IP-firewall in Power Platform-omgevingen

De IP-firewall helpt uw organisatiegegevens te beschermen door gebruikerstoegang te beperken tot Microsoft Dataverse vanuit alleen toegestane IP-locaties. De IP-firewall analyseert het IP-adres van elke aanvraag in realtime. Stel bijvoorbeeld dat de IP-firewall is ingeschakeld in uw Dataverse-productieomgeving en dat de toegestane IP-adressen binnen het bereik vallen dat aan uw kantoorlocaties is gekoppeld en niet aan een externe IP-locatie zoals een koffiebar. Als een gebruiker toegang probeert te krijgen tot organisatorische resources vanuit een coffeeshop, weigert Dataverse in realtime de toegang.

Belangrijk

De IP-firewallfunctie ondersteunt alleen OData-eindpunten voor toegang tot Dataverse-gegevens. Ondersteuning voor TDS-eindpunten wordt in een toekomstige release opgenomen.

Belangrijkste voordelen

Het inschakelen van de IP-firewall in uw Power Platform-omgevingen biedt verschillende belangrijke voordelen.

• Bedreigingen van binnenuit zoals gegevensdiefstal beperken: een kwaadwillende gebruiker die gegevens probeert te downloaden van Dataverse met behulp van een clienttool zoals Excel of Power BI van een niet-toegestane IP-locatie, wordt geblokkeerd om dit in realtime te doen.
• Token replay-aanvallen voorkomen: als een gebruiker een toegangstoken steelt en deze probeert te gebruiken om toegang te krijgen tot Dataverse van buiten de toegestane IP-bereiken, weigert Dataverse de toegang in realtime.

IP-firewallbeveiliging werkt in zowel interactieve als niet-interactieve scenario's.

Hoe werkt de IP-firewall?

Wanneer een aanvraag wordt gedaan aan Dataverse, wordt het aanvraag-IP-adres in realtime geëvalueerd op basis van de IP-bereiken die zijn geconfigureerd voor de Power Platform-omgeving. Als het IP-adres binnen het toegestane bereik valt, is de aanvraag toegestaan. Als het IP-adres buiten het IP-bereik valt dat voor de omgeving is geconfigureerd, weigert de IP-firewall de aanvraag met een foutmelding: De aanvraag die u probeert te doen, wordt afgewezen omdat de toegang tot uw IP-adres is geblokkeerd. Neem contact op met uw beheerder voor meer informatie.

Vereisten

• De IP-firewall is een functie van beheerde omgevingen.
• U moet een Power Platform-beheerdersrol hebben om de IP-firewall te kunnen in- of uitschakelen.

De IP-firewall inschakelen

U kunt de IP-firewall inschakelen in een Power Platform-omgeving via het Power Platform-beheercentrum of via de Dataverse OData API.

De IP-firewall inschakelen via het Power Platform-beheercentrum

1. Meld u als beheerder aan bij het Power Platform-beheercentrum.

2. Selecteer Omgevingen en selecteer daarna een omgeving.

3. Selecteer Instellingen>Product>Privacy en beveiliging.

4. Stel onder IP-adresinstellingen de optie Op IP-adres gebaseerde firewallregel inschakelen in op Aan.

5. Geef onder Toegestane lijst met IPv4-bereiken de toegestane IP-bereiken op in CIDR-indeling (Classless InterDomain Routing) volgens RFC 4632. Als u meerdere IP-bereiken hebt, scheidt u deze met een komma. Dit veld accepteert maximaal 4.000 alfanumerieke tekens en staat maximaal 200 IP-bereiken toe.

6. Selecteer eventueel andere instellingen:

   • Servicetags toegestaan door IP-firewall: selecteer in de lijst servicetags die IP-firewallbeperkingen kunnen omzeilen.
   • Toegang toestaan voor vertrouwde Microsoft-services: met deze instelling worden vertrouwde Microsoft-services ingeschakeld, zoals monitoring en ondersteuningsgebruiker enzovoort om de IP-firewallbeperkingen te omzeilen voor toegang tot de Power Platform-omgeving met Dataverse. Standaard ingeschakeld.
   • Toegang toestaan voor alle toepassingsgebruikers: met deze instelling krijgen alle toepassingsgebruikers toegang van derden en eerste partijen tot API's van Dataverse. Standaard ingeschakeld. Als u deze waarde wist, worden alleen gebruikers van toepassingen van derden geblokkeerd.
   • IP-firewall inschakelen in alleen-auditmodus: met deze instelling wordt de IP-firewall ingeschakeld, maar worden aanvragen ongeacht hun IP-adres toegestaan. Standaard ingeschakeld.
   • Reverse proxy IP-adressen: als uw organisatie reverse proxy's heeft geconfigureerd, voert u de IP-adressen van een of meer in, gescheiden door komma's. De reverse proxy-instelling is van toepassing op zowel IP-gebaseerde cookiebinding als de IP-firewall.

