Firewall IP dalam Power Platform persekitaran

Nota

Pusat pentadbiran Power Platform baharu dan dipertingkatkan kini tersedia secara umum. Kami sedang mengemas kini dokumentasi untuk mencerminkan perubahan ini, jadi semak semula untuk memastikan anda mendapat kemas kini terkini.

Tembok api IP membantu melindungi data organisasi anda dengan mengehadkan akses pengguna daripada Microsoft Dataverse lokasi IP yang dibenarkan sahaja. Firewall IP menganalisis alamat IP setiap permintaan dalam masa nyata. Sebagai contoh, katakan tembok api IP dihidupkan dalam persekitaran pengeluaran Dataverse anda dan alamat IP yang dibenarkan berada dalam julat yang dikaitkan dengan lokasi pejabat anda dan bukan mana-mana lokasi IP luaran seperti kedai kopi. Jika pengguna cuba mengakses sumber organisasi daripada kedai kopi, Dataverse menafikan akses dalam masa nyata.

Faedah utama

Mendayakan tembok api IP dalam persekitaran anda Power Platform menawarkan beberapa faedah utama.

• Kurangkan ancaman orang dalam seperti eksfiltrasi data: Pengguna berniat jahat yang cuba memuat turun data daripada Dataverse menggunakan alat pelanggan seperti Excel atau Power BI daripada lokasi IP yang tidak dibenarkan disekat daripada berbuat demikian dalam masa nyata.
• Cegah serangan main semula token: Jika pengguna mencuri token akses dan cuba menggunakannya untuk mengakses Dataverse dari luar julat IP yang dibenarkan, Dataverse menafikan percubaan itu dalam masa nyata.

Perlindungan firewall IP berfungsi dalam kedua-dua senario interaktif dan bukan interaktif.

Bagaimanakah tembok api IP berfungsi?

Apabila permintaan dibuat, Dataverse alamat IP permintaan dinilai dalam masa nyata terhadap julat IP yang dikonfigurasikan untuk persekitaran Power Platform . Jika alamat IP berada dalam julat yang dibenarkan, permintaan dibenarkan. Jika alamat IP berada di luar julat IP yang dikonfigurasikan untuk persekitaran, tembok api IP menolak permintaan dengan mesej ralat: Permintaan yang anda cuba buat ditolak kerana akses kepada IP anda disekat. Hubungi pentadbir anda untuk mendapatkan maklumat lanjut.

Prasyarat

• Firewall IP ialah ciri Persekitaran Terurus.
• Anda mesti mempunyai Power Platform peranan pentadbir untuk mendayakan atau menyahdayakan tembok api IP.

Dayakan firewall IP

Anda boleh mendayakan tembok api IP dalam Power Platform persekitaran dengan menggunakan sama ada Power Platform pusat pentadbiran atau Dataverse API OData.

Dayakan firewall IP menggunakan Power Platform pusat pentadbiran

1. Log masuk ke Power Platform Pusat Pentadbir sebagai pentadbir.

2. Dalam anak tetingkap navigasi, pilih Keselamatan.

3. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.

4. Dalam halaman Pengurusan identiti dan capaian , pilih IP firewll.

5. Dalam anak tetingkap Sediakan tembok api IP, pilih persekitaran. Kemudian pilih Sediakan tembok api IP.

6. Dalam anak tetingkap Sediakan tembok api IP untuk persekitaran ini, pilih Firewall IP kepada Hidup.

7. Di bawah Senarai alamat IP yang dibenarkan, tentukan julat IP yang dibenarkan dalam format penghalaan antara domain tanpa kelas (CIDR) mengikut RFC 4632. Jika anda mempunyai berbilang julat IP, pisahkannya dengan koma. Medan ini menerima sehingga 4,000 aksara alfanumerik dan membenarkan maksimum 200 julat IP. Alamat IPv6 dibenarkan dalam format heksadesimal dan termampat.

8. Pilih tetapan lanjutan lain, mengikut kesesuaian:

   • Senarai teg perkhidmatan yang dibenarkan: Daripada senarai, pilih teg perkhidmatan yang boleh memintas sekatan tembok api IP.

   • Benarkan akses untuk perkhidmatan dipercayai Microsoft: Tetapan ini membolehkan perkhidmatan dipercayai Microsoft seperti pemantauan dan sokongan pengguna dsb. untuk memintas sekatan tembok api IP untuk mengakses persekitaran Power Platform Dataverse. Didayakan secara lalai.

