IP-tűzfal környezetekben Power Platform

Az IP-tűzfal segít megvédeni a szervezeti adatokat azáltal, hogy Microsoft Dataverse a felhasználói hozzáférést csak az engedélyezett IP-helyekről korlátozza. Az IP-tűzfal valós időben elemzi az egyes kérések IP-címét. Tegyük fel például, hogy az IP-tűzfal be van kapcsolva az éles Dataverse környezetben, és az engedélyezett IP-címek az irodai helyekhez társított tartományokban vannak, nem pedig külső IP-helyeken, például kávézókban. Ha egy felhasználó megpróbál hozzáférni a szervezeti erőforrásokhoz egy kávézóból, Dataverse megtagadja a hozzáférést valós időben.

Fontos

Az IP-tűzfal funkció csak az OData-végpontokat támogatja az adatok eléréséhez Dataverse . A TDS-végpontok támogatása egy későbbi kiadásban lesz elérhető.

A legfontosabb előnyök

Az IP-tűzfal engedélyezése a Power Platform környezetekben számos fontos előnnyel jár.

• A belső fenyegetések, például az adatszivárgás csökkentése: A rosszindulatú felhasználók, akik adatokat próbálnak letölteni egy ügyféleszközből Dataverse , például az Excelből vagy Power BI egy nem engedélyezett IP-helyről, valós időben blokkolva vannak.
• Jogkivonat-visszajátszásos támadások megelőzése: Ha egy felhasználó ellop egy hozzáférési token, és megpróbálja használni az engedélyezett IP-tartományon kívüli hozzáféréshez Dataverse , Dataverse valós időben megtagadja a kísérletet.

Az IP-tűzfal védelme interaktív és nem interaktív helyzetekben is működik.

Hogyan működik az IP-tűzfal?

Kérés esetén Dataverse a rendszer valós időben értékeli ki a kérelem IP-címét a környezethez Power Platform konfigurált IP-címtartományok alapján. Ha az IP-cím az engedélyezett tartományokban van, a kérés engedélyezett. Ha az IP-cím kívül esik a környezethez konfigurált IP-tartományokon, az IP-tűzfal a következő hibaüzenettel tagadja meg a kérést: A rendszer elutasítja a kérést, mivel az IP-címhez való hozzáférés le van tiltva. További információért forduljon a rendszergazdához.

Előfeltételek

• Az IP-tűzfal a felügyelt környezetek egyik szolgáltatása.
• Az IP-tűzfal engedélyezéséhez vagy letiltásához rendszergazdai szerepkörrel Power Platform kell rendelkeznie.

Az IP-tűzfal engedélyezése

Az IP-tűzfalat a felügyeleti központ vagy az OData Power Platform API használatával Power Platform engedélyezheti egy Dataverse környezetben.

Az IP-tűzfal engedélyezése a felügyeleti központ használatával Power Platform

1. Jelentkezzen be a felügyeleti központba Power Platform rendszergazdaként.

2. Válassza a Környezetek lehetőséget, majd válasszon egy környezetet.

3. Válassza a Beállítások>Termék>Adatvédelem + biztonság lehetőséget.

4. Az IP-cím beállításai alattállítsa az IP-cím alapú tűzfalszabály engedélyezése beállítást Be értékre.

5. Az IPv4-tartományok engedélyezett listája területenadja meg az engedélyezett IP-címtartományokat osztály nélküli tartományközi útválasztási (CIDR) formátumban az RFC 4632 szerint. Ha több IP-címtartománya van, vesszővel válassza el őket. Ez a mező legfeljebb 4 000 alfanumerikus karaktert fogad el, és legfeljebb 200 IP-címtartományt engedélyez.

6. Szükség szerint válassza ki a többi beállítást:

   • Az IP-tűzfal által engedélyezett szolgáltatáscímkék: A listából válassza ki azokat a szolgáltatáscímkéket, amelyek megkerülhetik az IP-tűzfal korlátozásait.
   • Hozzáférés engedélyezése a Microsoft megbízható szolgáltatásai számára: Ez a beállítás lehetővé teszi, hogy a Microsoft megbízható szolgáltatásai, például a figyelési és támogatási felhasználók stb. megkerüljék az IP-tűzfal korlátozásait a Power Platform környezet Dataverse eléréséhez. Alapértelmezés szerint engedélyezve.
   • Hozzáférés engedélyezése az alkalmazás összes felhasználója számára: Ez a beállítás lehetővé teszi , hogy az alkalmazás minden felhasználója harmadik féltől és belső féltől hozzáférjen az API-khoz Dataverse . Alapértelmezés szerint engedélyezve. Ha törli ezt az értéket, az csak a külső alkalmazásfelhasználókat blokkolja.
   • IP-tűzfal engedélyezése csak naplózási módban: Ez a beállítás engedélyezi az IP-tűzfalat, de az IP-címtől függetlenül engedélyezi a kéréseket. Alapértelmezés szerint engedélyezve.
   • Fordított proxy IP-címei: Ha a szervezet fordított proxykat konfigurált, vesszővel elválasztva adja meg egy vagy több IP-címét. A fordított proxybeállítás az IP-alapú cookie-kötésre és az IP-tűzfalra is vonatkozik.

