Share via

Τείχος προστασίας IP σε περιβάλλοντα Power Platform

  • Άρθρο

Το τείχος προστασίας IP βοηθά στην προστασία των δεδομένων του οργανισμού σας, περιορίζοντας την πρόσβαση των χρηστών στο Microsoft Dataverse από μόνο επιτρεπόμενες θέσεις IP. Το τείχος προστασίας IP αναλύει τη διεύθυνση IP κάθε αιτήματος σε πραγματικό χρόνο. Για παράδειγμα, ας υποθέσουμε ότι το τείχος προστασίας IP είναι ενεργοποιημένο στο περιβάλλον παραγωγής Dataverse σας και οι επιτρεπόμενες διευθύνσεις IP βρίσκονται στις περιοχές που σχετίζονται με τις τοποθεσίες του γραφείου σας και όχι τυχόν τοποθεσίας εξωτερικού IP όπως καφετέρια. Εάν ένας χρήστης επιχειρήσει να αποκτήσει πρόσβαση σε πόρους της οργάνωσης από μια καφετέρια, το Dataverse απαγορεύει την πρόσβαση σε πραγματικό χρόνο.

Διάγραμμα που απεικονίζει τη δυνατότητα τείχους προστασίας IP στο Dataverse.

Σημαντικό

Η δυνατότητα τείχους προστασίας IP υποστηρίζει μόνο τελικά σημεία OData για πρόσβαση σε δεδομένα Dataverse. Η υποστήριξη για τελικά σημεία TDS θα συμπεριληφθεί σε μια μελλοντική έκδοση.

Βασικά πλεονεκτήματα

Η ενεργοποίηση του τείχους προστασίας IP στα περιβάλλοντα Power Platform σας προσφέρει πολλά σημαντικά πλεονεκτήματα.

  • Μετριασμός των απειλών εκ των έσω, όπως η διαρροή δεδομένων: Ένας κακόβουλος χρήστης που προσπαθεί να κάνει λήψη δεδομένων από το Dataverse με τη χρήση ενός εργαλείου προγράμματος πελάτη όπως το Excel ή το Power BI από μια τοποθεσία IP που δεν επιτρέπεται να κάνει κάτι τέτοιο σε πραγματικό χρόνο.
  • Αποτροπή των επιθέσεων επανάληψης διακριτικών: Εάν ένας χρήστης χρησιμοποιήσει ένα διακριτικό πρόσβασης και προσπαθήσει να το χρησιμοποιήσει για πρόσβαση στο Dataverse από εξωτερικά επιτρεπόμενες περιοχές IP, το Dataverse αποτρέπει την προσπάθεια σε πραγματικό χρόνο.

Η προστασία τείχους προστασίας IP λειτουργεί τόσο σε αλληλεπιδραστικά όσο και σε μη αλληλεπιδραστικά σενάρια.

Πώς λειτουργεί το τείχος προστασίας IP;

Όταν γίνεται μια αίτηση στο Dataverse, η διεύθυνση IP της αίτησης αξιολογείται σε πραγματικό χρόνο με τα εύρος τιμών IP που έχουν ρυθμιστεί για το περιβάλλον Power Platform. Εάν η διεύθυνση IP βρίσκεται στις επιτρεπόμενες περιοχές, η αίτηση επιτρέπεται. Αν η διεύθυνση IP βρίσκεται εκτός των εύρους τιμών IP που έχουν ρυθμιστεί για το περιβάλλον, το τείχος προστασίας IP απορρίπτει την αίτηση με ένα μήνυμα σφάλματος: Το αίτημα που προσπαθείτε να κάνετε απορρίφθηκε καθώς έχει αποκλειστεί η πρόσβαση στη διεύθυνση IP σας. Επικοινωνήστε με τον Διαχειριστής για περισσότερες πληροφορίες.

Προϋποθέσεις

  • Η δυνατότητα τείχους προστασίας IP είναι διαθέσιμη μόνο με διαχειριζόμενα περιβάλλοντα.
  • Πρέπει να έχετε ρόλο διαχειριστή Power Platform για να ενεργοποιήσετε ή να απενεργοποιήσετε το τείχος προστασίας IP.

