Dalintis per

IP ugniasienė Power Platform aplinkoje

IP ugniasienė apsaugo jūsų organizacijos duomenis, užtikrindama, kad vartotojai galėtų pasiekti Microsoft Dataverse tik iš leistinų IP vietų. IP ugniasienė realiuoju laiku analizuoja kiekvienos užklausos IP adresą. Pavyzdžiui, galite įjungti IP užkardą savo gamybos Dataverse aplinkoje ir nustatyti leistinus IP adresus diapazonuose, susietuose su jūsų biuro vietomis, o ne bet kurioje išorinėje IP vietoje, pvz., kavinėje. Jei vartotojas bando pasiekti organizacijos išteklius iš kavinės, Dataverse uždraudžia prieigą realiuoju laiku.

Diagrama, iliustruojanti IP užkardos funkciją Dataverse.

Pagrindiniai privalumai

IP ugniasienės įjungimas aplinkoje Power Platform suteikia keletą pagrindinių privalumų.

  • Sumažinkite vidines grėsmes, pvz., duomenų išfiltravimą: kenkėjiškas vartotojas, bandantis atsisiųsti duomenis naudodamas Dataverse kliento įrankį, pvz., "Excel", arba Power BI iš neleistinos IP vietos, yra užblokuotas realiuoju laiku.
  • Užkirsti kelią atpažinimo ženklų pakartojimo atakoms: jei vartotojas pavagia prieigos raktą ir bando jį naudoti prieigai iš Dataverse už leistinų IP diapazonų ribų, Dataverse atmeta bandymą realiuoju laiku.

IP ugniasienės apsauga veikia tiek interaktyviais, tiek neinteraktyviais scenarijais.

Kaip veikia IP ugniasienė?

Kai užklausa pateikiama Dataverse, užklausos IP adresas realiuoju laiku įvertinamas pagal aplinkai sukonfigūruotus Power Platform IP diapazonus. Jei IP adresas patenka į leistinus diapazonus, užklausa leidžiama. Jei IP adresas yra už aplinkai sukonfigūruotų IP diapazonų ribų, IP ugniasienė atmeta užklausą su klaidos pranešimu: Užklausa, kurią bandote pateikti, atmetama, nes prieiga prie jūsų IP yra užblokuota. Norėdami gauti daugiau informacijos, kreipkitės į administratorių.

Būtinosios sąlygos

  • IP ugniasienė yra valdomų aplinkų funkcija.
  • Norėdami įjungti arba išjungti IP užkardą, turite turėti administratoriaus Power Platform vaidmenį.

Įgalinkite IP užkardą

IP užkardą Power Platform aplinkoje galite įjungti naudodami Power Platform administravimo centrą arba Dataverse OData API.

IP užkardos įgalinimas naudojant Power Platform administravimo centrą

  1. Prisijunkite prie Power Platform administravimo centro kaip administratorius.

  2. Naršymo srityje pasirinkite Sauga.

  3. Srityje Sauga pasirinkite Tapatybė ir prieiga.

  4. Puslapyje Tapatybės ir prieigos valdymas pasirinkite IP užkardą.

  5. Srityje IP užkardos nustatymas pasirinkite aplinką. Tada pasirinkite Nustatyti IP užkardą.

  6. Srityje Nustatyti šios aplinkos IP užkardą pasirinkite IP užkarda į Įjungta.

  7. Dalyje Leidžiamas IP adresų sąrašas nurodykite leistinus IP diapazonus beklasio tarpdomenų maršruto parinkimo (CIDR) formatu, kaip nurodyta RFC 4632. Jei turite kelis IP diapazonus, atskirkite juos kableliu. Šis laukas priima iki 4 000 raidinių ir skaitmeninių simbolių ir leidžia ne daugiau kaip 200 IP diapazonų. IPv6 adresai leidžiami tiek šešioliktainiu, tiek suspaustu formatu.

