IP ugunsmūris Power Platform vidēs

IP ugunsmūris palīdz aizsargāt jūsu organizācijas datus, ierobežojot lietotāju piekļuvi Microsoft Dataverse tikai atļautajām IP atrašanās vietām. IP ugunsmūris analizē katra pieprasījuma IP adresi reāllaikā. Piemēram, pieņemsim, ka IP ugunsmūris ir ieslēgts jūsu ražošanas Dataverse vidē un atļautās IP adreses atrodas diapazonos, kas saistīti ar jūsu biroja atrašanās vietām, nevis ar kādu ārēju IP atrašanās vietu, piemēram, kafejnīcu. Ja lietotājs mēģina piekļūt organizācijas resursiem no kafejnīcas,liedz Dataverse piekļuvi reāllaikā.

Galvenie ieguvumi

IP ugunsmūra iespējošana jūsu Power Platform vidēs piedāvā vairākas galvenās priekšrocības.

• Samaziniet iekšējos draudus, piemēram, datu eksfiltrāciju: ļaunprātīgs lietotājs, kurš mēģina lejupielādēt datus Dataverse , izmantojot klienta rīku, piemēram, Excel, vai Power BI no neatļautas IP atrašanās vietas, tiek bloķēts, lai to izdarītu reāllaikā.
• Novērst marķiera atkārtošanas uzbrukumus: ja lietotājs nozog piekļuves pilnvaru un mēģina to izmantot, lai piekļūtu Dataverse no ārējiem atļautajiem IP diapazoniem, Dataverse tiek liegts mēģinājums reāllaikā.

IP ugunsmūra aizsardzība darbojas gan interaktīvos, gan neinteraktīvos scenārijos.

Kā darbojas IP ugunsmūris?

Kad tiek iesniegts Dataverse pieprasījums, pieprasījuma IP adrese tiek reāllaikā novērtēta, salīdzinot ar IP diapazoniem, kas Power Platform konfigurēti videi. Ja IP adrese ir atļautajos diapazonos, pieprasījums ir atļauts. Ja IP adrese atrodas ārpus videi konfigurētajiem IP diapazoniem, IP ugunsmūris noraida pieprasījumu ar kļūdas ziņojumu:Pieprasījums, kuru mēģināt veikt, tiek noraidīts, jo piekļuve jūsu IP ir bloķēta. Lai iegūtu papildinformāciju, sazinieties ar administratoru.

Priekšnoteikumi

• IP ugunsmūris ir iezīme Pārvaldītās vides.
• Lai iespējotu vai atspējotu IP ugunsmūri, jums ir jābūt administratora Power Platform lomai.

IP ugunsmūra iespējošana

IP ugunsmūri Power Platform vidē var iespējot, izmantojot Power Platform administrēšanas centru vai Dataverse OData API.

IP ugunsmūra iespējošana, izmantojot Power Platform administrēšanas centru

1. Piesakieties Power Platform administrēšanas centrā kā administrators.

2. Atlasiet Vides un pēc tam izvēlieties vidi.

3. Atlasiet Iestatījumi>Prece>Konfidencialitāte + Drošība.

4. Sadaļā IP adreses iestatījumi iestatiet opciju Iespējot uz IP adresi balstītu ugunsmūra kārtulu uz Ieslēgts.

5. Sadaļā Atļautais IPv4 diapazonu saraksts norādiet atļautos IP diapazonus bezklases starpdomēnu maršrutēšanas (Class Interdomain Route — CIDR) formātā, kā norādīts RFC 4632. Ja jums ir vairāki IP diapazoni, atdaliet tos ar komatu. Šis lauks pieņem līdz 4,000 burtciparu rakstzīmēm un atļauj ne vairāk kā 200 IP diapazonus.

6. Pēc vajadzības atlasiet citus iestatījumus:

   • Pakalpojumu tagi, kas jāatļauj IP ugunsmūrim: sarakstā atlasiet pakalpojumu tagus, kas var apiet IP ugunsmūra ierobežojumus.
   • Atļaut piekļuvi uzticamiem pakalpojumiem Microsoft : šis iestatījums ļaujuzticamiem Microsoft pakalpojumiem, piemēram, lietotāja uzraudzībai un atbalstam utt., apiet IP ugunsmūra ierobežojumus, lai Power Platform piekļūtu Dataversevidei. Iespējots pēc noklusējuma.
   • Atļaut piekļuvi visiem lietojumprogrammas lietotājiem: šis iestatījums ļauj visiem lietojumprogrammas lietotājiem trešo pušu un pirmās puses piekļuvi Dataverse API. Iespējots pēc noklusējuma. Ja notīrīsit šo vērtību, tiks bloķēti tikai trešās puses lietojumprogrammu lietotāji.
   • Iespējojiet IP ugunsmūri tikai audita režīmā: šis iestatījums iespējo IP ugunsmūri, bet atļauj pieprasījumus neatkarīgi no to IP adreses. Iespējots pēc noklusējuma.
   • Reversās starpniekservera IP adreses: ja jūsu organizācijai ir konfigurēti reversie starpniekserveri, ievadiet vienas vai vairāku IP adreses, atdalot tās ar komatiem. Apgrieztā starpniekservera iestatījums attiecas gan uz IP sīkfailu saistīšanu, gan uz IP ugunsmūri.

