Бөлісу құралы:


Power Platform орталардағы IP брандмауэр

IP брандмауэр тек рұқсат етілген IP орындарынан Microsoft Dataverse пайдаланушының кіруін шектеу арқылы ұйымдық деректеріңізді қорғауға көмектеседі. IP брандмауэр нақты уақытта әрбір сұраудың IP мекенжайын талдайды. Мысалы, IP брандмауэр өндірістік Dataverse ортаңызда қосылған және рұқсат етілген IP мекенжайлары кофехана сияқты кез келген сыртқы IP мекенжайы емес, кеңсе орындарымен байланысты ауқымдарда делік. Пайдаланушы кофеханадан ұйымдық ресурстарға кіруге әрекеттенсе, Dataverse нақты уақытта кіруге тыйым салады.

IP брандмауэр мүмкіндігін көрсететін диаграмма Dataverse.

Негізгі артықшылықтар

Power Platform орталарыңызда IP брандмауэрін қосу бірнеше негізгі артықшылықтарды ұсынады.

  • Деректерді эксфильтрациялау сияқты инсайдерлік қауіптерді азайту: Dataverse Excel сияқты клиент құралын пайдаланып немесе Power BI рұқсат етілмеген IP орнынан деректерді жүктеп алуға әрекеттенетін зиянды пайдаланушы нақты уақытта мұны істеуге тыйым салынады.
  • Токенді қайталау шабуылдарын болдырмау: Егер пайдаланушы рұқсат таңбалауышын ұрлап, оны рұқсат етілген IP ауқымдарынан Dataverse сыртқы кіру үшін пайдалануға әрекеттенсе, Dataverse бұл әрекетті жоққа шығарады. нақты уақыт.

IP брандмауэрін қорғау интерактивті және интерактивті емес сценарийлерде жұмыс істейді.

IP брандмауэр қалай жұмыс істейді?

Сұраныс Dataverse жіберілгенде, сұраудың IP мекенжайы Power Platform орта үшін конфигурацияланған IP ауқымдарына қарсы нақты уақытта бағаланады. Егер IP мекенжайы рұқсат етілген ауқымдарда болса, сұрауға рұқсат етіледі. Егер IP мекенжайы орта үшін конфигурацияланған IP ауқымдарынан тыс болса, IP брандмауэр қате туралы хабармен сұрауды қабылдамайды: Сіз жасағыңыз келген сұрау қабылданбады, себебі IP мекенжайыңызға кіру бұғатталған. Қосымша ақпарат алу үшін әкімшіңізге хабарласыңыз.

Алғышарттар

  • IP брандмауэр Басқарылатын орталар мүмкіндігі болып табылады.
  • IP брандмауэрін қосу немесе өшіру үшін сізде Power Platform әкімші рөлі болуы керек.

IP брандмауэрін қосыңыз

IP брандмауэрін Power Platform ортасында Power Platform басқару орталығын немесе Dataverse OData API пайдалану арқылы қосуға болады.

Power Platform басқару орталығы арқылы IP брандмауэрін қосыңыз

  1. Power Platform басқару орталығына әкімші ретінде кіріңіз.

  2. Орталар тармағын, содан кейін ортаны таңдаңыз.

  3. Параметрлер>Өнім>Құпиялылық + қауіпсіздік тармағын таңдаңыз.

  4. IP мекенжай параметрлері астында IP мекенжайына негізделген желіаралық қалқан ережесін қосу Қосулы< күйіне орнатыңыз. a34>.

  5. IPv4 ауқымдарының рұқсат етілген тізімі астында рұқсат етілген IP ауқымдарын RFC 4632. Бірнеше IP ауқымы болса, оларды үтірмен бөліңіз. Бұл өріс 4000-ға дейін әріптік-цифрлық таңбаны қабылдайды және ең көбі 200 IP ауқымына рұқсат береді.

  6. Сәйкесінше басқа параметрлерді таңдаңыз:

    • IP брандмауэр рұқсат ететін қызмет тегтері: Тізімнен IP брандмауэр шектеулерін айналып өтетін қызмет тегтерін таңдаңыз.
    • Microsoft Сенімді қызметтерге кіруге рұқсат ету: Бұл параметр Microsoft бақылау және қолдау көрсету пайдаланушысы т.б. Power Platform ортасына Dataverse арқылы кіру үшін IP брандмауэр шектеулерін айналып өту. Әдепкі бойынша қосулы.
    • Қолданбаның барлық пайдаланушыларына рұқсат беру: Бұл параметр барлық қолданба пайдаланушыларына үшінші және бірінші тарапқа Dataverse кіруге рұқсат береді. API интерфейстері. Әдепкі бойынша қосулы. Бұл мәнді өшірсеңіз, ол тек үшінші тарап қолданбасының пайдаланушыларын блоктайды.
    • IP брандмауэрін тек аудит режимінде қосу: Бұл параметр IP брандмауэрін қосады, бірақ олардың IP мекенжайына қарамастан сұрауларға рұқсат береді. Әдепкі бойынша қосулы.
    • Кері прокси IP мекенжайлары: ұйымыңызда кері прокси конфигурацияланған болса, бір немесе бірнеше IP мекенжайларын үтірмен бөліп енгізіңіз. Кері прокси параметрі IP негізіндегі cookie файлын байланыстыруға да, IP брандмауэріне де қолданылады.
  7. Сақтау опциясын таңдаңыз.

