IP tulemüür keskkondades Power Platform

IP-tulemüür kaitseb teie organisatsiooni andmeid, tagades, et kasutajad pääsevad juurde Microsoft Dataverse ainult lubatud IP-asukohtadest. IP-tulemüür analüüsib iga päringu IP-aadressi reaalajas. Näiteks saate oma tootmiskeskkonnas Dataverse sisse lülitada IP-tulemüüri ja määrata lubatud IP-aadressid oma kontori asukohtadega seotud vahemikesse, mitte mis tahes välisesse IP-asukohta, näiteks kohvikusse. Kui kasutaja proovib kohvikust juurdepääsu organisatsiooni ressurssidele, Dataverse keelab juurdepääsu reaalajas.

Peamised eelised

IP-tulemüüri sisselülitamine oma Power Platform keskkondades pakub mitmeid olulisi eeliseid.

• Leevendage siseohte (nt andmete väljafiltreerimine): pahatahtlik kasutaja, kes üritab andmeid Dataverse alla laadida klienditööriista (nt Excel) või Power BI keelatud IP-asukoha abil, on blokeeritud seda reaalajas tegemast.
• Vältige lubade taasesituse rünnakuid: kui kasutaja varastab juurdepääsutõendi ja proovib seda kasutada juurdepääsuks Dataverse väljastpoolt lubatud IP-vahemikke, Dataverse keelab katse reaalajas.

IP-tulemüüri kaitse töötab nii interaktiivsetes kui ka mitteinteraktiivsetes stsenaariumides.

Kuidas IP-tulemüür töötab?

Kui taotlus esitatakse Dataverse, hinnatakse päringu IP-aadressi reaalajas keskkonna jaoks Power Platform konfigureeritud IP-vahemike alusel. Kui IP-aadress on lubatud vahemikes, on päring lubatud. Kui IP-aadress on väljaspool keskkonna jaoks konfigureeritud IP-vahemikke, keeldub IP-tulemüür päringust tõrketeatega:Taotlus, mida proovite esitada, lükatakse tagasi, kuna juurdepääs teie IP-le on blokeeritud. Lisateabe saamiseks pöörduge administraatori poole.

eeltingimused

• IP-tulemüür on hallatavate keskkondade funktsioon.
• IP-tulemüüri lubamiseks või keelamiseks peab teil olema Power Platform administraatori roll.

Lubage IP-tulemüür

IP-tulemüüri saate keskkonnas Power Platform lubada halduskeskuse Power Platform või Dataverse OData API abil.

IP-tulemüüri lubamine halduskeskuse abil Power Platform

1. Logige halduskeskusesse Power Platform sisse administraatorina.

2. Valige navigeerimispaanil Turvalisus .

3. Valige paanil Turvalisus Identiteet ja juurdepääs.

4. Valige lehel Identiteedi- ja juurdepääsuhaldus IP-tulemüür .

5. Valige paanil IP-tulemüüri seadistamine keskkond. Seejärel valige Seadista IP-tulemüür.

6. Valige paanil IP-tulemüüri seadistamine selle keskkonna jaoks väärtuseks IP tulemüür olekuks Sees.

7. Määrake jaotises Lubatud IP-aadresside loend lubatud IP-vahemikud klassideta domeenidevahelise marsruutimise (CIDR) vormingus vastavalt RFC 4632-le. Kui teil on mitu IP-vahemikku, eraldage need komaga. See väli aktsepteerib kuni 4,000 tähtnumbrilist märki ja lubab maksimaalselt 200 IP-vahemikku. IPv6-aadressid on lubatud nii kuueteistkümnendsüsteemis kui ka tihendatud vormingus.

8. Valige vastavalt vajadusele muud täpsemad sätted.

   • Lubatud teenusesiltide loend: valige loendist teenusesildid, mis võivad IP-tulemüüri piirangutest mööda minna.
   • Luba juurdepääs Microsofti usaldusväärsetele teenustele: see säte võimaldab Microsofti usaldusväärsetel teenustel, nagu jälgimis- ja tugikasutaja jne, mööda minna IP-tulemüüri piirangutest, et keskkonnale Power Platform juurde pääseda Dataverse. Vaikimisi lubatud.
   • Luba juurdepääs kõigile rakenduse kasutajatele: see säte võimaldab kõigile rakenduse kasutajatele kolmanda osapoole ja esimese osapoole juurdepääsu Dataverse API-dele. Vaikimisi lubatud. Kui tühjendate selle väärtuse, blokeerib see ainult kolmanda osapoole rakenduste kasutajad.
   • Luba IP-tulemüür ainult auditirežiimis: see säte lubab IP-tulemüüri, kuid lubab päringuid olenemata nende IP-aadressist. Vaikimisi lubatud.
   • Pöördpuhverserveri IP-aadressid: kui teie organisatsioonil on konfigureeritud pöördpuhverserverid, sisestage IP-aadressid komadega eraldatult. Puhverserveri pöördseade kehtib nii IP-põhise küpsiste sidumise kui ka IP-tulemüüri kohta. Pöörduge oma võrguadministraatori poole, et saada puhverserveri IP-aadressid.