7. Atlasiet vienumu Saglabāt.

Iespējojiet IP ugunsmūri, Dataverse izmantojot OData API

OData API var izmantot, Dataverse lai izgūtu un modificētu Power Platform vērtības vidē. Detalizētus norādījumus skatiet rakstā Datu vaicājums, izmantojot tīmekļa API un Tabulas rindu atjaunināšana un dzēšana, izmantojot tīmekļa API (Microsoft Dataverse).

Jūs varat elastīgi izvēlēties vēlamos rīkus. Izmantojiet tālāk norādīto dokumentāciju, lai izgūtu un modificētu vērtības, Dataverse izmantojot OData API:

• Bezmiega izmantošana ar Dataverse tīmekļa API
• Ātrās palaišanas tīmekļa API ar PowerShell un Visual Studio kodu

IP ugunsmūra konfigurēšana, izmantojot OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Vērtumu

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule — iespējojiet līdzekli, iestatot vērtību true, vai atspējojiet to, iestatot vērtību aplams.

• allowediprange for firewall — uzskaitiet IP diapazonus, kas būtu jāatļauj. Norādiet tos CIDR apzīmējumā, atdalot tos ar komatu.

  Svarīgi

  Pārliecinieties, vai pakalpojuma tagu nosaukumi precīzi atbilst tam, ko redzat IP ugunsmūra iestatījumu lapā. Ja pastāv kāda neatbilstība, IP ierobežojumi var nedarboties pareizi.

• enableipbasedfirewallruleinauditmode - vērtība true norāda tikai audita režīmu, bet vērtība false norāda izpildes režīmu.

• allowedservicetagsforfirewall — uzskaitiet pakalpojumu tagus, kas būtu jāatļauj, atdalot tos ar komatu. Ja nevēlaties konfigurēt nevienu servisa tagu, atstājiet vērtību null.

• allowapplicationuseraccess — noklusējuma vērtība ir patiesa.

• allowmicrosofttrustedservicetags — noklusējuma vērtība ir patiesa.

Svarīgi

Ja ir atspējota opcija Atļaut piekļuvi uzticamiem Microsoft pakalpojumiem un Atļaut piekļuvi visiem lietojumprogrammu lietotājiem , daži izmantotie Dataverse pakalpojumi, piemēram Power Automate , plūsmas, var vairs nedarboties.

Pārbaudiet IP ugunsmūri

Jums vajadzētu pārbaudīt IP ugunsmūri, lai pārbaudītu, vai tas darbojas.

1. No IP adreses, kas nav vides atļauto IP adrešu sarakstā, pārlūkojiet līdz vides Power Platform URI.

   Jūsu pieprasījums ir jānoraida ar ziņojumu, kurā teikts: "Pieprasījums, kuru mēģināt veikt, tiek noraidīts, jo piekļuve jūsu IP adresei ir bloķēta. Lai iegūtu papildinformāciju, sazinieties ar administratoru."

2. No IP adreses, kas ir atļautajā vides IP adrešu sarakstā, pārlūkojiet līdz vides Power Platform URI.

   Jums vajadzētu būt piekļuvei videi, ko nosaka jūsu drošības loma.

Pirms IP ugunsmūra ieviešanas ražošanas vidē ieteicams vispirms pārbaudīt IP ugunsmūri testa vidē, pēc tam ražošanas vidē — tikai audita režīmu.

Piezīmes

Pēc noklusējuma TDS galapunkts ir ieslēgts Power Platform vidē.

Licencēšanas prasības IP ugunsmūrim

IP ugunsmūris tiek izmantots tikai vidēs, kas ir aktivizētas Pārvaldītās vides. Pārvaldītās vides ir iekļautas kā tiesības savrupās Power Apps, Power Automate, Microsoft Copilot Studio Power Pages un Dynamics 365 licencēs, kas dod augstākās kvalitātes lietošanas tiesības. Uzziniet vairāk par licencēšanu pārvaldītajā vidē, izmantojot licencēšanas pārskatu . Microsoft Power Platform

Turklāt, lai piekļūtu IP ugunsmūra Dataverse izmantošanai, lietotājiem vidēs, kurās tiek uzspiests IP ugunsmūris, ir jābūt kādam no šiem abonementiem:

• Microsoft 365 vai Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 atbilstība
• Microsoft 365 F5 drošība un atbilstība
• Microsoft 365 A5/E5/F5/G5 informācijas aizsardzība un pārvaldība
• Microsoft 365 A5/E5/F5/G5 iekšējā riska pārvaldība

Uzziniet vairāk par šīm licencēm

Bieži uzdotie jautājumi (BUJ)

Ko aptver IP ugunsmūris Power Platform?

