備註
Power Platform Virtual Network 社群在 Microsoft Viva Engage 上可用。 歡迎提出任何關於此功能的問題或回饋。 請透過以下表單填寫申請加入: 申請進入財務與營運Viva Engage社群。
透過使用 Azure 虛擬網路支援 Power Platform,您可以將 Power Platform 和 Dataverse 元件整合到雲端服務或私人企業網路內的服務中,而不暴露於公共網際網路。 本文說明如何在你的 Power Platform 環境中設定虛擬網路支援。
先決條件
備註
若要啟用 Power Platform 的虛擬網路支援,環境必須是受控環境。
檢查您的 Power Platform 資源:檢查您的應用程式、流程和外掛程式程式碼,以確保它們透過您的虛擬網路連接。 他們不應該透過公共網際網路呼叫端點。 如果你的元件需要連接到公共端點,請確保防火牆或網路設定允許此類通話。 在為 Power Platform 環境啟用虛擬網路支援的考量和常見問題中深入瞭解。
準備您的租用戶並設定權限:
- Azure 訂閱:確保你有Azure訂閱,可以建立虛擬網路、子網和企業政策資源。
-
指派角色:確保您擁有建立資源和企業原則所需的角色。
- 在Azure入口網站中,指派Azure網路管理員角色,例如 network 貢獻者角色或等效的自訂角色。
- 在 Microsoft Entra 管理中心,指定 Power Platform 管理員角色。
準備使用 PowerShell:
- 請使用 Windows PowerShell 或 安裝 PowerShell Core。 此模組兼容兩種版本。
下圖顯示了 Power Platform 環境中虛擬網路支援的設定過程中角色的功能。
說明
您必須在與您的 Power Platform 環境相關聯的 Azure 區域中建立 虛擬網路。 例如,如果你的 Power Platform 環境區域是 United States,可以在
eastus 和 westus Azure 區域建立虛擬網路。 若要將環境區域映射到Azure區域,請檢視支援區域清單。 如果地理上有兩個或以上支援的區域,例如美國的 東部 和 西部,你需要在 不同 區域建立兩個虛擬網路來建立企業政策。 此要求適用於生產環境與非生產環境。
確保你根據 Power Platform 環境的子網大小估算來適當地調整你所建立的子網大小。 若需多個子網,兩個子網的可用 IP 位址數量必須相同。 在你將子網委派給 Power Platform 後,你需要聯絡 Microsoft Support 來更改子網範圍。
如果需要,您可以重複使用現有的虛擬網路。 你不能在多個企業政策 中重複使用同一個子網 。
設定虛擬網路支援
你可以透過使用 PowerShell 腳本或手動步驟來配置並啟用虛擬網路支援。 在這兩種方法中,應遵循的步驟大致分為以下幾類:
- 建立虛擬網路和子網路。
- 建立企業原則。
- 設定您的 Power Platform 環境。
使用 PowerShell 設定
安裝並載入 Microsoft.PowerPlatform.EnterprisePolicies 模組。
Install-Module Microsoft.PowerPlatform.EnterprisePolicies Import-Module Microsoft.PowerPlatform.EnterprisePolicies設定你的虛擬網路和子網路,讓它委派給 Power Platform。 對每個有委派子網的虛擬網路執行此指令。 檢視每個子網路分配的 IP 位址數量,並考慮環境負載。
New-VnetForSubnetDelegation -SubscriptionId "00000000-0000-0000-0000-000000000000" -VirtualNetworkName "myVnet" -SubnetName "mySubnet"重要
- 如果你打算用同一個委派子網路管理多個 Power Platform 環境,可能需要比 /24 更大的 IP 位址區塊。 在估計 Power Platform 環境的子網路大小中查看子網路大小指引。
- 為了讓 Power Platform 元件能存取公開網際網路,請為子網建立一個 Azure NAT 閘道。
利用你委派的虛擬網路和子網來建立你的企業政策。 請記得,支援兩個或以上區域的地理區域需要兩個不同區域的虛擬網路。
New-SubnetInjectionEnterprisePolicy -SubscriptionId "00000000-0000-0000-0000-000000000000" -ResourceGroupName "myResourceGroup" -PolicyName "myPolicy" -PolicyLocation "unitedstates" -VirtualNetworkId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet" -SubnetName "default"向具有 Power Platform 管理員角色的使用者授予企業原則的讀取權限。 當負責將企業政策關聯到 Power Platform 環境的角色與在 Azure 中創建企業政策的人不一致時,此步驟就很重要。
要連結你新建立的政策,請執行以下指令。
Enable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000" -PolicyArmId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.PowerPlatform/enterprisePolicies/myPolicy"小提示
如果你需要用不同帳戶連結政策,請使用 -ForceAuth 開關,確保系統會提示你登入新帳戶。
手動設定
請在您的訂閱中註冊以下資源提供者。 關於如何註冊資源提供者的資訊,請參見 註冊資源提供者。
- Microsoft.Network
- Microsoft.PowerPlatform
請在訂閱中註冊以下功能。 關於如何註冊功能,請參見 「註冊預覽功能 」。
- 企業政策預覽
請依照「 建立虛擬網路」的指引建立您的虛擬網路與子網路。
備註
您可以跳過建立堡壘主機的步驟。 這對 Power Platform 虛擬網路功能來說並非必要。
使用現有子網路或建立新子網路,並委派給 Microsoft.PowerPlatform/enterprisePolicies。 欲了解更多資訊,請參閱 新增或移除子網路委派。