   • Benarkan akses untuk semua pengguna aplikasi: Tetapan ini membenarkan semua pengguna aplikasi akses pihak ketiga dan pihak pertama kepada Dataverse API. Didayakan secara lalai. Jika anda mengosongkan nilai ini, ia hanya menyekat pengguna aplikasi pihak ketiga.

   • Dayakan tembok api IP dalam mod audit sahaja: Tetapan ini mendayakan tembok api IP tetapi membenarkan permintaan tanpa mengira alamat IP mereka. Didayakan secara lalai.

   • Alamat IP proksi terbalik: Jika organisasi anda mempunyai proksi terbalik yang dikonfigurasikan, masukkan alamat IP yang dipisahkan dengan koma. Tetapan proksi songsang digunakan untuk kedua-dua pengikatan kuki berasaskan IP dan tembok api IP. Hubungi pentadbir rangkaian anda untuk mendapatkan alamat IP proksi terbalik.

     Nota

     Proksi terbalik mesti dikonfigurasikan untuk menghantar alamat IP klien pengguna dalam pengepala yang dimajukan .

9. Pilih Simpan.

Dayakan firewall IP pada peringkat kumpulan persekitaran

Untuk mengkonfigurasi seting tembok api IP pada peringkat kumpulan persekitaran, lengkapkan langkah berikut. Daftar masuk ke pusat pentadbiran Power Platform.

1. Dalam anak tetingkap navigasi, pilih Keselamatan.

2. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.

3. Pilih anak tetingkap firewall IP.

4. Dalam anak tetingkap yang dipaparkan, pilih tab Kumpulan persekitaran yang anda mahu tetapan keselamatan digunakan. Kemudian pilih Sediakan tembok api IP.

5. Dalam anak tetingkap Sediakan tembok api IP, pilih Firewall IP kepada Hidup.

6. Di bawah Senarai alamat IP yang dibenarkan, tentukan julat IP yang dibenarkan dalam format penghalaan antara domain tanpa kelas (CIDR) mengikut RFC 4632. Jika anda mempunyai berbilang julat IP, pisahkannya dengan koma. Medan ini menerima sehingga 4,000 aksara alfanumerik dan membenarkan maksimum 200 julat IP. Alamat IPv6 dibenarkan dalam format heksadesimal dan termampat.

7. Pilih tetapan lanjutan lain, mengikut kesesuaian:

   • Senarai teg perkhidmatan yang dibenarkan: Daripada senarai, pilih teg perkhidmatan yang boleh memintas sekatan tembok api IP.
   • Benarkan akses untuk perkhidmatan dipercayai Microsoft: Tetapan ini membolehkan perkhidmatan dipercayai Microsoft seperti pemantauan dan sokongan pengguna dsb. untuk memintas sekatan tembok api IP untuk mengakses persekitaran Power Platform Dataverse. Didayakan secara lalai.
   • Benarkan akses untuk semua pengguna aplikasi: Tetapan ini membenarkan semua pengguna aplikasi akses pihak ketiga dan pihak pertama kepada Dataverse API. Didayakan secara lalai. Jika anda mengosongkan nilai ini, ia hanya menyekat pengguna aplikasi pihak ketiga.
   • Dayakan tembok api IP dalam mod audit sahaja: Tetapan ini mendayakan tembok api IP tetapi membenarkan permintaan tanpa mengira alamat IP mereka. Didayakan secara lalai.
   • Alamat IP proksi terbalik: Jika organisasi anda mempunyai proksi terbalik yang dikonfigurasikan, masukkan alamat IP yang dipisahkan dengan koma. Tetapan proksi songsang digunakan untuk kedua-dua pengikatan kuki berasaskan IP dan tembok api IP. Hubungi pentadbir rangkaian anda untuk mendapatkan alamat IP proksi terbalik.

8. Pilih Simpan.

   Nota

   Proksi terbalik mesti dikonfigurasikan untuk menghantar alamat IP klien pengguna dalam pengepala yang dimajukan .

   Tetapan yang dipilih digunakan pada semua persekitaran dalam kumpulan persekitaran tersebut.

Dayakan tembok api IP menggunakan Dataverse API OData

Anda boleh menggunakan Dataverse API OData untuk mendapatkan semula dan mengubah suai nilai dalam persekitaran Power Platform . Untuk panduan terperinci, lihat Pertanyaan data menggunakan API Web dan Kemas kini dan padamkan baris jadual menggunakan API Web (Microsoft Dataverse).

