IP suebakia inguruneetan Power Platform

IP suebakiak zure erakundearen datuak babesten ditu, erabiltzaileek baimendutako IP kokapenetatik bakarrik sar daitezkeela ziurtatuz. Microsoft Dataverse IP suebakiak eskaera bakoitzaren IP helbidea denbora errealean aztertzen du. Adibidez, IP suebakia aktibatu dezakezu zure ekoizpen-ingurunean eta baimendutako IP helbideak ezarri zure bulegoko kokapenekin lotutako barrutietan, eta ez kanpoko IP kokapen batean, kafetegi batean bezala. Dataverse Erabiltzaile batek kafetegi batetik erakundearen baliabideetara sartzen saiatzen bada, Dataverse sarbidea denbora errealean ukatzen du.

Abantaila nagusiak

Zure inguruneetan IP suebakia pizteak hainbat abantaila nagusi eskaintzen ditu. Power Platform

• Barneko mehatxuak arintzea, hala nola datuen esfiltrazioa: Excel bezalako bezero-tresna bat erabiliz datuak deskargatzen saiatzen den erabiltzaile gaizto bati blokeatuta geratzen zaio denbora errealean hori egiteko. Dataverse Power BI
• Token errepikapen erasoak saihestu: Erabiltzaile batek sarbide-token bat lapurtzen badu eta IP barruti baimenduetatik kanpo sartzeko Dataverse saiatzen bada, Dataverse saiakera denbora errealean ukatzen du.

IP suebakiaren babesak eszenatoki interaktiboetan eta ez-interaktiboetan funtzionatzen du.

Nola funtzionatzen du IP suebakiak?

Dataverse helbidera eskaera bat egiten denean, eskaeraren IP helbidea denbora errealean ebaluatzen da Power Platform ingurunerako konfiguratutako IP barrutiekin alderatuta. IP helbidea baimendutako tarteetan badago, eskaera baimenduta dago. IP helbidea ingurunerako konfiguratutako IP mailatik kanpo badago, IPen firewall-ak eskaera ukatuko du akats mezu batekin: Egiten saiatzen ari den eskaera atzera botatzen da, bere IPrako sarbidea blokeatuta dagoelako. Jar zaitez harremanetan administratzailearekin informazio gehiago lortzeko.

Aurrebaldintzak

• IP suebakia Kudeatutako Inguruneak-ren ezaugarri bat da.
• IP suebakia gaitzeko edo desgaitzeko administratzaile rola izan behar duzu. Power Platform

Gaitu IP suebakia

IP suebakia ingurune batean gaitu dezakezu administrazio zentroa edo OData APIa erabiliz. Power Platform Power Platform Dataverse

Gaitu IP suebakia administrazio zentroa erabiliz Power Platform

1. Hasi saioa administratzaile gisa Power Platform administrazio zentroan .

2. Nabigazio panelean, hautatu Segurtasuna.

3. *Segurtasuna* panelean, hautatu *Identitatea eta sarbidea*.

4. *Identitate eta sarbide kudeaketa* orrian, hautatu *IP suebakia*.

5. *Konfiguratu IP suebakia* panelean, hautatu ingurune bat. Ondoren, hautatu Konfiguratu IP suebakia.

6. *Ingurune honetarako IP suebakia konfiguratu* panelean, hautatu *IP suebakia* aukera *Aktibatuta* aukeran.

7. Baimendutako IP helbideen zerrenda atalean, zehaztu baimendutako IP barrutiak domeinu arteko bideratze klasegabeko (CIDR) formatuan RFC 4632 arauan adierazitakoaren arabera. IP barruti bat baino gehiago badituzu, bereizi itzazu koma batekin. Eremu honek gehienez 4.000 karaktere alfanumeriko onartzen ditu eta gehienez 200 IP barruti onartzen ditu. IPv6 helbideak formatu hamaseitarrean eta konprimituan onartzen dira.