Dataverse OData API арқылы IP брандмауэрін қосыңыз

Dataverse OData API интерфейсін Power Platform ортасындағы мәндерді шығарып алу және өзгерту үшін пайдалануға болады. Егжей-тегжейлі нұсқаулықты Web API арқылы сұрау деректерін және Web API арқылы кесте жолдарын жаңарту және жою (Microsoft Dataverse) бөлімінен қараңыз. ).

Сізге ұнайтын құралдарды таңдау икемділігі бар. Dataverse OData API арқылы мәндерді шығарып алу және өзгерту үшін келесі құжаттаманы пайдаланыңыз:

OData API арқылы IP брандмауэрін конфигурациялаңыз

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Пайдалы жүк

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • enableipbased firewallrule – Мәнді true етіп орнату арқылы мүмкіндікті қосыңыз немесе мәнді жалған< етіп орнату арқылы оны өшіріңіз. a34>.

  • allowiprangeforfirewall — Рұқсат етілетін IP ауқымдарының тізімін көрсетіңіз. Оларды үтірмен бөлінген CIDR белгілеуімен қамтамасыз етіңіз.

    Маңызды

    Қызметтік тег атаулары IP брандмауэрінің параметрлер бетінде көргендеріңізге дәл сәйкес келетініне көз жеткізіңіз. Қандай да бір сәйкессіздік болса, IP шектеулері дұрыс жұмыс істемеуі мүмкін.

  • enableipbased firewallruleinauditmodetrue мәні тек аудит режимін көрсетеді, ал мән жалған қолдану режимін көрсетеді.

  • allowservicetagsforfirewall – Үтірмен бөлінген рұқсат етілетін қызмет тегтерін тізімдеңіз. Кез келген қызмет тегтерін конфигурациялағыңыз келмесе, мәнді бос қалдырыңыз.

  • allowapplicationuseraccess – Әдепкі мән true болып табылады.

  • allowmicrosofttrustedservicetags – Әдепкі мән true болып табылады.

Маңызды

Microsoft сенімді қызметтерге қол жеткізуге рұқсат беру және барлық қолданба пайдаланушыларына қол жеткізуге рұқсат беру өшірілгенде, Dataverseағындары сияқты Power Automate пайдаланатын кейбір қызметтер енді жұмыс істемеуі мүмкін.

IP брандмауэрін тексеріңіз

Оның жұмыс істеп тұрғанын тексеру үшін IP брандмауэрін тексеру керек.

  1. Ортаға арналған рұқсат етілген IP мекенжайлар тізімінде жоқ IP мекенжайынан Power Platform ортаның URI мекенжайына өтіңіз.

    Сұрауыңызды қабылдамау керек, онда «Сіз жасамақ болған сұрау қабылданбады, себебі сіздің IP-ге кіру рұқсаты бұғатталған. Қосымша ақпарат алу үшін әкімшіңізге хабарласыңыз."

  2. Ортаға арналған рұқсат етілген IP мекенжайлар тізіміндегі IP мекенжайынан Power Platform ортаның URI мекенжайына өтіңіз.

    қауіпсіздік рөлі арқылы анықталған ортаға қол жеткізуіңіз керек.

Өндірістік ортада IP брандмауэрін қолданудан бұрын алдымен сынақ ортаңызда IP брандмауэрін, содан кейін Өндіріс ортасында тек аудит режимін тексеруді ұсынамыз.

Ескертпе

Әдепкі бойынша, TDS соңғы нүктесі ортаның ішінде Power Platform қосылады.

IP брандмауэріне лицензиялық талаптар

IP брандмауэр тек Басқарылатын орталар үшін белсендірілген орталарда қолданылады. Басқарылатын орталар премиум пайдалану құқықтарын беретін дербес Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages және Dynamics 365 лицензияларында құқық ретінде қамтылған. . Басқарылатын ортаны лицензиялау туралы лицензиялау шолуын Microsoft Power Platform арқылы толығырақ біліңіз.

Сонымен қатар, Dataverse үшін IP брандмауэрін пайдалану рұқсаты IP брандмауэрі күшіне енген орталардағы пайдаланушылардан мына жазылымдардың біріне ие болуын талап етеді:

  • Microsoft 365 немесе Office 365 A5/Е5/G5
  • Microsoft 365 A5/E5/F5/G5 талаптарына сәйкестік
  • Microsoft 365 F5 қауіпсіздік және сәйкестік
  • Microsoft 365 A5/E5/F5/G5 ақпаратын қорғау және басқару
  • Microsoft 365 A5/E5/F5/G5 ішкі ақпарат ағыны тәуекелдерін басқару

Бұл лицензиялар туралы көбірек біліңіз

Жиі қойылатын сұрақтар (ЖҚС)

IP брандмауэр Power Platform ішінде нені қамтиды?

