جدار حماية IP في بيئات Power Platform
يساعد جدار حماية IP على حماية البيانات المؤسسية عن طريق تقييج وصول المستخدم إلى Microsoft Dataverse من مواقع IP المسموح بها فقط. يحلل جدار حماية IP عنوان IP لكل طلب في الوقت الحقيقي. على سبيل المثال، لنفترض أن جدار حماية IP قيد التشغيل في بيئة التشغيل في Dataverse وعناوين IP المسموح بها موجودة في النطاقات المقترنة بمواقع مكاتبتك وليس أي موقع IP خارجي كمقهى على سبيل المثال. إذا حاول أحد المستخدمين الوصول إلى الموارد المؤسسية من مقهى، فسيرفض Dataverse الوصول في الوقت الحقيقي.
المزايا الرئيسية
يؤدي تمكين جدار حماية IP في بيئات Power Platform إلى توفير عدة مزايا أساسية.
- التخفيف من التهديدات الداخلية مثل استخراج البيانات: يتم حظر المستخدم الضار الذي يحاول تنزيل البيانات من Dataverse استخدام أداة عميل مثل Excel أو Power BI من موقع IP غير مسموح به من القيام بذلك في الوقت الفعلي.
- منع هجمات إعادة تشغيل الرمز المميز: إذا سرق المستخدم الرمز المميز للوصول وحاول استخدامه للوصول Dataverse من خارج نطاقات IP المسموح بها ، Dataverse فإنه يرفض المحاولة في الوقت الفعلي.
تعمل حماية جدار حماية IP في السيناريوهات التفاعلية وغير التفاعلية.
كيف يعمل جدار حماية IP؟
عند إرسال طلب إلى Dataverse، يتم تقييم عنوان IP الطلب في الوقت الحقيقي مقابل نطاقات IP المكونة لبيئة Power Platform. إذا كان عنوان IP موجودًا النطاقات المسموح بها، يكون الطلب مسموحًا. إذا كان عنوان IP موجودًا خارج نطاقات IP المكونة للبيئة، فإن جدار حماية IP يرفض الطلب مع رسالة خطأ: تم رفض الطلب الذي تحاول تقديمه لأن الوصول إلى عنوان IP الخاص بك محظور. اتصل بالمسؤول للحصول على مزيد من المعلومات.
المتطلبات
- إن جدار حماية IP عبارة عن ميزة في البيئات المُدارة.
- يجب أن يكون لديك دور مسؤول Power Platform لتمكين جدار حماية IP أو تعطيله.
تمكين جدار حماية IP
يمكنك تمكين جدار حماية IP في بيئة Power Platform باستخدام إما مركز مسؤول Power Platform أو باستخدام واجهة API لـ Dataverse OData.
تمكين جدار حماية IP باستخدام مركز مسؤولي Power Platform
بصفتك المسؤول، سجل دخولك إلى مركز مسؤولي Power Platform.
حدد البيئات، ثم حدد بيئة.
حدد الإعدادات>المنتج>الخصوصية + الأمان.
ضمن إعدادات عنوان IP، عيّن تمكين قاعدة جدار الحماية المستندة إلى عنوان IP إلى تشغيل.
ضمن القائمة المسموح بها للنطاق IPv4، حدد نطاقات IP المسموح بها بتنسيق بروتوكول التوجيه داخل المجال بلا فئات (CIDR) تماشيًا مع RFC 4632. إذا كان لديك نطاقات IP متعددة، فافصلها بواسطة فاصل. يقبل هذا الحقل حتى 4,000 حرفًا أبجديًا رقميًا، ويسمح IP يصل عددها إلى 200 بحدٍ أقصى.
حدد إعدادات أخرى، على النحو المناسب:
- علامات الخدمة التي يسمح بها جدار حماية IP: من القائمة، حدد علامات الخدمة التي يمكنها تجاوز قيود جدار حماية IP.
- السماح بالوصول إلى الخدمات الموثوقة Microsoft : يتيحهذا الإعداد للخدمات الموثوقة مثل مراقبة ودعم Microsoft المستخدم وما إلى ذلك تجاوز قيود جدار حماية IP للوصول إلى البيئة باستخدام Power Platform . Dataverse ممكَّن بشكل افتراضي.
- السماح بالوصول لجميع مستخدمي التطبيق: يسمح هذا الإعداد لجميع مستخدمي التطبيق بوصول الجهات الخارجية والجهات الخارجية إلى Dataverse واجهات برمجة التطبيقات. ممكَّن بشكل افتراضي. إذا قمت بمسح هذه القيمة، فسيتم حظر مستخدمي تطبيقات الطرف الثالث فقط.
- تمكين جدار حماية IP في وضع التدقيق فقط: يعمل هذا الإعداد على تمكين جدار حماية IP ولكنه يسمح بالطلبات بغض النظر عن عنوان IP الخاص بها. ممكَّن بشكل افتراضي.
