Firewall de IP em ambientes do Power Platform

A firewall de IP ajuda a proteger os seus dados organizacionais ao limitar o acesso de utilizador ao Microsoft Dataverse a partir de apenas localizações de IP permitidas. A firewall de IP analisa o endereço IP de cada pedido em tempo real. Por exemplo, suponha que a firewall de IP está ativada no seu ambiente de produção do Dataverse e os endereços IP permitidos estão nos intervalos associados às localizações do seu escritório e não a nenhuma localização IP externa, como um café. Se um utilizador tentar aceder a recursos organizacionais a partir de uma loja de café, o Dataverse nega acesso em tempo real.

Principais benefícios

A ativação da firewall de IP nos seus ambientes do Power Platform oferece vários benefícios principais.

• Mitigar ameaças internas, como exfiltração de dados: um utilizador mal intencionado que tenta transferir dados a partir do Dataverse através de uma ferramenta cliente como o Excel ou o Power BI de uma localização de IP não permitida é impedido de o fazer em tempo real.
• Impedir ataques de reprodução de tokens: se um utilizador roubar um token de acesso e tentar utilizá-lo para aceder ao Dataverse a partir de fora de intervalos de IP permitidos, o Dataverse nega a tentativa em tempo real.

A proteção de firewalls IP funciona em cenários interativos e não interativos.

Como funciona a firewall de IP?

Quando um pedido é feito para o Dataverse, o endereço de IP do pedido é avaliado em tempo real em relação aos intervalos de IP configurados para o ambiente do Power Platform. Se o endereço IP estiver nos intervalos permitidos, o pedido é permitido. Se o endereço IP estiver fora dos intervalos IP configurados para o ambiente, a firewall de IP nega o pedido com uma mensagem de erro: O pedido que está a tentar fazer é rejeitado porque o acesso ao seu IP está bloqueado. Contacte o administrador para obter mais informações.

Pré-requisitos

• A firewall de IP é uma caraterística de Ambientes Geridos.
• Tem de ter uma função de admin do Power Platform para ativar ou desativar a firewall de IP.

Ativar a firewall de IP

Pode ativar a firewall de IP num ambiente do Power Platform ao utilizar o centro de administração do Power Platform ou a API OData do Dataverse.

Ativar a firewall de IP utilizando o centro de administração do Power Platform

1. Inicie sessão no Centro de administração do Power Platform como um administrador.

2. Selecione Ambientes e, em seguida, selecione um ambiente.

3. Selecione Definições>Produto>Privacidade + Segurança.

4. Em Definições do endereço IP, defina Ativar endereço IP baseado na regra da firewall como Ativado.

5. Em Lista permitida de intervalos IPv4, especifique os intervalos de IP permitidos no formato encaminhamento CIDR (Classless InterDomain Routing), conforme RFC 4632. Se tiver vários intervalos de IP, separe-os com uma vírgula. Este campo aceita até 4.000 carateres alfanuméricos e permite um máximo de 200 intervalos de IP.

6. Selecione outras definições, conforme adequado:

   • As etiquetas de serviço a ser permitidas pela firewall de IP: na lista, selecione as etiquetas de serviço que podem contornar as restrições da firewall de IP.
   • Permitir acesso para serviços fidedignos da Microsoft: esta configuração permite que os serviços fidedignos da Microsoft, como a monitorização e o suporte ao utilizador, etc. ignorem as restrições da firewall IP para aceder ao ambiente do Power Platform com o Dataverse. Ativado por predefinição.
   • Permitir acesso a todos os utilizadores da aplicação: esta definição permite o acesso à API do Dataverse a todos os utilizadores da aplicação, sejam terceiros ou proprietários. Ativado por predefinição. Se limpar este valor, ele vai bloquear apenas utilizadores de aplicações de terceiros.
   • Ativar a firewall de IP no modo só de auditoria: esta definição ativa a firewall IP, mas permite pedidos independentemente do respetivo endereço IP. Ativado por predefinição.
   • Endereços IP de proxy inverso: se a sua organização tiver proxies inversos configurados, introduza os endereços IP de um ou mais, separados por vírgulas. A definição de proxy invertido aplica-se ao enlace de cookies baseado no IP e à firewall de IP.

7. Selecione Guardar.

Ativar a firewall de IP utilizando a API OData do Dataverse

Pode utilizar a API OData do Dataverse permite-lhe obter e modificar os valores dentro de um ambiente do Power Platform. Para obter orientações detalhadas, consulte Consultar dados utilizando a API Web e Atualizar e eliminar linhas de tabela utilizando a API Web (Microsoft Dataverse).

Tem a flexibilidade de selecionar as ferramentas que preferir. Utilize a seguinte documentação para obter e modificar valores através da API OData do Dataverse:

• Utilizar o Insomnia com a API Web do Dataverse
• Guia de Início Rápido da API Web com o PowerShell e o Visual Studio Code

Configurar a firewall de IP ao utilizar a API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Payload

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule — Ative a caraterística definindo o valor como true ou desative-a definindo o valor como false.

• allowediprangeforfirewall — Liste os intervalos de IP que devem ser permitidos. Forneça-os em notação CIDR, separados por uma vírgula.

  Importante

  Certifique-se de que os nomes das etiquetas de serviço correspondem ao que vê na página de definições da firewall de IP. Se houver alguma discrepância, as restrições de IP podem não funcionar corretamente.

• enableipbasedfirewallruleinauditmode — um valor de true indica o modo de apenas auditoria, enquanto um valor de false indica o modo de imposição.

• allowedservicetagsforfirewall — Lista de etiquetas de serviço que devem ser permitidas, separadas por uma vírgula. Se não pretende configurar quaisquer etiquetas de serviço, deixe o valor como null.