   Märkus.

   Pöördpuhverserver peab olema konfigureeritud saatma kasutaja kliendi IP-aadresse edastatavas päises.

9. Valige käsk Salvesta.

IP-tulemüüri lubamine keskkonnarühma tasemel

IP-tulemüüri sätete konfigureerimiseks keskkonnarühma tasemel toimige järgmiselt. Logige sisse Power Platformi halduskeskusesse.

1. Valige navigeerimispaanil Turvalisus .

2. Valige paanil Turvalisus Identiteet ja juurdepääs.

3. Valige IP-tulemüüri paan.

4. Valige kuvataval paanil vahekaart Keskkonnarühmad , millele soovite turbesätte rakendada. Seejärel valige Seadista IP-tulemüür.

5. Valige paanil IP-tulemüüriseadistamine olekuks IP tulemüür olekus Sees.

6. Määrake jaotises Lubatud IP-aadresside loend lubatud IP-vahemikud klassideta domeenidevahelise marsruutimise (CIDR) vormingus vastavalt RFC 4632-le. Kui teil on mitu IP-vahemikku, eraldage need komaga. See väli aktsepteerib kuni 4,000 tähtnumbrilist märki ja lubab maksimaalselt 200 IP-vahemikku. IPv6-aadressid on lubatud nii kuueteistkümnendsüsteemis kui ka tihendatud vormingus.

7. Valige vastavalt vajadusele muud täpsemad sätted.

   • Lubatud teenusesiltide loend: valige loendist teenusesildid, mis võivad IP-tulemüüri piirangutest mööda minna.
   • Luba juurdepääs Microsofti usaldusväärsetele teenustele: see säte võimaldab Microsofti usaldusväärsetel teenustel, nagu jälgimis- ja tugikasutaja jne, mööda minna IP-tulemüüri piirangutest, et keskkonnale Power Platform juurde pääseda Dataverse. Vaikimisi lubatud.
   • Luba juurdepääs kõigile rakenduse kasutajatele: see säte võimaldab kõigile rakenduse kasutajatele kolmanda osapoole ja esimese osapoole juurdepääsu Dataverse API-dele. Vaikimisi lubatud. Kui tühjendate selle väärtuse, blokeerib see ainult kolmanda osapoole rakenduste kasutajad.
   • Luba IP-tulemüür ainult auditirežiimis: see säte lubab IP-tulemüüri, kuid lubab päringuid olenemata nende IP-aadressist. Vaikimisi lubatud.
   • Pöördpuhverserveri IP-aadressid: kui teie organisatsioonil on konfigureeritud pöördpuhverserverid, sisestage IP-aadressid komadega eraldatult. Puhverserveri pöördseade kehtib nii IP-põhise küpsiste sidumise kui ka IP-tulemüüri kohta. Pöörduge oma võrguadministraatori poole, et saada puhverserveri IP-aadressid.

8. Valige käsk Salvesta.

   Märkus.

   Pöördpuhverserver peab olema konfigureeritud saatma kasutaja kliendi IP-aadresse edastatavas päises.

   Valitud sätted rakendatakse kõigile selle keskkonnarühma keskkondadele.

IP-tulemüüri lubamine OData API abil Dataverse

OData API-d saate kasutada Dataverse keskkonnas väärtuste Power Platform toomiseks ja muutmiseks. Üksikasjalikud juhised leiate teemadest Andmete päring veebi API abil ja Tabeliridade värskendamine ja kustutamine veebi API abil (Microsoft Dataverse).

Teil on paindlikkus valida eelistatud tööriistad. Kasutage OData API kaudu Dataverse väärtuste toomiseks ja muutmiseks järgmist dokumentatsiooni.

