Tallafocs IP en Power Platform entorns

El tallafoc IP protegeix les dades de l'organització assegurant que els usuaris només puguin accedir Microsoft Dataverse des de les ubicacions IP permeses. El tallafocs IP analitza l'adreça IP de cada sol·licitud en temps real. Per exemple, podeu activar el tallafoc IP al vostre entorn de producció Dataverse i definir adreces IP permeses en els intervals associats a les ubicacions de les vostres oficines i no en cap ubicació IP externa, com ara una cafeteria. Si un usuari intenta accedir als recursos de l'organització des d'una cafeteria, Dataverse denega l'accés en temps real.

Beneficis clau

Activar el tallafoc IP als vostres Power Platform entorns ofereix diversos avantatges clau.

• Mitigar les amenaces internes com l'exfiltració de dades: un usuari maliciós que intenta descarregar dades des d'una eina client Dataverse com Excel o Power BI des d'una ubicació IP no permesa no pot fer-ho en temps real.
• Evitar atacs de reproducció de tokens: si un usuari roba un token d'accés i intenta utilitzar-lo per accedir Dataverse des de fora dels rangs d'IP permesos, Dataverse denega l'intent en temps real.

La protecció del tallafoc IP funciona tant en escenaris interactius com no interactius.

Com funciona el tallafocs IP?

Quan es fa Dataverse una sol·licitud, l'adreça IP de la sol·licitud s'avalua en temps real amb els intervals d'IP configurats per a l'entorn Power Platform . Si l'adreça IP es troba en els intervals permesos, es permet la sol·licitud. Si l'adreça IP està fora dels rangs d'IP configurats per a l'entorn, el tallafoc IP denega la sol·licitud amb un missatge d'error: La sol·licitud que esteu intentant fer és rebutjada perquè l'accés a la vostra IP està bloquejat. Poseu-vos en contacte amb l'administrador per obtenir més informació.

Requisits previs

• El tallafoc IP és una característica dels entorns gestionats.
• Heu de tenir una Power Platform funció d'administrador per habilitar o inhabilitar el tallafoc IP.

Habilitar el tallafoc IP

Podeu habilitar el tallafoc IP en un Power Platform entorn mitjançant Power Platform el centre d'administració o l'API Dataverse OData.

Habilitar el tallafoc IP mitjançant Power Platform el centre d'administració

1. Inicieu la sessió al Power Platform Centre d'administració com a administrador.

2. A la subfinestra de navegació, seleccioneu Seguretat.

3. A la subfinestra Seguretat , seleccioneu Identitat i accés.

4. A la pàgina Administració d'identitats i accessos, seleccioneu Tallafoc IP.

5. A la subfinestra Configura el tallafoc IP, seleccioneu un entorn. A continuació, seleccioneu Configura el tallafoc IP.

6. A la subfinestra Configura el tallafoc IP per a aquest entorn , seleccioneu Tallafoc IP activat .

7. A Llista permesa d'adreces IP, especifiqueu els intervals d'IP permesos en format d'encaminament entre dominis sense classe (CIDR) segons RFC 4632. Si teniu diversos intervals d'IP, separeu-los amb una coma. Aquest camp accepta fins a 4.000 caràcters alfanumèrics i permet un màxim de 200 intervals d'IP. Les adreces IPv6 estan permeses tant en format hexadecimal com comprimit.

8. Seleccioneu altres opcions de configuració avançades, segons correspongui:

   • Llista permesa d'etiquetes de servei: a la llista, seleccioneu etiquetes de servei que puguin evitar les restriccions del tallafoc IP.
   • Permet l'accés als serveis de confiança de Microsoft: aquesta configuració permet que els serveis de confiança de Microsoft, com ara la supervisió i l'usuari de suport, etc., evitin les restriccions del tallafoc IP per accedir a l'entorn Power Platform Dataverse. Està habilitada per defecte.
   • Permet l'accés a tots els usuaris de l'aplicació: aquesta configuració permet a tots els usuaris de l'aplicació accedir a Dataverse les API de tercers i de tercers. Està habilitada per defecte. Si esborreu aquest valor, només bloquejarà els usuaris d'aplicacions de tercers.
   • Habilita el tallafoc IP en mode només d'auditoria: aquesta configuració habilita el tallafoc IP, però permet les sol·licituds independentment de la seva adreça IP. Està habilitada per defecte.
   • Adreces IP de proxy invers: si la vostra organització té servidors intermediaris inversos configurats, introduïu les adreces IP separades per comes. La configuració del proxy invers s'aplica tant a l'enllaç de galetes basat en IP com al tallafoc IP. Poseu-vos en contacte amb l'administrador de la xarxa per obtenir les adreces IP del proxy invers.

