Dataverse での Cookie リプレイ攻撃をブロックする

IP アドレス ベースの Cookie バインドにより、Dataverse におけるセッション ハイジャック エクスプロイトを防止します。 悪意のあるユーザーが、Cookie の IP バインドが有効になっている承認済みのコンピューターから有効なセッション Cookie をコピーしたとします。 その後、ユーザーは別のコンピューターで Cookie を使用して、Dataverse への不正アクセスを試みます。 Dataverse は、リアルタイムで Cookie の発信元の IP アドレスを、要求を行ったコンピューターの IP アドレスと比較します。 2 つが異なる場合、試行はブロックされ、エラー メッセージが表示されます。

IP ベースの Cookie バインドは、政府機関のクラウドを含むすべてのテナントの マネージド環境 でのみ使用できます。 この機能を Power Platform 管理センター で有効にすることができます。

IP アドレス ベースの Cookie バインドを有効にする

1. Power Platform 管理センター に管理者としてサインインします。

2. 環境 を選択し、続いて環境を選択します。

3. 設定>製品 を選択し、プライバシーとセキュリティ を選択します。

4. IP アドレス設定 で IP アドレス ベースの Cookie バインドを有効にする を選択します。

5. 保存 を選びます。

IP アドレス ベースの Cookie バインドはどのように機能しますか?

IP ベースの Cookie バインドは、セッション Cookie に IP アドレス要求を設定します。 各要求が評価され、現在の IP アドレスを Cookie の作成時に格納された送信元 IP アドレスと比較します。 アドレスが一致しない場合、ユーザーはアクセスを拒否されます。

ユーザーに再認証を求められるシナリオ

• いずれかの VPN クライアントがオンまたはオフになっている場合
• ワイヤレス ホットスポットに接続する場合
• インターネット サービス プロバイダーがインターネット接続をリセットした場合
• ルーターがリセットまたは再起動された場合

機能をテストする方法

1. ブラウザーからすべての Cookie を消去します。 この手順は、新しい Cookie が確実に生成されるようにするために重要です。

2. IP ベースのクッキング バインドが有効になっている Dynamics 365 環境にサインインします。

3. Fiddler などのクライアント ツールを使用して、セッション Cookie をコピーします。

4. 以前に取得したセッション Cookie を使用して、別のコンピューター (元のネットワークの外部) から要求を送信します。 応答として HTTP 403 エラーが返されることが予想されます。

除外

• ユーザーが、古い有効な Cookie と同じ IP アドレスから Dataverse に接続した場合、Dataverse は Cookie を受け入れます。
• ネットワークと Power Platform 間のトラフィックが、動的 IP アドレスを持つリバース プロキシを使用するように構成されている場合、IP ベースの Cookie バインディングは機能しません。

よくあるご質問

この機能は Dataverse で使用できますか?

Cookie IP バインドは、統一インターフェイスの CrmOwinAuth Cookie で使用できます。

Power Platform 管理センターで変更が行われた後、どのくらいで有効になりますか?

通常、変更は約 5 分で有効になります。

この機能はリアルタイムで動作しますか?

この機能は、機能が有効になった後に行われる最初の要求を除き、Cookie をリアルタイムで評価します。

この機能は、すべての環境でデフォルトで有効になっていますか?

Cookie IP バインド機能は、デフォルトで無効になっています。 管理者は、Power Platform 管理センターで有効にする必要があります。