• Kasutage unetust veebi Dataverse API-ga
• Veebi kiirkäivitus PowerShelli ja Visual Studio koodiga

IP-tulemüüri konfigureerimine OData API abil

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Lasti

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Lubage funktsioon, määrates väärtuseks tõene, või keelake see, määrates väärtuseks väär.

• allowediprangeforfirewall — Loetlege IP-vahemikud, mis peaksid olema lubatud. Esitage need CIDR-tähistusega, eraldades need komaga.

  Oluline

  Veenduge, et teenusesiltide nimed vastaksid täpselt IP-tulemüüri sätete lehel kuvatavale. Kui esineb lahknevusi, ei pruugi IP-piirangud õigesti töötada.

• enableipbasedfirewallruleinauditmode – Väärtus true näitab ainult auditirežiimi, samas kui väärtus false tähistab jõustamisrežiimi.

• allowedservicetagsforfirewall – Loetlege lubatud teenusesildid, eraldades need komaga. Kui te ei soovi teenusesilte konfigureerida, jätke väärtus null.

• allowapplicationuseraccess – Vaikeväärtus on tõene.

• allowmicrosofttrustedservicetags – Vaikeväärtus on tõene.

Oluline

Kui Luba juurdepääs Microsofti usaldusväärsetele teenustele ja Luba juurdepääs kõigile rakenduse kasutajatele on keelatud, ei pruugi mõned kasutatavad Dataverse teenused (nt Power Automate vood) enam töötada.

IP-tulemüüri testimine

Peaksite testima IP-tulemüüri, et veenduda, kas see töötab.

1. Liikuge sirvides IP-aadressilt, mis pole keskkonna lubatud IP-aadresside loendis, oma Power Platform keskkonna URI-ni.

   Teie taotlus tuleks tagasi lükata sõnumiga, mis ütleb: "Taotlus, mida proovite esitada, lükatakse tagasi, kuna juurdepääs teie IP-le on blokeeritud. Lisateabe saamiseks pöörduge oma administraatori poole."

2. Liikuge keskkonna lubatud IP-aadresside loendis olevalt IP-aadressilt sirvides oma Power Platform keskkonna URI-ni.

   Teil peaks olema juurdepääs keskkonnale, mis on määratletud teie turberolliga.

Enne IP-tulemüüri jõustamist tootmiskeskkonnas peaksite esmalt testima IP-tulemüüri oma testkeskkonnas, seejärel ainult auditirežiimi tootmiskeskkonnas.

Märkus.

Vaikimisi on TDS-i lõpp-punkt keskkonnas Power Platform sisse lülitatud.

SPN-i filtreerimine rakenduse kasutajatele

IP-tulemüüri funktsioon Power Platform võimaldab administraatoritel piirata juurdepääsu keskkondadele IP-aadresside vahemike alusel. Stsenaariumide puhul, kus konkreetsed rakenduse kasutajad (teenuse subjektinimed või SPN-id) peavad nendest piirangutest mööda minema, saate lubada SPN-i filtreerimise API-põhise lähenemisviisi abil.

SPN-i filtreerimise lubamise sammud

1. Lisage rakenduse kasutaja. Kui see pole veel lisatud, lisage rakenduse kasutaja sihtkeskkonda ja määrake sobivad turberollid. Näide: lisage keskkonda rakenduse kasutaja ID-ga 123 ja nimega TestSPN ning määrake vajalikud rollid
2. Hankige süsteemi kasutaja ID. Rakenduse kasutaja jaoks systemuserid toomiseks kasutage järgmist API-kutset:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Rakenduse kasutaja lubatud loendisse.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Lasti

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Konfigureerige IP-tulemüüri seaded PPAC-is. Liikuge halduskeskusesse Power Platform (PPAC) ja konfigureerige IP-tulemüüri sätted. Filtreerimise jõustamiseks veenduge, et suvand "Luba juurdepääs kõigile rakenduse kasutajatele" oleks märkimata.

IP-tulemüüri litsentsimisnõuded

IP-tulemüür on jõustatud ainult keskkondades, mis on hallatavate keskkondade jaoks aktiveeritud. Hallatavad keskkonnad on kaasatud õigusena autonoomsetesse Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages ja Dynamics 365 litsentsidesse, mis annavad esmaklassilisi kasutusõigusi. Lisateavet hallatava keskkonna litsentsimise kohta leiate litsentsimise ülevaatest Microsoft Power Platform.

