IP tulemüür keskkondades Power Platform
IP-tulemüür aitab teie organisatsiooni andmeid kaitsma, piirates kasutajate juurdepääsu Microsoft Dataverse ainult lubatud IP-asukohtadele. IP-tulemüür analüüsib reaalajas iga päringu IP-aadressi. Oletame näiteks, et IP-tulemüür on teie tootmiskeskkonnas Dataverse sisse lülitatud ja lubatud IP-aadressid on teie kontori asukohtadega seotud vahemikes, mitte üheski välises IP-asukohas, näiteks kohvikus. Kui kasutaja proovib kohvikust organisatsiooni ressurssidele juurde pääseda, Dataverse keelab ta juurdepääsu reaalajas.
IP-tulemüüri lubamine oma Power Platform keskkondades pakub mitmeid olulisi eeliseid.
- Siseringi ohtude, näiteks andmete väljafiltreerimise leevendamine: pahatahtlikul kasutajal, kes proovib andmeid Dataverse alla laadida klienttööriista (nt Excel Power BI ) või keelatud IP-asukoha abil, blokeeritakse seda reaalajas tegemast.
- Tokenite kordusrünnakute vältimine: kui kasutaja varastab pääsutõendi ja proovib seda kasutada juurdepääsuks Dataverse väljastpoolt lubatud IP-vahemikke, Dataverse keeldub ta katsest reaalajas.
IP-tulemüüri kaitse töötab nii interaktiivsete kui ka mitteinteraktiivsete stsenaariumide korral.
Kui taotlus esitatakse Dataverse, hinnatakse taotluse IP-aadressi reaalajas keskkonna jaoks Power Platform konfigureeritud IP-vahemike suhtes. Kui IP-aadress on lubatud vahemikes, on taotlus lubatud. Kui IP-aadress on väljaspool keskkonna jaoks konfigureeritud IP-vahemikke, lükkab IP-tulemüür taotluse tagasi tõrketeatega: Taotlus, mida proovite teha, lükatakse tagasi, kuna juurdepääs teie IP-le on blokeeritud. Lisateabe saamiseks pöörduge administraatori poole.
- IP-tulemüür on funktsioon hallatavad keskkonnad.
- IP-tulemüüri lubamiseks või keelamiseks peab teil olema Power Platform administraatoriroll.
IP-tulemüüri Power Platform saate keskkonnas lubada, kasutades kas Power Platform halduskeskust või OData API-d Dataverse .
Logige administraatorina sisse Power Platform halduskeskusesse .
Valige Keskkonnad ja seejärel valige keskkond.
Valige Sätted>Toode>Privaatsus ja turve.
Seadke jaotises IP-aadressi sätted sätte Luba IP-aadressil põhinev tulemüürireegel väärtuseks Sees.
Määrake jaotises IPv4/IPv6 vahemike lubatud loend lubatud IP-vahemikud klassita domeenidevahelise marsruutimise (CIDR) vormingus vastavalt RFC 4632-le. Kui teil on mitu IP-vahemikku, eraldage need komaga. See väli aktsepteerib kuni 4,000 tähtedest ja numbritest koosnevat märki ja lubab maksimaalselt 200 IP-vahemikku. IPv6-aadressid on lubatud nii kuueteistkümnendsüsteemis kui ka tihendatud vormingus.
Valige vastavalt vajadusele muud sätted.
IP-tulemüüri poolt lubatud teenusesildid: valige loendist teenusesildid, mis võivad IP-tulemüüri piirangutest mööda hiilida.
Luba juurdepääs Microsofti usaldusväärsetele teenustele: see säte võimaldab Microsofti usaldusväärsetel teenustel, nagu kasutajate jälgimine ja tugi jne, mööda hiilida IP-tulemüüri piirangutest, millega Power Platform keskkonnale juurde pääseda Dataverse. Vaikimisi lubatud.
