Sicherheit 18. Oktober 2025 10 min Lesezeit

Power Pages Sicherheitsarchitektur: Interaktiver Guide

Power Pages Sicherheitsarchitektur: Table Permissions, Web Roles und Authentifizierungsebenen – rollenbasierter Zugriff mit interaktiver Visualisierung.

Sicherheit in Power Pages basiert auf Ebenen. Das Verstaendnis dieses hierarchischen Modells ist entscheidend fuer die Implementierung sicherer Kundenportale. Dieser Guide erklaert, wie Administratoren, Custom Roles, authentifizierte Benutzer, anonyme Besucher und System-Komponenten zusammenarbeiten.

Das Power Pages Sicherheitsmodell besteht aus mehreren Schichten, die zusammenwirken, um granulare Zugriffskontrolle zu ermoeglichen - von der Authentifizierung bis zur Feldebene.

Wichtigste Erkenntnisse

Wesentliche Sicherheitsprinzipien

  • Administrator ist nur ein Name: Keine automatischen Privilegien - alle Zugriffe erfordern explizite Table Permissions
  • Mehrere Rollen, kumulative Berechtigungen: Benutzer koennen mehrere Rollen haben, Berechtigungen addieren sich
  • Authenticated Users Rolle ist automatisch: Kann nicht entfernt werden, wird ALLEN eingeloggten Benutzern zugewiesen
  • Bevorzugen Sie spezifische Scopes: Verwenden Sie Contact oder Account Scope statt Global, wo immer moeglich
  • System-Komponenten respektieren Berechtigungen: Web API, Forms und Lists halten sich alle an Table Permissions

Die Sicherheitsebenen im Detail

1. Administrator Web Role

Wichtig: Die "Administrator" Web Role ist nur ein Name - sie hat keine besonderen Privilegien. Jeder Datenzugriff erfordert explizite Table Permissions, genau wie bei jeder benutzerdefinierten Rolle.

Zugriffstypen (Table Permissions):

  • Global: Alle Datensaetze in der Tabelle
  • Contact: Mit dem Benutzer verbundene Datensaetze
  • Account: Mit dem Konto des Benutzers verbundene Datensaetze
  • Self: Nur der eigene Contact-Datensatz des Benutzers

2. Custom Web Roles

Erstellen Sie Rollen fuer spezifische Benutzergruppen. Benutzer koennen mehrere Rollen haben, und die Berechtigungen sind ueber alle zugewiesenen Rollen hinweg kumulativ.

Haeufige Beispiele:

  • Partner: Zugriff auf Daten ihrer Kunden
  • Kunde: B2B Account-Level Zugriff
  • Support-Agent: Case-Management-Rechte
  • Abteilungsleiter: Team-Datenzugriff

3. Authentifizierte Benutzer

Wichtig: Diese implizite Rolle wird automatisch ALLEN eingeloggten Benutzern zugewiesen und kann nicht entfernt werden. Seien Sie vorsichtig mit Berechtigungen hier!

Authentifizierungsmethoden:

  • Microsoft Entra ID (fuer interne Benutzer)
  • Microsoft Entra External ID (fuer externe Kunden und Partner)
  • SAML 2.0, OpenID Connect
  • Lokale Authentifizierung (Benutzername/Passwort)

4. Anonyme Benutzer

Spezielle Rolle fuer nicht-authentifizierte Besucher. Nur EINE pro Website. Respektiert Table Permissions (aber nicht Page Permissions).

Worauf sie zugreifen koennen:

  • Oeffentliche Seiten (Homepage, Marketing)
  • Knowledge Base Artikel (falls konfiguriert)
  • Kontaktformulare
  • Login- und Registrierungsseiten

5. System-Komponenten

Die Portals Web API, Forms und Lists respektieren alle Table Permissions. Die API muss explizit pro Tabelle ueber Site Settings aktiviert werden.

Sicherheits-Fakten:

  • Web API respektiert Table Permissions
  • Verwendet Portal-Session-Authentifizierung
  • Erfordert CSRF-Token fuer alle Aufrufe
  • Column Permissions fuer Field-Level Security

Sicherheits-Best Practices

Best Practices

  • Verwenden Sie Contact oder Account Scope fuer B2B-Szenarien
  • Wenden Sie das Prinzip der geringsten Rechte an
  • Aktivieren Sie Column Permissions fuer Sicherheit auf Feldebene
  • Konfigurieren Sie MFA fuer sensible Bereiche
  • Regelmaessige Sicherheitsaudits der Rollenzuweisungen
  • Aktivieren Sie Dataverse Auditing fuer Compliance

Zu vermeiden

  • Vermeiden Sie Global Scope, es sei denn absolut notwendig
  • Keine weitreichenden Berechtigungen fuer Authenticated Users Rolle
  • Keine Sicherheitslogik nur client-seitig in JavaScript implementieren
  • Keine Web API ohne ordentliche Table Permissions aktivieren
  • Keine Authentifizierungsanbieter ohne klare Strategie mischen

Implementierungsleitfaden

Hier ist ein praktischer Schritt-fuer-Schritt-Ansatz zur Implementierung sicherer Power Pages Portale:

Setup-Checkliste

  1. 1. Planen Sie Ihre Rollen:

    Ordnen Sie Geschaeftsrollen (Partner, Kunde, Intern) den Web Roles zu

  2. 2. Definieren Sie Table Permissions:

    Bestimmen Sie, auf welche Tabellen jede Rolle zugreifen muss und mit welchem Scope

  3. 3. Konfigurieren Sie Authentifizierung:

    Richten Sie Entra ID (intern) und Entra External ID (extern) Anbieter ein

  4. 4. Implementieren Sie Row-Level Security:

    Verwenden Sie Contact oder Account Scope, damit Benutzer nur ihre Daten sehen

  5. 5. Aktivieren Sie Field-Level Security:

    Konfigurieren Sie Column Permissions fuer sensible Felder

  6. 6. Testen Sie gruendlich:

    Ueberpruefen Sie Berechtigungen mit Testbenutzern in jeder Rolle

  7. 7. Aktivieren Sie Auditing:

    Schalten Sie Dataverse Auditing fuer Compliance-Tracking ein

Fazit

Die Power Pages Sicherheitsarchitektur bietet Zugriffskontrolle auf Enterprise-Niveau, ohne dass tiefes Sicherheits-Know-how erforderlich ist. Indem Sie das hierarchische Modell verstehen und Best Practices befolgen, koennen Sie sichere Kundenportale erstellen, die sensible Daten schuetzen und gleichzeitig exzellente Benutzererfahrungen bieten.

Benoetigen Sie Hilfe bei der Sicherheitsimplementierung?

Ich biete Sicherheitsaudits und Implementierungsberatung fuer Power Pages Portale an. Lassen Sie uns Ihre spezifischen Sicherheitsanforderungen besprechen und sicherstellen, dass Ihr Portal korrekt konfiguriert ist.

Kostenlose Sicherheitsberatung vereinbaren

Weitere Ressourcen

Tino Rabe

Tino Rabe

Microsoft Power Pages MVP

Microsoft MVP für Power Pages. Ich unterstütze mittelständische Unternehmen bei der Entwicklung sicherer Kundenportale.

Fragen zu diesem Thema?

Lassen Sie uns darüber sprechen.

Termin buchen