Ενεργοποίηση του τείχους προστασίας IP

Μπορείτε να ενεργοποιήσετε το τείχος προστασίας IP σε ένα περιβάλλον Power Platform χρησιμοποιώντας είτε το κέντρο διαχείρισης του Power Platform είτε το Dataverse OData API.

Ενεργοποίηση του τείχους προστασίας IP με χρήση του Power Platform κέντρου διαχείρισης

  1. Συνδεθείτε στο κέντρο διαχείρισης του Power Platform ως διαχειριστής.

  2. Επιλέξτε Περιβάλλοντα και μετά επιλέξτε ένα περιβάλλον.

  3. Επιλέξτε Ρυθμίσεις>Προϊόν>Προστασία προσωπικών δεδομένων + Ασφάλεια.

  4. Στην περιοχή Ρυθμίσεις διεύθυνσης IP, ορίστε Ενεργοποίηση διεύθυνσης IP, με βάση κανόνα τείχους προστασίας σε Ενεργό.

  5. Στην περιοχή Λίστα επιτρεπομένων περιοχών IPv4, καθορίστε τις επιτρεπόμενες περιοχές IP σε μορφή δρομολόγησης μεταξύ τομέων χωρίς κλάση (CIDR) σύμφωνα με το RFC 4632. Εάν έχετε πολλές περιοχές IP, διαχωρίστε τις με κόμμα. Αυτό το πεδίο δέχεται έως 4.000 αλφαριθμητικούς χαρακτήρες και επιτρέπει το πολύ έως 200 περιοχές τιμών IP.

  6. Επιλέξτε άλλες ρυθμίσεις, ανάλογα με τις περίπτωση:

    • Ετικέτες υπηρεσίας που επιτρέπονται από το τείχος προστασίας IP: Από τη λίστα, επιλέξτε ετικέτες υπηρεσίας που μπορούν να παρακάμψουν τους περιορισμούς τείχους προστασίας IP.
    • Επιτρέψτε την πρόσβαση στις αξιόπιστες υπηρεσίες της Microsoft: Αυτή η ρύθμιση επιτρέπει στις αξιόπιστες υπηρεσίες της Microsoft, όπως ή παρακολούθηση και ο χρήστης υποστήριξης κλπ. να παρακάμψει τους περιορισμούς του τείχους προστασίας IP για την πρόσβαση στο περιβάλλον Power Platform με Dataverse. Ενεργοποιημένο από προεπιλογή.
    • Επιτρέψτε πρόσβαση για όλους τους χρήστες της εφαρμογής: Αυτή η ρύθμιση επιτρέπει σε όλους τους χρήστες εφαρμογών την πρόσβαση τρίτων και πρώτων στα API Dataverse. Ενεργοποιημένο από προεπιλογή. Εάν διαγράψετε αυτήν την τιμή, θα αποκλείσει μόνο χρήστες εφαρμογών τρίτων.
    • Ενεργοποίηση του τείχους προστασίας IP σε λειτουργία μόνο ελέγχου: Αυτή η ρύθμιση ενεργοποιεί το τείχος προστασίας IP αλλά επιτρέπει αιτήσεις ανεξάρτητα από τη διεύθυνση IP τους. Ενεργοποιημένο από προεπιλογή.
    • Αντίστροφη διεύθυνση IP μεσολάβησης: Εάν ο οργανισμός σας έχει ρυθμίσει αντίστροφη σειρά proxy, καταχωρήστε τις διευθύνσεις IP μίας ή περισσότερων, διαχωρισμένες με κόμματα. Η αντίστροφη ρύθμιση διακομιστή μεσολάβησης ισχύει τόσο για τη σύνδεση cookie που βασίζεται σε IP όσο και για το τείχος προστασίας IP.

  7. Επιλέξτε Αποθήκευση.

Ενεργοποίηση τείχους προστασίας IP με χρήση του Dataverse OData API

Μπορείτε να χρησιμοποιήσετε το Dataverse OData API για να ανακτάτε και να τροποποιείτε τιμές μέσα σε ένα Power Platform περιβάλλον. Για αναλυτικές οδηγίες, ανατρέξτε στα Δεδομένα ερωτήματος χρησιμοποιώντας το Web API και Ενημέρωση και διαγραφή γραμμών πινάκων χρησιμοποιώντας το Web API (Microsoft Dataverse).

