Dijeli putem

IP vatrozid u Power Platform okruženjima

  • Članak

IP vatrozid pomaže u zaštiti podataka vaše tvrtke ili ustanove ograničavanjem korisničkog pristupa samo Microsoft Dataverse s dopuštenih IP lokacija. IP vatrozid analizira IP adresu svakog zahtjeva u stvarnom vremenu. Pretpostavimo, primjerice, da je IP vatrozid uključen u vašem proizvodnom Dataverse okruženju, a dopuštene IP adrese nalaze se u rasponima povezanim s lokacijama vašeg ureda, a ne u bilo kojoj vanjskoj IP lokaciji kao što je kafić. Ako korisnik pokuša pristupiti resursima tvrtke ili ustanove iz kafića,uskraćuje Dataverse pristup u stvarnom vremenu.

Dijagram koji prikazuje značajku IP vatrozida u Dataverse.

Ključne prednosti

Omogućavanje IP vatrozida u vašim Power Platform okruženjima nudi nekoliko ključnih prednosti.

  • Ublažite unutarnje prijetnje kao što je eksfiltracija podataka: Zlonamjernom korisniku koji pokuša preuzeti podatke pomoću Dataverse klijentskog alata kao što je Excel ili Power BI s nedopuštene IP lokacije blokiran je da to učini u stvarnom vremenu.
  • Spriječite ponovne napade tokena: Ako korisnik ukrade pristupni token i pokuša ga koristiti za pristup Dataverse izvan dopuštenih IP raspona, Dataverse odbija pokušaj u stvarnom vremenu.

IP zaštita vatrozidom radi u interaktivnim i neinteraktivnim scenarijima.

Kako radi IP vatrozid?

Kada se pošalje Dataverse zahtjev, IP adresa zahtjeva procjenjuje se u stvarnom vremenu u odnosu na IP raspone konfigurirane za okruženje Power Platform . Ako je IP adresa u dopuštenim rasponima, zahtjev je dopušten. Ako je IP adresa izvan IP raspona konfiguriranih za okruženje, IP vatrozid odbija zahtjev s porukom o pogrešci: Zahtjev koji pokušavate poslati odbijen je jer je pristup vašem IP-u blokiran. Za više informacija obratite se administratoru.

Preduvjeti

  • IP vatrozid je značajka Upravljana rješenja.
  • Morate imati administratorsku Power Platform ulogu da biste omogućili ili onemogućili IP vatrozid.

Omogućite IP vatrozid

IP vatrozid možete omogućiti u Power Platform okruženju pomoću Power Platform centra za administratore ili OData API-ja Dataverse .

Omogućivanje IP vatrozida pomoću Power Platform centra za administratore

  1. Prijavite se u Power Platform centar za administratore kao administrator.

  2. Odaberite Okruženja i zatim odaberite okruženje.

  3. Odaberite Postavke>Proizvod>Privatnost + sigurnost.

  4. U postavkama IP adrese postavite Omogući pravilo vatrozida na temelju IP adrese na Uključeno.

  5. U odjeljku Dopušteni popis raspona IPv4/IPv6 navedite dopuštene raspone IP adresa u formatu međudomenskog usmjeravanja bez klase (CIDR) prema RFC 4632. Ako imate više IP raspona, odvojite ih zarezom. Ovo polje prihvaća do 4.000 alfanumeričkih znakova i dopušta najviše 200 IP raspona. IPv6 adrese dopuštene su i u heksadecimalnom i u komprimiranom formatu.

  6. Odaberite druge postavke, prema potrebi:

    • Oznake usluge koje IP vatrozid dopušta: S popisa odaberite oznake usluga koje mogu zaobići ograničenja IP vatrozida.

    • Dopusti pristup Microsoftovim pouzdanim uslugama: Ova postavka omogućuje Microsoftovim pouzdanim uslugama kao što su nadzor i podrška korisnicima itd. da zaobiđu ograničenja IP vatrozida za pristup Power Platform okruženju Dataverse. Omogućeno prema zadanim postavkama.

    • Dopusti pristup svim korisnicima aplikacije: Ova postavka omogućuje svim korisnicima aplikacije pristup Dataverse API-jima treće strane i prve strane. Omogućeno prema zadanim postavkama. Ako izbrišete ovu vrijednost, ona blokira samo korisnike aplikacija trećih strana.

