Sdílet prostřednictvím

Brána firewall protokolu IP v prostředích Power Platform

  • Článek

IP firewall pomáhá chránit vaše organizační data tím, že omezuje přístup uživatelů na Microsoft Dataverse pouze z povolených IP umístění. Brána firewall IP analyzuje IP adresu každého požadavku v reálném čase. Předpokládejme například, že je ve vašem provozním prostředí Dataverse zapnutý IP firewall a povolené IP adresy jsou v rozsahu přiřazeném k umístění vaší kanceláře a ne k žádnému externímu umístění IP, například kavárně. Pokud se uživatel pokusí získat přístup k organizačním zdrojům z kavárny, Dataverse zakáže přístup v reálném čase.

Diagram znázorňující funkci IP brány firewall v Dataverse.

Klíčové výhody

Aktivace IP firewallu ve vašem prostředí Power Platform nabízí několik klíčových výhod.

  • Snížení vnitřních hrozeb, jako je exfiltrace dat: Uživatel se zlými úmysly, který se pokouší stáhnout data z Dataverse pomocí klientského nástroje, jako je Excel nebo Power BI z nepovoleného umístění IP, je v reálném čase zablokován.
  • Zabránění útokům přehrávání tokenu: Pokud uživatel ukradne přístupový token a pokusí se ho použít k přístupu k Dataverse z mimo povoleného rozsahu IP, Dataverse pokus zamítne v reálném čase.

Ochrana brány firewall IP funguje v interaktivních i neinteraktivních scénářích.

Jak IP firewall funguje?

Když je odeslána žádost do Dataverse, IP adresa žádosti je vyhodnocena v reálném čase podle rozsahů IP nakonfigurovaným pro prostředí Power Platform. Pokud je IP adresa v povoleném rozsahu, požadavek je povolen. Pokud je IP adresa mimo rozsahy IP nakonfigurované pro dané prostředí, IP firewall odmítne požadavek s chybovou zprávou: Požadavek, který se pokoušíte provést, je zamítnut, protože přístup k vaší IP je blokován. Další informace vám poskytne správce.

Předpoklady

  • IP firewall je funkce spravovaných prostředí.
  • Musíte mít roli správce Power Platform pro aktivaci a deaktivaci brány firewall IP.

Zapnutí IP firewall

IP firewall můžete zapnout v prostředí Power Platform buď pomocí centra pro správu Power Platform nebo pomocí API Dataverse OData.

Zapnutí IP firewall pomocí centra pro správu Power Platform

  1. Jako správce se přihlaste do Centra pro správu Power Platform.

  2. Vyberte Prostředí a pak vyberte prostředí.

  3. Vyberte Nastavení>Produkt>Ochrana osobních údajů a zabezpečení.

  4. V části Nastavení IP adresy nastavte Povolit IP adresu na základě pravidla brány firewall jako Zapnuto.

  5. V části Seznam povolených rozsahů IPv4 zadejte povolené rozsahy IP adres ve formátu technologie CIDR (Classless Interdomain Routing) podle RFC 4632. Pokud máte více rozsahů IP, oddělte je čárkou. Toto pole přijímá až 4000 alfanumerických znaků a umožňuje maximálně 200 rozsahů IP adres.

  6. Podle potřeby vyberte další nastavení:

    • Servisní značky, které má IP firewall povolit: Ze seznamu vyberte značky služeb, které mohou obejít omezení brány firewall IP.
    • Povolit přístup důvěryhodným službám společnosti Microsoft: Toto nastavení umožňuje důvěryhodným službám společnosti Microsoft, jako je monitorování a uživatelská podpora, obejít omezení brány firewall IP pro přístup k prostředí Power Platform pomocí Dataverse. Ve výchozím nastavení povolena.
    • Povolit přístup všem uživatelům aplikace: Toto nastavení umožňuje všem uživatelům aplikace přístup třetí strany a první strany k rozhraním API Dataverse. Ve výchozím nastavení povolena. Pokud tuto hodnotu vymažete, zablokujete pouze uživatele aplikací třetích stran.
    • Zapnutí IP firewall v režimu pouze auditu: Toto nastavení zapne IP firewall, ale povoluje požadavky bez ohledu na jejich IP adresu. Ve výchozím nastavení povolena.
    • Reverzní proxy IP adresy: Pokud má vaše organizace nakonfigurované reverzní proxy, zadejte IP adresy jednoho nebo více oddělených čárkami. Nastavení reverzního proxy se vztahuje jak na vazbu souboru cookie na základě IP, tak na bránu firewall IP.

