جدار حماية IP في بيئات Power Platform
يساعد جدار حماية IP على حماية البيانات المؤسسية عن طريق تقييج وصول المستخدم إلى Microsoft Dataverse من مواقع IP المسموح بها فقط. يحلل جدار حماية IP عنوان IP لكل طلب في الوقت الحقيقي. على سبيل المثال، لنفترض أن جدار حماية IP قيد التشغيل في بيئة التشغيل في Dataverse وعناوين IP المسموح بها موجودة في النطاقات المقترنة بمواقع مكاتبتك وليس أي موقع IP خارجي كمقهى على سبيل المثال. إذا حاول أحد المستخدمين الوصول إلى الموارد المؤسسية من مقهى، فسيرفض Dataverse الوصول في الوقت الحقيقي.
المزايا الرئيسية
يؤدي تمكين جدار حماية IP في بيئات Power Platform إلى توفير عدة مزايا أساسية.
- الحد من التهديدات الداخلية مثل استخراج البيانات: إذا حاول مستخدم ضار تنزيل البيانات من Dataverse باستخدام أداة عميل مثل Excel أو Power BI من موقع IP غير مسموح به، فيتم منعه من القيام بذلك في الوقت الحقيقي.
- منع هجمات إعادة تشغيل الرمز المميز: إذا سرق المستخدم رمزًا مميزًا للوصول وحاول استخدامه للوصول إلى Dataverse من خارج نطاقات IP المسموح بها، فيرفض Dataverse المحاولة في الوقت الحقيقي.
تعمل حماية جدار حماية IP في السيناريوهات التفاعلية وغير التفاعلية.
كيف يعمل جدار حماية IP؟
عند إرسال طلب إلى Dataverse، يتم تقييم عنوان IP الطلب في الوقت الحقيقي مقابل نطاقات IP المكونة لبيئة Power Platform. إذا كان عنوان IP موجودًا النطاقات المسموح بها، يكون الطلب مسموحًا. إذا كان عنوان IP موجودًا خارج نطاقات IP المكونة للبيئة، فإن جدار حماية IP يرفض الطلب مع رسالة خطأ: تم رفض الطلب الذي تحاول تقديمه لأن الوصول إلى عنوان IP الخاص بك محظور. اتصل بالمسؤول للحصول على مزيد من المعلومات.
المتطلبات
- إن جدار حماية IP عبارة عن ميزة في البيئات المُدارة.
- يجب أن يكون لديك دور مسؤول Power Platform لتمكين جدار حماية IP أو تعطيله.
تمكين جدار حماية IP
يمكنك تمكين جدار حماية IP في بيئة Power Platform باستخدام إما مركز مسؤول Power Platform أو باستخدام واجهة API لـ Dataverse OData.
تمكين جدار حماية IP باستخدام مركز مسؤولي Power Platform
بصفتك المسؤول، سجل دخولك إلى مركز مسؤولي Power Platform.
حدد البيئات، ثم حدد بيئة.
حدد الإعدادات>المنتج>الخصوصية + الأمان.
ضمن إعدادات عنوان IP، عيّن تمكين قاعدة جدار الحماية المستندة إلى عنوان IP إلى تشغيل.
ضمن القائمة المسموح بها لنطاقات IPv4 / IPv6، حدد نطاقات IP المسموح بها في تنسيق التوجيه بين النطاقات (CIDR) بلا طبقات بحسب RFC 4632. إذا كان لديك نطاقات IP متعددة، فافصلها بواسطة فاصل. يقبل هذا الحقل حتى 4,000 حرفًا أبجديًا رقميًا، ويسمح IP يصل عددها إلى 200 بحدٍ أقصى. يسمح بعناوين IPv6 بالتنسيق السداسي العشري والمضغوط.
حدد إعدادات أخرى، على النحو المناسب:
علامات الخدمة المسموح بها بواسطة جدار حماية IP: من القائمة، حدد علامات الخدمة التي يمكنها تجاوز قيود جدار حماية IP.
السماح بالوصول لخدمات Microsoft الموثوقة: يسمح هذا الإعداد لعلامات الخدمة الموثوقة من Microsoft مثل المراقبة ودعم المستخدم وغيرها بتجاوز قيود جدار حماية IP للوصول إلى بيئة Power Platform بواسطة Dataverse. ممكَّن بشكل افتراضي.
السماح بالوصول لجميع مستخدمي التطبيق: يسمح هذا الإعداد لجميع مستخدمي التطبيق من طرف ثالث أو طرف أول بالوصول إلى واجهات API لـ Dataverse. ممكَّن بشكل افتراضي. إذا قمت بمسح هذه القيمة، فإنها تحظر فقط مستخدمي تطبيقات الجهات الخارجية.
تمكين جدار حماية IP في وضع التدقيق فقط: يقوم هذا الإعداد بتمكين جدار حماية IP ولكنه يسمح بالطلبات بصرف النظر عن عنوان IP الخاص بها. ممكَّن بشكل افتراضي.