• allowapplicationuseraccess — O valor predefinido é true.

• allowmicrosofttrustedservicetags — O valor predefinido é true.

Importante

Quando Permitir o Acesso para serviços de confiança da Microsoft e Permitir o acesso para todos os utilizadores da aplicação estão desativados, alguns serviços que utilizam o Dataverse, tais como fluxos do Power Automate, poderão deixar de funcionar.

Testar a firewall de IP

Deverá testar a firewall de IP para verificar se está a funcionar.

1. A partir de um endereço IP que não faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   O seu pedido deverá ser rejeitado com uma mensagem a dizer: "O pedido que está a tentar fazer foi rejeitado porque o acesso ao seu IP está bloqueado. Contacte o seu administrador para obter mais informações."

2. A partir de um endereço IP que faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   Deverá ter o acesso ao ambiente que é definido pelo seu direito de acesso.

Recomendamos que teste a firewall IP no seu ambiente de teste primeiro, seguido pelo modo só de auditoria no Ambiente de produção antes de aplicar a firewall IP no seu Ambiente de produção.

Nota

Por predefinição, o ponto final TDS está ativado no ambiente do Power Platform.

Requisitos de licenciamento da firewall de IP

A firewall de IP só é imposta em ambientes ativados para Ambientes Geridos. Os Ambientes Geridos são incluídos como um direito em licenças do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que fornecem direitos de utilização premium. Saiba mais sobre licenciamento do Ambiente Gerido com a Descrição geral do licenciamento para o Microsoft Power Platform.

Além disso, o acesso à utilização da firewall de IP para o Dataverse exige que os utilizadores nos ambientes em que a firewal de IP é imposta tenham uma destas subscrições:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade do Microsoft 365 A5/E5/F5/G5
• Segurança & Conformidade do Microsoft 365 F5
• Information Protection e Governação do Microsoft 365 A5/E5/F5/G5
• Gestão de Risco Interno do Microsoft 365 A5/E5/F5/G5

Saiba mais sobre estas licenças

Perguntas mais frequentes (FAQ)

O que abrange a firewall de IP no Power Platform?

A firewall de IP é suportada em qualquer ambiente do Power Platform que inclua o Dataverse.

Quando é que uma alteração à lista de endereços IP entra em vigor?

Normalmente, as alterações à lista de endereços IP permitidos ou intervalos entram em vigor em cerca de 5-10 minutos.

Esta caraterística funciona em tempo real?

A proteção da firewall de IP funciona em tempo real. Como a funcionalidade funciona na camada de rede, avalia o pedido depois de o pedido de autenticação ficar concluído.

Esta caraterística está ativada por predefinição em todos os ambientes?

Por predefinição, a firewall de IP não está ativada. O administrador do Power Platform necessita de o ativar para Ambientes Geridos.

O que é o modo só de auditoria?

No modo só de auditoria, a firewall de IP identifica os endereços IP que estão a fazer chamadas para o ambiente e permite-os a todos, quer estejam ou não num intervalo permitido. É útil quando está a configurar restrições num ambiente do Power Platform. Recomendamos que ative o modo só de auditoria durante, pelo menos, uma semana e que o desative apenas depois de rever cuidadosamente os registos de auditoria.

Esta caraterística está disponível em todos os ambientes?

A firewall IP só está disponível para Ambientes Geridos.

Existe algum limite ao número de endereços IP que posso adicionar na caixa de texto do endereço IP?

Pode adicionar até 200 intervalos de endereços IP no formato CIDR de acordo com RFC 4632, separados por vírgulas.

O que devo fazer se os pedidos ao Dataverse começarem a falhar?

Uma configuração incorreta de intervalos de IP para firewall IP pode estar a causar este problema. Pode verificar os intervalos de IP na página de definições do firewall IP. Recomendamos que ative o firewall IP no modo Só de auditoria antes de o aplicar.

Como transfiro o registo de auditoria para o modo só de auditoria?

Utilize a API de OData do Dataverse para transferir os dados do registo de auditoria no formato JSON. O formato da API do registo de auditoria é:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substitua [orgURI] pelo URI do ambiente do Dataverse.
• Defina o valor da ação como 118 para este evento.
• Defina o número de itens a devolver em top=1 ou especifique o número que pretende devolver.

Os meus fluxos do Power Automate não estão a funcionar como esperado depois de configurar a firewall de IP no meu ambiente do Power Platform. O que devo fazer?

Nas definições da firewall de IP, permita as etiquetas de serviço listadas em Endereços IP de saída de conectores geridos.

Configurei o endereço proxy inverso corretamente, mas a firewall de IP não está a funcionar. O que devo fazer?

Certifique-se de que o proxy inverso está configurado para enviar o endereço IP do cliente no cabeçalho reencaminhado.

A funcionalidade de auditoria da firewall IP não está a funcionar no meu ambiente. O que devo fazer?

Os registos de auditoria da firewall IP não são suportados em inquilinos ativados para chaves de encriptação bring-your-own-key (BYOK). Se o seu inquilino estiver ativado para bring-your-own-key, todos os ambientes num inquilino ativado são bloqueados apenas para SQL, portanto, os registos de auditoria só poderão ser armazenados em SQL. Recomendamos que migre para a chave gerida pelo cliente. Para migrar do BYOK para a chave gerida pelo cliente (CMKv2), siga os passos em Migrar ambientes bring your own key (BYOK) para a chave gerida pelo cliente.

A firewall de IP suporta intervalos de IP IPv6?

Atualmente, a firewall de IP não suporta intervalos de IP IPv6.

Próximos passos

Segurança no Microsoft Dataverse