  7. Zvolte Uložit.

Zapnutí IP firewall pomocí API Dataverse OData

Rozhraní API Dataverse OData můžete použít k získání a upravování hodnot v prostředí Power Platform. Podrobné pokyny naleznete v tématu Dotazování na data pomocí webového rozhraní API a Aktualizace a odstraňování řádků tabulky pomocí webového rozhraní API (Microsoft Dataverse).

Máte možnost si vybrat nástroje, které preferujete. Pomocí následující dokumentace můžete načíst a upravit hodnoty prostřednictvím rozhraní OData API Dataverse:

Konfigurace IP firewall pomocí API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Datová část

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Povolte funkci nastavením hodnoty na true nebo ji zakažte nastavením hodnoty na false.

  • allowediprangeforfirewall — Uveďte rozsahy IP, které by měly být povoleny. Uveďte je v notaci CIDR, oddělené čárkou.

    Důležité

    Ujistěte se, že názvy značek služby přesně odpovídají tomu, co vidíte na stránce nastavení brány firewall IP. Pokud dojde k nějaké nesrovnalosti, omezení IP nemusí fungovat správně.

  • enableipbasedfirewallruleinauditmodetrue označuje režim pouze auditu, false označuje režim vynucení

  • allowservicetagsforfirewall – Uveďte značky služby, které mají být povoleny, oddělené čárkou. Pokud nechcete konfigurovat žádné značky služby, nechte hodnotu prázdnou.

  • allowapplicationuseaccess – výchozí hodnota je true.

  • allowmicrosofttrustedservicetags – výchozí hodnota je true.

Důležité

Když jsou možnosti Povolit přístup pro důvěryhodné služby společnosti Microsoft a Povolit přístup všem uživatelům aplikace deaktivovány, některé služby, které používají Dataverse, jako toky Power Automate, nemusí již fungovat.

Testování brány IP firewall

Měli byste otestovat IP firewall a ověřit, že funguje.

  1. Z adresy IP, která není v seznamu povolených adres IP pro dané prostředí, přejděte na svou URI prostředí Power Platform.

    Váš požadavek by měl být odmítnut zprávou, která říká: „Požadavek, který se pokoušíte provést, je zamítnut, protože přístup k vaší IP je blokován. Další informace vám poskytne správce.“

  2. Z adresy IP, která je v seznamu povolených adres IP pro dané prostředí, přejděte na svou URI prostředí Power Platform.

    Měli byste mít přístup k prostředí, které je definováno vaší rolí zabezpečení.

Doporučujeme, abyste nejprve otestovali bránu firewall IP ve vašem testovacím prostředí a poté pokračovali pouze režimem auditu v provozním prostředí, než vynutíte bránu firewall IP ve vašem provozním prostředí.

Poznámka:

Ve výchozím stavu je koncový bod TDS zapnutý v rámci prostředí Power Platform.

Licenční požadavky pro bránu firewall IP

Brána firewall IP je vynucována pouze v prostředích, která jsou aktivována pro Spravovaná prostředí. Spravovaná prostředí jsou zahrnuta jako nárok v samostatných licencích Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, které poskytují prémiová práva na užívání. Další informace o licencování ve Spravovaném prostředí naleznete v přehledu licencí pro Microsoft Power Platform.

Přístup k používání brány firewall IP pro Dataverse vyžaduje, aby uživatelé v prostředích, kde je vynucována brána firewall IP, měli jedno z těchto předplatných:

  • Microsoft 365 nebo Office 365 A5/E5/G5
  • Dodržování předpisů Microsoft 365 A5/E5/F5/G5
  • Zabezpečení a dodržování předpisů Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 Ochrana a správa informací
  • Správa insiderských rizik Microsoft 365 A5/E5/F5/G5

Přečtěte si další informace o těchto licencích

Nejčastější dotazy

Co pokrývá IP firewall v Power Platform?