Anda mempunyai fleksibiliti untuk memilih alat yang anda suka. Gunakan dokumentasi berikut untuk mendapatkan semula dan mengubah suai nilai melalui Dataverse API OData:

• Gunakan Insomnia dengan Dataverse API Web
• API Web Permulaan Pantas dengan PowerShell dan Visual Studio Kod

Konfigurasikan firewall IP dengan menggunakan API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Muatan

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Dayakan ciri dengan menetapkan nilai kepada benar, atau lumpuhkannya dengan menetapkan nilai kepada false.

• allowediprangeforfirewall — Senaraikan julat IP yang sepatutnya dibenarkan. Sediakan mereka dalam notasi CIDR, dipisahkan dengan koma.

  Penting

  Pastikan nama tag perkhidmatan betul-betul sepadan dengan apa yang anda lihat pada halaman tetapan firewall IP. Jika terdapat sebarang percanggahan, sekatan IP mungkin tidak berfungsi dengan betul.

• enableipbasedfirewallruleinauditmode – Nilai true menunjukkan mod audit sahaja, manakala nilai false menunjukkan mod penguatkuasaan.

• allowedservicetagsforfirewall – Senaraikan tag perkhidmatan yang sepatutnya dibenarkan, dipisahkan dengan koma. Jika anda tidak mahu mengkonfigurasi sebarang tag perkhidmatan, biarkan nilai null.

• allowapplicationuseraccess – Nilai lalai adalah benar.

• allowmicrosofttrustedservicetags – Nilai lalai adalah benar.

Penting

Apabila Benarkan Capaian untuk perkhidmatan dipercayai Microsoft dan Benarkan capaian untuk semua pengguna aplikasi dinyahdayakan, sesetengah perkhidmatan yang menggunakan Dataverse, seperti Power Automate aliran, mungkin tidak lagi berfungsi.

Uji firewall IP

Anda harus menguji tembok api IP untuk mengesahkan bahawa ia berfungsi.

1. Daripada alamat IP yang tiada dalam senarai alamat IP yang dibenarkan untuk persekitaran, semak imbas ke URI persekitaran anda Power Platform .

   Permintaan anda hendaklah ditolak dengan mesej yang mengatakan, "Permintaan yang anda cuba buat ditolak kerana akses kepada IP anda disekat. Hubungi pentadbir anda untuk mendapatkan maklumat lanjut."

2. Daripada alamat IP yang berada dalam senarai alamat IP yang dibenarkan untuk persekitaran, semak imbas ke URI persekitaran anda Power Platform .

   Anda sepatutnya mempunyai akses kepada persekitaran yang ditakrifkan oleh peranan keselamatan anda.

Kami mengesyorkan agar anda menguji tembok api IP dalam persekitaran ujian anda terlebih dahulu, diikuti dengan mod audit sahaja dalam persekitaran Pengeluaran sebelum menguatkuasakan tembok api IP pada persekitaran Pengeluaran anda.

Nota

Secara lalai, titik akhir TDS dihidupkan dalam persekitaran Power Platform .

Keperluan pelesenan untuk tembok api IP

Firewall IP hanya dikuatkuasakan pada persekitaran yang diaktifkan untuk Persekitaran Terurus. Persekitaran Terurus disertakan sebagai kelayakan dalam lesen kendiri Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages dan Dynamics 365 yang memberikan hak penggunaan premium. Ketahui lebih lanjut tentang pelesenan Persekitaran Terurus dengan gambaran keseluruhan Pelesenan untuk Microsoft Power Platform.

Di samping itu, akses kepada menggunakan tembok api IP untuk Dataverse memerlukan pengguna dalam persekitaran di mana tembok api IP dikuatkuasakan untuk mempunyai salah satu daripada langganan ini:

• Microsoft 365 atau Office 365 A5/E5/G5
• Pematuhan A5/E5/F5/G5 Microsoft 365
• Keselamatan dan Pematuhan F5 Microsoft 365
• Microsoft 365 A5/E5/F5/G5 Perlindungan Maklumat dan Tadbir Urus
• Pengurusan Risiko Orang Dalaman A5/E5/F5/G5 Microsoft 365

Ketahui lebih lanjut tentang lesen ini

Soalan lazim (FAQ)

Apakah yang dilindungi Power Platform oleh firewall IP?