   Nota

   El proxy invers s'ha de configurar per enviar adreces IP del client de l'usuari a la capçalera reenviada .

9. Seleccioneu Desa.

Habilitar el tallafoc IP a nivell de grup d'entorns

Per configurar la configuració del tallafoc IP al nivell de grup d'entorns, completeu els passos següents. Inicieu la sessió al Centre d'administració del Power Platform.

1. A la subfinestra de navegació, seleccioneu Seguretat.

2. A la subfinestra Seguretat , seleccioneu Identitat i accés.

3. Seleccioneu una subfinestra de tallafoc IP.

4. A la subfinestra que es mostra, seleccioneu la pestanya Grups d'entorns a la qual voleu que s'apliqui la configuració de seguretat. A continuació, seleccioneu Configura el tallafoc IP.

5. A la subfinestra Configura el tallafoc IP, seleccioneu Tallafoc IP activat.

6. A Llista permesa d'adreces IP, especifiqueu els intervals d'IP permesos en format d'encaminament entre dominis sense classe (CIDR) segons RFC 4632. Si teniu diversos intervals d'IP, separeu-los amb una coma. Aquest camp accepta fins a 4.000 caràcters alfanumèrics i permet un màxim de 200 intervals d'IP. Les adreces IPv6 estan permeses tant en format hexadecimal com comprimit.

7. Seleccioneu altres opcions de configuració avançades, segons correspongui:

   • Llista permesa d'etiquetes de servei: a la llista, seleccioneu etiquetes de servei que puguin evitar les restriccions del tallafoc IP.
   • Permet l'accés als serveis de confiança de Microsoft: aquesta configuració permet que els serveis de confiança de Microsoft, com ara la supervisió i l'usuari de suport, etc., evitin les restriccions del tallafoc IP per accedir a l'entorn Power Platform Dataverse. Està habilitada per defecte.
   • Permet l'accés a tots els usuaris de l'aplicació: aquesta configuració permet a tots els usuaris de l'aplicació accedir a Dataverse les API de tercers i de tercers. Està habilitada per defecte. Si esborreu aquest valor, només bloquejarà els usuaris d'aplicacions de tercers.
   • Habilita el tallafoc IP en mode només d'auditoria: aquesta configuració habilita el tallafoc IP, però permet les sol·licituds independentment de la seva adreça IP. Està habilitada per defecte.
   • Adreces IP de proxy invers: si la vostra organització té servidors intermediaris inversos configurats, introduïu les adreces IP separades per comes. La configuració del proxy invers s'aplica tant a l'enllaç de galetes basat en IP com al tallafoc IP. Poseu-vos en contacte amb l'administrador de la xarxa per obtenir les adreces IP del proxy invers.

8. Seleccioneu Desa.

   Nota

   El proxy invers s'ha de configurar per enviar adreces IP del client de l'usuari a la capçalera reenviada .

   La configuració seleccionada s'aplica a tots els entorns d'aquest grup d'entorns.

Habilitar el tallafoc IP mitjançant l'API Dataverse OData

Podeu utilitzar l'API Dataverse OData per recuperar i modificar valors dins d'un Power Platform entorn. Per obtenir instruccions detallades, vegeu Consultar dades mitjançant l'API web i Actualitzar i suprimir files de taula mitjançant l'API web (Microsoft Dataverse).

