Firewall de IP em ambientes do Power Platform

O firewall de IP ajuda a proteger seus dados organizacionais, limitando o acesso do usuário a Microsoft Dataverse apenas de locais IP permitidos. O firewall de IP analisa o endereço IP de cada solicitação em tempo real. Por exemplo, suponha que o firewall de IP esteja ativado em seu ambiente de produção do Dataverse e os endereços IP permitidos estejam nos intervalos associados aos locais do seu escritório e não nenhum local de IP externo como uma cafeteria. Se um usuário tentar acessar os recursos organizacionais de uma cafeteria, o Dataverse negará o acesso em tempo real.

Principais benefícios

A ativação do firewall de IP em seus ambientes do Power Platform oferece vários benefícios importantes.

• Mitigar ameaças internas como exfiltração de dados: um usuário mal-intencionado que tenta fazer download de dados Dataverse usando uma ferramenta cliente como o Excel ou Power BI de um local de IP não permitido é impedido de fazê-lo em tempo real.
• Evitar ataques de repetição de token: se um usuário roubar um token de acesso e tentar usá-lo para acessar Dataverse de fora dos intervalos de IP permitidos, o Dataverse negará a tentativa em tempo real.

A proteção de firewall de IP funciona em cenários interativos e não interativos.

Como funciona o firewall de IP?

Quando uma solicitação é feita para o Dataverse, o endereço IP da solicitação é avaliado em tempo real em relação aos intervalos de IP configurados para o ambiente do Power Platform. Se o endereço IP estiver nos intervalos permitidos, a solicitação será permitida. Se o endereço IP estiver fora das faixas de IP configuradas para o ambiente, o firewall de IP nega a solicitação com uma mensagem de erro: A solicitação que você está tentando fazer é rejeitada, pois o acesso ao seu IP está bloqueado. Entre em contato com seu administrador para obter mais informações.

Pré-requisitos

• O firewall de IP é um recurso de Ambientes Gerenciados.
• Você deve ter uma função de administrador do Power Platform para habilitar ou desabilitar o firewall de IP.

Habilitar o firewall de IP

Você pode habilitar o firewall IP em um ambiente do Power Platform usando o centro de administração do Power Platform ou a API OData do Dataverse.

Habilitar o firewall de IP usando o centro de administração do Power Platform

1. Entre no centro de administração do Power Platform como um administrador.

2. Selecione Ambientes e, depois, um ambiente.

3. Selecione Configurações>Produto>Privacidade + Segurança.

4. Em Configurações de endereço IP, defina Habilitar regra de firewall com base no endereço IP para Ativado.

5. Em Lista de intervalos IPv4 permitidos, especifique os intervalos de IP permitidos no roteamento entre domínios sem classificação conforme RFC 4632. Se você tiver vários intervalos de IP, separe-os com uma vírgula. Este campo aceita até 4.000 caracteres alfanuméricos e permite no máximo 200 faixas de IP.

6. Selecione outras configurações, conforme apropriado:

   • As marcas de serviço serão permitidas pelo firewall de IP: na lista, selecione as marcas de serviço que podem contornar as restrições do firewall de IP.
   • Permitir acesso a serviços confiáveis da Microsoft: esta configuração permite serviços confiáveis ​​da Microsoft, como monitoramento e usuário de suporte etc, para contornar as restrições do firewall IP para acessar o ambiente do Power Platform com Dataverse. Habilitada por padrão.
   • Permitir acesso para todos os usuários do aplicativo: esta configuração permite que todos os usuários do aplicativo tenham acesso de terceiros e primários às APIs do Dataverse. Habilitada por padrão. Se você limpar esse valor, ele bloqueará apenas usuários de aplicativos de terceiros.
   • Ativar firewall de IP no modo somente auditoria: esta configuração ativa o firewall de IP, mas permite solicitações independentemente de seu endereço IP. Habilitada por padrão.
   • Endereços IP de proxy reverso: se sua organização tiver proxies reversos configurados, insira os endereços IP de um ou mais, separados por vírgulas. A configuração do proxy reverso se aplica à ligação de cookie baseada em IP e ao firewall de IP.

7. Selecione Salvar.

Habilitar firewall de IP usando a API OData do Dataverse

Você pode usar a API OData do Dataverse para recuperar e modificar valores dentro de um ambiente do Power Platform. Para obter diretrizes detalhadas, consulte Consultar dados usando a API Web e Atualizar e excluir linhas da tabela usando a API Web (Microsoft Dataverse).

Você tem a flexibilidade de selecionar as ferramentas de sua preferência. Use a documentação a seguir para recuperar e modificar valores por meio da API OData do Dataverse:

• Usar o Insomnia com a API Web do Dataverse
• Início Rápido da API Web com PowerShell e Visual Studio Code

Configurar o firewall de IP usando a OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Conteúdo

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Habilite o recurso definindo o valor como verdadeiro ou desabilite-o definindo o valor como falso.

• allowediprangeforfirewall — Liste os intervalos de IP que devem ser permitidos. Forneça-os em notação CIDR, separados por vírgula.

  Importante

  Verifique se os nomes da marca de serviço correspondem exatamente ao que você vê na página de configurações do firewall de IP. Se houver alguma discrepância, as restrições de IP talvez não funcionem corretamente.

• enableipbasedfirewallruleinauditmode – Um valor verdadeiro indica modo somente auditoria, enquanto um valor de falso indica modo de imposição.

• allowedservicetagsforfirewall – Lista das marcas de serviço que devem ser permitidas, separadas por uma vírgula. Se você não quiser configurar nenhuma marca de serviço, deixe o valor nulo.

• allowapplicationuseraccess – O valor padrão é verdadeiro.

• allowmicrosofttrustedservicetags – O valor padrão é verdadeiro.