عناوين IP للوكيل العكسي: إذا كان لدى مؤسستك وكلاء عكسيون تم تكوينهم، فأدخل عناوين IP مفصولة بفواصل في الحقل عناوين IP للوكيل العكسي. ينطبق إعداد الوكيل العكسي على ربط ملفات تعريف الارتباط المستندة إلى عنوان IP وعلى جدار حماية IP. تواصل مع مسؤول الشبكة للحصول على عناوين IP للوكيل العكسي.
ملاحظة
يجب تكوين الوكيل العكسي لإرسال عناوين IP للعميل للمستخدم في الرأس المعاد توجيهه .
حدد حفظ.
تمكين جدار حماية IP باستخدام واجهة API لـ Dataverse OData
يمكنك استخدام واجهة API لـ Dataverse OData لاسترداد القيم وتعديلها داخل بيئة Power Platform. للحصول على إرشادات تفصيلية، راجع الاستعلام عن البيانات باستخدام واجهة API الويب وتحديث صفوف الجداول وحذفها باستخدام واجهة API الويب (Microsoft Dataverse).
تتمتع بالمرونة في تحديد الأدوات التي تفضلها. استخدم الوثائق التالية لاسترداد القيم وتعديلها من خلال واجهة API Dataverse OData:
- استخدام Insomnia مع واجهة API الويب لـ Dataverse
- واجهة API الويب للبدء السريع مع PowerShell وVisual Studio Code
تكوين جدار حماية IP باستخدام واجهة API لـ OData
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
الحمولة
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – قم بتمكين الميزة عن طريق تعيين القيمة إلى true، أو تعطيلها عن طريق تعيين القيمة إلى false.
allowediprangeforfirewall — سرد نطاقات IP التي ينبغي السماح بها. وقم بتزويدها برموز CIDR، مفصولة بفاصلة.
مهم
تأكد من مطابقة أسماء علامات الخدمة تمامًا مع ما تراه في صفحة إعدادات جدار حماية IP. في حالة وجود أي اختلاف، قد لا تعمل قيود IP بشكل صحيح.
enableipbasedfirewallruleinauditmode – تشير قيمة true إلى وضع التدقيق فقط، بينما تشير قيمة false إلى وضع الفرض.
allowedservicetagsforfirewall – سرد علامات الخدمة التي يجب السماح بها، مفصولة بواسطة فاصلة. إذا لم ترغب في تكوين أي علامات خدمة، اترك القيمة فارغة.
allowapplicationuseraccess – القيمة الافتراضية هي true.
allowmicrosofttrustedservicetags – القيمة الافتراضية هي true.
مهم
عند تعطيل الخيارين السماح بالوصول لخدمات Microsoft الموثوقة والسماح بالوصول لجميع مستخدمي التطبيق، فإن بعض الخدمات التي تستخدم Dataverse، مثل تدفقات Power Automate، قد تتوقف عن العمل.
اختبار جدار حماية IP
يجب اختبار جدار حماية IP للتحقق من أنه يعمل.
من عنوان IP غير موجود في القائمة المسموح بها لعناوين IP للبيئة، استعرض وصولاً إلى URI بيئة Power Platform.
يجب رفض طلبك برسالة تفيد بما يلي "الطلب الذي تحاول تقديمه مرفوض بسبب حظر الوصول إلى IP. اتصل بالمسؤول للحصول على المزيد من المعلومات".
من عنوان IP موجود في القائمة المسموح بها لعناوين IP للبيئة، استعرض وصولاً إلى URI بيئة Power Platform.
يجب أن يتوفر لديك حق الوصول إلى البيئة المعرفة بواسطة دور الأمان.
من المستحسن اختبار جدار حماية IP في بيئة الاختبار الخاصة بك أولاً، متبوعًا بوضع التدقيق فقط في بيئة الإنتاج قبل فرض جدار حماية IP على بيئة الإنتاج.
ملاحظة
بشكل افتراضي، يتم تشغيل نقطة نهاية TDS في بيئة Power Platform.
متطلبات الترخيص لجدار الحماية IP
يتم فرض جدار حماية IP فقط على البيئات التي تم تنشيطها للبيئات المُدارة. يتم تضمين البيئات المدارة كاستحقاقات في تراخيص مستقلة Power Apps Power Automate و,, Microsoft Copilot Studio Power Pages و Dynamics 365 التي تمنح حقوق استخدام مميزة. اعرف المزيد حول ترخيص البيئة المُدارة مع نظرة عامة على الترخيص لـ Microsoft Power Platform.