Tens la flexibilitat de seleccionar les eines que prefereixis. Utilitzeu la documentació següent per recuperar i modificar valors mitjançant l'API Dataverse OData:

• Utilitzar Insomnia amb Dataverse l'API web
• API web d'inici ràpid amb PowerShell i Visual Studio codi

Configurar el tallafoc IP mitjançant l'API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Càrrega

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Activeu la funció establint el valor a true o desactiveu-la establint el valor a falsed.

• allowediprangeforfirewall — Llista els intervals d'IP que s'han de permetre. Proporcioneu-los en notació CIDR, separats per una coma.

  Important

  Assegureu-vos que els noms de les etiquetes de servei coincideixin exactament amb el que veieu a la pàgina de configuració del tallafoc IP. Si hi ha alguna discrepància, és possible que les restriccions d'IP no funcionin correctament.

• enableipbasedfirewallruleinauditmode – Un valor de true indica el mode només d'auditoria, mentre que un valor de false indica el mode d'aplicació .

• allowedservicetagsforfirewall – Llista les etiquetes de servei que s'han de permetre, separades per una coma. Si no voleu configurar cap etiqueta de servei, deixeu el valor nul.

• allowapplicationuseraccess – El valor per defecte és true.

• allowmicrosofttrustedservicetags – El valor per defecte és true.

Important

Quan Permet l'accés per als serveis de confiança de Microsoft i Permet l'accés per a tots els usuaris de l'aplicació estan inhabilitats, és possible que alguns serveis que utilitzen Dataverse, com ara Power Automate els fluxos, ja no funcionin.

Provar el tallafoc IP

Hauríeu de provar el tallafoc IP per verificar que funciona.

1. Des d'una adreça IP que no estigui a la llista permesa d'adreces IP per a l'entorn, aneu a l'URI de l'entorn Power Platform .

   La vostra sol·licitud s'ha de rebutjar amb un missatge que digui: "La sol·licitud que esteu intentant fer és rebutjada perquè l'accés a la vostra IP està bloquejat. Poseu-vos en contacte amb l'administrador per obtenir més informació".

2. Des d'una adreça IP que es troba a la llista permesa d'adreces IP per a l'entorn, navegueu fins a l'URI de l'entorn Power Platform .

   Hauríeu de tenir accés a l'entorn definit per la vostra funció de seguretat.

Primer heu de provar el tallafoc IP a l'entorn de prova, seguit del mode només d'auditoria a l'entorn de producció abans d'aplicar el tallafoc IP a l'entorn de producció.

Nota

Per defecte, el punt final TDS està activat dins de l'entorn Power Platform .

Filtratge SPN per a usuaris d'aplicacions

La funció Power Platform Tallafoc IP permet als administradors restringir l'accés als entorns basats en intervals d'adreces IP. Per a escenaris en què usuaris específics de l'aplicació (noms de l'entitat de servei o SPN) han d'ometre aquestes restriccions, podeu habilitar el filtratge SPN mitjançant un enfocament basat en API.

Passos per habilitar el filtratge SPN

1. Afegiu l'usuari de l'aplicació. Si encara no s'ha afegit, afegiu l'usuari de l'aplicació a l'entorn de destinació i assigneu les funcions de seguretat adequades. Exemple: afegiu l'usuari de l'aplicació amb l'identificador 123 i el nom TestSPN a l'entorn i assigneu les funcions necessàries
2. Recupereu l'ID d'usuari del sistema. Utilitzeu la següent crida a l'API per obtenir l'usuari de systemuserid l'aplicació:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Afegeix l'usuari de l'aplicació a la llista de permisos.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Càrrega

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Configureu la configuració del tallafoc IP al PPAC. Aneu al Centre d'administració Power Platform (PPAC) i configureu la configuració del tallafoc IP. Assegureu-vos que l'opció "Permet l'accés a tots els usuaris de l'aplicació" no estigui marcada per aplicar el filtratge.

Requisits de llicència per al tallafoc IP

El tallafoc IP només s'aplica als entorns activats per als entorns administrats. Els entorns administrats s'inclouen com a dret a les llicències autònomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Obteniu més informació sobre les llicències de l'entorn gestionat amb la informació general de les llicències per Microsoft Power Platform.