7. Selecteer Opslaan.

De IP-firewall inschakelen met de Dataverse OData API

U kunt de Dataverse OData API gebruiken om waarden binnen een Power Platform omgeving op te halen en te wijzigen. Voor gedetailleerde richtlijnen, zie Gegevens opvragen met de web-API en Tabelrijen bijwerken en verwijderen met de web-API (Microsoft Dataverse).

U hebt de flexibiliteit om de tools van uw voorkeur te selecteren. Gebruik de volgende documentatie om waarden op te halen en te wijzigen via de Dataverse OData API:

• Insomnia gebruiken met Dataverse web-API
• Snelstart web-API met PowerShell en Visual Studio Code

De IP-firewall configureren met de OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Nettolading

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule: schakel de functie in door de waarde in te stellen op waar of schakel deze uit door de waarde in te stellen op onwaar.

• allowediprangeforfirewall: maak een lijst van de IP-bereiken die moeten worden toegestaan. Geef ze op in CIDR-notatie, gescheiden door een komma.

  Belangrijk

  Zorg ervoor dat de namen van de servicetags precies overeenkomen met wat u ziet op de instellingenpagina van de IP-firewall. Als er enige discrepantie is, werken IP-beperkingen mogelijk niet correct.

• enableipbasedfirewallruleauditmode: de waarde waar geeft de modus Alleen controleren aan, onwaar geeft de modus Handhaving aan.

• allowservicetagsforfirewall: lijst met de servicetags die zijn toegestaan, gescheiden door een komma. Als u geen servicetags wilt configureren, laat u de waarde op null staan.

• allowapplicationuseraccess: de standaardwaarde is waar.

• allowmicrosofttrustedservicetags: - de standaardwaarde is waar.

Belangrijk

Wanneer Toegang toestaan voor Microsoft vertrouwde services en Toegang toestaan voor alle toepassingsgebruikers zijn uitgeschakeld, werken sommige services die Dataverse gebruiken, zoals Power Automate-stromen, mogelijk niet meer.

De IP-firewall testen

U moet de IP-firewall testen om te controleren of deze werkt.

1. Blader vanaf een IP-adres dat niet in de lijst met toegestane IP-adressen voor de omgeving staat naar de URI voor uw Power Platform-omgeving.

   Uw aanvraag moet worden afgewezen met een bericht dat zegt: "De aanvraag die u probeert te doen, wordt afgewezen omdat de toegang tot uw IP-adres is geblokkeerd. Neem contact op met uw beheerder voor meer informatie."

2. Blader vanaf een IP-adres dat niet in de lijst met toegestane IP-adressen voor de omgeving staat naar de URI voor uw Power Platform-omgeving.

   U zou toegang moeten hebben tot de omgeving die is gedefinieerd door uw beveiligingsrol.

We raden u aan eerst de IP-firewall in uw testomgeving te testen, gevolgd door de modus Alleen audit in de productieomgeving voordat u de IP-firewall op uw productieomgeving afdwingt.

Licentievereisten voor IP-firewall

IP-firewall wordt alleen afgedwongen op omgevingen die zijn geactiveerd voor beheerde omgevingen. Beheerde omgevingen zijn als recht inbegrepen bij zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium gebruiksrechten bieden. Meer informatie over licenties voor beheerde omgevingen met het Licentieoverzicht voor Microsoft Power Platform.

Daarnaast vereist toegang tot het gebruik van IP-firewall voor Dataverse dat gebruikers in de omgevingen waar de IP-firewall wordt afgedwongen een van deze abonnementen hebben:

• Microsoft 365 of Office 365 A5/E5/G5
• Naleving van Microsoft 365 A5/E5/F5/G5
• Microsoft 365 F5 Beveiliging en naleving
• Microsoft 365 A5/E5/F5/G5 Informatiebescherming en governance
• Microsoft 365 A5/E5/F5/G5 Beheer van insiderrisico's

Meer informatie over deze licenties

Veelgestelde vragen

Wat dekt de IP-firewall in Power Platform?

De IP-firewall wordt ondersteund in elke Power Platform-omgeving die Dataverse bevat.

Hoe snel wordt een wijziging in de IP-adressenlijst van kracht?

Wijzigingen in de lijst met toegestane IP-adressen of bereiken worden doorgaans na ongeveer vijf tot tien minuten van kracht.

Werkt deze functie in realtime?

IP-firewallbeveiliging werkt in realtime. Omdat de functie in de netwerklaag werkt,wordt de aanvraag geëvalueerd nadat de verificatieaanvraag is voltooid.

Wordt deze functie standaard in alle omgevingen ingeschakeld?

De IP-firewall is standaard niet ingeschakeld. De Power Platform-beheerder moet deze functie inschakelen voor Beheerde omgevingen.

Wat is de modus Alleen controle?

In de modus alleen-audit identificeert de IP-firewall de IP-adressen die de omgeving aanroepen en staat ze allemaal toe, of ze zich nu binnen een toegestaan bereik bevinden of niet. Het is handig bij het configureren van beperkingen voor een Power Platform-omgeving. We raden u aan om de modus Alleen-audit minimaal een week in te schakelen en deze pas uit te schakelen na zorgvuldige controle van de auditlogboeken.

Is deze functie beschikbaar in alle omgevingen?

De IP-firewall is alleen beschikbaar voor beheerde omgevingen.

Geldt er een limiet voor het aantal IP-adressen dat ik kan toevoegen in het tekstvak IP-adres?

U kunt maximaal 200 IP-adresbereiken toevoegen in CIDR-indeling volgens RFC 4632, gescheiden door komma's.

Wat moet ik doen als aanvragen bij Dataverse mislukken?

Een onjuiste configuratie van IP-bereiken voor de IP-firewall kan dit probleem veroorzaken. U kunt de IP-bereiken controleren en verifiëren op de pagina met IP-firewallinstellingen. We raden u aan de IP-firewall in de modus Alleen audit in te schakelen voordat u deze afdwingt.

Hoe download ik het auditlogboek voor de modus Alleen audit?

Gebruik de Dataverse OData API om de auditloggegevens in JSON-indeling te downloaden. De indeling van de API voor auditlogboeken is:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Vervang [orgURI] door de URI voor de Dataverse-omgeving.
• Stel de actiewaarde in op 118 voor deze gebeurtenis.
• Stel het aantal items dat u wilt retourneren in op top=1 of specificeer het aantal dat u wilt retourneren.

Mijn Power Automate-stromen werken niet zoals verwacht na het configureren van de IP-firewall in mijn Power Platform-omgeving. Wat moet ik doen?

Sta in de instellingen van de IP-firewall de servicetags toe die worden vermeld in Uitgaande IP-adressen van beheerde connectors.

Ik heb het reverse proxy-adres correct geconfigureerd, maar de IP-firewall werkt niet. Wat moet ik doen?

Controleer of uw reverse proxy is geconfigureerd om het IP-adres van de client in de doorgestuurde header te verzenden.

Sommige aanroepen van Power BI mislukken nadat ik de IP-firewall in de Power Platform-omgeving heb ingeschakeld. Wat moet ik doen?

Momenteel kunt u de IP-firewall alleen gebruiken voor OData-eindpunten in Dataverse om toegang te krijgen tot gegevens vanaf de geconfigureerde IP-locatie. Als u TDS-eindpunten wilt blijven gebruiken, moet u de IP-firewall in de omgeving uitschakelen.

De auditfunctionaliteit van de IP-firewall werkt niet in mijn omgeving. Wat moet ik doen?

Auditlogboeken voor IP-firewall worden niet ondersteund in tenants die zijn ingeschakeld voor BYOK-encryptiesleutels (Bring-your-own-key). Als uw tenant is ingeschakeld voor het meenemen van uw eigen sleutel, zijn alle omgevingen in een voor BYOK ingeschakelde tenant alleen vergrendeld voor SQL. Daarom kunnen auditlogboeken alleen in SQL worden opgeslagen. We raden u aan om naar een door de klant beheerde sleutel te migreren. Om van BYOK naar CMKv2 (door klant beheerde sleutel) te migreren, volgt u de stappen in BYOK-omgevingen (Bring-your-own-key) migreren naar door de klant beheerde sleutel.

Ondersteunt IP-firewall IPv6 IP-bereiken?

Momenteel ondersteunt IP-firewall IPv6 IP-bereiken niet.

Volgende stappen

Beveiliging in Microsoft Dataverse