IP-tűzfal környezetekben Power Platform
Az IP-tűzfal segít megvédeni a szervezeti adatokat azáltal, hogy Microsoft Dataverse a felhasználói hozzáférést csak az engedélyezett IP-helyekről korlátozza. Az IP-tűzfal valós időben elemzi az egyes kérések IP-címét. Tegyük fel például, hogy az IP-tűzfal be van kapcsolva az éles Dataverse környezetben, és az engedélyezett IP-címek az irodai helyekhez társított tartományokban vannak, nem pedig külső IP-helyeken, például kávézókban. Ha egy felhasználó megpróbál hozzáférni a szervezeti erőforrásokhoz egy kávézóból, Dataverse megtagadja a hozzáférést valós időben.
Fontos
Az IP-tűzfal funkció csak az OData-végpontokat támogatja az adatok eléréséhez Dataverse . A TDS-végpontok támogatása egy későbbi kiadásban lesz elérhető.
A legfontosabb előnyök
Az IP-tűzfal engedélyezése a Power Platform környezetekben számos fontos előnnyel jár.
- A belső fenyegetések, például az adatszivárgás csökkentése: A rosszindulatú felhasználók, akik adatokat próbálnak letölteni egy ügyféleszközből Dataverse , például az Excelből vagy Power BI egy nem engedélyezett IP-helyről, valós időben blokkolva vannak.
- Jogkivonat-visszajátszásos támadások megelőzése: Ha egy felhasználó ellop egy hozzáférési token, és megpróbálja használni az engedélyezett IP-tartományon kívüli hozzáféréshez Dataverse , Dataverse valós időben megtagadja a kísérletet.
Az IP-tűzfal védelme interaktív és nem interaktív helyzetekben is működik.
Hogyan működik az IP-tűzfal?
Kérés esetén Dataverse a rendszer valós időben értékeli ki a kérelem IP-címét a környezethez Power Platform konfigurált IP-címtartományok alapján. Ha az IP-cím az engedélyezett tartományokban van, a kérés engedélyezett. Ha az IP-cím kívül esik a környezethez konfigurált IP-tartományokon, az IP-tűzfal a következő hibaüzenettel tagadja meg a kérést: A rendszer elutasítja a kérést, mivel az IP-címhez való hozzáférés le van tiltva. További információért forduljon a rendszergazdához.
Előfeltételek
- Az IP-tűzfal a felügyelt környezetek egyik szolgáltatása.
- Az IP-tűzfal engedélyezéséhez vagy letiltásához rendszergazdai szerepkörrel Power Platform kell rendelkeznie.
Az IP-tűzfal engedélyezése
Az IP-tűzfalat a felügyeleti központ vagy az OData Power Platform API használatával Power Platform engedélyezheti egy Dataverse környezetben.
Az IP-tűzfal engedélyezése a felügyeleti központ használatával Power Platform
Jelentkezzen be a felügyeleti központba Power Platform rendszergazdaként.
Válassza a Környezetek lehetőséget, majd válasszon egy környezetet.
Válassza a Beállítások>Termék>Adatvédelem + biztonság lehetőséget.
Az IP-cím beállításai alattállítsa az IP-cím alapú tűzfalszabály engedélyezése beállítást Be értékre.
Az IPv4-tartományok engedélyezett listája területenadja meg az engedélyezett IP-címtartományokat osztály nélküli tartományközi útválasztási (CIDR) formátumban az RFC 4632 szerint. Ha több IP-címtartománya van, vesszővel válassza el őket. Ez a mező legfeljebb 4 000 alfanumerikus karaktert fogad el, és legfeljebb 200 IP-címtartományt engedélyez.
Szükség szerint válassza ki a többi beállítást:
- Az IP-tűzfal által engedélyezett szolgáltatáscímkék: A listából válassza ki azokat a szolgáltatáscímkéket, amelyek megkerülhetik az IP-tűzfal korlátozásait.
- Hozzáférés engedélyezése a Microsoft megbízható szolgáltatásai számára: Ez a beállítás lehetővé teszi, hogy a Microsoft megbízható szolgáltatásai, például a figyelési és támogatási felhasználók stb. megkerüljék az IP-tűzfal korlátozásait a Power Platform környezet Dataverse eléréséhez. Alapértelmezés szerint engedélyezve.
- Hozzáférés engedélyezése az alkalmazás összes felhasználója számára: Ez a beállítás lehetővé teszi , hogy az alkalmazás minden felhasználója harmadik féltől és belső féltől hozzáférjen az API-khoz Dataverse . Alapértelmezés szerint engedélyezve. Ha törli ezt az értéket, az csak a külső alkalmazásfelhasználókat blokkolja.