Έχετε την ευελιξία να επιλέξετε τα εργαλεία που προτιμάτε. Χρησιμοποιήστε την παρακάτω τεκμηρίωση για να ανακτήσετε και να τροποποιήσετε τιμές μέσω του OData API Dataverse:

Ρύθμιση παραμέτρων του τείχους προστασίας IP με χρήση του OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Ωφέλιμο φορτίο

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedwallrule – Ενεργοποιήστε τη δυνατότητα ορίζοντας την τιμή σε true ή απενεργοποιήστε την ορίζοντας την τιμή σε false.

  • allowediprangeforwall - Απαριθμήστε τις περιοχές διευθύνσεων IP που πρέπει να επιτρέπονται. Παράσχετέ τα σε σημειογραφία CIDR, διαχωρισμένη με κόμμα.

    Σημαντικό

    Βεβαιωθείτε ότι τα ονόματα των ετικετών υπηρεσίας ταιριάζουν ακριβώς με αυτά που βλέπετε στη σελίδα ρυθμίσεων του τείχους προστασίας IP. Εάν υπάρχουν διαφορές, οι περιορισμοί IP ενδέχεται να μην λειτουργούν σωστά.

  • enableipbasedfirewallruleinauditmode – Μια τιμή true υποδεικνύει λειτουργία μόνο ελέγχου, ενώ μια τιμή false υποδεικνύει λειτουργία επιβολής.

  • allowedservicetagsforfirewall - Απαριθμήστε τις ετικέτες υπηρεσίας που πρέπει να επιτρέπονται, διαχωρισμένες με κόμμα. Εάν δεν θέλετε να ρυθμίσετε τις παραμέτρους των ετικετών εξυπηρέτησης, αφήστε την τιμή κενή.

  • allowapplicationuseusecess - Η προεπιλεγμένη τιμή είναι true.

  • allowmicrosofttrustedservicetags - Η προεπιλεγμένη τιμή είναι true.

Σημαντικό

Όταν είναι απενεργοποιημένες οι επιλογές Να επιτρέπεται η πρόσβαση για αξιόπιστες υπηρεσίες της Microsoft και Να επιτρέπεται η πρόσβαση για όλους τους χρήστες εφαρμογών, ορισμένες υπηρεσίες που χρησιμοποιούν το Dataverse, όπως οι ροές Power Automate, ενδέχεται να μην λειτουργούν πλέον.

Δοκιμή του τείχους προστασίας IP

Θα πρέπει να δοκιμάσετε το τείχος προστασίας IP για να βεβαιωθείτε ότι λειτουργεί.

  1. Από μια διεύθυνση IP που δεν βρίσκεται στη λίστα επιτρεπόμενων διευθύνσεων IP για το περιβάλλον, μεταβείτε στο URI του περιβάλλοντός Power Platform σας.

    Το αίτημα σας θα πρέπει να απορριφθεί με μήνυμα το οποίο θα αναφέρει: "Η αίτηση που προσπαθείτε να κάνετε απορρίφθηκε καθώς η πρόσβαση στην IP έχει αποκλειστεί. Επικοινωνήστε με τον διαχειριστή σας για περισσότερες πληροφορίες".

  2. Από μια διεύθυνση IP που βρίσκεται στη λίστα επιτρεπόμενων διευθύνσεων IP για το περιβάλλον, μεταβείτε στο URI του περιβάλλοντός Power Platform σας.

    Θα πρέπει να έχετε πρόσβαση στο περιβάλλον που ορίζεται από το χρήστη ρόλος ασφαλείας.

Συνιστούμε να δοκιμάσετε πρώτα το τείχος προστασίας IP στο δοκιμαστικό σας περιβάλλον, ακολουθούμενο από λειτουργία μόνο ελέγχου στο περιβάλλον παραγωγής πριν να χρησιμοποιήσετε το τείχος προστασίας IP στο περιβάλλον παραγωγής σας.