要確認子網路是否成功委派,請前往你的子網並檢查 「委派至 」欄位,如下圖所示。
建立成對虛擬網路後,您可以在 Azure 資源群組中查看它們,如下圖所示。
務必從你建立的虛擬網絡中擷取必要的資訊,例如以下資訊:
- VnetOneSubnetName
- VnetOneResourceId
- VnetTwoSubnetName
- VnetTwoResourceId
在Azure入口部署自訂模板。 選取在編輯器中建立您自己的範本連結,然後複製並貼上以下 JSON 指令碼。
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "policyName": { "type": "string", "metadata": { "description": "The name of the Enterprise Policy." } }, "powerplatformEnvironmentRegion": { "type": "string", "metadata": { "description": "Geography of the PowerPlatform environment." } }, "vNetOneSubnetName": { "type": "string" }, "vNetOneResourceId": { "type": "string", "metadata": { "description": "Fully qualified name, such as /subscription/{subscriptionid}/..." } }, "vNetTwoSubnetName": { "defaultValue": "", "type": "string" }, "vNetTwoResourceId": { "defaultValue": "", "type": "string", "metadata": { "description": "Fully qualified name, such as /subscription/{subscriptionid}/..." } } }, "variables": { "vNetOne": { "id": "[parameters('vNetOneResourceId')]", "subnet": { "name": "[parameters('vNetOneSubnetName')]" } }, "vNetTwo": { "id": "[parameters('vNetTwoResourceId')]", "subnet": { "name": "[parameters('vNetTwoSubnetName')]" } }, "vNetTwoSupplied": "[and(not(empty(parameters('vNetTwoSubnetName'))), not(empty(parameters('vNetTwoResourceId'))))]" }, "resources": [ { "type": "Microsoft.PowerPlatform/enterprisePolicies", "apiVersion": "2020-10-30-preview", "name": "[parameters('policyName')]", "location": "[parameters('powerplatformEnvironmentRegion')]", "kind": "NetworkInjection", "properties": { "networkInjection": { "virtualNetworks": "[if(variables('vNetTwoSupplied'), concat(array(variables('vNetOne')), array(variables('vNetTwo'))), array(variables('vNetOne')))]" } } } ] }儲存範本並填寫詳細資料以建立企業原則,其中包含下列資訊:
- 原則名稱:出現在 Power Platform 系統管理中心的名稱。
-
地點:選擇企業政策的位置,對應資料宇宙環境的區域:
- unitedstates
- 南非
- uk
- 日本
- 印度
- 法國
- 歐洲
- 德國
- 瑞士
- 加拿大
- 巴西
- 澳洲
- 亞洲
- 阿聯酋
- 韓國
- 挪威
- 新加坡
- 瑞典
- usgov
- VnetOneSubnetName:輸入第一個虛擬網路中子網路的名稱。
- VnetOneResourceId:輸入第一個虛擬網路的資源 ID。
- VnetTwoSubnetName:輸入第二個虛擬網路的子網路名稱。
- VnetTwoResourceId:輸入第二個虛擬網路的資源 ID。 它應該會與 JSON 腳本中的字串相符,例如 vNetOneResourceId、vNetOneSubnetName
選取審閱 + 建立以完成企業原則。
![選取 [檢閱並建立] 以完成企業原則的螢幕擷取畫面。](media/virtual-networks-json-script.png)
向具有 Power Platform 管理員角色的使用者授予企業原則的讀取權限。 當將企業政策關聯到 Power Platform 環境的個人角色與在 Azure 中創建企業政策的人不同時,此步驟就相關。
要將你的政策指派到你的環境,請登入 Power Platform 管理中心。
- 在導覽窗格中,選擇安全性。
- 在安全性窗格中,選取資料和隱私權。
- 在資料保護與隱私頁面,選擇Azure Virtual Network政策。 此時,會顯示Virtual Network政策面板。
- 選取要指派給企業原則的環境,選取原則,然後選取儲存。 現在企業原則是和環境掛鉤的。
重要
你只能透過 PowerShell 使用 Disable-SubnetInjection 從環境中移除企業政策。
Disable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000"登入 Power Platform 管理中心驗證政策關聯。
- 在導覽窗格中,選擇管理。
- 在管理窗格中,選擇環境。
- 在環境頁面上,選取一個環境。
- 在命令列中,選取歷史記錄。
- 驗證狀態是否顯示成功。
![選取 [檢閱並建立] 以完成企業原則的螢幕擷取畫面。](media/virtual-networks-json-script.png#lightbox)