  8. Pasirinkite kitus išplėstinius parametrus, jei reikia:

    • Leidžiamas paslaugų žymų sąrašas: sąraše pasirinkite tarnybos žymas, kurios gali apeiti IP užkardos apribojimus.
    • Leisti prieigą prie "Microsoft" patikimų paslaugų: šis nustatymas leidžia "Microsoft" patikimoms paslaugoms, pvz., stebėjimo ir palaikymo vartotojui ir kt., apeiti IP ugniasienės apribojimus, kad būtų galima pasiekti Power Platform aplinką Dataverse. Įgalinta pagal numatytuosius parametrus.
    • Leisti prieigą visiems programos vartotojams: šis nustatymas suteikia visiems programos vartotojams trečiosios šalies ir pirmosios šalies prieigą prie Dataverse API. Įgalinta pagal numatytuosius parametrus. Jei išvalysite šią reikšmę, ji blokuos tik trečiųjų šalių programų vartotojus.
    • Įgalinti IP užkardą tik audito režimu: šis nustatymas įgalina IP užkardą, bet leidžia užklausas neatsižvelgiant į jų IP adresą. Įgalinta pagal numatytuosius parametrus.
    • Atvirkštiniai tarpinio serverio IP adresai: jei jūsų organizacijoje sukonfigūruoti atvirkštiniai tarpiniai serveriai, įveskite IP adresus, atskirtus kableliais. Atvirkštinis tarpinio serverio nustatymas taikomas tiek IP slapukų susiejimui , tiek IP užkardai. Susisiekite su tinklo administratoriumi, kad gautumėte atvirkštinius tarpinio serverio IP adresus.

    Pastaba.

    Atvirkštinis tarpinis serveris turi būti sukonfigūruotas siųsti vartotojo kliento IP adresus persiųstoje antraštėje .

  9. Pasirinkite Įrašyti.

IP užkardos įgalinimas aplinkos grupės lygiu

Norėdami konfigūruoti IP užkardos parametrus aplinkos grupės lygiu, atlikite šiuos veiksmus. Prisijunkite prie „Power Platform“ administravimo centro.

  1. Naršymo srityje pasirinkite Sauga.

  2. Srityje Sauga pasirinkite Tapatybė ir prieiga.

  3. Pasirinkite IP užkardos sritį.

  4. Rodomoje srityje pasirinkite skirtuką Aplinkos grupės , kuriam norite taikyti saugos parametrą. Tada pasirinkite Nustatyti IP užkardą.

  5. Srityje Nustatyti IP užkardą pasirinkite IP užkarda į Įjungta.

  6. Dalyje Leidžiamas IP adresų sąrašas nurodykite leistinus IP diapazonus beklasio tarpdomenų maršruto parinkimo (CIDR) formatu, kaip nurodyta RFC 4632. Jei turite kelis IP diapazonus, atskirkite juos kableliu. Šis laukas priima iki 4 000 raidinių ir skaitmeninių simbolių ir leidžia ne daugiau kaip 200 IP diapazonų. IPv6 adresai leidžiami tiek šešioliktainiu, tiek suspaustu formatu.

  7. Pasirinkite kitus išplėstinius parametrus, jei reikia:

    • Leidžiamas paslaugų žymų sąrašas: sąraše pasirinkite tarnybos žymas, kurios gali apeiti IP užkardos apribojimus.
    • Leisti prieigą prie "Microsoft" patikimų paslaugų: šis nustatymas leidžia "Microsoft" patikimoms paslaugoms, pvz., stebėjimo ir palaikymo vartotojui ir kt., apeiti IP ugniasienės apribojimus, kad būtų galima pasiekti Power Platform aplinką Dataverse. Įgalinta pagal numatytuosius parametrus.
    • Leisti prieigą visiems programos vartotojams: šis nustatymas suteikia visiems programos vartotojams trečiosios šalies ir pirmosios šalies prieigą prie Dataverse API. Įgalinta pagal numatytuosius parametrus. Jei išvalysite šią reikšmę, ji blokuos tik trečiųjų šalių programų vartotojus.
    • Įgalinti IP užkardą tik audito režimu: šis nustatymas įgalina IP užkardą, bet leidžia užklausas neatsižvelgiant į jų IP adresą. Įgalinta pagal numatytuosius parametrus.
    • Atvirkštiniai tarpinio serverio IP adresai: jei jūsų organizacijoje sukonfigūruoti atvirkštiniai tarpiniai serveriai, įveskite IP adresus, atskirtus kableliais. Atvirkštinis tarpinio serverio nustatymas taikomas tiek IP slapukų susiejimui , tiek IP užkardai. Susisiekite su tinklo administratoriumi, kad gautumėte atvirkštinius tarpinio serverio IP adresus.

  8. Pasirinkite Įrašyti.

    Pastaba.

    Atvirkštinis tarpinis serveris turi būti sukonfigūruotas siųsti vartotojo kliento IP adresus persiųstoje antraštėje .

    Pasirinkti parametrai taikomi visoms tos aplinkos grupės aplinkoms.

Įgalinkite IP užkardą naudodami Dataverse OData API

Galite naudoti Dataverse "OData" API, norėdami gauti ir modifikuoti reikšmes Power Platform aplinkoje. Išsamių nurodymų ieškokite Duomenų užklausa naudojant žiniatinklio API ir Lentelės eilučių naujinimas ir naikinimas naudojant žiniatinklio API (Microsoft Dataverse).