7. Válassza a Mentés parancsot.

IP-tűzfal engedélyezése az OData Dataverse API használatával

Az OData Dataverse API-val értékeket kérhet le és módosíthat egy Power Platform környezetben. Részletes útmutatásért lásd: Adatok lekérdezése a webes API használatával és Táblasorok frissítése és törlése a webes API használatával (Microsoft Dataverse).

Rugalmasan kiválaszthatja a kívánt eszközöket. Az alábbi dokumentáció segítségével lekérheti és módosíthatja az értékeket az OData Dataverse API-n keresztül:

• Az Insomnia használata webes API-val Dataverse
• Első lépések webes API a PowerShell és Visual Studio a kód használatával

Az IP-tűzfal konfigurálása az OData API használatával

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Hasznos teher

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Engedélyezze a funkciót úgy, hogy az értéket true (igaz )értékre állítja, vagy letiltja azt az érték false (hamis) értékreállításával.

• allowediprangeforfirewall – Az engedélyezni kívánt IP-tartományok felsorolása. CIDR-jelöléssel, vesszővel elválasztva adja meg őket.

  Fontos

  Győződjön meg arról, hogy a szolgáltatáscímkék nevei pontosan megegyeznek az IP-tűzfal beállítási oldalán láthatóval. Ha bármilyen eltérés van, előfordulhat, hogy az IP-korlátozások nem működnek megfelelően.

• enableipbasedfirewallruleinauditmode – Az true érték csak naplózási módot, míg a false érték kényszerítési módot jelez.

• allowedservicetagsforfirewall – Sorolja fel az engedélyezni kívánt szolgáltatáscímkéket vesszővel elválasztva. Ha nem szeretne szolgáltatáscímkéket konfigurálni, hagyja meg a null értéket.

• allowapplicationuseraccess – Az alapértelmezett érték true.

• allowmicrosofttrustedservicetags – Az alapértelmezett érték true.

Fontos

Ha a Hozzáférés engedélyezése a Microsoft megbízható szolgáltatásai számára és a Hozzáférés engedélyezése minden alkalmazásfelhasználó számára le van tiltva, előfordulhat, hogy egyes használatos Dataverse szolgáltatások, például Power Automate a folyamatok, már nem működnek.

Az IP-tűzfal tesztelése

Tesztelje az IP-tűzfalat, és ellenőrizze, hogy működik-e.

1. Egy olyan IP-címről, amely nem szerepel a környezet IP-címeinek engedélyezett listájában, keresse meg a környezet URI-ját Power Platform .

   A kérést a következő üzenettel kell elutasítani: "A kérést, amelyet megpróbál benyújtani, elutasítjuk, mivel az IP-címéhez való hozzáférés le van tiltva. További információért forduljon a rendszergazdához."

2. A környezet IP-címeinek engedélyezett listájában található IP-címről keresse meg a környezet URI-ját Power Platform .

   Hozzáféréssel kell rendelkeznie a biztonsági szerepkör által meghatározott környezethez.

Javasoljuk, hogy először tesztelje az IP-tűzfalat a tesztkörnyezetben, majd csak naplózási módot éles környezetben, mielőtt kényszerítené az IP-tűzfalat az éles környezetben.

Az IP-tűzfal licencelési követelményei

Az IP-tűzfal csak a felügyelt környezetekhez aktivált környezetekben van kényszerítve. A felügyelt környezetek jogosultságként szerepelnek az önálló Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, és Dynamics 365 licencekben, amelyek prémium használati jogokat biztosítanak. További információ a felügyelt környezet licenceléséről a licencelés áttekintésében Microsoft Power Platform.

Emellett az IP-tűzfal használatához való hozzáféréshez az IP-tűzfalat Dataverse érvényesítő környezetekben lévő felhasználóknak az alábbi előfizetések egyikével kell rendelkezniük:

• Microsoft 365 vagy Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 megfelelőség
• Microsoft 365 F5 Biztonság és megfelelőség
• Microsoft 365 A5/E5/F5/G5 Adatvédelem és információirányítás
• Microsoft 365 A5/E5/F5/G5 Belső kockázatkezelés

További információ ezekről a licencekről

Gyakran ismételt kérdések (GYIK)

Mit takar Power Platform az IP tűzfal?