بالإضافة إلى ذلك، يتطلب الوصول إلى استخدام جدار حماية IP لـ Dataverse من المستخدمين في البيئات التي يتم فيها فرض جدار حماية IP أن يكون لديهم أحد هذه الاشتراكات:
- Microsoft 365 أو Office 365 A5/E5/G5
- التوافق مع Microsoft 365 A5/E5/F5/G5
- التوافق والأمان في Microsoft 365 F5
- Microsoft 365 A5/E5/F5/G5 حماية المعلومات والإدارة
- Microsoft 365 A5/E5/F5/G5 إدارة المخاطر الداخلية
الأسئلة الشائعة (FAQ)
ما الذي يغطيه جدار حماية IP في Power Platform؟
يتم دعم جدار حماية IP في أي بيئة Power Platform تتضمن Dataverse.
ما فترة الوقت التي يحتاج إليها سريان تغيير في قائمة عناوين IP؟
تسري عادة التغييرات في قائمة عناوين أو نطاقات IP المسموح بها في غضون 5 إلى 10 دقائق تقريبًا.
هل تعمل هذه الميزة في الوقت الحقيقي؟
تعمل حماية جدار حماية IP في الوقت الفعلي. وبما أن الميزة تعمل في طبقة الشبكة، فإنها تقوم بتقييم الطلب بعد اكتمال طلب المصادقة.
هل هذه الميزة ممكّنة بشكل افتراضي في جميع البيئات؟
لا يتم تمكين جدار حماية IP بشكل افتراضي. يحتاج مسؤول Power Platform إلى تمكينه في البيئات المُدارة.
ما هو وضع التدقيق فقط؟
في وضع التدقيق فقط، يحدد جدار حماية IP عناوين IP التي تجري استدعاءات للبيئة ويسمح لها كلها، سواء كانوا في نطاق مسموح به أم لا. إنه مفيد عند قيامك بتكوين القيود على بيئة Power Platform. من المستحسن تمكين وضع التدقيق فقط لمدة أسبوع على الأقل وتعطيله فقط بعد مراجعة سجلات التدقيق بطريقة متأنية.
هل تتوفر هذه الميزة في جميع البيئات؟
يتوفر جدار حماية IP في البيئات المُدارة فقط.
هل هناك حد موضوع على عدد عناوين IP التي يمكنني إضافتها في مربع نص عنوان IP؟
يمكنك إضافة ما يصل إلى 200 نطاق من نطاقات عناوين IP بتنسيق CIDR تماشيًا مع RFC 4632، مفصولة بفصول.
ماذا عليّ أن أفعل إذا بدأت طلبات Dataverse في الفشل؟
قد يتسبب تكوين نطاقات IP بشكل غير صحيح في جدار حماية IP في هذه المشكلة. يمكنك التحقق من نطاقات IP والتحقق منها على صفحة إعدادات جدار حماية IP. من المستحسن تشغيل جدار حماية IP في وضع التدقيق فقط قبل فرض إعادة تشغيله.
كيف يمكن تنزيل سجل التدقيق لوضع التدقيق فقط؟
استخدم واجهة برمجة تطبيقات Dataverse OData لتنزيل بيانات سجل التدقيق بتنسيق JSON. تنسيق API لسجل التدقيق هو:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- استبدل [orgURI] بـ URI بيئة Dataverse.
- قم بتعيين قيمة الإجراء إلى 118 لهذا الحدث.
- قم بتعيين عدد العناصر التي يجب إرجاعها في top=1 أو حدد العدد الذي تريد إرجاعه.
لا تعمل تدفقاتي في Power Automate كما هو متوقع بعد تكوين جدار حماية IP في بيئتي في Power Platform. ما الذي ينبغي عليّ فعله؟
في إعدادات جدار حماية IP، اسمح بعلامات الخدمة المدرجة في عناوين IP الصادرة للموصلات المدارة.
لقد قمت بتكوين عنوان وكيل عكسي بشكل صحيح، ولكن جدار حماية IP لا يعمل. ما الذي ينبغي عليّ فعله؟
تأكد من تكوين الوكيل العكسي لإرسال عنوان IP للعميل في الرأس الذي أعيد توجيهه.
لا تعمل وظيفة تدقيق جدار حماية IP في البيئة الخاصة بي. ما الذي ينبغي عليّ فعله؟
سجلات تدقيق جدار حماية IP غير مدعومة في المستأجرين الذين تم تمكينهم لإحضار مفتاح المفتاح الخاص بك (BYOK) لمفاتيح التشفير. إذا كان المستأجر الخاص بك قد تم تمكينه لجلب المفتاح الخاص بك، عندئذ يتم تأمين كافة البيئات في المستأجر ب BYOK إلى SQL فقط، لذا لا يمكن تخزين سجلات التدقيق إلا في SQL. ننصحك بالهجرة إلى المفتاح الذي يديره العميل. للترحيل من BYOK إلى المفتاح المدار بواسطة العميل (CMKv2)، اتبع الخطوات في بيئات ترحيل إحضار المفتاح الخاص بك (BYOK) إلى المفتاح الذي يديره العميل.
هل يدعم جدار حماية IP نطاقات IPv6 IP؟
نعم ، يدعم جدار حماية IP نطاقات IPv6 IP.