connector zu blockieren, der in klassischen Datenrichtlinien nicht möglich ist.

Wenn zur Laufzeit ein Konnektorvorgang aufgerufen wird, wird die effektive Richtlinie für die aktuelle Hostingumgebung abgefragt. Diese Abfrage enthält eine kombinierte Richtlinie, die die restriktivsten Einstellungen aus klassischen Datenrichtlinien und ACP zusammenführt, um die vollständige Erzwingung zu ermöglichen.

Tipp

Der gemischte Modus ist während der Migration von klassischen Datenrichtlinien zu ACP nützlich. Nachdem Ihre Organisation ACP vollständig angenommen hat, sollten Sie die Aktivierung des ACP-Only-Modus erwägen, um Ihren Governance-Ansatz zu vereinfachen und die Komplexität der dualen Auswertung zu beseitigen.

Entwurfszeitdurchsetzung

Erweiterte Connectorrichtlinien unterstützen die Entwurfszeiterzwingung, welche Richtlinienverletzungen erkennt, während Entwickler ihre Apps, Flows und Agents erstellen, und das nicht nur zur Laufzeit. Wenn ein Hersteller versucht, während der Erstellungsumgebung einen blockierten Connector oder eine Aktion zu verwenden, wird eine eindeutige Fehlermeldung angezeigt, die die Richtlinienverletzung angibt.

Die Entwurfszeiterzwingung wird in der folgenden Reihenfolge über Maker Portals hinweg durchgeführt:

  1. Power Automate Maker Portal – Einführung zuerst
  2. Copilot Studio – nach Power Automate
  3. Power Apps Maker Portal – folgt Copilot Studio

Wichtig

Die Veröffentlichung der Entwurfszeiterzwingung für ACP von jedem Maker Portal kennzeichnet die allgemeine Verfügbarkeit von ACP für diese Workload. Bis die Entwurfszeitunterstützung in einem bestimmten Maker Portal verfügbar ist, fungiert ACP als Nur-Laufzeit-Erzwingung für diese Workload.

Entwurfszeitüberprüfung bietet konsistente Verletzungsmeldungen auf den folgenden Benutzeroberflächen:

  • Flow Checker in Power Automate.
  • E-Mail-Benachrichtigungen , die an Entscheidungsträger gesendet werden, wenn Verstöße erkannt werden.
  • API-Fehlerantworten die vom Richtlinienauswertungsendpunkt zurückgegeben werden.

Dieser Shift-Left-Ansatz reduziert die Verwirrung der Entwickler, indem die Richtliniengrenzen frühzeitig im Entwicklungsprozess sichtbar gemacht werden, womit das Szenario beseitigt wird, in dem die Entwickler Ressourcen bauen und veröffentlichen, nur um Verstöße zur Laufzeit festzustellen.

Bekannte Einschränkungen

Während erweiterte Connectorrichtlinien robuste Funktionen bieten, sollten Sie die folgenden Einschränkungen berücksichtigen:

  • Nur zertifizierte Connectors: ACP unterstützt derzeit nur zertifizierte Connectors. Benutzerdefinierte Connector- und HTTP-Connectorunterstützung werden für ein zukünftiges Datum als separater Regeltyp geplant.
  • Virtuelle Connectors: ACP unterstützt keine virtuellen Connectors und wird sie in Zukunft nicht unterstützen. Informationen zu Migrationspfaden finden Sie unter Virtual Connector Transition.
  • Verwaltete Umgebungen und nicht blockierbare Connectors: Im Einzelumgebungsmodus funktioniert ACP sowohl in verwalteten Umgebungen als auch in nicht verwalteten Umgebungen, sodass alle Kunden, die klassische Datenrichtlinien verwenden, ohne zusätzliche Kosten zu ACP migrieren können. In nicht verwalteten Umgebungen bleiben die nicht blockierbaren Connectors jedoch nicht blockierbar. In verwalteten Umgebungen (einzelne oder Umgebungsgruppe) können Sie jeden Connector oder eine beliebige Aktion blockieren, einschließlich derjenigen, die in klassischen Datenrichtlinien nicht blockiert werden können.

Feedback senden

Testen Sie die neuen erweiterten Connectorrichtlinien? Das Produktteam würde Ihr Feedback lieben! Treten Sie dem Viva Engage Netzwerk bei, um das Gespräch unter Einhaltung der Geheimhaltungsvereinbarung fortzusetzen: Public Preview – Erweiterte Connectorrichtlinien.

  • Last updated on