Απαιτήσεις εκχώρησης αδειών χρήσης για τείχος προστασίας IP

Το τείχος προστασίας IP εφαρμόζεται μόνο σε περιβάλλοντα που ενεργοποιούνται για διαχειριζόμενα περιβάλλοντα. Τα διαχειριζόμενα περιβάλλοντα περιλαμβάνονται ως δικαίωμα στις αυτόνομες άδειες χρήσης Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages και Dynamics 365 που δίνουν δικαιώματα χρήσης premium. Μάθετε περισσότερα σχετικά με τις άδειες χρήσης διαχειριζόμενου περιβάλλοντος, με την επισκόπηση αδειών χρήσης για το Microsoft Power Platform.

Επιπλέον, η πρόσβαση στη χρήση τείχους προστασίας IP για το Dataverse απαιτεί χρήστες στα περιβάλλοντα όπου εφαρμόζεται το τείχος προστασίας IP ώστε να υπάρχει μία από αυτές τις συνδρομές:

  • Microsoft 365 ή Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Συμμόρφωση
  • Microsoft 365 F5 Ασφάλεια & Συμμόρφωση
  • Προστασία και ασφάλεια πληροφοριών Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 Διαχείριση κινδύνων insider A5/E5/F5/G5

Μάθετε περισσότερα σχετικά με αυτές τις άδειες χρήσης

Συνήθεις ερωτήσεις

Τι καλύπτει το τείχος προστασίας IP στο Power Platform;

Το τείχος προστασίας IP υποστηρίζεται σε οποιοδήποτε περιβάλλον Power Platform περιλαμβάνει Dataverse.

Πόσο σύντομα θα ισχύσει μια αλλαγή στη λίστα διευθύνσεων IP;

Οι αλλαγές στη λίστα των επιτρεπόμενων διευθύνσεων IP ή εύρους τίθενται συνήθως σε ισχύ σε περίπου 5-10 λεπτά.

Λειτουργεί αυτή η δυνατότητα σε πραγματικό χρόνο;

Η προστασία τείχους προστασίας IP λειτουργεί σε πραγματικό χρόνο. Καθώς η δυνατότητα λειτουργεί στο επίπεδο δικτύου, αξιολογεί την αίτηση μετά την ολοκλήρωση της αίτησης ελέγχου ταυτότητας.

Αυτή η δυνατότητα είναι ενεργοποιημένη από προεπιλογή σε όλα τα περιβάλλοντα;

Το τείχος προστασίας IP δεν είναι ενεργοποιημένο από προεπιλογή. Ο Διαχειριστής Power Platform πρέπει να το ενεργοποιήσει για διαχειριζόμενα περιβάλλοντα.

Τι είναι η λειτουργία μόνο ελέγχου;

Σε λειτουργία μόνο ελέγχου, το τείχος προστασίας IP προσδιορίζει τις διευθύνσεις IP που κάνουν κλήσεις στο περιβάλλον και τις επιτρέπει όλες, είτε βρίσκονται σε επιτρεπόμενο εύρος είτε όχι. Είναι χρήσιμο να ρυθμίζετε τις παραμέτρους των περιορισμών σε ένα περιβάλλον Power Platform. Συνιστούμε να ενεργοποιήσετε τη λειτουργία μόνο ελέγχου για τουλάχιστον μία εβδομάδα και να την απενεργοποιήσετε μόνο μετά από προσεκτική εξέταση των αρχείων καταγραφής ελέγχου.

Είναι αυτή η δυνατότητα διαθέσιμη σε όλα τα περιβάλλοντα;

Η δυνατότητα τείχους προστασίας IP είναι διαθέσιμη μόνο για διαχειριζόμενα περιβάλλοντα.

Υπάρχει κάποιο όριο για τον αριθμό των διευθύνσεων IP που μπορώ να προσθέσω στο πλαίσιο κειμένου της διεύθυνσης IP;

Μπορείτε να προσθέσετε έως και 200 περιοχές διευθύνσεων IP σε μορφή CIDR σύμφωνα με το RFC 4632, διαχωρισμένες με κόμματα.

Τι πρέπει να κάνω εάν οι αιτήσεις στο Dataverse αρχίζουν να αποτυγχάνουν;

Αυτό το ζήτημα ενδέχεται να προκαλείται από εσφαλμένη ρύθμιση παραμέτρων των περιοχών IP για τείχος προστασίας IP. Μπορείτε να ελέγξετε και να επαληθεύσετε τις περιοχές IP στη σελίδα ρυθμίσεων τείχους προστασίας IP. Συνιστούμε να ενεργοποιήσετε το τείχος προστασίας IP σε λειτουργία μόνο ελέγχου πριν το χρησιμοποιήσετε ξανά.