- IP-tűzfal engedélyezése csak naplózási módban: Ez a beállítás engedélyezi az IP-tűzfalat, de az IP-címtől függetlenül engedélyezi a kéréseket. Alapértelmezés szerint engedélyezve.
- Fordított proxy IP-címei: Ha a szervezet fordított proxykat konfigurált, vesszővel elválasztva adja meg egy vagy több IP-címét. A fordított proxybeállítás az IP-alapú cookie-kötésre és az IP-tűzfalra is vonatkozik.
Válassza a Mentés parancsot.
IP-tűzfal engedélyezése az OData Dataverse API használatával
Az OData Dataverse API-val értékeket kérhet le és módosíthat egy Power Platform környezetben. Részletes útmutatásért lásd: Adatok lekérdezése a webes API használatával és Táblasorok frissítése és törlése a webes API használatával (Microsoft Dataverse).
Rugalmasan kiválaszthatja a kívánt eszközöket. Az alábbi dokumentáció segítségével lekérheti és módosíthatja az értékeket az OData Dataverse API-n keresztül:
- Az Insomnia használata webes API-val Dataverse
- Első lépések webes API a PowerShell és Visual Studio a kód használatával
Az IP-tűzfal konfigurálása az OData API használatával
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Hasznos teher
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – Engedélyezze a funkciót úgy, hogy az értéket true (igaz )értékre állítja, vagy letiltja azt az érték false (hamis) értékreállításával.
allowediprangeforfirewall – Az engedélyezni kívánt IP-tartományok felsorolása. CIDR-jelöléssel, vesszővel elválasztva adja meg őket.
Fontos
Győződjön meg arról, hogy a szolgáltatáscímkék nevei pontosan megegyeznek az IP-tűzfal beállítási oldalán láthatóval. Ha bármilyen eltérés van, előfordulhat, hogy az IP-korlátozások nem működnek megfelelően.
enableipbasedfirewallruleinauditmode – Az true érték csak naplózási módot, míg a false érték kényszerítési módot jelez.
allowedservicetagsforfirewall – Sorolja fel az engedélyezni kívánt szolgáltatáscímkéket vesszővel elválasztva. Ha nem szeretne szolgáltatáscímkéket konfigurálni, hagyja meg a null értéket.
allowapplicationuseraccess – Az alapértelmezett érték true.
allowmicrosofttrustedservicetags – Az alapértelmezett érték true.
Fontos
Ha a Hozzáférés engedélyezése a Microsoft megbízható szolgáltatásai számára és a Hozzáférés engedélyezése minden alkalmazásfelhasználó számára le van tiltva, előfordulhat, hogy egyes használatos Dataverse szolgáltatások, például Power Automate a folyamatok, már nem működnek.
Az IP-tűzfal tesztelése
Tesztelje az IP-tűzfalat, és ellenőrizze, hogy működik-e.
Egy olyan IP-címről, amely nem szerepel a környezet IP-címeinek engedélyezett listájában, keresse meg a környezet URI-ját Power Platform .
A kérést a következő üzenettel kell elutasítani: "A kérést, amelyet megpróbál benyújtani, elutasítjuk, mivel az IP-címéhez való hozzáférés le van tiltva. További információért forduljon a rendszergazdához."
A környezet IP-címeinek engedélyezett listájában található IP-címről keresse meg a környezet URI-ját Power Platform .
Hozzáféréssel kell rendelkeznie a biztonsági szerepkör által meghatározott környezethez.
Javasoljuk, hogy először tesztelje az IP-tűzfalat a tesztkörnyezetben, majd csak naplózási módot éles környezetben, mielőtt kényszerítené az IP-tűzfalat az éles környezetben.
Az IP-tűzfal licencelési követelményei
Az IP-tűzfal csak a felügyelt környezetekhez aktivált környezetekben van kényszerítve. A felügyelt környezetek jogosultságként szerepelnek az önálló Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, és Dynamics 365 licencekben, amelyek prémium használati jogokat biztosítanak. További információ a felügyelt környezet licenceléséről a licencelés áttekintésében Microsoft Power Platform.
Emellett az IP-tűzfal használatához való hozzáféréshez az IP-tűzfalat Dataverse érvényesítő környezetekben lévő felhasználóknak az alábbi előfizetések egyikével kell rendelkezniük:
- Microsoft 365 vagy Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 megfelelőség
- Microsoft 365 F5 Biztonság és megfelelőség
- Microsoft 365 A5/E5/F5/G5 Adatvédelem és információirányítás
- Microsoft 365 A5/E5/F5/G5 Belső kockázatkezelés
További információ ezekről a licencekről
Gyakran ismételt kérdések (GYIK)
Mit takar Power Platform az IP tűzfal?
