Firewall IP di Power Platform lingkungan

Firewall IP membantu lindungi data organisasi Anda dengan membatasi akses pengguna hanya dari Microsoft Dataverse lokasi IP yang diizinkan. Firewall IP menganalisis alamat IP dari setiap permintaan secara real time. Misalnya, firewall IP diaktifkan di lingkungan produksi Dataverse Anda, dan alamat IP yang diizinkan berada dalam rentang yang terkait dengan lokasi kantor Anda dan bukan lokasi IP eksternal seperti kedai kopi. Jika pengguna mencoba mengakses sumber daya organisasi dari kedai kopi, Dataverse menolak akses secara real time.

Manfaat utama

Mengaktifkan firewall IP di lingkungan Anda Power Platform menawarkan beberapa manfaat utama.

• Mengurangi ancaman orang dalam seperti eksfiltrasi data: Pengguna jahat yang mencoba mengunduh data menggunakan Dataverse alat klien seperti Excel atau Power BI dari lokasi IP yang dilarang diblokir agar tidak melakukannya secara real time.
• Cegah serangan replay token: Jika pengguna mencuri token akses dan mencoba menggunakannya untuk mengakses Dataverse dari luar rentang IP yang diizinkan, Dataverse tolak upaya tersebut secara real time.

Perlindungan firewall IP berfungsi dalam skenario interaktif dan noninteraktif.

Bagaimana cara kerja firewall IP?

Ketika permintaan dibuat Dataverse, alamat IP permintaan dievaluasi secara real time terhadap rentang IP yang dikonfigurasi untuk Power Platform lingkungan. Jika alamat IP berada dalam rentang yang diizinkan, permintaan diizinkan. Jika alamat IP berada di luar rentang IP yang dikonfigurasi untuk lingkungan, firewall IP menolak permintaan dengan pesan kesalahan: Permintaan yang Anda coba buat ditolak karena akses ke IP Anda diblokir. Hubungi administrator Anda untuk informasi selengkapnya.

Prasyarat

• Firewall IP adalah fitur Lingkungan Terkelola.
• Anda harus memiliki Power Platform peran admin untuk mengaktifkan atau menonaktifkan firewall IP.

Aktifkan firewall IP

Anda bisa mengaktifkan firewall IP di lingkungan dengan Power Platform menggunakan Power Platform pusat admin atau Dataverse OData API.

Aktifkan firewall IP menggunakan Power Platform pusat admin

1. Masuk ke Power Platform Pusat Admin sebagai administrator.

2. Pilih lingkungan, lalu pilih lingkungan.

3. Pilih pengatura>produ>privasi + keamanan.

4. Di bawah Pengaturan alamat IP, atur Aktifkan aturan firewall berbasis alamat IP ke Aktif.

5. Di bawah Daftar rentang IPv4 yang diizinkan, tentukan rentang IP yang diizinkan dalam format perutean antardomain tanpa kelas (CIDR) sesuai RFC 4632. Jika Anda memiliki beberapa rentang IP, pisahkan dengan koma. Bidang ini menerima hingga 4.000 karakter alfanumerik dan memungkinkan maksimum 200 rentang IP.

6. Pilih pengaturan lain, yang sesuai:

   • Tag layanan yang diizinkan oleh firewall IP: Dari daftar, pilih tag layanan yang dapat melewati batasan firewall IP.
   • Izinkan akses untuk layanan tepercaya Microsoft: Pengaturan ini memungkinkan layanan tepercaya Microsoft seperti pengguna pemantauan dan dukungan, dll., untuk melewati batasan firewall IP untuk mengakses Power Platform lingkungan Dataverse. Diaktifkan secara default.
   • Izinkan akses untuk semua pengguna aplikasi: Pengaturan ini memungkinkan semua pengguna aplikasi akses pihak ketiga dan pihak pertama ke Dataverse API. Diaktifkan secara default. Jika Anda menghapus nilai ini, itu hanya akan memblokir pengguna aplikasi pihak ketiga.
   • Aktifkan firewall IP dalam mode audit saja: Pengaturan ini mengaktifkan firewall IP tetapi mengizinkan permintaan terlepas dari alamat IP-nya. Diaktifkan secara default.
   • Alamat IP proxy terbalik: Jika organisasi Anda telah mengonfigurasi proxy terbalik, masukkan alamat IP satu atau beberapa proxy, dipisahkan dengan koma. Pengaturan proxy terbalik berlaku untuk pengikatan cookie berbasis IP dan firewall IP.