- عناوين IP للوكيل العكسي: إذا كان لدى مؤسستك خوادم وكيلة عكسية تم تكوينها، فأدخل عناوين IP لواحد أو أكثر، مفصولة بفواصل. تنطبق إعداد الوكيل العكسي على ربط ملفات تعريف الارتباط المستندة إلى عنوان IP وجدار حماية IP.
حدد حفظ.
تمكين جدار حماية IP باستخدام واجهة API لـ Dataverse OData
يمكنك استخدام واجهة API لـ Dataverse OData لاسترداد القيم وتعديلها داخل بيئة Power Platform. للحصول على إرشادات تفصيلية، راجع الاستعلام عن البيانات باستخدام واجهة API الويب وتحديث صفوف الجداول وحذفها باستخدام واجهة API الويب (Microsoft Dataverse).
تتمتع بالمرونة في تحديد الأدوات التي تفضلها. استخدم الوثائق التالية لاسترداد القيم وتعديلها من خلال واجهة API Dataverse OData:
- استخدم الأرق مع Dataverse واجهة برمجة تطبيقات الويب
- واجهة برمجة تطبيقات ويب البدء السريع مع PowerShell والتعليمات Visual Studio البرمجية
تكوين جدار حماية IP باستخدام واجهة برمجة تطبيقات OData
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
حموله
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule - قم بتمكين الميزة عن طريق تعيين القيمة إلى true ، أو تعطيلها عن طريق تعيين القيمة إلى false.
allowediprangeforfirewall — سرد نطاقات IP التي يجب السماح بها. وقم بتزويدها برموز CIDR، مفصولة بفاصلة.
مهم
تأكد من مطابقة أسماء علامات الخدمة تمامًا مع ما تراه في صفحة إعدادات جدار حماية IP. في حالة وجود أي اختلاف، قد لا تعمل قيود IP بشكل صحيح.
enableipbasedfirewallruleinauditmode - تشير قيمة true إلى وضع التدقيق فقط ، بينما تشير قيمة false إلى وضع التنفيذ.
allowedservicetagsforfirewall - سرد علامات الخدمة التي يجب السماح بها ، مفصولة بفاصلة. إذا لم ترغب في تكوين أي علامات خدمة، اترك القيمة فارغة.
allowapplicationuseraccess - القيمة الافتراضية صحيحة .
سمسممايكروسوفت تراستدسيرفايسالعلامات - القيمة الافتراضية هي صواب.
مهم
عند تعطيل السماح بالوصول للخدمات Microsoft الموثوق بها والسماح بالوصول لجميع مستخدمي التطبيق، قد لا تعمل بعض الخدمات التي تستخدم Dataverse، مثل Power Automate التدفقات.
اختبار جدار حماية IP
يجب اختبار جدار حماية IP للتحقق من أنه يعمل.
من عنوان IP غير موجود في القائمة المسموح بها لعناوين IP للبيئة، استعرض وصولاً إلى URI بيئة Power Platform.
يجب رفض طلبك برسالة تفيد بما يلي "الطلب الذي تحاول تقديمه مرفوض بسبب حظر الوصول إلى IP. اتصل بالمسؤول للحصول على المزيد من المعلومات".
من عنوان IP موجود في القائمة المسموح بها لعناوين IP للبيئة، استعرض وصولاً إلى URI بيئة Power Platform.
يجب أن يتوفر لديك حق الوصول إلى البيئة المعرفة بواسطة دور الأمان.
من المستحسن اختبار جدار حماية IP في بيئة الاختبار الخاصة بك أولاً، متبوعًا بوضع التدقيق فقط في بيئة الإنتاج قبل فرض جدار حماية IP على بيئة الإنتاج.
ملاحظة
بشكل افتراضي، يتم تشغيل نقطة نهاية TDS في بيئة Power Platform.
متطلبات الترخيص لجدار الحماية IP
يتم فرض جدار حماية IP فقط على البيئات التي تم تنشيطها للبيئات المُدارة. يتم تضمين البيئات المدارة كاستحقاقات في تراخيص مستقلة Power Apps Power Automate و,, Microsoft Copilot Studio Power Pages و Dynamics 365 التي تمنح حقوق استخدام مميزة. اعرف المزيد حول ترخيص البيئة المُدارة مع نظرة عامة على الترخيص لـ Microsoft Power Platform.
بالإضافة إلى ذلك، يتطلب الوصول إلى استخدام جدار حماية IP لـ Dataverse من المستخدمين في البيئات التي يتم فيها فرض جدار حماية IP أن يكون لديهم أحد هذه الاشتراكات:
- Microsoft 365 أو Office 365 A5/E5/G5
- التوافق مع Microsoft 365 A5/E5/F5/G5
- التوافق والأمان في Microsoft 365 F5
- Microsoft 365 A5/E5/F5/G5 حماية المعلومات والإدارة
- Microsoft 365 A5/E5/F5/G5 إدارة المخاطر الداخلية
تعرف على المزيد حول هذه التراخيص
الأسئلة الشائعة (FAQ)
ما الذي يغطيه جدار حماية IP في Power Platform؟
يتم دعم جدار حماية IP في أي بيئة Power Platform تتضمن Dataverse.