IP брандмауэріне Power Platform кіретін кез келген Dataverseортада қолдау көрсетіледі.

IP мекенжайлар тізімін өзгерту қаншалықты тез күшіне енеді?

Рұқсат етілген IP мекенжайларының немесе ауқымдарының тізіміндегі өзгерістер әдетте шамамен 5-10 минут ішінде күшіне енеді.

Бұл мүмкіндік нақты уақытта жұмыс істей ме?

IP брандмауэрін қорғау нақты уақытта жұмыс істейді. Мүмкіндік қабат желісінде жұмыс істейтіндіктен, аутентификация сұрауы аяқталғаннан кейін сұрауды бағалайды.

Бұл мүмкіндік барлық орталарда әдепкі бойынша қосылған ба?

IP брандмауэр әдепкі бойынша қосылмаған. Power Platform әкімші оны Басқарылатын орталар үшін қосуы керек.

Тек аудит режимі дегеніміз не?

Тек аудит режимінде IP брандмауэр ортаға қоңырау шалатын IP мекенжайларын анықтайды және рұқсат етілген ауқымда болса да, жоқ па, барлығына рұқсат береді. Бұл Power Platform ортадағы шектеулерді конфигурациялағанда пайдалы. Тек тексеру режимін кем дегенде бір апта бойы қосуды және оны аудит журналдарын мұқият қарап шыққаннан кейін ғана өшіруді ұсынамыз.

Бұл мүмкіндік барлық орталарда қолжетімді ме?

IP брандмауэр тек Басқарылатын орталар үшін қолжетімді.

IP мекенжайы мәтін жолағына қоса алатын IP мекенжайларының санына шектеу бар ма?

Үтірмен бөлінген RFC 4632 сәйкес CIDR пішімінде 200-ге дейін IP мекенжайлар ауқымын қосуға болады.

Dataverse сұраулар сәтсіз аяқталса, не істеуім керек?

IP брандмауэріне арналған IP ауқымдарының қате конфигурациясы бұл мәселені тудыруы мүмкін. IP брандмауэр параметрлері бетінде IP ауқымдарын тексеруге және тексеруге болады. IP брандмауэрін іске қоспас бұрын Тек Тексеру режимінде қосуды ұсынамыз.

Тек аудит режимі үшін аудит журналын қалай жүктеп алуға болады?

JSON пішіміндегі аудит журналының деректерін жүктеп алу үшін Dataverse OData API пайдаланыңыз. Аудит журналының API форматы:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • [orgURI] ортасының URI-мен Dataverse ауыстырыңыз.
  • Осы оқиға үшін әрекет мәнін 118 етіп орнатыңыз.
  • Қайтарылатын элементтер санын top=1 немесе қайтарғыңыз келетін санды белгілеңіз.

Менің ортадағы IP брандмауэрін теңшегеннен кейін менің Power Automate ағындарым күтілгендей жұмыс істемейді. Power Platform Не істеуім керек?

IP брандмауэр параметрлерінде Басқарылатын қосқыштар шығыс IP мекенжайлары бөлімінде тізімделген қызмет тегтеріне рұқсат беріңіз.

Мен кері прокси мекенжайын дұрыс конфигурацияладым, бірақ IP брандмауэр жұмыс істемейді. Не істеуім керек?

Қайта жіберілген тақырыпта клиенттің IP мекенжайын жіберу үшін кері прокси конфигурацияланғанын тексеріңіз.

IP брандмауэрінің аудит функциясы менің ортамда жұмыс істемейді. Не істеуім керек?

IP брандмауэрінің аудит журналдарына өз кілтіңізді әкелу (BYOK) шифрлау кілттері үшін қосылған жалға берушілерде қолдау көрсетілмейді. Егер жалға алушы өз кілтін әкелу үшін қосылған болса, BYOK қосылған жалға алушыдағы барлық орталар тек SQL жүйесіне құлыпталады, сондықтан аудит журналдарын тек SQL ішінде сақтауға болады. тұтынушы басқаратын кілтке көшіруді ұсынамыз. BYOK жүйесінен тұтынушы басқаратын кілтке (CMKv2) тасымалдау үшін Өз кілтіңізді әкелу (BYOK) орталарын тұтынушы басқаратын кілтке тасымалдау бөліміндегі қадамдарды орындаңыз.

IP брандмауэр IPv6 IP ауқымдарын қолдайды ма?

Қазіргі уақытта IP брандмауэр IPv6 IP ауқымдарын қолдамайды.

Келесі қадамдар

Қауіпсіздік Microsoft Dataverse