IP firewall je podporován v jakémkoli prostředí Power Platform včetně Dataverse.

Za jak dlouho se změna v seznamu IP adres projeví?

Změny v seznamu povolených IP adres nebo rozsahů se obvykle projeví přibližně za 5–10 minut.

Funguje tato funkce v reálném čase?

Ochrana IP firewallem funguje v reálném čase. Vzhledem k tomu, že funkce funguje na síťové vrstvě, vyhodnocuje požadavek až po dokončení požadavku na ověření.

Je tato funkce ve výchozím nastavení aktivní ve všech prostředích?

IP firewall není ve výchozím nastavení zapnutý. Správce Power Platform jej musí ve spravovaných prostředích zapnout.

Co je režim Pouze audit?

V režimu pouze auditu IP firewall identifikuje IP adresy, které volají do prostředí, a povolí je všechny, ať už jsou v povoleném rozsahu, nebo ne. Je to užitečné, když konfigurujete omezení v prostředí Power Platform. Doporučujeme zapnout režim pouze auditu alespoň na týden a deaktivovat ho až po pečlivé kontrole protokolů auditu.

Je tato funkce k dispozici ve všech prostředích?

Funkce brány firewall IP je k dispozici pouze u spravovaných prostředí.

Existuje omezení počtu IP adres, které mohu přidat do textového pole IP adresa?

Můžete přidat až 200 rozsahů IP adres ve formátu CIDR podle RFC 4632 oddělených čárkami.

Co mám dělat, když požadavky na Dataverse začnou selhávat?

Tento problém může způsobovat nesprávná konfigurace rozsahů IP pro bránu firewall IP. Rozsahy adres IP můžete zkontrolovat a ověřit na stránce nastavení brány firewall IP. Před vynucením doporučujeme zapnout bránu firewall IP v režimu pouze auditu.

Jak si stáhnu protokol auditu pro režim Pouze audit?

Ke stažení dat protokolu auditu ve formátu JSON použijte rozhraní API Dataverse OData. Formát selektoru API protokolu auditu je následující:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Nahraďte [orgURI] za URI prostředí Dataverse.
  • Pro tuto událost nastavte hodnotu akce na 118.
  • Nastavte počet položek, které chcete vrátit v top=1 nebo zadejte počet, který chcete vrátit.

Moje toky Power Automate po konfiguraci IP firewallu v mém prostředí Power Platform nefungují podle očekávání. Co mám dělat?

V nastavení brány firewall IP povolte značky služeb uvedené v části Odchozí adresy IP spravovaných konektorů.

Správně jsem nakonfiguroval adresu reverzní proxy, ale IP firewall nefunguje. Co mám dělat?

Zkontrolujte, zda je váš reverzní proxy nakonfigurován k odesílání adresy IP klienta v předávané hlavičce.

Funkce auditu brány firewall IP v mém prostředí nefunguje. Co mám dělat?

Protokoly auditu brány firewall IP nejsou podporovány u tenantů, kteří mají zapnuté šifrovací klíče přinesení vlastního klíče (BYOK). Pokud je u vašeho tenantovi zapnuto přinesení vlastního klíče, pak jsou všechna prostředí v tenantovi se zapnutým BYOK uzamčena pouze pro SQL, proto lze protokoly auditu ukládat pouze v SQL. Doporučujeme provést migraci na klíč spravovaný zákazníkem. Chcete-li migrovat z BYOK na klíč spravovaný zákazníkem (CMKv2), postupujte podle kroků v části Migrace prostředí přinesení vlastního klíče (BYOK) na klíč spravovaný zákazníkem.

Podporuje brána firewall IP rozsahy IP adres IPv6?

Aktuálně brána firewall IP nepodporuje rozsahy IP adres IPv6.

Další kroky

Zabezpečení v Microsoft Dataverse