Power Platform 環境の IP ファイアウォール

  • [アーティクル]

IP ファイアウォールは、許可した IP の場所からのみ Microsoft Dataverse へのユーザー アクセスを制限することで、組織データの保護に役立ちます。 IP ファイアウォールは、各リクエストの IP アドレスをリアルタイムで分析します。 たとえば、運用の Dataverse 環境で IP ファイアウォールがオンになっており、許可した IP アドレスがオフィスの場所に関連付けられた範囲内にあり、コーヒーショップなどの外部の IP の場所にはないとします。 ユーザーがコーヒー ショップから組織のリソースにアクセスしようとすると、Dataverse はリアルタイムでアクセスを拒否します。

Dataverse の IP ファイアウォール機能を示す図。

重要

IP ファイアウォール機能は、Dataverse データにアクセスするための OData エンドポイントのみをサポートします。 TDS エンドポイント のサポートは将来のリリースに含まれる予定です。

主な利点

Power Platform 環境で IP ファイアウォールを有効にすると、いくつかの主要な利点があります。

  • データ流出などの内部関係者による脅威を軽減する: 許可していない IP の場所から Excel や Power BI などのクライアント ツールを使用して Dataverse からデータをダウンロードしようとする悪意のあるユーザーは、リアルタイムで実行がブロックされます。
  • トークン リプレイ攻撃を防止する: ユーザーがアクセス トークンを盗み、許可された IP 範囲外から Dataverse にアクセスしようとすると、Dataverse はリアルタイムでその試みを拒否します。

IP ファイアウォール保護は、対話型シナリオと非対話型シナリオの両方で機能します。

IP ファイアウォールはどのように機能しますか?

Dataverse にリクエストがあった場合、リクエストの IP アドレスは Power Platform の環境に設定された IP の範囲とリアルタイムで評価されます。 IP アドレスが許可された範囲内にある場合、リクエストは許可されます。 IP アドレスが環境に対して構成された IP 範囲外にある場合、IP ファイアウォールは次のエラー メッセージを表示してリクエストを拒否します: IP へのアクセスがブロックされているため、リクエストは拒否されました。詳細については、管理者にお問い合わせください

前提条件

  • IP ファイアウォールは、マネージド環境 の機能です。
  • IP ファイアウォールを有効または無効にするには、Power Platform 管理者ロールが必要です。

IP ファイアウォールを有効にする

Power Platform 管理センターを使用するか、Dataverse OData APIを使用して、Power Platform 環境で IP ファイアウォールを有効にすることができます。

Power Platform 管理センターを使用して IP ファイアウォールを有効にする

  1. Power Platform 管理センター に管理者としてサインインします。

  2. 環境 を選択し、続いて環境を選択します。

  3. 設定>製品>プライバシー + セキュリティを選択します。

  4. IP アドレス設定IP アドレス ベースのファイアウォール規則を有効にするOn にします。

  5. IPv4 範囲の許可リスト で、許可される IP 範囲を、RFC 4632のとおりに、クラスレス ドメイン間ルーティング (CIDR) 形式で指定します。 複数の IP 範囲がある場合は、コンマで区切ります。 このフィールドには、最大 4,000 文字の英数字を入力でき、最大 200 の IP 範囲が許可されます。

  6. 必要に応じて、他の設定を選択します:

    • IP ファイアウォールで許可されるサービス タグ: リストから、IP ファイアウォールの制限をバイパスできるサービス タグを選択します。
    • マイクロソフトの信頼の高いサービスへのアクセスを許可する: この設定により、監視や ユーザーのサポート などのマイクロソフトの信頼されたサービスが有効になり、IP ファイアウォール制限をバイパスして Dataverse で Power Platform 環境にアクセスします。 既定で有効です。
    • すべてのアプリケーション ユーザーにアクセスを許可する: この設定により、すべてのアプリケーション ユーザーが、サード パーティおよびファースト パーティから Dataverse API にアクセスできます。 既定で有効です。 この値をクリアすると、サードパーティのアプリケーション ユーザーのみがブロックされます。
    • 監査専用モードで IP ファイアウォールを有効にする: この設定により、IP ファイアウォールが有効になりますが、IP アドレスに関係なくリクエストは許可されます。 既定で有効です。
    • リバース プロキシ IP アドレス: 組織でリバース プロキシが構成されている場合、1 つ以上の IP アドレスをコンマで区切って入力します。 リバース プロキシ設定は、IP ベースの Cookie バインディングと IP ファイアウォールの両方に適用されます。

  7. 保存 を選びます。

Dataverse OData API を 使用して IP ファイアウォールを有効にする

Dataverse OData API を使用すると、Power Platform 環境内の値を取得、変更できます。 詳細なガイダンスについては、Web API を使用してデータをクエリする および Web API を使用してテーブル行を更新および削除する (Microsoft Dataverse) を参照してください。

好みのツールを柔軟に選択できます。 Dataverse の OData API を介して値を取得および変更するには、次のドキュメントを使用します:

OData API を 使用して IP ファイアウォールを構成する

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

ペイロード

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • Enableipbasedfirewallrule - true/false を使用して機能を有効または無効にします。
  • allowediprangeforfirewall - 許可される IP 範囲のリストです。カンマで区切って CIDR 表記で指定します。

重要

サービス タグ名が IP ファイアウォールの設定ページに表示されるものと正確に一致していることを確認してください。 矛盾がある場合、IP 制限が正しく機能しない可能性があります。

  • Enableipbasedfirewallruleinauditmode - true は監査専用モードを示し、false は強制モードを示します。
  • allowedservicetagsforfirewall - 許可されるサービス タグのリスト (コンマで区切られます)。 サービス タグを構成しない場合。 この値は null のままにしておきます。
  • allowapplicationuseraccess - 既定の値は true です。
  • allowmicrosofttrustedservicetags - 既定の値は true です。