    • Omogući IP vatrozid u načinu rada samo za nadzor: Ova postavka omogućuje IP vatrozid, ali dopušta zahtjeve bez obzira na njihovu IP adresu. Omogućeno prema zadanim postavkama.

    • IP adrese obrnutog proxyja: ako vaša tvrtka ili ustanova ima konfigurirane obrnute proxyje, unesite IP adrese odvojene zarezima. Postavka obrnutog proxyja primjenjuje se i na povezivanje kolačića temeljeno na IP-u i na IP vatrozid. Obratite se mrežnom administratoru da biste dobili obrnute proxy IP adrese.

      Napomena

      Obrnuti proxy mora biti konfiguriran za slanje IP adresa korisničkog klijenta u proslijeđenom zaglavlju.

  7. Odaberite Spremi.

Omogućivanje IP vatrozida pomoću OData API-ja Dataverse

Možete koristiti Dataverse OData API za dohvaćanje i izmjenu vrijednosti unutar okruženja Power Platform . Detaljne smjernice potražite u članku Upitanje podataka pomoću web-API-ja i Ažuriranje i brisanje redaka tablice pomoću web-API-ja (Microsoft Dataverse).

Imate fleksibilnost u odabiru alata koji vam se više sviđaju. Upotrijebite sljedeću dokumentaciju za dohvaćanje i izmjenu vrijednosti putem OData API-ja Dataverse :

Konfiguriranje IP vatrozida pomoću OData API-ja

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Korisna nosivost

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Omogućite značajku postavljanjem vrijednosti na true ili je onemogućite postavljanjem vrijednosti na false.

  • allowediprangeforfirewall – Navedite IP raspone koji bi trebali biti dopušteni. Navedite ih u CIDR notaciji, odvojene zarezom.

    Važno

    Provjerite odgovaraju li nazivi oznaka usluge točno onome što vidite na stranici postavki IP vatrozida. Ako postoji odstupanje, IP ograničenja možda neće ispravno funkcionirati.

  • enableipbasedfirewallruleinauditmode – Vrijednost true označava način rada samo za reviziju, dok vrijednost false označava način provedbe.

  • allowedservicetagsforfirewall – Navedite oznake usluga koje bi trebale biti dopuštene, odvojene zarezom. Ako ne želite konfigurirati oznake usluga, ostavite vrijednost null.

  • allowapplicationuseraccess – Zadana vrijednost je true.

  • allowmicrosofttrustedservicetags – Zadana vrijednost je true.

Važno

Kada su opcije Dopusti pristup Microsoftovim pouzdanim servisima i Dopusti pristup svim korisnicima aplikacija onemogućene, neki servisi koji koriste Dataverse, kao što Power Automate su tijekovi, možda više neće funkcionirati.

Testiranje IP vatrozida

Trebali biste testirati IP vatrozid kako biste provjerili radi li.

  1. S IP adrese koja nije na popisu dopuštenih IP adresa za okruženje pronađite Power Platform URI okruženja.

    Vaš zahtjev treba odbiti s porukom koja kaže: "Zahtjev koji pokušavate poslati odbijen je jer je pristup vašem IP-u blokiran. Za više informacija obratite se administratoru."

  2. S IP adrese koja se nalazi na popisu dopuštenih IP adresa za okruženje dođite do Power Platform URI-ja okruženja.

    Trebali biste imati pristup okruženju koje je definirano vašom sigurnosnom ulogom.

Preporučujemo da prvo testirate IP vatrozid u testnom okruženju, a zatim način rada samo za nadzor u proizvodnom okruženju prije nego što nametnete IP vatrozid u proizvodnom okruženju.

Napomena

Prema zadanim postavkama,TDS krajnja točka je uključena unutar okruženja Power Platform .

Zahtjevi za licenciranje za IP vatrozid

IP vatrozid provodi se samo u okruženjima koja su aktivirana za Upravljana rješenja. Upravljana rješenja uključena su kao pravo u samostalne Power Apps Power Automate Microsoft Copilot Studio Power Pages licence i licence za Dynamics 365 koje daju premium prava na korištenje. Saznajte više o licenciranju upravljanog okruženja pomoću pregleda licenciranja za Microsoft Power Platform.