Firewall IP disokong dalam mana-mana Power Platform persekitaran yang merangkumi Dataverse.

Berapa lama perubahan pada senarai alamat IP berkuat kuasa?

Perubahan pada senarai alamat atau julat IP yang dibenarkan biasanya berkuat kuasa dalam masa kira-kira 5-10 minit.

Adakah ciri ini berfungsi dalam masa nyata?

Perlindungan firewall IP berfungsi dalam masa nyata. Memandangkan ciri berfungsi pada lapisan rangkaian, ia menilai permintaan selepas permintaan pengesahan selesai.

Adakah ciri ini didayakan secara lalai dalam semua persekitaran?

Tembok api IP tidak didayakan secara lalai. Power Platform Pentadbir perlu mendayakannya untuk Persekitaran Terurus.

Apakah mod audit sahaja?

Dalam mod audit sahaja, firewall IP mengenal pasti alamat IP yang membuat panggilan ke persekitaran dan membenarkan mereka semua, sama ada ia berada dalam julat yang dibenarkan atau tidak. Ia berguna apabila anda mengkonfigurasi sekatan pada Power Platform persekitaran. Kami mengesyorkan agar anda mendayakan mod audit sahaja selama sekurang-kurangnya seminggu dan menyahdayakannya hanya selepas semakan log audit dengan teliti.

Adakah ciri ini tersedia dalam semua persekitaran?

Firewall IP tersedia untuk Persekitaran Terurus sahaja.

Adakah terdapat had pada bilangan alamat IP yang boleh saya tambah dalam kotak teks alamat IP?

Anda boleh menambah sehingga 200 julat alamat IP dalam format CIDR mengikut RFC 4632, dipisahkan dengan koma.

Apakah yang perlu saya lakukan jika permintaan untuk Dataverse mula gagal?

Konfigurasi julat IP yang salah untuk firewall IP mungkin menyebabkan isu ini. Anda boleh menyemak dan mengesahkan julat IP pada halaman tetapan tembok api IP. Kami mengesyorkan agar anda menghidupkan tembok api IP dalam mod Audit sahaja sebelum menguatkuasakannya.

Bagaimanakah cara saya memuat turun log audit untuk mod audit sahaja?

Gunakan Dataverse API OData untuk memuat turun data log audit dalam format JSON. Format API log audit ialah:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Gantikan [orgURI] dengan URI persekitaran Dataverse .
• Tetapkan nilai tindakan kepada 118 untuk acara ini.
• Tetapkan bilangan item untuk dikembalikan dalam top=1 atau tentukan nombor yang anda mahu kembalikan.

Aliran saya Power Automate tidak berfungsi seperti yang diharapkan selepas mengkonfigurasi tembok api IP pada persekitaran saya Power Platform . Apakah yang perlu saya lakukan?

Dalam tetapan tembok api IP, benarkan teg perkhidmatan yang disenaraikan dalam Alamat IP keluar penyambung terurus.

Saya telah mengkonfigurasi alamat proksi terbalik dengan betul, tetapi tembok api IP tidak berfungsi. Apakah yang perlu saya lakukan?

Pastikan proksi terbalik anda dikonfigurasikan untuk menghantar alamat IP klien dalam pengepala yang dimajukan.

Fungsi audit firewall IP tidak berfungsi dalam persekitaran saya. Apakah yang perlu saya lakukan?

Log audit firewall IP tidak disokong dalam penyewa yang didayakan untuk kunci penyulitan bawa kunci anda sendiri (BYOK). Jika penyewa anda didayakan untuk membawa kunci anda sendiri, maka semua persekitaran dalam penyewa yang didayakan BYUK dikunci kepada SQL sahaja, oleh itu log audit hanya boleh disimpan dalam SQL. Kami mengesyorkan agar anda berhijrah kepada kunci yang diuruskan pelanggan. Untuk berhijrah daripada BYOK kepada kunci yang diuruskan pelanggan (CMKv2), ikut langkah dalam Pindahkan persekitaran bawa kunci anda sendiri (BYOK) kepada kunci yang diuruskan pelanggan.

Adakah firewall IP menyokong julat IP IPv6?

Ya, firewall IP menyokong julat IP IPv6.

Langkah-langkah berikutnya

Keselamatan dalam Microsoft Dataverse