Az IP-tűzfal minden Power Platform olyan környezetben támogatott, amely magában foglalja Dataverse.

Milyen hamar lép érvénybe az IP-címlista módosítása?

Az engedélyezett IP-címek vagy tartományok listájának módosításai általában körülbelül 5–10 percen belül lépnek életbe.

Működik ez a funkció valós időben?

Az IP tűzfal védelme valós időben működik. Mivel a szolgáltatás a hálózati rétegben működik, a hitelesítési kérelem befejezése után kiértékeli a kérést.

Engedélyezve van ez a funkció alapértelmezés szerint minden környezetben?

Az IP-tűzfal alapértelmezés szerint nincs engedélyezve. A Power Platform rendszergazdának engedélyeznie kell a felügyelt környezetekhez.

Mi az a csak naplózási mód?

Csak naplózási módban az IP-tűzfal azonosítja azokat az IP-címeket, amelyek hívásokat kezdeményeznek a környezetbe, és mindegyiket engedélyezi, függetlenül attól, hogy engedélyezett tartományban vannak-e vagy sem. Ez akkor hasznos, ha korlátozásokat konfigurál egy Power Platform környezetre. Javasoljuk, hogy legalább egy hétig engedélyezze a csak naplózási módot, és csak az auditnaplók gondos áttekintése után tiltsa le.

Ez a funkció minden környezetben elérhető?

Az IP-tűzfal csak felügyelt környezetekben érhető el.

Korlátozva van az IP-cím szövegmezőbe beadható IP-címek száma?

Legfeljebb 200 IP-címtartományt adhat hozzá CIDR formátumban az RFC 4632 szerint, vesszővel elválasztva.

Mi a teendő, ha a kérések Dataverse sikertelenek lesznek?

Az IP-tűzfal IP-tartományainak helytelen konfigurációja okozhatja ezt a problémát. Az IP-címtartományokat az IP-tűzfal beállításai lapon ellenőrizheti és ellenőrizheti. Javasoljuk, hogy kényszerítése előtt kapcsolja be az IP-tűzfalat csak naplózási módban.

Hogyan tölthetem le az auditnaplót csak naplózási módhoz?

Az OData Dataverse API használatával töltse le az auditnapló adatait JSON formátumban. Az auditnapló API formátuma a következő:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Cserélje le az [orgURI] helyére a Dataverse környezeti URI-t.
• Állítsa a művelet értékét 118-ra ehhez az eseményhez.
• Állítsa be a visszaadandó elemek számát a top=1 értékben , vagy adja meg a visszaadni kívánt számot.

A Power Automate folyamatok nem a várt módon működnek, miután konfiguráltam az IP-tűzfalat a környezetemben Power Platform . Mi a teendő?

Az IP-tűzfal beállításaiban engedélyezze a Felügyelt összekötők kimenő IP-címei közöttfelsorolt szolgáltatáscímkéket.

Helyesen konfiguráltam a fordított proxycímet, de az IP-tűzfal nem működik. Mi a teendő?

Győződjön meg arról, hogy a fordított proxy úgy van konfigurálva, hogy elküldje az ügyfél IP-címét a továbbított fejlécben.

Néhány hívás Power BI sikertelen, miután engedélyeztem az IP-tűzfalat a Power Platform környezetben. Mi a teendő?

Jelenleg csak az OData-végpontokhoz Dataverse használhat IP-tűzfalat az adatok konfigurált IP-helyről való eléréséhez. Ha továbbra is használni szeretné a TDS-végpontokat, le kell tiltania az IP-tűzfalat a környezetben.

Az IP-tűzfal naplózási funkciója nem működik a környezetemben. Mi a teendő?

Az IP-tűzfal auditnaplói nem támogatottak a saját kulcs (BYOK) titkosítási kulcsokhoz engedélyezett bérlőkben. Ha a bérlőn engedélyezve van a saját kulcs használata, akkor a BYOK-kompatibilis bérlő összes környezete csak az SQL-hez van zárolva, ezért az auditnaplók csak SQL-ben tárolhatók. Javasoljuk, hogy migráljon az ügyfél által felügyelt kulcsra. A BYOK-ról az ügyfél által felügyelt kulcsra (CMKv2) való áttelepítéshez kövesse a Saját kulcs használata (BYOK) környezetek áttelepítése ügyfél által felügyelt kulcsra című témakör lépéseit.

Támogatja az IP-tűzfal az IPv6 IP-tartományokat?

Az IP-tűzfal jelenleg nem támogatja az IPv6 IP-tartományokat.

További lépések

Biztonság a Microsoft Dataverse szolgáltatásban