7. Pilih Simpan.

Aktifkan firewall IP menggunakan Dataverse API OData

Anda bisa menggunakan Dataverse API OData untuk mengambil dan mengubah nilai dalam lingkungan Power Platform . Untuk panduan terperinci, lihat Mengkueri data menggunakan API Web dan Memperbarui dan menghapus baris tabel menggunakan API Web (Microsoft Dataverse).

Anda memiliki fleksibilitas untuk memilih alat yang Anda sukai. Gunakan dokumentasi berikut untuk mengambil dan mengubah nilai melalui Dataverse API OData:

• Gunakan Insomnia dengan Dataverse Web API
• API Web Mulai Cepat dengan PowerShell dan Visual Studio Kode

Mengonfigurasi firewall IP dengan menggunakan API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Payload

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Aktifkan fitur dengan mengatur nilai ke true, atau nonaktifkan dengan mengatur nilai ke false.

• allowediprangeforfirewall — Cantumkan rentang IP yang harus diizinkan. Berikan dalam notasi CIDR, dipisahkan dengan koma.

  Penting

  Pastikan bahwa nama tag layanan sama persis dengan apa yang Anda lihat di halaman pengaturan firewall IP. Jika ada perbedaan, pembatasan IP mungkin tidak berfungsi dengan benar.

• enableipbasedfirewallruleinauditmode – Nilai true menunjukkan mode audit saja, sedangkan nilai false menunjukkan mode penegakan.

• allowedservicetagsforfirewall – Cantumkan tag layanan yang harus diizinkan, dipisahkan dengan koma. Jika Anda tidak ingin mengonfigurasi tag layanan apa pun, biarkan nilainya kosong.

• allowapplicationuseraccess – Nilai defaultnya adalah true.

• allowmicrosofttrustedservicetags – Nilai defaultnya adalah true.

Penting

Saat Perbolehkan Akses untuk layanan tepercaya Microsoft dan Perbolehkan akses untuk semua pengguna aplikasi dinonaktifkan, beberapa layanan yang menggunakan Dataverse, seperti Power Automate alur, mungkin tidak lagi berfungsi.

Uji firewall IP

Anda harus menguji firewall IP untuk memverifikasi bahwa itu berfungsi.

1. Dari alamat IP yang tidak ada dalam daftar alamat IP yang diizinkan untuk lingkungan, telusuri ke URI lingkungan Anda Power Platform .

   Permintaan Anda harus ditolak dengan pesan yang mengatakan, "Permintaan yang Anda coba buat ditolak karena akses ke IP Anda diblokir. Hubungi administrator Anda untuk informasi lebih lanjut."

2. Dari alamat IP yang ada dalam daftar alamat IP yang diizinkan untuk lingkungan, telusuri ke URI lingkungan Anda Power Platform .

   Anda harus memiliki akses ke lingkungan yang ditentukan oleh peran keamanan Anda.

Sebaiknya uji firewall IP di lingkungan pengujian Anda terlebih dahulu, diikuti dengan mode khusus audit di lingkungan Produksi sebelum menerapkan firewall IP di lingkungan Produksi Anda.

Catatan

Secara default, TDS titik akhir diaktifkan dalam Power Platform lingkungan.

Persyaratan lisensi untuk firewall IP

IP firewall hanya diberlakukan pada lingkungan yang diaktifkan untuk Lingkungan Terkelola. Lingkungan Terkelola disertakan sebagai hak dalam lisensi mandiri Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, dan Dynamics 365 yang memberikan hak penggunaan premium. Pelajari selengkapnya tentang lisensi Lingkungan Terkelola dengan gambaran umum Lisensi untuk Microsoft Power Platform.

Selain itu, akses untuk menggunakan firewall IP untuk Dataverse mengharuskan pengguna di lingkungan tempat firewall IP diberlakukan untuk memiliki salah satu langganan berikut:

• Microsoft 365 atau Office 365 A5/E5/G5
• Kepatuhan Microsoft 365 A5/E5/F5/G5
• Keamanan dan Kepatuhan Microsoft 365 F5
• Perlindungan Informasi dan Tata Kelola Microsoft 365 A5/E5/F5/G5
• Manajemen Risiko dari Dalam Microsoft 365 A5/E5/F5/G5

Pelajari selengkapnya tentang lisensi ini

Tanya jawab (FAQ)

Apa yang tercakup dalam Power Platform firewall IP?