8. Hautatu beste ezarpen aurreratu batzuk, dagokion moduan:

   • Zerbitzu-etiketa baimenduen zerrenda: Zerrendatik, hautatu IP suebakiaren murrizketak saihestu ditzaketen zerbitzu-etiketak.
   • Baimendu Microsoft-en zerbitzu fidagarrietarako sarbidea: Ezarpen honek Microsoft-en zerbitzu fidagarriei, hala nola erabiltzaileen monitorizazioari eta laguntzari, IP suebakiaren murrizketak saihestea ahalbidetzen die ingurunera sartzeko. Power Platform Dataverse Lehenespenez gaituta.
   • Aplikazioko erabiltzaile guztiei sarbidea baimendu: Ezarpen honek aplikazioko erabiltzaile guztiei hirugarrenen eta lehen mailakoen APIetarako sarbidea baimentzen die . Dataverse Lehenespenez gaituta. Balio hau garbitzen baduzu, hirugarrenen aplikazioen erabiltzaileak bakarrik blokeatuko dira.
   • Gaitu IP suebakia auditoria-soilik moduan: Ezarpen honek IP suebakia gaitzen du, baina eskaerak onartzen ditu haien IP helbidea edozein dela ere. Lehenespenez gaituta.
   • Alderantzizko proxy IP helbideak: Zure erakundeak alderantzizko proxyak konfiguratuta baditu, idatzi IP helbideak komaz bereizita. Alderantzizko proxy ezarpena IP oinarritutako cookie loturari eta IP suebakiari aplikatzen zaie. ... Jarri harremanetan zure sareko administratzailearekin alderantzizko proxy IP helbideak lortzeko.

   Oharra

   Alderantzizko proxya konfiguratu behar da erabiltzaile-bezeroen IP helbideak birbidaltzeko goiburuan bidaltzeko. ...

9. Hautatu Gorde.

Gaitu IP suebakia ingurune-talde mailan

Ingurune-talde mailan IP suebakiaren ezarpenak konfiguratzeko, jarraitu urrats hauek. Hasi saioa hurrengoan Power Platform administrazio-zentroa.

1. Nabigazio panelean, hautatu Segurtasuna.

2. *Segurtasuna* panelean, hautatu *Identitatea eta sarbidea*.

3. Hautatu IP suebaki panel bat.

4. Bistaratutako panelean, hautatu segurtasun-ezarpena aplikatu nahi diozun Ingurune taldeak fitxa. Ondoren, hautatu Konfiguratu IP suebakia.

5. *Konfiguratu IP suebakia* panelean, hautatu *IP suebakia* *Aktibatuta* *A29> gisa.

6. Baimendutako IP helbideen zerrenda atalean, zehaztu baimendutako IP barrutiak domeinu arteko bideratze klasegabeko (CIDR) formatuan RFC 4632 arauan adierazitakoaren arabera. IP barruti bat baino gehiago badituzu, bereizi itzazu koma batekin. Eremu honek gehienez 4.000 karaktere alfanumeriko onartzen ditu eta gehienez 200 IP barruti onartzen ditu. IPv6 helbideak formatu hamaseitarrean eta konprimituan onartzen dira.