ما فترة الوقت التي يحتاج إليها سريان تغيير في قائمة عناوين IP؟
تسري عادة التغييرات في قائمة عناوين أو نطاقات IP المسموح بها في غضون 5 إلى 10 دقائق تقريبًا.
هل تعمل هذه الميزة في الوقت الحقيقي؟
تعمل حماية جدار حماية IP في الوقت الفعلي. وبما أن الميزة تعمل في طبقة الشبكة، فإنها تقوم بتقييم الطلب بعد اكتمال طلب المصادقة.
هل هذه الميزة ممكّنة بشكل افتراضي في جميع البيئات؟
لا يتم تمكين جدار حماية IP بشكل افتراضي. يحتاج مسؤول Power Platform إلى تمكينه في البيئات المُدارة.
ما هو وضع التدقيق فقط؟
في وضع التدقيق فقط، يحدد جدار حماية IP عناوين IP التي تجري استدعاءات للبيئة ويسمح لها كلها، سواء كانوا في نطاق مسموح به أم لا. إنه مفيد عند قيامك بتكوين القيود على بيئة Power Platform. من المستحسن تمكين وضع التدقيق فقط لمدة أسبوع على الأقل وتعطيله فقط بعد مراجعة سجلات التدقيق بطريقة متأنية.
هل تتوفر هذه الميزة في جميع البيئات؟
يتوفر جدار حماية IP في البيئات المُدارة فقط.
هل هناك حد موضوع على عدد عناوين IP التي يمكنني إضافتها في مربع نص عنوان IP؟
يمكنك إضافة ما يصل إلى 200 نطاق من نطاقات عناوين IP بتنسيق CIDR تماشيًا مع RFC 4632، مفصولة بفصول.
ما الذي يتعين عليّ فعله إذا بدأ تعطل Dataverse؟
قد يتسبب تكوين نطاقات IP بشكل غير صحيح في جدار حماية IP في هذه المشكلة. يمكنك التحقق من نطاقات IP والتحقق منها على صفحة إعدادات جدار حماية IP. من المستحسن تشغيل جدار حماية IP في وضع التدقيق فقط قبل فرض إعادة تشغيله.
كيف يمكن تنزيل سجل التدقيق لوضع التدقيق فقط؟
استخدم واجهة برمجة تطبيقات Dataverse OData لتنزيل بيانات سجل التدقيق بتنسيق JSON. تنسيق API لسجل التدقيق هو:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- استبدل [orgURI] بـ URI بيئة Dataverse.
- قم بتعيين قيمة الإجراء إلى 118 لهذا الحدث.
- قم بتعيين عدد العناصر التي يجب إرجاعها في top=1 أو حدد العدد الذي تريد إرجاعه.
لا تعمل تدفقاتي في Power Automate كما هو متوقع بعد تكوين جدار حماية IP في بيئتي في Power Platform. ما الذي ينبغي عليّ فعله؟
في إعدادات جدار حماية IP، اسمح بعلامات الخدمة المدرجة في عناوين IP الصادرة للموصلات المدارة.
لقد قمت بتكوين عنوان وكيل عكسي بشكل صحيح، ولكن جدار حماية IP لا يعمل. ما الذي ينبغي عليّ فعله؟
تأكد من تكوين الوكيل العكسي لإرسال عنوان IP للعميل في الرأس الذي أعيد توجيهه.
لا تعمل وظيفة تدقيق جدار حماية IP في البيئة الخاصة بي. ما الذي ينبغي عليّ فعله؟
سجلات تدقيق جدار حماية IP غير مدعومة في المستأجرين الذين تم تمكينهم لإحضار مفتاح المفتاح الخاص بك (BYOK) لمفاتيح التشفير. إذا كان المستأجر الخاص بك قد تم تمكينه لجلب المفتاح الخاص بك، عندئذ يتم تأمين كافة البيئات في المستأجر ب BYOK إلى SQL فقط، لذا لا يمكن تخزين سجلات التدقيق إلا في SQL. ننصحك بالهجرة إلى المفتاح الذي يديره العميل. للترحيل من BYOK إلى المفتاح المدار بواسطة العميل (CMKv2)، اتبع الخطوات في بيئات ترحيل إحضار المفتاح الخاص بك (BYOK) إلى المفتاح الذي يديره العميل.
هل يدعم جدار حماية IP نطاقات IPv6 IP؟
حاليًا، لا يدعم جدار حماية IP نطاقات IPv6 IP.