Importante

Quando Permitir acesso para serviços confiáveis da Microsoft e Permitir acesso para todos os usuários do aplicativo estão desativados, alguns serviços que usam Dataverse, como fluxos do Power Automate, podem não funcionar mais.

Teste o firewall de IP

Você deve testar o firewall de IP para verificar se está funcionando.

1. De um endereço IP que não está na lista de endereços IP permitidos para o ambiente, navegue até o URI do ambiente do Power Platform.

   Sua solicitação deve ser rejeitada com uma mensagem que diz: "A solicitação que você está tentando fazer foi rejeitada porque o acesso ao seu IP está bloqueado. Entre em contato com o seu administrador para obter mais informações".

2. De um endereço IP que não está na lista de endereços IP permitidos para o ambiente, navegue até o URI do ambiente do Power Platform.

   Você deve ter acesso ao ambiente definido por seu direito de acesso.

Recomendamos que você teste primeiro o firewall IP em seu ambiente de teste, seguido pelo modo somente auditoria no Ambiente de produção antes de aplicar o firewall IP em seu Ambiente de produção.

Observação

Por padrão, o Ponto de extremidade TDS está ativado no ambiente do Power Platform.

Requisitos de licenciamento para firewall de IP

O firewall de IP apenas é aplicado em ambientes ativados para Ambientes Gerenciados. Ambientes Gerenciados são incluídos como um direito em licenças autônomas do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que concedem direitos de uso premium. Saiba mais sobre licenciamento de Ambiente Gerenciado com a Visão geral de licenciamento para o Microsoft Power Platform.

Além disso, o acesso ao uso do firewall de IP para o Dataverse exige que os usuários nos ambientes em que o firewall de IP é aplicado tenham uma destas assinaturas:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade no Microsoft 365 A5/E5/F5/G5
• Segurança e Conformidade do Microsoft 365 F5
• Proteção e Governança da Informação do Microsoft 365 A5/E5/F5/G5
• Gerenciamento de riscos internos do Microsoft 365 A5/E5/F5/G5

Saiba mais sobre estas licenças

Perguntas frequentes

O que o firewall do IP cobre no Power Platform?

O firewall do IP é suportado em qualquer ambiente do Power Platform que tenha o Dataverse.

Em quanto tempo uma alteração na lista de endereços IP entra em vigor?

Alterações na lista de endereços IP ou intervalos permitidos geralmente entram em vigor em cerca de cinco a dez minutos.

Esse recurso funciona em tempo real?

A proteção de firewall de IP funciona em tempo real. Como o recurso funciona na camada de rede, ele avalia a solicitação após a conclusão da solicitação de autenticação.

Este recurso é habilitado por padrão em todos os ambientes?

Por padrão, o firewall de IP não está habilitado. O administrador do Power Platform precisará habilitá-lo nos Ambientes Gerenciados.

O que é o modo somente auditoria?

No modo audit-only, o firewall do IP identifica os endereços IP que estão fazendo chamadas para o ambiente e permite todos, estejam eles dentro de uma faixa permitida ou não. É útil quando você está configurando restrições em um ambiente do Power Platform. Recomendamos que você habilite o modo somente de auditoria por pelo menos uma semana e desabilite-o somente após uma análise cuidadosa dos logs de auditoria.

Este recurso está disponível em todos os ambientes?

O firewall de IP está disponível apenas em Ambientes Gerenciados.

Existe um limite para o número de endereços IP que posso adicionar na caixa de texto Endereço IP?

Você pode adicionar até 200 intervalos de endereços IP no formato CIDR conforme RFC 4632, separados por vírgulas.

O que devo fazer se a solicitação do Dataverse começa a falhar?

Uma configuração incorreta de intervalos de IP para firewall IP pode estar causando esse problema. Você pode analisar e verificar os intervalos de IP na página de configurações do firewall IP. Recomendamos que você ative o firewall IP no modo somente auditoria antes de aplicá-lo.

Como faço download do log de auditoria para o modo somente auditoria?

Use a OData API do Dataverse para baixar os dados do log de auditoria no formato JSON. O formato da API do log de auditoria é:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substitua [orgURI] pelo URI do ambiente do Dataverse.
• Defina o valor da ação como 118 para esse evento.
• Defina o número de itens a serem retornados em top=1 ou especifique o número que deseja retornar.

Meus fluxos do Power Automate não estão funcionando como esperado depois de configurar o firewall de IP em meu ambiente do Power Platform. O que devo fazer?

Nas configurações de firewall de IP, permita as marcas de serviço listadas em Endereços IP de saída dos conectores gerenciados.

Eu configurei o endereço de proxy reverso corretamente, porém o firewall de IP não está funcionando. O que devo fazer?

Verifique se seu proxy reverso está configurado para enviar o endereço IP do cliente no cabeçalho encaminhado.

A funcionalidade de auditoria do firewall IP não está funcionando no meu ambiente. O que devo fazer?

Os logs de auditoria de firewall IP não são compatíveis com locatários habilitados para chaves de criptografia do tipo Trazer sua própria chave (BYOK) . Se o seu locatário estiver habilitado para trazer sua própria chave, todos os ambientes em um locatário habilitado para BYOK serão bloqueados somente para SQL, portanto, os logs de auditoria só poderão ser armazenados em SQL. Recomendamos que você migre para a chave gerenciada pelo cliente. Para migrar do BYOK para a chave gerenciada pelo cliente (CMKv2), siga as etapas em Migrar de ambientes Trazer sua própria chave (BYOK) para a chave gerenciada pelo cliente.

O firewall de IP oferece suporte a intervalos de IP IPv6?

Atualmente o firewall de IP não oferece suporte a intervalos de IP IPv6.

Próximas etapas

Segurança no Microsoft Dataverse