Galite lanksčiai pasirinkti pageidaujamus įrankius. Norėdami gauti ir modifikuoti reikšmes naudodami Dataverse OData API, naudokite šią dokumentaciją:

IP užkardos konfigūravimas naudojant OData API



PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Mokamoji krova



[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Įjunkite funkciją nustatydami reikšmę į true arba išjunkite ją nustatydami reikšmę false.

  • allowediprangeforfirewall — Išvardinkite IP diapazonus, kurie turėtų būti leidžiami. Pateikite juos CIDR žymėjimu, atskirdami kableliu.

    Svarbu

    Įsitikinkite, kad tarnybos žymų pavadinimai tiksliai atitinka tai, ką matote IP užkardos nustatymų puslapyje. Jei yra neatitikimų, IP apribojimai gali veikti netinkamai.

  • enableipbasedfirewallruleinauditmode – reikšmė true nurodo tik audito režimą, o reikšmė false nurodo vykdymo režimą.

  • allowedservicetagsforfirewall – Išvardinkite paslaugų žymas, kurios turėtų būti leidžiamos, atskirtos kableliu. Jei nenorite konfigūruoti jokių tarnybos žymių, palikite reikšmę neapibrėžtą.

  • allowapplicationuseraccess – Numatytoji reikšmė yra teisinga.

  • allowmicrosofttrustedservicetags – Numatytoji reikšmė yra teisinga.

Svarbu

Išjungus parinktis Leisti prieigą "Microsoft" patikimoms tarnyboms ir Leisti prieigą visiems programos vartotojams , kai kurios naudojamos Dataverse tarnybos, pvz. Power Automate , srautai, gali nebeveikti.

Patikrinkite IP užkardą

Turėtumėte išbandyti IP užkardą, kad patikrintumėte, ar ji veikia.

  1. IP adrese, kurio nėra leistinų aplinkos IP adresų sąraše, naršykite į savo Power Platform aplinkos URI.

    Jūsų užklausa turėtų būti atmesta su pranešimu, kuriame sakoma: "Užklausa, kurią bandote pateikti, atmetama, nes prieiga prie jūsų IP yra užblokuota. Norėdami gauti daugiau informacijos, kreipkitės į administratorių."

  2. IP adrese, esančiame leistinų aplinkos IP adresų sąraše, raskite savo Power Platform aplinkos URI.

    Turėtumėte turėti prieigą prie aplinkos, kurią apibrėžia jūsų saugos vaidmuo.

Pirmiausia turėtumėte išbandyti IP užkardą savo bandomojoje aplinkoje, o po to tik audito režimą gamybos aplinkoje, prieš įvesdami IP užkardą gamybos aplinkoje.

Pastaba.

Pagal numatytuosius nustatymus TDS galinis punktas yra įjungtas Power Platform aplinkoje.

SPN filtravimas programos vartotojams

IP ugniasienės funkcija Power Platform leidžia administratoriams apriboti prieigą prie aplinkų pagal IP adresų diapazonus. Scenarijams, kai konkretiems programos vartotojams (tarnybos pagrindiniams vardams arba SPN) reikia apeiti šiuos apribojimus, galite įjungti SPN filtravimą naudodami API pagrįstą metodą.

SPN filtravimo įjungimo veiksmai

  1. Pridėkite programos vartotoją. Jei dar neįtraukta, įtraukite programos vartotoją į tikslinę aplinką ir priskirkite atitinkamus saugos vaidmenis. Pavyzdys: įtraukite programos vartotoją, kurio ID 123 ir pavadinkite TestSPN, į aplinką ir priskirkite reikiamus vaidmenis
  2. Gaukite sistemos vartotojo ID. Naudokite šį API iškvietimą, kad gautumėte systemuserid programos vartotojui:


GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
  1. Įtraukti programos vartotoją į sąrašą.


POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Mokamoji krova

[
    {
        "isallowedbyipfirewall": true
    }
]
  1. Konfigūruokite IP užkardos nustatymus PPAC. Eikite į Power Platform administravimo centrą (PPAC) ir sukonfigūruokite IP užkardos nustatymus. Įsitikinkite, kad parinktis "Leisti prieigą visiems programos vartotojams" yra nepažymėta, kad būtų užtikrintas filtravimas.

IP ugniasienės licencijavimo reikalavimai

IP užkarda vykdoma tik tose aplinkose, kurios yra suaktyvintos valdomose aplinkose. Valdomos aplinkos įtraukiamos kaip teisė į atskiras Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages" ir "Dynamics 365" licencijas, suteikiančias aukščiausios kokybės naudojimo teises. Sužinokite daugiau apie valdomos aplinkos licencijavimą naudodami licencijavimo apžvalgą Microsoft Power Platform.