Az IP-tűzfal minden Power Platform olyan környezetben támogatott, amely magában foglalja Dataverse.
Milyen hamar lép érvénybe az IP-címlista módosítása?
Az engedélyezett IP-címek vagy tartományok listájának módosításai általában körülbelül 5–10 percen belül lépnek életbe.
Működik ez a funkció valós időben?
Az IP tűzfal védelme valós időben működik. Mivel a szolgáltatás a hálózati rétegben működik, a hitelesítési kérelem befejezése után kiértékeli a kérést.
Engedélyezve van ez a funkció alapértelmezés szerint minden környezetben?
Az IP-tűzfal alapértelmezés szerint nincs engedélyezve. A Power Platform rendszergazdának engedélyeznie kell a felügyelt környezetekhez.
Mi az a csak naplózási mód?
Csak naplózási módban az IP-tűzfal azonosítja azokat az IP-címeket, amelyek hívásokat kezdeményeznek a környezetbe, és mindegyiket engedélyezi, függetlenül attól, hogy engedélyezett tartományban vannak-e vagy sem. Ez akkor hasznos, ha korlátozásokat konfigurál egy Power Platform környezetre. Javasoljuk, hogy legalább egy hétig engedélyezze a csak naplózási módot, és csak az auditnaplók gondos áttekintése után tiltsa le.
Ez a funkció minden környezetben elérhető?
Az IP-tűzfal csak felügyelt környezetekben érhető el.
Korlátozva van az IP-cím szövegmezőbe beadható IP-címek száma?
Legfeljebb 200 IP-címtartományt adhat hozzá CIDR formátumban az RFC 4632 szerint, vesszővel elválasztva.
Mi a teendő, ha a kérések Dataverse sikertelenek lesznek?
Az IP-tűzfal IP-tartományainak helytelen konfigurációja okozhatja ezt a problémát. Az IP-címtartományokat az IP-tűzfal beállításai lapon ellenőrizheti és ellenőrizheti. Javasoljuk, hogy kényszerítése előtt kapcsolja be az IP-tűzfalat csak naplózási módban.
Hogyan tölthetem le az auditnaplót csak naplózási módhoz?
Az OData Dataverse API használatával töltse le az auditnapló adatait JSON formátumban. Az auditnapló API formátuma a következő:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Cserélje le az [orgURI] helyére a Dataverse környezeti URI-t.
- Állítsa a művelet értékét 118-ra ehhez az eseményhez.
- Állítsa be a visszaadandó elemek számát a top=1 értékben , vagy adja meg a visszaadni kívánt számot.
A Power Automate folyamatok nem a várt módon működnek, miután konfiguráltam az IP-tűzfalat a környezetemben Power Platform . Mi a teendő?
Az IP-tűzfal beállításaiban engedélyezze a Felügyelt összekötők kimenő IP-címei közöttfelsorolt szolgáltatáscímkéket.
Helyesen konfiguráltam a fordított proxycímet, de az IP-tűzfal nem működik. Mi a teendő?
Győződjön meg arról, hogy a fordított proxy úgy van konfigurálva, hogy elküldje az ügyfél IP-címét a továbbított fejlécben.
Néhány hívás Power BI sikertelen, miután engedélyeztem az IP-tűzfalat a Power Platform környezetben. Mi a teendő?
Jelenleg csak az OData-végpontokhoz Dataverse használhat IP-tűzfalat az adatok konfigurált IP-helyről való eléréséhez. Ha továbbra is használni szeretné a TDS-végpontokat, le kell tiltania az IP-tűzfalat a környezetben.
Az IP-tűzfal naplózási funkciója nem működik a környezetemben. Mi a teendő?
Az IP-tűzfal auditnaplói nem támogatottak a saját kulcs (BYOK) titkosítási kulcsokhoz engedélyezett bérlőkben. Ha a bérlőn engedélyezve van a saját kulcs használata, akkor a BYOK-kompatibilis bérlő összes környezete csak az SQL-hez van zárolva, ezért az auditnaplók csak SQL-ben tárolhatók. Javasoljuk, hogy migráljon az ügyfél által felügyelt kulcsra. A BYOK-ról az ügyfél által felügyelt kulcsra (CMKv2) való áttelepítéshez kövesse a Saját kulcs használata (BYOK) környezetek áttelepítése ügyfél által felügyelt kulcsra című témakör lépéseit.
Támogatja az IP-tűzfal az IPv6 IP-tartományokat?
Az IP-tűzfal jelenleg nem támogatja az IPv6 IP-tartományokat.
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: