Dibaca dalam bahasa Inggeris

Kongsi melalui


Firewall IP dalam Power Platform persekitaran

Firewall IP membantu melindungi data organisasi anda dengan mengehadkan akses pengguna daripada Microsoft Dataverse lokasi IP yang dibenarkan sahaja. Firewall IP menganalisis alamat IP setiap permintaan dalam masa nyata. Contohnya, katakan tembok api IP dihidupkan dalam persekitaran pengeluaran Dataverse anda dan alamat IP yang dibenarkan berada dalam julat yang berkaitan dengan lokasi pejabat anda dan bukan mana-mana lokasi IP luaran seperti kedai kopi. Jika pengguna cuba mengakses sumber organisasi dari kedai kopi, Dataverse menafikan akses dalam masa nyata.

Gambar rajah yang menggambarkan ciri firewall IP dalam Dataverse.

Kebaikan utama

Mendayakan firewall IP dalam persekitaran anda Power Platform menawarkan beberapa faedah utama.

  • Kurangkan ancaman orang dalam seperti penyeludupan data: Pengguna berniat jahat yang cuba memuat turun data daripada Dataverse menggunakan alat klien seperti Excel atau Power BI daripada lokasi IP yang tidak dibenarkan disekat daripada berbuat demikian dalam masa nyata.
  • Cegah serangan main semula token: Jika pengguna mencuri token akses dan cuba menggunakannya untuk mengakses Dataverse dari luar julat IP yang dibenarkan, Dataverse menafikan percubaan itu dalam masa nyata.

Perlindungan tembok api IP berfungsi dalam kedua-dua senario interaktif dan tidak interaktif.

Bagaimanakah tembok api IP berfungsi?

Apabila permintaan dibuat Dataverse, alamat IP permintaan dinilai dalam masa nyata terhadap julat IP yang dikonfigurasikan untuk Power Platform persekitaran. Jika alamat IP berada dalam julat yang dibenarkan, permintaan dibenarkan. Jika alamat IP berada di luar julat IP yang dikonfigurasikan untuk persekitaran, tembok api IP menafikan permintaan dengan mesej ralat: Permintaan yang anda cuba buat ditolak kerana akses kepada IP anda disekat. Hubungi pentadbir anda untuk mendapatkan maklumat lanjut.

Prasyarat

  • Firewall IP ialah ciri Persekitaran Terurus.
  • Anda mesti mempunyai Power Platform peranan pentadbir untuk mendayakan atau melumpuhkan tembok api IP.

Dayakan tembok api IP

Anda boleh mendayakan tembok api IP dalam Power Platform persekitaran dengan menggunakan sama ada Power Platform pusat pentadbiran atau Dataverse API OData.

Dayakan tembok api IP menggunakan Power Platform pusat pentadbiran

  1. Log masuk ke Power Platform Pusat Pentadbiran sebagai pentadbir.

  2. Pilih Persekitaran dan kemudian pilih persekitaran.

  3. Pilih Tetapan>Produk>Privasi + Keselamatan.

  4. Di bawah tetapan alamat IP, tetapkan Dayakan peraturan tembok api berasaskan alamat IP kepada Hidup .

  5. Di bawah Senarai julat IPv4/IPv6 yang dibenarkan, tentukan julat IP yang dibenarkan dalam format penghalaan antara domain tanpa kelas (CIDR) seperti RFC 4632. Jika anda mempunyai berbilang julat IP, pisahkan dengan koma. Medan ini menerima sehingga 4,000 aksara abjad angka dan membenarkan maksimum 200 julat IP. Alamat IPv6 dibenarkan dalam format heksadesimal dan termampat.

  6. Pilih tetapan lain, mengikut kesesuaian:

    • Tag perkhidmatan yang dibenarkan oleh tembok api IP: Daripada senarai, pilih tag perkhidmatan yang boleh memintas sekatan tembok api IP.

    • Benarkan akses untuk perkhidmatan yang dipercayai Microsoft: Tetapan ini membolehkan perkhidmatan yang dipercayai Microsoft seperti pemantauan dan sokongan pengguna dsb. untuk memintas sekatan tembok api IP untuk mengakses Power Platform persekitaran Dataverse. Didayakan secara lalai.

    • Benarkan akses untuk semua pengguna aplikasi: Seting ini membenarkan semua pengguna aplikasi akses pihak ketiga dan pihak pertama kepada Dataverse API. Didayakan secara lalai. Jika anda mengosongkan nilai ini, ia hanya menyekat pengguna aplikasi pihak ketiga.

    • Dayakan tembok api IP dalam mod audit sahaja: Seting ini mendayakan tembok api IP tetapi membenarkan permintaan tanpa mengira alamat IP mereka. Didayakan secara lalai.

    • Alamat IP proksi terbalik: Jika organisasi anda mempunyai proksi terbalik yang dikonfigurasikan, masukkan alamat IP yang dipisahkan dengan koma. Tetapan proksi terbalik digunakan untuk kedua-dua pengikatan kuki berasaskan IP dan tembok api IP. Hubungi pentadbir rangkaian anda untuk mendapatkan alamat IP proksi terbalik.

      Nota

      Proksi terbalik mesti dikonfigurasikan untuk menghantar alamat IP klien pengguna dalam pengepala yang dimajukan .

  7. Pilih Simpan.

Dayakan tembok api IP menggunakan Dataverse API OData

Anda boleh menggunakan Dataverse API OData untuk mendapatkan semula dan mengubah suai nilai dalam Power Platform persekitaran. Untuk panduan terperinci, lihat Data pertanyaan menggunakan API Web dan Kemas kini dan padamkan baris jadual menggunakan API Web (Microsoft Dataverse).

Anda mempunyai fleksibiliti untuk memilih alatan yang anda suka. Gunakan dokumentasi berikut untuk mendapatkan semula dan mengubah suai nilai melalui Dataverse API OData:

Konfigurasikan tembok api IP dengan menggunakan API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Muatan

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • enableipbasedfirewallrule – Dayakan ciri dengan menetapkan nilai kepada benar, atau lumpuhkannya dengan menetapkan nilai kepada palsu.

  • allowediprangeforfirewall — Senaraikan julat IP yang sepatutnya dibenarkan. Berikan mereka dalam notasi CIDR, dipisahkan dengan koma.

    Penting

    Pastikan nama tag perkhidmatan betul-betul sepadan dengan apa yang anda lihat pada halaman tetapan firewall IP. Jika terdapat sebarang percanggahan, sekatan IP mungkin tidak berfungsi dengan betul.

  • enableipbasedfirewallruleinauditmode – Nilai true menunjukkan mod audit sahaja, manakala nilai false menunjukkan mod penguatkuasaan.

  • allowedservicetagsforfirewall – Senaraikan tag perkhidmatan yang sepatutnya dibenarkan, dipisahkan dengan koma. Jika anda tidak mahu mengkonfigurasi sebarang tag perkhidmatan, biarkan nilai nol.

  • allowapplicationuseraccess – Nilai lalai ialah benar.

  • allowmicrosofttrustedservicetags – Nilai lalai ialah benar.

Penting

Apabila Benarkan Akses untuk perkhidmatan dipercayai Microsoft dan Benarkan akses untuk semua pengguna aplikasi dinyahdayakan, sesetengah perkhidmatan yang menggunakan Dataverse, seperti Power Automate aliran, mungkin tidak lagi berfungsi.

Uji tembok api IP

Anda harus menguji tembok api IP untuk mengesahkan bahawa ia berfungsi.

  1. Daripada alamat IP yang tiada dalam senarai alamat IP yang dibenarkan untuk persekitaran, layari ke URI persekitaran anda Power Platform .

    Permintaan anda harus ditolak dengan mesej yang mengatakan, "Permintaan yang anda cuba buat ditolak kerana akses kepada IP anda disekat. Hubungi pentadbir anda untuk mendapatkan maklumat lanjut."

  2. Daripada alamat IP yang terdapat dalam senarai alamat IP yang dibenarkan untuk persekitaran, layari ke URI persekitaran anda Power Platform .

    Anda sepatutnya mempunyai akses kepada persekitaran yang ditakrifkan oleh peranan keselamatan anda.

Kami mengesyorkan agar anda menguji tembok api IP dalam persekitaran ujian anda terlebih dahulu, diikuti dengan mod audit sahaja dalam persekitaran Pengeluaran sebelum menguatkuasakan tembok api IP pada persekitaran Pengeluaran anda.

Nota

Secara lalai, titik akhir TDS dihidupkan dalam Power Platform persekitaran.

Keperluan pelesenan untuk tembok api IP

Firewall IP hanya dikuatkuasakan pada persekitaran yang diaktifkan untuk Persekitaran Terurus. Persekitaran Terurus disertakan sebagai kelayakan dalam lesen kendiri Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages dan Dynamics 365 yang memberikan hak penggunaan premium. Ketahui lebih lanjut tentang pelesenan Persekitaran Terurus dengan gambaran keseluruhan Pelesenan untuk Microsoft Power Platform.

Di samping itu, akses untuk menggunakan firewall IP untuk memerlukan Dataverse pengguna dalam persekitaran di mana firewall IP dikuatkuasakan untuk mempunyai salah satu daripada langganan ini:

  • Microsoft 365 atau Office 365 A5/E5/G5
  • Pematuhan A5/E5/F5/G5 Microsoft 365
  • Keselamatan dan Pematuhan F5 Microsoft 365
  • Microsoft 365 A5/E5/F5/G5 Perlindungan Maklumat dan Tadbir Urus
  • Pengurusan Risiko Orang Dalaman A5/E5/F5/G5 Microsoft 365

Ketahui lebih lanjut tentang lesen ini

Soalan lazim (FAQ)

Apa yang dilindungi oleh tembok api IP Power Platform?

Firewall IP disokong dalam mana-mana Power Platform persekitaran yang merangkumi. Dataverse

Berapa lama perubahan pada senarai alamat IP berkuat kuasa?

Perubahan pada senarai alamat atau julat IP yang dibenarkan biasanya berkuat kuasa dalam masa kira-kira 5-10 minit.

Adakah ciri ini berfungsi dalam masa nyata?

Perlindungan tembok api IP berfungsi dalam masa nyata. Memandangkan ciri ini berfungsi pada lapisan rangkaian, ia menilai permintaan selepas permintaan pengesahan selesai.

Adakah ciri ini didayakan secara lalai dalam semua persekitaran?

Firewall IP tidak didayakan secara lalai. Pentadbir Power Platform perlu mendayakannya untuk Persekitaran Terurus.

Apakah mod audit sahaja?

Dalam mod audit sahaja, tembok api IP mengenal pasti alamat IP yang membuat panggilan ke persekitaran dan membenarkan semuanya, sama ada ia berada dalam julat yang dibenarkan atau tidak. Ia berguna apabila anda mengkonfigurasi sekatan pada Power Platform persekitaran. Kami mengesyorkan agar anda mendayakan mod audit sahaja selama sekurang-kurangnya seminggu dan melumpuhkannya hanya selepas menyemak log audit denganteliti.

Adakah ciri ini tersedia dalam semua persekitaran?

Firewall IP tersedia untuk Persekitaran Terurus sahaja .

Adakah terdapat had pada bilangan alamat IP yang boleh saya tambahkan dalam kotak teks alamat IP?

Anda boleh menambah sehingga 200 julat alamat IP dalam format CIDR mengikut RFC 4632, dipisahkan dengan koma.

Apakah yang perlu saya lakukan jika permintaan untuk Dataverse mula gagal?

Konfigurasi julat IP yang salah untuk tembok api IP mungkin menyebabkan isu ini. Anda boleh menyemak dan mengesahkan julat IP pada halaman tetapan firewall IP. Kami mengesyorkan agar anda menghidupkan tembok api IP dalam mod Audit sahaja sebelum menguatkuasakannya.

Bagaimanakah cara saya memuat turun log audit untuk mod audit sahaja?

Gunakan Dataverse API OData untuk memuat turun data log audit dalam format JSON. Format API log audit ialah:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Gantikan [orgURI] dengan URI persekitaran Dataverse .
  • Tetapkan nilai tindakan kepada 118 untuk acara ini.
  • Tetapkan bilangan item yang akan dikembalikan dalam top=1 atau tentukan nombor yang anda ingin kembalikan.

Aliran saya Power Automate tidak berfungsi seperti yang diharapkan selepas mengkonfigurasi tembok api IP pada persekitaran saya Power Platform . Apakah yang perlu saya lakukan?

Dalam tetapan tembok api IP, benarkan tag perkhidmatan yang disenaraikan dalam alamat IP keluar penyambung terurus.

Saya telah mengkonfigurasi alamat proksi terbalik dengan betul, tetapi firewall IP tidak berfungsi. Apakah yang perlu saya lakukan?

Pastikan proksi terbalik anda dikonfigurasikan untuk menghantar alamat IP klien dalam pengepala yang dimajukan.

Fungsi audit tembok api IP tidak berfungsi dalam persekitaran saya. Apakah yang perlu saya lakukan?

Log audit tembok api IP tidak disokong dalam penyewa yang didayakan untuk kunci penyulitan bawa kunci anda sendiri (BYOK). Jika penyewa anda didayakan untuk bawa kunci anda sendiri, maka semua persekitaran dalam penyewa yang didayakan BYOK dikunci kepada SQL sahaja, oleh itu log audit hanya boleh disimpan dalam SQL. Kami mengesyorkan agar anda berhijrah ke kunci yang diuruskan pelanggan. Untuk berhijrah daripada BYOK kepada kunci terurus pelanggan (CMKv2), ikut langkah dalam Pindahkan persekitaran bawa kunci anda sendiri (BYOK) ke kunci terurus pelanggan.

Adakah firewall IP menyokong julat IP IPv6?

Ya, tembok api IP menyokong julat IP IPv6.

Langkah-langkah berikutnya

Keselamatan dalam Microsoft Dataverse