7. Hautatu beste ezarpen aurreratu batzuk, dagokion moduan:

   • Zerbitzu-etiketa baimenduen zerrenda: Zerrendatik, hautatu IP suebakiaren murrizketak saihestu ditzaketen zerbitzu-etiketak.
   • Baimendu Microsoft-en zerbitzu fidagarrietarako sarbidea: Ezarpen honek Microsoft-en zerbitzu fidagarriei, hala nola erabiltzaileen monitorizazioari eta laguntzari, IP suebakiaren murrizketak saihestea ahalbidetzen die ingurunera sartzeko. Power Platform Dataverse Lehenespenez gaituta.
   • Aplikazioko erabiltzaile guztiei sarbidea baimendu: Ezarpen honek aplikazioko erabiltzaile guztiei hirugarrenen eta lehen mailakoen APIetarako sarbidea baimentzen die . Dataverse Lehenespenez gaituta. Balio hau garbitzen baduzu, hirugarrenen aplikazioen erabiltzaileak bakarrik blokeatuko dira.
   • Gaitu IP suebakia auditoria-soilik moduan: Ezarpen honek IP suebakia gaitzen du, baina eskaerak onartzen ditu haien IP helbidea edozein dela ere. Lehenespenez gaituta.
   • Alderantzizko proxy IP helbideak: Zure erakundeak alderantzizko proxyak konfiguratuta baditu, idatzi IP helbideak komaz bereizita. Alderantzizko proxy ezarpena IP oinarritutako cookie loturari eta IP suebakiari aplikatzen zaie. ... Jarri harremanetan zure sareko administratzailearekin alderantzizko proxy IP helbideak lortzeko.

8. Hautatu Gorde.

   Oharra

   Alderantzizko proxya konfiguratu behar da erabiltzaile-bezeroen IP helbideak birbidaltzeko goiburuan bidaltzeko. ...

   Hautatutako ezarpenak ingurune-talde horretako ingurune guztietan aplikatzen dira.

Gaitu IP suebakia OData APIa erabiliz Dataverse

Dataverse OData APIa erabil dezakezu Power Platform ingurune bateko balioak berreskuratu eta aldatzeko. Argibide zehatzak lortzeko, ikus Datuak kontsultatu Web APIa erabiliz eta Taularen errenkadak eguneratu eta ezabatu Web APIa erabiliz (Microsoft Dataverse).

Nahiago dituzun tresnak aukeratzeko malgutasuna duzu. Erabili dokumentazio hau balioak berreskuratzeko eta aldatzeko Dataverse OData APIaren bidez:

• Erabili Insomnia Web APIarekin Dataverse
• Abiarazte azkarraren web APIa PowerShell eta Kodearekin Visual Studio

Konfiguratu IP suebakia OData APIa erabiliz

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Karga erabilgarria

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Gaitu funtzioa balioa true gisa ezarriz, edo desgaitu balioa false gisa ezarriz.

• allowediprangeforfirewall — Zerrendatu baimendutako IP barrutiak. Eman itzazu CIDR notazioan, komaz bereizita.

  Garrantzitsua da

  Ziurtatu zerbitzu-etiketen izenak IP suebakiaren ezarpenen orrialdean ikusten duzunarekin bat datozela zehazki. Desadostasunik badago, baliteke IP murrizketek behar bezala ez funtzionatzea.

• enableipbasedfirewallruleinauditmode – true balioak auditoria-soilik modua adierazten du, eta false balioak betearazpen modua.

• allowedservicetagsforfirewall – Zerrendatu baimendutako zerbitzu-etiketak, komaz bereizita. Zerbitzu-etiketarik konfiguratu nahi ez baduzu, utzi balioa nulua.

• allowapplicationuseraccess – Balio lehenetsia true da.

• allowmicrosofttrustedservicetags – Balio lehenetsia true da.

Garrantzitsua da

*Microsoft-en zerbitzu fidagarrietarako sarbidea baimendu* eta *Aplikazioko erabiltzaile guztiei sarbidea baimendu* desgaituta daudenean, *fluxuak* erabiltzen dituzten zerbitzu batzuek, hala nola *fluxuak*, baliteke jada ez funtzionatzea. Dataverse Power Automate

Probatu IP suebakia

IP suebakia probatu beharko zenuke funtzionatzen duela egiaztatzeko.

1. Ingurunerako baimendutako IP helbideen zerrendan ez dagoen IP helbide batetik, arakatu zure Power Platform ingurunearen URIra.

   Eskaera atzera bota behar da mezu batekin: "Egiten saiatzen ari den eskaera atzera bota egiten da, bere IPrako sarbidea blokeatuta dagoelako. Jarri harremanetan zure administratzailearekin informazio gehiago lortzeko."