Be to, norint naudotis IP užkarda, Dataverse naudotojai aplinkoje, kurioje vykdoma IP užkarda, turi turėti vieną iš šių prenumeratų:

  • „Microsoft 365“ arba „Office 365“ A5 / E5 / G5
  • „Microsoft 365“ A5 / E5 / F5 / G5 atitiktis
  • „Microsoft 365 F5“ sauga ir atitiktis
  • „Microsoft 365“ A5/E5/F5/G5 informacijos apsauga ir valdymas
  • „Microsoft 365“ A5 / E5 / F5 / G5 prekybos naudojantis viešai neatskleista informacija rizikos valdymas

Sužinokite daugiau apie Microsoft 365 licencijas

Dažnai užduodami klausimai (DUK)

Ką apima Power Platform IP ugniasienė?

IP ugniasienė palaikoma bet kurioje Power Platform aplinkoje, įskaitant Dataverse.

Kaip greitai įsigalioja IP adresų sąrašo pakeitimas?

Leidžiamų IP adresų ar diapazonų sąrašo pakeitimai paprastai įsigalioja maždaug po 5–10 minučių.

Ar ši funkcija veikia realiuoju laiku?

IP ugniasienės apsauga veikia realiu laiku. Kadangi funkcija veikia tinklo lygmenyje, ji įvertina užklausą užbaigus autentifikavimo užklausą.

Ar ši funkcija pagal numatytuosius parametrus įgalinta visose aplinkose?

IP užkarda neįjungta pagal numatytuosius nustatymus. Administratorius Power Platform turi jį įjungti valdomose aplinkose.

Kas yra tik audito režimas?

Tik audito režimu IP ugniasienė identifikuoja IP adresus, kurie skambina į aplinką, ir leidžia juos visus, nesvarbu, ar jie yra leistiname diapazone, ar ne. Tai naudinga konfigūruojant aplinkos apribojimus Power Platform . Rekomenduojame įjungti tik audito režimą bent savaitei ir išjungti tik atidžiai peržiūrėjus audito žurnalus.

Ar ši funkcija pasiekiama visose aplinkose?

IP užkarda galima tik valdomose aplinkose .

Ar yra ribojamas IP adresų, kuriuos galiu įtraukti į IP adreso teksto laukelį, skaičius?

Galite pridėti iki 200 IP adresų diapazonų CIDR formatu pagal RFC 4632, atskirtus kableliais.

Ką daryti, jei užklausos Dataverse pradėti nepavykti?

Šią problemą gali sukelti neteisinga IP ugniasienės IP diapazonų konfigūracija. IP diapazonus galite patikrinti IP užkardos nustatymų puslapyje. Rekomenduojame įjungti IP užkardą tik audito režimu prieš ją įgyvendinant.

Kaip atsisiųsti tik audito režimo audito žurnalą?

Naudokite Dataverse OData API, kad atsisiųstumėte audito žurnalo duomenis JSON formatu. Audito žurnalo API formatas yra toks:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Pakeiskite [orgURI] Dataverse aplinkos URI.
  • Nustatykite šio įvykio veiksmo reikšmę į 118 .
  • Nustatykite grąžintinų prekių skaičių viršuje=1 arba nurodykite norimą grąžinti skaičių.

Mano Power Automate srautai neveikia taip, kaip tikėtasi sukonfigūravus IP užkardą mano Power Platform aplinkoje. Ką daryti?

IP užkardos parametruose leiskite tarnybos žymes, nurodytas Valdomų jungčių siunčiamų IP adresų.

Teisingai sukonfigūravau atvirkštinio tarpinio serverio adresą, bet IP ugniasienė neveikia. Ką daryti?

Įsitikinkite, kad atvirkštinis tarpinis serveris sukonfigūruotas siųsti kliento IP adresą persiųstoje antraštėje.

IP užkardos audito funkcija neveikia mano aplinkoje. Ką daryti?

IP užkardos audito žurnalai nepalaikomi nuomotojams, įgalintiems atnešti savo raktą (BYOK) šifravimo raktus. Jei jūsų nuomotojui įgalintas atsinešti savo raktą, visos BYOK įgalinto nuomotojo aplinkos yra užrakintos tik SQL, todėl audito žurnalus galima saugoti tik SQL. Rekomenduojame pereiti prie kliento valdomo rakto. Norėdami pereiti iš BYOK į kliento valdomą raktą (CMKv2), atlikite veiksmus, nurodytus Perkelti savo rakto (BYOK) aplinkas į kliento valdomą raktą.

Ar IP ugniasienė palaiko IPv6 IP diapazonus?

Taip, IP ugniasienė palaiko IPv6 IP diapazonus.

Paskesni veiksmai

Saugumas Microsoft Dataverse

  • Last updated on