Luba juurdepääs kõigile rakenduse kasutajatele: see säte võimaldab kõigile rakenduse kasutajatele , kolmanda osapoole ja esimese osapoole juurdepääsu Dataverse API-dele. Vaikimisi lubatud. Kui selle väärtuse kustutate, blokeerib see ainult kolmanda osapoole rakenduste kasutajad.
Luba IP-tulemüür ainult auditirežiimis: see säte lubab IP-tulemüüri, kuid võimaldab taotlusi olenemata nende IP-aadressist. Vaikimisi lubatud.
Pöördpuhverserveri IP-aadressid: kui teie organisatsioonil on konfigureeritud pöördpuhverserverid, sisestage IP-aadressid komadega eraldatud. Vastupidine puhverserveri säte kehtib nii IP-põhiste küpsiste sidumise kui ka IP-tulemüüri kohta. Pöördpuhverserveri IP-aadresside saamiseks võtke ühendust oma võrguadministraatoriga.
Märkus
Pöördpuhverserver peab olema konfigureeritud saatma edastatud päises kasutaja kliendi IP-aadresse.
Valige käsk Salvesta.
OData API abil Dataverse saate keskkonnas väärtusi Power Platform tuua ja muuta. Üksikasjalikud juhised leiate teemadest Andmete pärimine Web API abil ja Tabeliridade värskendamine ja kustutamine Web API abil (Microsoft Dataverse).
Teil on paindlikkus valida tööriistad, mida eelistate. OData API kaudu Dataverse väärtuste toomiseks ja muutmiseks kasutage järgmist dokumentatsiooni.
IP-tulemüüri konfigureerimine OData API abil
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Lasti
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – lubage funktsioon, määrates väärtuseks tõene või keelake see, määrates väärtuseks väär.
allowediprangeforfirewall – loetlege IP-vahemikud, mis peaksid olema lubatud. Esitage need CIDR-märkes, mis on eraldatud komaga.
Oluline
Veenduge, et teenusemärgendi nimed vastaksid täpselt sellele, mida näete IP-tulemüüri sätete lehel. Lahknevuste korral ei pruugi IP-piirangud õigesti töötada.
enableipbasedfirewallruleinauditmode – väärtus true tähistab ainult auditeerimisrežiimi, samas kui väärtus false näitab jõustamisrežiimi.
allowedservicetagsforfirewall – loetlege teenusesildid, mis peaksid olema lubatud, eraldatuna komaga. Kui te ei soovi ühtegi teenusemärgendit konfigureerida, jätke väärtus nulliks.
allowapplicationuseraccess – vaikeväärtus on tõene.
allowmicrosofttrustedservicetags– vaikeväärtus on tõene .
Oluline
Kui Microsofti usaldusväärsete teenuste juurdepääsu lubamine ja kõigile rakenduse kasutajatele juurdepääsu lubamine on keelatud, ei pruugi mõned kasutatavad Dataverse teenused (nt Power Automate vood) enam töötada.
Peaksite testima IP-tulemüüri, et kontrollida, kas see töötab.
Sirvige IP-aadressilt, mis pole keskkonna jaoks lubatud IP-aadresside loendis, oma Power Platform keskkonna URI-ni.
Teie taotlus tuleks tagasi lükata sõnumiga, mis ütleb: "Taotlus, mida proovite teha, lükatakse tagasi, kuna juurdepääs teie IP-le on blokeeritud. Lisateabe saamiseks võtke ühendust administraatoriga."
Sirvige IP-aadressilt, mis on keskkonna jaoks lubatud IP-aadresside loendis, oma Power Platform keskkonna URI-ni.
Teil peaks olema juurdepääs keskkonnale, mille on määratlenud teie turberoll.
Soovitame teil kõigepealt testida IP-tulemüüri oma testkeskkonnas, seejärel ainult auditirežiimi tootmiskeskkonnas enne IP-tulemüüri jõustamist oma tootmiskeskkonnas.
Märkus
Vaikimisi on TDS-i lõpp-punkt keskkonnas sisse lülitatud Power Platform .