A més, l'accés a l'ús del tallafoc IP requereix Dataverse que els usuaris dels entorns on s'aplica el tallafoc IP tinguin una d'aquestes subscripcions:

• Microsoft 365 o Office 365 A5/E5/G5
• Compliment del Microsoft 365 A5/E5/F5/G5
• Seguretat i compliment del Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Protecció de la informació i govern
• Administració de riscos interns del Microsoft 365 A5/E5/F5/G5

Més informació sobre Microsoft 365 les llicències

Preguntes més freqüents

Què cobreix Power Platform el tallafoc IP?

El tallafoc IP és compatible amb qualsevol Power Platform entorn que inclogui Dataverse.

Quant de temps entra en vigor un canvi a la llista d'adreces IP?

Els canvis a la llista d'adreces IP o intervals permesos solen tenir efecte en uns 5-10 minuts.

Aquesta característica funciona en temps real?

La protecció del tallafoc IP funciona en temps real. Com que la característica funciona a la capa de xarxa, avalua la sol·licitud un cop finalitzada la sol·licitud d'autenticació.

Aquesta característica està habilitada per defecte a tots els entorns?

El tallafoc IP no està activat per defecte. L'administrador Power Platform l'ha d'habilitar per als entorns administrats.

Què és el mode només d'auditoria?

En el mode només d'auditoria, el tallafoc IP identifica les adreces IP que fan trucades a l'entorn i les permet totes, tant si estan en un rang permès com si no. És útil quan configureu restriccions en un Power Platform entorn. Us recomanem que activeu el mode només d'auditoria durant almenys una setmana i que només el desactiveu després d'una revisió acurada dels registres d'auditoria.

Aquesta característica està disponible en tots els entorns?

El tallafoc IP només està disponible per a entorns gestionats.

Hi ha un límit en el nombre d'adreces IP que puc afegir al quadre de text de l'adreça IP?

Podeu afegir fins a 200 intervals d'adreces IP en format CIDR segons RFC 4632, separats per comes.

Què he de fer si les sol·licituds comencen a Dataverse fallar?

Una configuració incorrecta dels intervals d'IP per al tallafoc IP pot estar causant aquest problema. Podeu comprovar i verificar els intervals d'IP a la pàgina de configuració del tallafoc IP. Us recomanem que activeu el tallafoc IP en mode només d'auditoria abans d'aplicar-lo.

Com puc descarregar el registre d'auditoria per al mode només d'auditoria?

Utilitzeu l'API Dataverse OData per baixar les dades del registre d'auditoria en format JSON. El format de l'API de registre d'auditoria és:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substituïu [orgURI] per l'URI de l'entorn Dataverse .
• Definiu el valor de l'acció a 118 per a aquest esdeveniment.
• Definiu el nombre d'elements que voleu retornar a top=1 o especifiqueu el nombre que voleu retornar.

Els meus Power Automate fluxos no funcionen com s'esperava després de configurar el tallafoc IP al meu Power Platform entorn. Què he de fer?

A la configuració del tallafoc IP, permeteu les etiquetes de servei que apareixen a Adreces IP de sortida dels connectors administrats.

He configurat correctament l'adreça del servidor intermediari invers, però el tallafoc IP no funciona. Què he de fer?

Assegureu-vos que el vostre servidor intermediari invers estigui configurat per enviar l'adreça IP del client a la capçalera reenviada.

La funcionalitat d'auditoria del tallafoc IP no funciona al meu entorn. Què he de fer?

Els registres d'auditoria del tallafoc IP no s'admeten als inquilins habilitats per a les claus de xifratge BYOK. Si el vostre inquilí està habilitat per portar la vostra pròpia clau, tots els entorns d'un inquilí habilitat per BYOK només es bloquegen a SQL, per tant, els registres d'auditoria només es poden emmagatzemar a SQL. Us recomanem que migreu a la clau administrada pelclient. Per migrar de BYOK a clau administrada pel client (CMKv2), seguiu els passos de Migració d'entorns BYOK a clau administrada pel client.

El tallafoc IP admet intervals d'IP IPv6?

Sí, el tallafoc IP admet rangs d'IP IPv6.

Passos següents

Seguretat a Microsoft Dataverse