重要

Microsoft の信頼されたサービスへのアクセスを許可するすべてのアプリケーション ユーザーにアクセスを許可する を無効にすると、Power Automate フロー などの Dataverse を使用する一部のサービスが動作しなくなることがあります。

IP ファイアウォールをテストする

IP ファイアウォールをテストして、機能していることを確認する必要があります。

  1. 環境 の IP アドレスの許可リストにない IP アドレスから、Power Platform 環境の URI を参照します。

    リクエストは、次のメッセージで拒否されます: "IP へのアクセスがブロックされているため、リクエストは拒否されました。 詳細については、管理者にお問い合わせください。"

  2. 環境 の IP アドレスの許可リストにある IP アドレスから、Power Platform 環境の URI を参照します。

    セキュリティ ロールで定義された環境にアクセスできる必要があります。

運用環境で IP ファイアウォールを実行する前に、最初にテスト環境で IP ファイアウォールをテストしてから、運用環境で監査専用モードをテストすることをお勧めします。

IP ファイアウォールのライセンス要件

IP ファイアウォールは、管理環境用にアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロンの Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与する Dynamics 365 ライセンスに権利として含まれます。 管理された環境のライセンス の詳細は、Microsoft Power Platform のライセンスの概要 を参照してください。

さらに、Dataverse の IP ファイアウォールを使用するには、IP ファイアウォールが適用された環境にいるユーザーが次のいずれかのサブスクリプションを持てることが適用されていることが必要です:

  • Microsoft 365 または Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 A5/E5/F5/G5 情報保護とガバナンス
  • Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー

これらのライセンスに関する詳細情報

よくあるご質問 (FAQ)

IP ファイアウォールは Power Platform で何をカバーしますか?

IP ファイアウォールは、Dataverse を含むすべての Power Platform 環境でサポートされています。

IP アドレス リストの変更はどれくらいで反映されますか?

許可される IP アドレスまたは範囲のリストへの変更は、通常、約 5 分から 10 分で有効になります。

この機能はリアルタイムで動作しますか?

IP ファイアウォール保護はリアルタイムで機能します。 この機能はネットワーク層で動作するため、認証要求が完了した後に要求を評価します。

この機能は、すべての環境でデフォルトで有効になっていますか?

既定では IP ファイアウォールは無効になっています。 Power Platform 管理者は、マネージド環境に対して有効にする必要があります。

監査専用モードとは何ですか?

監査専用モードでは、IP ファイアウォールは環境への呼び出しを行っている IP アドレスを識別し、許可範囲内にあるかどうかに関係なく、すべてを許可します。 Power Platform 環境で制限を構成するときに役立ちます。 少なくとも 1 週間は監査専用モードを有効にし、監査ログを慎重に確認した後にのみ無効にすることをお勧めします。

この機能はすべての環境で利用できますか?

IP ファイアウォールは、マネージド環境 でのみ使用できます。

IP アドレス テキスト ボックスに追加できる IP アドレスの数に制限はありますか?

RFC 4632のとおり、CIDR 形式でカンマで区切られた最大 200 の IP アドレス範囲を追加できます。

Dataverse への要求が失敗し始めた場合はどうすればいいですか?

IP ファイアウォールの IP 範囲の構成が正しくないことが、この問題の原因となっている可能性があります。 IP ファイアウォール設定ページで、IP 範囲を確認および検証できます。 IP ファイアウォールを実行する前に、監査専用モードで IP ファイアウォールを有効にすることをお勧めします。

監査専用モードの監査ログをダウンロードするにはどうすればよいですか?

Dataverse OData API を使用して、監査ログ データを JSON 形式でダウンロードします。 監査ログ API の形式は、以下の通りです:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • [orgURI] を Dataverse 環境の URI に置き換えます。
  • このイベントのアクション値を 118 に設定します。
  • 返すアイテムの数を top=1 に設定するか、返したい数を指定します。

Power Platform 環境で IP ファイアウォールを構成した後、Power Automate フローが期待どおりに機能しません。 どうすればよいですか。

IP ファイアウォール設定で、マネージド コネクタのアウトバウンド IP アドレス にリストされているサービス タグを許可します。

リバース プロキシ アドレスを正しく構成しましたが、IP ファイアウォールが機能しません。 どうすればよいですか。

リバース プロキシが、転送ヘッダーでクライアント IP アドレスを送信するように構成されていることを確認します。

Power BI からの呼び出しが Power Platform 環境の IP ファイアウォールを有効にした後に失敗することがあります。 どうすればよいですか。

現在、Dataverse の OData エンドポイントには IP ファイアウォールのみを使用して、設定された IP ロケーションからデータにアクセスできます。 TDS エンドポイントを使用して続行したい場合、環境内の IP ファイアウォールを無効にする必要があります。

使用している環境で IP ファイアウォールの監査機能が動作しません。 どうすればよいですか。

IP ファイアウォール監査ログは、Bring Your Own Key (BYOK) 暗号化キーが有効になっているテナントではサポートされていません。 テナントで Bring Your Own Key が有効になっている場合、BYOK が有効なテナント内のすべての環境は SQL のみにロック ダウンされるため、監査ログは SQL にのみ保存できます。 カスタマー マネージド キーに移行することをお勧めします。 BYOK からカスタマー マネージド キー (CMKv2) に移行するには、Bring Your Own Key (BYOK) 環境をカスタマー マネージド キーに移行するの手順に従ってください。

IP ファイアウォールは IPv6 IP 範囲をサポートしていますか?

現在、IP ファイアウォールは IPv6 IP 範囲をサポートしていません。

次の手順

Microsoft Dataverse でのセキュリティ