Lisaks nõuab juurdepääs IP-tulemüüri Dataverse kasutamisele, et IP-tulemüüri rakendamisega keskkondades töötavatel kasutajatel oleks üks järgmistest tellimustest.

• Microsoft 365 või Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 vastavus
• Microsoft 365 F5 turve ja vastavus
• Microsoft 365 A5/E5/F5/G5 teabekaitse ja -korraldus
• Microsoft 365 A5/E5/F5/G5 siseriskihaldus

Lisateave litsentside kohta Microsoft 365

Korduma kippuvad küsimused (KKK)

Mida IP-tulemüür hõlmab Power Platform?

IP-tulemüüri toetatakse igas Power Platform keskkonnas, mis sisaldab Dataverse.

Kui kiiresti jõustub IP-aadresside loendi muudatus?

Lubatud IP-aadresside või -vahemike loendi muudatused jõustuvad tavaliselt umbes 5–10 minuti pärast.

Kas see funktsioon töötab reaalajas?

IP tulemüüri kaitse töötab reaalajas. Kuna funktsioon töötab võrgukihis, hindab see päringut pärast autentimistaotluse täitmist.

Kas see funktsioon on vaikimisi kõigis keskkondades lubatud?

IP-tulemüür pole vaikimisi lubatud. Administraator Power Platform peab selle hallatavate keskkondade jaoks lubama.

Mis on ainult auditi režiim?

Ainult auditirežiimis tuvastab IP-tulemüür IP-aadressid, mis keskkonda helistavad, ja lubab neid kõiki, olenemata sellest, kas need on lubatud vahemikus või mitte. See on kasulik, kui konfigureerite keskkonna piiranguid Power Platform . Soovitame lubada ainult auditirežiimi vähemalt nädalaks ja keelata see alles pärast auditilogide hoolikat ülevaatamist.

Kas see funktsioon on saadaval kõigis keskkondades?

IP-tulemüür on saadaval ainult hallatavate keskkondade jaoks .

Kas IP-aadressi tekstiväljale lisatavate IP-aadresside arv on piiratud?

Saate lisada kuni 200 IP-aadresside vahemikku CIDR-vormingus vastavalt RFC 4632-le, eraldatuna komadega.

Mida peaksin tegema, kui taotlused Dataverse ebaõnnestuvad?

Selle probleemi võib põhjustada IP-tulemüüri IP-vahemike vale konfiguratsioon. IP-vahemikke saate kontrollida ja kontrollida IP-tulemüüri seadete lehel. Soovitame IP-tulemüüri enne selle jõustamist sisse lülitada ainult auditirežiimis.

Kuidas alla laadida auditilogi ainult auditirežiimi jaoks?

Auditilogi andmete JSON-vormingus allalaadimiseks kasutage Dataverse OData API-d. Auditilogi API vorming on järgmine:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Asenda [orgURI] keskkonna Dataverse URI-ga.
• Määrake selle sündmuse toimingu väärtuseks 118 .
• Määrake tagastatavate üksuste arv top =1 või määrake tagastatav arv.

Minu Power Automate vood ei tööta ootuspäraselt pärast IP-tulemüüri konfigureerimist minu Power Platform keskkonnas. Mida teha?

Lubage IP-tulemüüri sätetes jaotises Hallatavate konnektorite väljaminevad IP-aadressid loetletud teenusesildid.

Olen puhverserveri pöördaadressi õigesti konfigureerinud, kuid IP-tulemüür ei tööta. Mida teha?

Veenduge, et teie pöördpuhverserver on konfigureeritud saatma kliendi IP-aadressi edastatavas päises.

IP-tulemüüri auditi funktsioon ei tööta minu keskkonnas. Mida teha?

IP-tulemüüri auditilogisid ei toetata rentnikes, kellel on lubatud oma võtme (BYOK) krüptovõtmed. Kui teie rentnikul on lubatud oma võtme toomine, lukustatakse kõik BYOK-toega rentniku keskkonnad ainult SQL-ile, seega saab auditilogisid salvestada ainult SQL-is. Soovitame migreerida kliendi hallatavale võtmele. BYOK-ilt kliendi hallatavale võtmele (CMKv2) migreerimiseks järgige juhiseid teemas Oma võtme (BYOK) keskkondade migreerimine kliendi hallatavasse võtmesse.

Kas IP-tulemüür toetab IPv6 IP-vahemikke?

Jah, IP-tulemüür toetab IPv6 IP-vahemikke.

Järgmised toimingud

Turvalisus Microsoft Dataverse