Firewall IP didukung di lingkungan apa pun Power Platform yang mencakup Dataverse.

Seberapa cepat perubahan pada daftar alamat IP diterapkan?

Perubahan pada daftar alamat IP atau rentang yang diizinkan biasanya berlaku dalam waktu sekitar 5-10 menit.

Apakah fitur ini berfungsi secara real time?

Perlindungan firewall IP bekerja secara real time. Karena fitur ini berfungsi di lapisan jaringan, fitur ini mengevaluasi permintaan setelah permintaan autentikasi selesai.

Apakah fitur ini diaktifkan secara default di semua lingkungan?

Firewall IP tidak diaktifkan secara default. Administrator Power Platform harus mengaktifkannya untuk Lingkungan Terkelola.

Apa itu mode khusus audit?

Dalam mode audit saja, firewall IP mengidentifikasi alamat IP yang melakukan panggilan ke lingkungan dan memungkinkan semuanya, apakah mereka berada dalam rentang yang diizinkan atau tidak. Ini berguna saat Anda mengonfigurasi pembatasan pada Power Platform lingkungan. Sebaiknya aktifkan mode khusus audit setidaknya selama seminggu dan nonaktifkan hanya setelah meninjau log audit dengancermat.

Apakah fitur ini tersedia di semua lingkungan?

Firewall IP hanya tersedia untuk Lingkungan Terkelola .

Apakah ada batasan jumlah alamat IP yang dapat saya tambahkan di kotak teks alamat IP?

Anda dapat menambahkan hingga 200 rentang alamat IP dalam format CIDR sesuai RFC 4632, dipisahkan dengan koma.

Apa yang harus saya lakukan jika permintaan mulai Dataverse gagal?

Konfigurasi rentang IP yang salah untuk firewall IP mungkin menyebabkan masalah ini. Anda dapat memeriksa dan memverifikasi rentang IP pada halaman pengaturan firewall IP. Sebaiknya aktifkan firewall IP dalam mode Hanya audit sebelum menegakkannya.

Bagaimana cara mengunduh log audit untuk mode audit saja?

Dataverse Gunakan API OData untuk mengunduh data log audit dalam format JSON. Format API log audit adalah:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Ganti [orgURI] dengan Dataverse URI lingkungan.
• Tetapkan nilai tindakan ke 118 untuk peristiwa ini.
• Atur jumlah item yang akan dikembalikan di atas=1 atau tentukan jumlah yang ingin Anda kembalikan.

Alur saya Power Automate tidak berfungsi seperti yang diharapkan setelah mengonfigurasi firewall IP di lingkungan saya Power Platform . Apa yang harus saya lakukan

Dalam pengaturan firewall IP, izinkan tag layanan yang tercantum di Alamat IP keluar konektor terkelola.

Saya telah mengonfigurasi alamat proxy terbalik dengan benar, tetapi firewall IP tidak berfungsi. Apa yang harus saya lakukan

Pastikan proksi terbalik Anda dikonfigurasi untuk mengirim alamat IP klien di header yang diteruskan.

Fungsi audit firewall IP tidak berfungsi di lingkungan saya. Apa yang harus saya lakukan

Log audit firewall IP tidak didukung di penyewa yang diaktifkan untuk kunci enkripsi bring-your-own-key (BYOK). Jika penyewa Anda diaktifkan untuk membawa kunci Anda sendiri, maka semua lingkungan dalam penyewa yang diaktifkan BYOK dikunci ke SQL saja, oleh karena itu log audit hanya dapat disimpan dalam SQL. Sebaiknya migrasikan ke kunci yang dikelola pelanggan. Untuk bermigrasi dari BYOK ke kunci yang dikelola pelanggan (CMKv2), ikuti langkah-langkah di Memigrasikan lingkungan bring-your-own-key (BYOK) ke kunci yang dikelola pelanggan.

Apakah firewall IP mendukung rentang IP IPv6?

Saat ini, firewall IP tidak mendukung rentang IP IPv6.

Langkah berikutnya

Keamanan dalam Microsoft Dataverse