Power Platform वातावरण में आईपी फ़ायरवॉल
आईपी फ़ायरवॉल केवल अनुमत आईपी स्थानों से उपयोगकर्ता की पहुंच को सीमित करके आपके संगठनात्मक डेटा को सुरक्षित रखने में मदद करता है। Microsoft Dataverse आईपी फ़ायरवॉल प्रत्येक अनुरोध के आईपी पते का वास्तविक समय में विश्लेषण करता है। उदाहरण के लिए, मान लीजिए कि आपके उत्पादन परिवेश में IP फ़ायरवॉल चालू है, और अनुमत IP पते आपके कार्यालय स्थानों से जुड़ी श्रेणियों में हैं, न कि किसी बाहरी IP स्थान जैसे कि कॉफी शॉप से। Dataverse यदि कोई उपयोगकर्ता किसी कॉफ़ी शॉप से संगठनात्मक संसाधनों तक पहुँचने का प्रयास करता है, तो Dataverse वास्तविक समय में पहुँच से इनकार कर दिया जाता है।
मुख्य लाभ
अपने परिवेश में आईपी फ़ायरवॉल को सक्षम करने से कई प्रमुख लाभ मिलते हैं। Power Platform
- डेटा एक्सफ़िलट्रेशन जैसे अंदरूनी खतरों को कम करें: एक दुर्भावनापूर्ण उपयोगकर्ता जो एक्सेल जैसे क्लाइंट टूल का उपयोग करके या किसी अस्वीकृत आईपी स्थान से डेटा डाउनलोड करने का प्रयास करता है, उसे वास्तविक समय में ऐसा करने से रोक दिया जाता है। Dataverse Power BI
- टोकन रिप्ले हमलों को रोकें: यदि कोई उपयोगकर्ता पहुँच टोकन चुराता है और अनुमत IP श्रेणियों के बाहर से पहुंचने के लिए इसका उपयोग करने का प्रयास करता है, तो वास्तविक समय में प्रयास को अस्वीकार कर दिया जाता है। Dataverse Dataverse
आईपी फ़ायरवॉल सुरक्षा इंटरैक्टिव और गैर-इंटरैक्टिव दोनों परिदृश्यों में काम करती है।
आईपी फ़ायरवॉल कैसे काम करता है?
जब Dataverse को अनुरोध किया जाता है, तो अनुरोधित आईपी पते का मूल्यांकन Power Platform पर्यावरण के लिए कॉन्फ़िगर किए गए आईपी श्रेणियों के विरुद्ध वास्तविक समय में किया जाता है। यदि आईपी पता स्वीकृत सीमा में है, तो अनुरोध स्वीकृत है। यदि IP पता परिवेश के लिए कॉन्फ़िगर की गई IP श्रेणियों से बाहर है, तो IP फ़ायरवॉल एक त्रुटि संदेश के साथ अनुरोध को अस्वीकार कर देता है: आप जो अनुरोध करने का प्रयास कर रहे हैं, उसे अस्वीकार कर दिया गया है क्योंकि आपके IP तक पहुँच अवरुद्ध है। अधिक जानकारी के लिए अपने व्यवस्थापक से संपर्क करें.
पूर्वावश्यकताएँ
- आईपी फ़ायरवॉल प्रबंधित परिवेश की एक विशेषता है।
- IP फ़ायरवॉल को सक्षम या अक्षम करने के लिए आपके पास Power Platform व्यवस्थापक भूमिका होनी चाहिए।
IP फ़ायरवॉल सक्षम करें
आप या तो Power Platform व्यवस्थापक केंद्र या Power Platform OData API का उपयोग करके किसी Dataverse वातावरण में IP फ़ायरवॉल को सक्षम कर सकते हैं।
Power Platform व्यवस्थापक केंद्र का उपयोग करके IP फ़ायरवॉल सक्षम करें
व्यवस्थापक केंद्र में व्यवस्थापक के रूप में लॉग इन करें. Power Platform
परिवेश चुनें और फिर एक परिवेश चुनें.
सेटिंग>उत्पाद>गोपनीयता + सुरक्षा चुनें.
आईपी पता सेटिंग्स के अंतर्गत, आईपी पता आधारित फ़ायरवॉल नियम सक्षम करें को चालू पर सेट करें।
IPv4 श्रेणियों की अनुमत सूची के अंतर्गत, RFC 4632 के अनुसार क्लासलेस इंटरडोमेन रूटिंग (CIDR) प्रारूप में अनुमत IP श्रेणियाँ निर्दिष्ट करें। यदि आपके पास एकाधिक IP श्रेणियाँ हैं, तो उन्हें अल्पविराम से अलग करें. यह फ़ील्ड अधिकतम 4,000 अल्फ़ान्यूमेरिक वर्ण स्वीकार करता है और अधिकतम 200 IP रेंज की अनुमति देता है।
अन्य सेटिंग्स का चयन करें, जैसा उपयुक्त हो:
- IP फ़ायरवॉल द्वारा अनुमत सेवा टैग: सूची से, उन सेवा टैग का चयन करें जो IP फ़ायरवॉल प्रतिबंधों को बायपास कर सकते हैं।
- Microsoft विश्वसनीय सेवाओं के लिए पहुँच की अनुमति दें: यह सेटिंग Microsoft विश्वसनीय सेवाओं जैसे निगरानी और समर्थन उपयोगकर्ता आदि को IP फ़ायरवॉल प्रतिबंधों को बायपास करने के लिए सक्षम बनाती है ताकि वे परिवेश तक पहुँच सकें। Power Platform Dataverse डिफ़ॉल्ट रूप से सक्षम है.
- सभी एप्लिकेशन उपयोगकर्ताओं के लिए पहुँच की अनुमति दें: यह सेटिंग सभी एप्लिकेशन उपयोगकर्ताओं को तृतीय-पक्ष और प्रथम-पक्ष को Dataverse API तक पहुँच की अनुमति देती है। डिफ़ॉल्ट रूप से सक्षम है. यदि आप यह मान साफ़ करते हैं, तो यह केवल तृतीय-पक्ष एप्लिकेशन उपयोगकर्ताओं को ब्लॉक करेगा.
- केवल ऑडिट मोड में IP फ़ायरवॉल सक्षम करें: यह सेटिंग IP फ़ायरवॉल को सक्षम करती है, लेकिन उनके IP पते की परवाह किए बिना अनुरोधों को अनुमति देती है। डिफ़ॉल्ट रूप से सक्षम है.
- रिवर्स प्रॉक्सी IP पते: यदि आपके संगठन में रिवर्स प्रॉक्सी कॉन्फ़िगर किए गए हैं, तो अल्पविराम से अलग करके एक या अधिक IP पते दर्ज करें। रिवर्स प्रॉक्सी सेटिंग IP-आधारित कुकी बाइंडिंग और IP फ़ायरवॉल दोनों पर लागू होती है।
सहेजें चुनें.
Dataverse OData API का उपयोग करके IP फ़ायरवॉल सक्षम करें
आप किसी परिवेश में मानों को पुनः प्राप्त करने और संशोधित करने के लिए OData API का उपयोग कर सकते हैं। Dataverse Power Platform विस्तृत मार्गदर्शन के लिए, वेब API का उपयोग करके डेटा क्वेरी करें और वेब API का उपयोग करके तालिका पंक्तियों को अपडेट करें और हटाएं (Microsoft Dataverse) देखें।
आपके पास अपनी पसंद के उपकरण चुनने की सुविधा है। Dataverse OData API के माध्यम से मानों को पुनः प्राप्त करने और संशोधित करने के लिए निम्नलिखित दस्तावेज़ का उपयोग करें:
- Dataverse वेब API के साथ Insomnia का उपयोग करें
- PowerShell और Visual Studio कोड के साथ त्वरित आरंभ वेब API
OData API का उपयोग करके IP फ़ायरवॉल कॉन्फ़िगर करें
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
पेलोड
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – मान को true पर सेट करके सुविधा को सक्षम करें, या मान को false पर सेट करके इसे अक्षम करें।
Allowediprangeforfirewall — उन IP श्रेणियों की सूची बनाएं जिन्हें अनुमति दी जानी चाहिए। इन्हें अल्पविराम से अलग करके CIDR संकेतन में प्रदान करें।
महत्त्वपूर्ण
सुनिश्चित करें कि सेवा टैग नाम बिल्कुल वैसा ही हो जैसा आप आईपी फ़ायरवॉल के सेटिंग पृष्ठ पर देखते हैं। यदि कोई विसंगति है, तो हो सकता है कि IP प्रतिबंध सही ढंग से काम न करें।
enableipbasedfirewallruleinauditmode – true का मान केवल-ऑडिट मोड को इंगित करता है, जबकि false का मान प्रवर्तन मोड को इंगित करता है।
permittedservicetagsforfirewall – उन सेवा टैगों की सूची बनाएं जिन्हें अनुमति दी जानी चाहिए, अल्पविराम से अलग करके। यदि आप कोई सेवा टैग कॉन्फ़िगर नहीं करना चाहते हैं, तो मान शून्य छोड़ दें.
allowapplicationuseraccess – डिफ़ॉल्ट मान true है.
allowmicrosofttrustedservicetags – डिफ़ॉल्ट मान true है.
महत्त्वपूर्ण
जब Microsoft विश्वसनीय सेवाओं के लिए पहुँच की अनुमति दें और सभी अनुप्रयोग उपयोगकर्ताओं के लिए पहुँच की अनुमति दें अक्षम कर दिए जाते हैं, तो कुछ सेवाएँ जो Dataverse, जैसे कि Power Automate प्रवाहों का उपयोग करती हैं, शायद अब काम न करें।
IP फ़ायरवॉल का परीक्षण करें
आपको यह सत्यापित करने के लिए आईपी फ़ायरवॉल का परीक्षण करना चाहिए कि यह काम कर रहा है।
किसी ऐसे IP पते से, जो परिवेश के लिए IP पतों की अनुमत सूची में नहीं है, अपने Power Platform पर्यावरण URI पर ब्राउज़ करें.
आपका अनुरोध इस संदेश के साथ अस्वीकृत हो जाना चाहिए कि, "आप जो अनुरोध करने का प्रयास कर रहे हैं, उसे अस्वीकृत कर दिया गया है, क्योंकि आपके आईपी तक पहुंच अवरुद्ध कर दी गई है।" अधिक जानकारी के लिए अपने व्यवस्थापक से संपर्क करें।"
उस IP पते से जो परिवेश के लिए IP पतों की अनुमत सूची में है, अपने Power Platform पर्यावरण URI पर ब्राउज़ करें.
आपके पास उस वातावरण तक पहुंच होनी चाहिए जो आपके सुरक्षा भूमिका द्वारा परिभाषित है।
हम अनुशंसा करते हैं कि आप पहले अपने परीक्षण वातावरण में आईपी फ़ायरवॉल का परीक्षण करें, उसके बाद अपने उत्पादन वातावरण पर आईपी फ़ायरवॉल लागू करने से पहले उत्पादन वातावरण में ऑडिट-ओनली मोड का परीक्षण करें।
नोट
डिफ़ॉल्ट रूप से, TDS एंडपॉइंट पर्यावरण के भीतर चालू होता है। Power Platform
आईपी फ़ायरवॉल के लिए लाइसेंसिंग आवश्यकताएँ
IP फ़ायरवॉल केवल उन वातावरणों पर लागू किया जाता है जो प्रबंधित परिवेश के लिए सक्रिय हैं। प्रबंधित परिवेश को स्टैंडअलोन Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, और Dynamics 365 लाइसेंस में एक पात्रता के रूप में शामिल किया गया है जो प्रीमियम उपयोग अधिकार प्रदान करते हैं. प्रबंधित वातावरण लाइसेंसिंग के बारे में अधिक जानें लाइसेंसिंग अवलोकन के साथ। Microsoft Power Platform
इसके अतिरिक्त, IP फ़ायरवॉल का उपयोग करने के लिए उन वातावरणों में उपयोगकर्ताओं के पास निम्न में से कोई एक सदस्यता होना आवश्यक है, जहाँ IP फ़ायरवॉल लागू किया गया है: Dataverse
- Microsoft 365 या Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 अनुपालन
- Microsoft 365 F5 सुरक्षा और अनुपालन
- Microsoft 365 A5/E5/F5/G5 जानकारी सुरक्षा और संचालन
- Microsoft 365 A5/E5/F5/G5 भेदिया जोखिम प्रबंधन
इन लाइसेंसों के बारे में अधिक जानें
सामान्य प्रश्न (FAQ)
आईपी फ़ायरवॉल क्या कवर करता है? Power Platform
आईपी फ़ायरवॉल किसी भी Power Platform पर्यावरण में समर्थित है जिसमें Dataverse शामिल है।
आईपी एड्रेस सूची में परिवर्तन कितनी जल्दी प्रभावी होता है?
अनुमत IP पतों या श्रेणियों की सूची में परिवर्तन आमतौर पर लगभग 5-10 मिनट में प्रभावी हो जाते हैं।
क्या यह फीचर रियल टाइम में काम करता है?
आईपी फ़ायरवॉल सुरक्षा वास्तविक समय में काम करती है। चूंकि यह सुविधा नेटवर्क लेयर पर काम करती है, इसलिए यह प्रमाणीकरण अनुरोध पूरा होने के बाद अनुरोध का मूल्यांकन करती है।
क्या यह सुविधा डिफ़ॉल्ट रूप से सभी परिवेशों में सक्षम है?
IP फ़ायरवॉल डिफ़ॉल्ट रूप से सक्षम नहीं है. व्यवस्थापक को इसे प्रबंधित परिवेश के लिए सक्षम करना होगा। Power Platform
केवल ऑडिट मोड क्या है?