IP ugunsmūris tiek atbalstīts jebkurā Power Platform vidē, kas ietver Dataverse.

Cik drīz stājas spēkā izmaiņas IP adrešu sarakstā?

Izmaiņas atļauto IP adrešu vai diapazonu sarakstā parasti stājas spēkā aptuveni 5–10 minūšu laikā.

Vai šī funkcija darbojas reālajā laikā?

IP ugunsmūra aizsardzība darbojas reāllaikā. Tā kā līdzeklis darbojas tīkla slānis, tas novērtē pieprasījumu pēc autentifikācijas pieprasījuma pabeigšanas.

Vai šī funkcija ir iespējota pēc noklusējuma visās vidēs?

IP ugunsmūris pēc noklusējuma nav iespējots. Administratoram Power Platform tas ir jāiespējo Pārvaldītās vides.

Kas ir tikai audita režīms?

Tikai audita režīmā IP ugunsmūris identificē IP adreses, kas veic zvanus uz vidi, un atļauj tās visas neatkarīgi no tā, vai tās atrodas atļautajā diapazonā vai nē. Tas ir noderīgi, konfigurējot vides ierobežojumus Power Platform . Ieteicams vismaz nedēļu iespējot tikai audita režīmu un atspējot to tikai pēc rūpīgas audita žurnālu pārskatīšanas.

Vai šis līdzeklis ir pieejams visās vidēs?

IP ugunsmūris ir pieejams tikai Pārvaldītās vides .

Vai IP adrešu skaits, ko var pievienot tekstlodziņā IP adrese, ir ierobežots?

Varat pievienot līdz pat 200 IP adrešu diapazoniem CIDR formātā saskaņā ar RFC 4632, atdalot tos ar komatiem.

Kā rīkoties, ja pieprasījumi sāk Dataverse neizdoties?

Šo problēmu, iespējams, izraisa nepareiza IP diapazonu konfigurācija IP ugunsmūrim. IP diapazonus var pārbaudīt un pārbaudīt lapā IP ugunsmūra iestatījumi. Pirms IP ugunsmūra ieviešanas ieteicams ieslēgt tikai audita režīmā.

Kā lejupielādēt audita žurnālu tikai audita režīmā?

Dataverse Izmantojiet OData API, lai lejupielādētu audita žurnāla datus JSON formātā. Audita žurnāla API formāts ir:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Nomainiet [orgURI] ar Dataverse vides URI.
• Iestatiet darbības vērtību 118 šim notikumam.
• Iestatiet atgriežamo vienumu skaitu top=1 vai norādiet skaitu, kuru vēlaties atgriezt.

Manas Power Automate plūsmas nedarbojas, kā paredzēts, pēc IP ugunsmūra konfigurēšanas manā Power Platform vidē. Ko darīt?

IP ugunsmūra iestatījumos atļaujiet pakalpojumu tagus, kas norādīti sadaļā Pārvaldītie savienotāji izejošās IP adreses.

Esmu pareizi konfigurējis apgriezto starpniekservera adresi, bet IP ugunsmūris nedarbojas. Ko darīt?

Pārliecinieties, vai reversais starpniekserveris ir konfigurēts tā, lai pārsūtītajā galvenē nosūtītu klienta IP adresi.

IP ugunsmūra audita funkcionalitāte manā vidē nedarbojas. Ko darīt?

IP ugunsmūra audita žurnāli netiek atbalstīti nomniekos, kuros ir iespējotas savas atslēgas (BYOK) šifrēšanas atslēgas. Ja nomniekam ir iespējota savas atslēgas atvešana, tad visas vides BYOK iespējotā nomniekā ir bloķētas tikai SQL, tāpēc audita žurnālus var glabāt tikai SQL. Ieteicams migrēt uz klienta pārvaldītu atslēgu. Lai migrētu no BYOK uz klienta pārvaldītu atslēgu (CMKv2), izpildiet darbības, kas norādītas sadaļā Migrēt savas atslēgas (BYOK) vides migrēšana uz klienta pārvaldītu atslēgu.

Vai IP ugunsmūris atbalsta IPv6 IP diapazonus?

Pašlaik IP ugunsmūris neatbalsta IPv6 IP diapazonus.

Nākamās darbības

Drošība Microsoft Dataverse