Osim toga, pristup korištenju IP vatrozida za Dataverse zahtijeva da korisnici u okruženjima u kojima se provodi IP vatrozid imaju jednu od sljedećih pretplata:

  • Microsoft 365 ili Office 365 A5/E5/G5
  • Usklađenost sa sustavom Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 – sigurnost i usklađenost
  • Zaštita podataka i upravljanje za Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 A5/E5/F5/G5 – upravljanje internim rizicima

Saznajte više o tim licencama

Često postavljana pitanja (FAQ)

Što pokriva Power Platform IP vatrozid?

IP vatrozid podržan je u bilo kojem Power Platform okruženju koje uključuje Dataverse.

Koliko brzo promjena popisa IP adresa stupa na snagu?

Promjene popisa dopuštenih IP adresa ili raspona obično stupaju na snagu za otprilike 5 – 10 minuta.

Funkcionira li ova značajka u stvarnom vremenu?

IP zaštita vatrozidom radi u stvarnom vremenu. Budući da značajka radi na mrežnom sloju, procjenjuje zahtjev nakon što je zahtjev za provjeru autentičnosti dovršen.

Je li ova značajka omogućena u svim okruženjima prema zadanim postavkama ?

IP vatrozid nije omogućen prema zadanim postavkama. Administrator Power Platform ga mora omogućiti za Upravljana rješenja.

Što je način rada samo za reviziju?

U načinu rada samo za reviziju, IP vatrozid identificira IP adrese koje upućuju pozive u okruženje i dopušta ih sve, bez obzira jesu li u dopuštenom rasponu ili ne. Korisno je kada konfigurirate ograničenja za Power Platform okruženje. Preporučujemo da omogućite način rada samo za nadzor najmanje tjedan dana i onemogućite ga tek nakon pažljivog pregleda zapisnika nadzora.

Je li ova značajka dostupna u svim okruženjima?

IP vatrozid dostupan je samo za Upravljana rješenja .

Postoji li ograničenje broja IP adresa koje mogu dodati u tekstni okvir IP adrese?

Možete dodati do 200 raspona IP adresa u CIDR formatu prema RFC 4632, odvojenih zarezima.

Što trebam učiniti ako zahtjevi Dataverse počnu propadati?

Netočna konfiguracija IP raspona za IP vatrozid možda uzrokuje ovaj problem. Raspone IP adresa možete provjeriti na stranici s postavkama IP vatrozida. Preporučujemo da uključite IP vatrozid u načinu rada samo za nadzor prije nego što ga provedete.

Kako mogu preuzeti zapisnik nadzora za način rada samo za nadzor?

Upotrijebite Dataverse OData API za preuzimanje podataka zapisnika nadzora u JSON formatu. Format API-ja zapisnika revizije je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Zamijenite [orgURI] URI-jem Dataverse okruženja.
  • Postavite vrijednost akcije na 118 za ovaj događaj.
  • Postavite broj stavki koje želite vratiti u top=1 ili odredite broj koji želite vratiti.

Moji Power Automate tijekovi ne rade kako se očekivalo nakon konfiguriranja IP vatrozida u mom Power Platform okruženju. Što trebam učiniti?

U postavkama IP vatrozida dopustite oznake usluge navedene u odlaznim IP adresama upravljanih poveznika.

Ispravno sam konfigurirao obrnutu proxy adresu, ali IP vatrozid ne radi. Što trebam učiniti?

Provjerite je li vaš obrnuti proxy konfiguriran za slanje IP adrese klijenta u proslijeđenom zaglavlju.

Funkcija revizije IP vatrozida ne funkcionira u mom okruženju. Što trebam učiniti?

Zapisnici nadzora IP vatrozida nisu podržani u klijentima koji su omogućeni za ključeve za šifriranje donije-vlastiti-ključ (BYOK). Ako je vaš klijent omogućen za donošenje vlastitog ključa, tada su sva okruženja u klijentu s omogućenim BYOK-om zaključana samo na SQL, stoga se zapisnici nadzora mogu pohraniti samo u SQL. Preporučujemo da migrirate na ključ kojim upravlja klijent. Da biste migrirali s BYOK-a na ključ kojim upravlja klijent (CMKv2), slijedite korake u odjeljku Migracija okruženja s vlastitim ključem (BYOK) na ključ kojim upravlja klijent.

Podržava li IP vatrozid IPv6 IP raspone?

Da, IP vatrozid podržava IPv6 IP raspone.

Sljedeći koraci

Sigurnost u Microsoft Dataverse