IP-tulemüür jõustatakse ainult keskkondades, mis on aktiveeritud hallatavad keskkonnad jaoks. Hallatavad keskkonnad kaasatakse õigusena eraldiseisvatesse Power Apps,,, Power Automate, Microsoft Copilot Studio ja Dynamics 365 litsentsidesse, Power Pages mis annavad tasulisi kasutusõigusi. Lisateavet hallatava keskkonna litsentsimise kohta leiate jaotisest Litsentsimise ülevaade Microsoft Power Platform.
Lisaks nõuab juurdepääs IP-tulemüüri Dataverse kasutamisele, et kasutajatel keskkondades, kus IP-tulemüür on jõustatud, oleks üks järgmistest tellimustest.
- Microsoft 365 või Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 vastavus
- Microsoft 365 F5 turve ja vastavus
- Microsoft 365 A5/E5/F5/G5 teabekaitse ja -korraldus
- Microsoft 365 A5/E5/F5/G5 siseriskihaldus
Lisateave nende litsentside kohta
IP-tulemüüri toetatakse igas Power Platform keskkonnas, mis sisaldab Dataverse.
Lubatud IP-aadresside või vahemike loendi muudatused jõustuvad tavaliselt umbes 5-10 minutiga.
IP tulemüüri kaitse töötab reaalajas. Kuna funktsioon töötab võrgus kiht, hindab see taotlust pärast autentimistaotluse täitmist.
IP-tulemüür pole vaikimisi lubatud. Administraator Power Platform peab selle hallatavad keskkonnad jaoks lubama.
Ainult auditeerimisrežiimis tuvastab IP-tulemüür IP-aadressid, mis helistavad keskkonda, ja võimaldab neid kõiki, olenemata sellest, kas need on lubatud vahemikus või mitte. See on kasulik, kui konfigureerite keskkonna piiranguid Power Platform . Soovitame lubada ainult auditirežiimi vähemalt nädalaks ja keelata selle alles pärast auditilogide hoolikat ülevaatamist.
IP-tulemüür on saadaval ainult hallatavad keskkonnad jaoks .
Saate lisada kuni 200 IP-aadressi vahemikku CIDR-vormingus vastavalt RFC 4632-le, eraldatuna komadega.
Selle probleemi võib põhjustada IP-tulemüüri IP-vahemike vale konfiguratsioon. IP-vahemikke saate kontrollida ja kontrollida IP-tulemüüri sätete lehel. Soovitame enne IP-tulemüüri jõustamist sisse lülitada ainult auditirežiimis.
Kasutage OData API-t Dataverse , et laadida auditilogi andmed alla JSON-vormingus. Auditilogi API vorming on järgmine:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Asenda[ orgURI]keskkonna URI-ga Dataverse .
- Määrake selle sündmuse toimingu väärtuseks 118 .
- Määrake tagastatavate üksuste arv top=1 või määrake tagastatav arv.
Minu Power Automate vood ei tööta pärast IP-tulemüüri konfigureerimist minu Power Platform keskkonnas ootuspäraselt. Mida teha?
Lubage IP-tulemüüri sätetes hallatud konnektorite väljaminevate IP-aadresside loendis olevad teenusesildid.
Veenduge, et teie pöördpuhverserver oleks konfigureeritud saatma kliendi IP-aadressi edastatud päises.
IP-tulemüüri auditilogisid ei toetata rentnikes, kellel on lubatud kasutada oma võtme toomise (BYOK) krüptovõtmeid. Kui teie rentnikul on lubatud oma võtme toomine, siis on kõik BYOK-toega rentniku keskkonnad lukustatud ainult SQL-i, seetõttu saab auditilogisid talletada ainult SQL-is. Soovitame teil üle minna kliendi hallatavale võtmele. BYOK-ilt kliendi hallatavale võtmele (CMKv2) migreerimiseks järgige teemas BYOK-keskkondade migreerimine kliendi hallatavasse võtmesse toodud juhiseid.
Jah, IP-tulemüür toetab IPv6 IP-vahemikke.