ऑडिट-ओनली मोड में, आईपी फ़ायरवॉल उन आईपी पतों की पहचान करता है जो पर्यावरण पर कॉल कर रहे हैं और उन सभी को अनुमति देता है, चाहे वे अनुमत सीमा में हों या नहीं। यह तब उपयोगी होता है जब आप किसी वातावरण पर प्रतिबंध कॉन्फ़िगर कर रहे हों। Power Platform हम अनुशंसा करते हैं कि आप कम से कम एक सप्ताह के लिए केवल-ऑडिट मोड सक्षम करें और ऑडिट लॉग की सावधानीपूर्वक समीक्षा के बाद ही इसे अक्षम करें।
क्या यह सुविधा सभी वातावरणों में उपलब्ध है?
IP फ़ायरवॉल केवल प्रबंधित परिवेश के लिए उपलब्ध है।
क्या आईपी एड्रेस टेक्स्ट बॉक्स में जोड़े जाने वाले आईपी एड्रेस की संख्या पर कोई सीमा है?
आप RFC 4632 के अनुसार CIDR प्रारूप में 200 IP पते की श्रेणियों को अल्पविराम से अलग करके जोड़ सकते हैं।
यदि अनुरोध विफल होने लगे तो मुझे क्या करना चाहिए? Dataverse
IP फ़ायरवॉल के लिए IP श्रेणियों का गलत कॉन्फ़िगरेशन इस समस्या का कारण हो सकता है। आप IP फ़ायरवॉल सेटिंग पृष्ठ पर IP रेंज की जांच और सत्यापन कर सकते हैं। हम अनुशंसा करते हैं कि आप इसे लागू करने से पहले ऑडिट-ओनली मोड में आईपी फ़ायरवॉल चालू करें।
मैं केवल ऑडिट मोड के लिए ऑडिट लॉग कैसे डाउनलोड करूं?
JSON प्रारूप में ऑडिट लॉग डेटा डाउनलोड करने के लिए OData API का उपयोग करें। Dataverse ऑडिट लॉग API का प्रारूप है:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- [orgURI] को Dataverse पर्यावरण URI से बदलें.
- इस ईवेंट के लिए कार्रवाई मान 118 पर सेट करें.
- top=1 में वापस किए जाने वाले आइटमों की संख्या निर्धारित करें या वह संख्या निर्दिष्ट करें जिसे आप वापस करना चाहते हैं।
मेरे Power Automate पर्यावरण पर IP फ़ायरवॉल कॉन्फ़िगर करने के बाद मेरे प्रवाह अपेक्षा के अनुरूप काम नहीं कर रहे हैं। Power Platform मुझे क्या करना चाहिए?
IP फ़ायरवॉल सेटिंग्स में, प्रबंधित कनेक्टर आउटबाउंड IP पते में सूचीबद्ध सेवा टैग को अनुमति दें.
मैंने रिवर्स प्रॉक्सी एड्रेस सही ढंग से कॉन्फ़िगर किया है, लेकिन आईपी फ़ायरवॉल काम नहीं कर रहा है। मुझे क्या करना चाहिए?
सुनिश्चित करें कि आपका रिवर्स प्रॉक्सी अग्रेषित हेडर में क्लाइंट आईपी पता भेजने के लिए कॉन्फ़िगर किया गया है।
IP फ़ायरवॉल ऑडिट कार्यक्षमता मेरे वातावरण में काम नहीं कर रही है। मुझे क्या करना चाहिए?
IP फ़ायरवॉल ऑडिट लॉग bring-your-own-key (BYOK) एन्क्रिप्शन कुंजियों के लिए सक्षम टेनेन्ट में समर्थित नहीं हैं. यदि आपका टेनेंट bring-your-own-key के लिए सक्षम है, तो BYOK-सक्षम टेनेंट में सभी परिवेश केवल SQL पर लॉक हो जाते हैं, इसलिए ऑडिट लॉग केवल SQL में ही संग्रहीत किए जा सकते हैं। हम अनुशंसा करते हैं कि आप ग्राहक-प्रबंधित कुंजी पर माइग्रेट करें. BYOK से ग्राहक-प्रबंधित कुंजी (CMKv2) में माइग्रेट करने के लिए, अपनी-स्वयं-कुंजी-लाएँ (BYOK) परिवेशों को ग्राहक-प्रबंधित कुंजी में माइग्रेट करें में दिए गए चरणों का पालन करें.
क्या IP फ़ायरवॉल IPv6 IP रेंज का समर्थन करता है?
वर्तमान में, IP फ़ायरवॉल IPv6 IP श्रेणियों का समर्थन नहीं करता है।