Πώς μπορώ να κάνω λήψη του αρχείου καταγραφής ελέγχου για λειτουργία μόνο ελέγχου;

Χρησιμοποιήστε το API Dataverse OData για να κάνετε λήψη των δεδομένων καταγραφής ελέγχου σε μορφή JSON. Η μορφή του API αρχείου καταγραφής ελέγχου είναι:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Αντικαταστήστε το [orgURI] με το περιβάλλον URI Dataverse.
  • Ορίστε την τιμή της ενέργειας σε 118 για αυτό το συμβάν.
  • Ορίστε τον αριθμό των στοιχείων που θα επιστραφούν στην κορυφή=1 ή συγκεκριμένα τον αριθμό που θέλετε να επιστρέψετε.

Οι ροές Power Automate μου δεν λειτουργούν όπως πρέπει μετά τη ρύθμιση παραμέτρων του τείχους προστασίας IP στο περιβάλλον Power Platform μου. Τι πρέπει να κάνω;

Στις ρυθμίσεις του τείχους προστασίας IP, επιτρέπονται οι ετικέτες υπηρεσίας που παρατίθενται στις Διαχειριζόμενες διευθύνσεις IP εξερχόμενων συνδέσεων.

Έχω ρυθμίσει τις παραμέτρους της αντίστροφης διεύθυνσης διακομιστή μεσολάβησης σωστά, αλλά το τείχος προστασίας IP δεν λειτουργεί. Τι πρέπει να κάνω;

Βεβαιωθείτε ότι ο αντίστροφος διακομιστής μεσολάβησης έχει ρυθμιστεί για αποστολή της διεύθυνσης IP του προγράμματος-πελάτη στην κεφαλίδα που προωθείται.

Ορισμένες από τις κλήσεις από το Power BI έχουν αποτύχει μετά την ενεργοποίηση του τείχους προστασίας IP στο περιβάλλον Power Platform. Τι πρέπει να κάνω;

Επί του παρόντος, μπορείτε να χρησιμοποιήσετε το τείχος προστασίας IP για τα τελικά σημεία OData στο Dataverse για να αποκτήσετε πρόσβαση σε δεδομένα από ρυθμισμένη θέση IP. Αν θέλετε να συνεχίσετε να χρησιμοποιείτε τελικά σημεία TDS, θα πρέπει να απενεργοποιήσετε το τείχος προστασίας IP στο περιβάλλον.

Η λειτουργία ελέγχου του τείχους προστασίας IP δεν λειτουργεί στο περιβάλλον μου. Τι πρέπει να κάνω;

Τα αρχεία καταγραφής ελέγχου τείχους προστασίας IP δεν υποστηρίζονται σε μισθωτές που έχουν ενεργοποιηθεί για κλειδιά κρυπτογράφησης φέρτε το δικό σας κλειδί (BYOK). Εάν ο μισθωτής σας είναι ενεργοποιημένος για να φέρετε το κλειδί σας, τότε όλα τα περιβάλλοντα σε έναν μισθωτή με δυνατότητα BYOK είναι κλειδωμένα μόνο σε SQL, επομένως τα αρχεία καταγραφής ελέγχου μπορούν να αποθηκευτούν μόνο σε SQL. Συνιστούμε ιδιαίτερα να κάνετε μετεγκατάσταση σε κλειδί διαχειριζόμενο από πελάτη. Για να κάνετε μετεγκατάσταση από το BYOK σε κλειδί διαχείρισης από τον πελάτη (CMKv2), ακολουθήστε τα βήματα στην ενότητα Μετεγκατάσταση περιβαλλόντων φέρτε το δικό σας κλειδί (BYOK) σε κλειδί διαχείρισης πελατών.

Το τείχος προστασίας IP υποστηρίζει περιοχές IPv6 IP;

Τη δεδομένη στιγμή, το τείχος προστασίας IP δεν υποστηρίζει περιοχές IPv6 IP.

Επόμενα βήματα

Ασφάλεια στο Microsoft Dataverse