2. Ingurunerako baimendutako IP helbideen zerrendan dagoen IP helbide batetik, arakatu zure Power Platform ingurunearen URIra.

   Zure segurtasun-rolaren arabera definitutako ingurunerako sarbidea izan beharko zenuke.

Lehenik IP suebakia proba-ingurunean probatu beharko zenuke, eta ondoren, ekoizpen-ingurunean auditoria-soilik modua ezarri, IP suebakia ekoizpen-ingurunean ezarri aurretik.

Oharra

Berez, TDS amaiera-puntua ingurunean piztuta dago Power Platform .

Aplikazioen erabiltzaileentzako SPN iragazketa

IP Firewall funtzioak Power Platform inguruneetarako sarbidea administratzaileei IP helbide-tarteetan oinarrituta mugatzeko aukera ematen die. Aplikazio-erabiltzaile espezifikoek (Zerbitzu Nagusien Izenak edo SPNak) murrizketa hauek saihestu behar dituzten egoeretarako, SPN iragazketa gaitu dezakezu APIan oinarritutako ikuspegi bat erabiliz.

SPN iragazketa gaitzeko urratsak

1. Gehitu aplikazioaren erabiltzailea. Gehitu ez bada, gehitu aplikazio erabiltzailea helburu ingurunera eta esleitu segurtasun rol egokiak. Adibidea: Gehitu 123 IDa duen aplikazioaren erabiltzailea eta TestSPN izena ingurunera eta esleitu beharrezko rolak
2. Berreskuratu sistemaren erabiltzaile IDa. Erabili ondorengo API deia aplikazioaren erabiltzailearentzako systemuserid lortzeko:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Aplikazioaren erabiltzailea baimendutako zerrendan sartu.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Karga erabilgarria

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Konfiguratu IP suebakiaren ezarpenak PPAC-en. Joan zaitez Administrazio Zentrora (PPAC) eta konfiguratu IP suebakiaren ezarpenak. Power Platform Ziurtatu "Aplikazioko erabiltzaile guztiei sarbidea baimendu" aukera desmarkatuta dagoela iragazketa betearazteko.

IP suebakiaren lizentzia-eskakizunak

IP suebakia Ingurune Kudeatuetarako aktibatuta dauden inguruneetan bakarrik aplikatzen da. Kudeatutako Inguruneak eskubide gisa sartzen dira autonomoetan Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages eta premium erabilera eskubideak ematen dituzten Dynamics 365 lizentzietan. Ikasi gehiago Kudeatutako Ingurunearen lizentziei buruz Lizentzien ikuspegi orokorrarekin . Microsoft Power Platform

Gainera, IP suebakia erabiltzeko sarbidea Dataverse IP suebakia indarrean dagoen inguruneetako erabiltzaileek harpidetza hauetako bat izatea eskatzen du:

• Microsoft 365 edo Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 bertsioen arau-gordetzea
• Microsoft 365 F5 Segurtasuna eta arau-gordetzea
• Microsoft 365 A5/E5/F5/G5 Informazioaren babesa eta gobernantza
• Microsoft 365 A5/ E5/ F5/ G5 barne-arriskuaren kudeaketa

Lortu informazio gehiago lizentziei buruz Microsoft 365

Maiz egiten diren galderak (FAQ)

Zer hartzen du IP suebakiak Power Platform-n?

IP suebakia edozein ingurunetan onartzen da, baldin eta ingurune horrek barne hartzen baditu. Power Platform Dataverse

Zenbat denboran jartzen da indarrean IP helbideen zerrendan egindako aldaketa bat?

IP helbide edo barruti baimenduen zerrendan egindako aldaketak normalean 5-10 minututan izaten dira indarrean.

Ezaugarri honek denbora errealean funtzionatzen al du?

IP suebakiaren babesak denbora errealean funtzionatzen du. Ezaugarriak sare-geruzan funtzionatzen duenez, autentifikazio-eskaera amaitu ondoren ebaluatzen du eskaera.

Ezaugarri hau lehenespenez gaituta al dago ingurune guztietan?

IP suebakia ez dago gaituta lehenespenez. Administratzaileak gaitu behar du Kudeatutako Inguruneetarako. Power Platform

Zer da auditoria soilik modua?

Auditoria-soilik moduan, IP suebakiak ingurunera deiak egiten dituzten IP helbideak identifikatzen ditu eta guztiak baimentzen ditu, baimendutako tarte batean egon edo ez. Lagungarria da ingurune batean murrizketak konfiguratzen ari zarenean. Power Platform Auditoria-soilik modua gutxienez astebetez gaitzea eta auditoria-erregistroak arretaz berrikusi ondoren bakarrik desgaitzea gomendatzen dizugu. ...

Ezaugarri hau ingurune guztietan eskuragarri al dago?

IP suebakia Kudeatutako Inguruneetarako soilik dago eskuragarri.

Ba al dago mugarik IP helbidearen testu-koadroan gehi ditzakedan IP helbide kopuruan?

CIDR formatuan 200 IP helbide barruti gehi ditzakezu gehienez, komaz bereizita, RFC 4632 araudiaren arabera.

Zer egin behar dut eskaerak huts egiten hasten badira? Dataverse

IP suebakiaren IP barrutien konfigurazio oker batek arazo hau eragin dezake. IP barrutiak egiaztatu eta egiaztatu ditzakezu IP suebakiaren ezarpenen orrialdean. IP suebakia Auditoria-soilik moduan aktibatzea gomendatzen dizugu, betearazi aurretik.

Nola deskargatu dezaket auditoria-erregistroa auditoria-soilik modurako?

Erabili Dataverse OData APIa auditoria-erregistroaren datuak JSON formatuan deskargatzeko. Auditoria-erregistroaren APIaren formatua hau da:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Ordeztu [orgURI] ingurunearen URIarekin Dataverse .
• Ezarri ekintzaren balioa gertaera honetarako 118 gisa.
• Ezarri itzuli beharreko elementuen kopurua top=1 -n edo zehaztu itzuli nahi duzun kopurua.

Nire inguruneko IP suebakia konfiguratu ondoren, nire fluxuak ez dira espero bezala funtzionatzen. Power Automate Power Platform Zer egin dezaket?

IP suebakiaren ezarpenetan, baimendu Kudeatutako konektoreen irteerako IP helbideak atalean zerrendatutako zerbitzu-etiketak.

Alderantzizko proxy helbidea behar bezala konfiguratu dut, baina IP suebakia ez dabil. Zer egin dezaket?

Ziurtatu alderantzizko proxya birbidalitako goiburuan bezeroaren IP helbidea bidaltzeko konfiguratuta dagoela.

IP suebakiaren auditoria funtzionalitatea ez dabil nire ingurunean. Zer egin dezaket?

IP suebakiaren auditoria-erregistroak ez dira onartzen bring-your-own-key (BYOK) enkriptazio-giltzak gaitutako maizterretan. Zure maizterrak zure giltza propioa ekartzeko gaituta badu, BYOK gaituta duen maizterreko ingurune guztiak SQLra soilik blokeatuta daude, beraz, auditoria-erregistroak SQLn bakarrik gorde daitezke. bezeroak kudeatutako giltzara migratzea gomendatzen dizugu. BYOK-etik bezeroak kudeatutako giltzara (CMKv2) migratzeko, jarraitu Bring-your-own-key (BYOK) inguruneak bezeroak kudeatutako giltzara migratu ataleko urratsak.

IP suebakiak IPv6 IP barrutiak onartzen al ditu?

Bai, IP suebakiak IPv6 IP barrutiak onartzen ditu.

Hurrengo urratsak

Segurtasuna Microsoft Dataverse