Čítať v angličtine

Zdieľať cez


IP firewall v Power Platform prostrediach

IP firewall pomáha chrániť vaše organizačné údaje obmedzením prístupu používateľov na Microsoft Dataverse len z povolených umiestnení IP. IP firewall analyzuje IP adresu každej požiadavky v reálnom čase. Predpokladajme napríklad, že je vo vašom produkčnom Dataverse prostredí zapnutá brána IP a povolené adresy IP sú v rozsahu pridruženom k ​​umiestneniu vašej kancelárie a nie žiadne externé umiestnenie IP, ako je kaviareň. Ak sa používateľ pokúsi získať prístup k organizačným prostriedkom z kaviarne, Dataverse zamietne prístup v reálnom čase.

Diagram znázorňujúci funkciu IP brány firewall v Dataverse.

Kľúčové výhody

Povolenie IP firewallu vo vašom Power Platform prostredí ponúka niekoľko kľúčových výhod.

  • Zmiernenie vnútorných hrozieb, ako je exfiltrácia údajov: Používateľ so zlými úmyslami, ktorý sa pokúša stiahnuť údaje z Dataverse pomocou klientskeho nástroja, ako je Excel alebo Power BI z nepovoleného umiestnenia IP, je zablokované, aby tak urobili v reálnom čase.
  • Zabrániť útokom opakovaného prehrávania tokenu: Ak používateľ ukradne prístupový token a pokúsi sa ho použiť na prístup Dataverse z mimo povolených rozsahov IP, Dataverse zamietne pokus o v reálnom čase.

Ochrana IP firewallom funguje v interaktívnych aj neinteraktívnych scenároch.

Ako funguje IP firewall?

Keď sa odošle požiadavka na Dataverse, IP adresa požiadavky sa vyhodnotí v reálnom čase v porovnaní s rozsahmi IP nakonfigurovanými pre Power Platform prostredie. Ak je IP adresa v povolených rozsahoch, požiadavka je povolená. Ak je IP adresa mimo rozsahov IP nakonfigurovaných pre dané prostredie, IP firewall odmietne požiadavku s chybovým hlásením: Požiadavka, ktorú sa pokúšate podať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie vám poskytne správca.

Požiadavky

  • IP firewall je funkcia Spravované prostredia.
  • Ak chcete povoliť alebo zakázať bránu firewall IP, musíte mať Power Platform rolu správcu.

Povoľte IP bránu firewall

IP firewall môžete povoliť v Power Platform prostredí buď pomocou Power Platform centra spravovania alebo pomocou Dataverse OData API.

Povoľte IP firewall pomocou Power Platform centra spravovania

  1. Prihláste sa do Power Platform centra spravovania ako správca.

  2. Vyberte Prostredia a potom si vyberte prostredie.

  3. Vyberte položku Nastavenia>Produkt>Ochrana osobných údajov + zabezpečenie.

  4. V časti Nastavenia adresy IP nastavte položku Povoliť pravidlo brány firewall na základe adresy IP na hodnotu Zapnuté.

  5. V časti Povolený zoznam rozsahov IPv4/IPv6 zadajte povolené rozsahy IP vo formáte CIDR (classless interdomain routing) podľa RFC 4632. Ak máte viacero rozsahov IP, oddeľte ich čiarkou. Toto pole prijíma až 4 000 alfanumerických znakov a umožňuje maximálne 200 rozsahov IP. Adresy IPv6 sú povolené v hexadecimálnom aj komprimovanom formáte.

  6. Podľa potreby vyberte ďalšie nastavenia:

    • Servisné značky, ktoré má povoliť IP firewall: Zo zoznamu vyberte servisné značky, ktoré môžu obísť obmedzenia IP brány firewall.

    • Povoliť prístup pre Microsoft dôveryhodné služby: Toto nastavenie povolí Microsoft dôveryhodné služby, ako je monitorovanie a podpora používateľa atď. obísť obmedzenia IP brány firewall na prístup do Power Platform prostredia s Dataverse. Predvolene aktivované.

    • Povoliť prístup pre všetkých používateľov aplikácie: Toto nastavenie umožňuje všetkým používateľom aplikácie pristup tretej strany a prvej strany k Dataverse API. Predvolene aktivované. Ak túto hodnotu vymažete, zablokuje iba používateľov aplikácií tretích strán.

    • Povoliť IP firewall v režime iba auditu: Toto nastavenie povolí IP firewall, ale povolí požiadavky bez ohľadu na ich IP adresu. Predvolene aktivované.

    • Reverzné proxy adresy IP: Ak má vaša organizácia nakonfigurované reverzné servery proxy, zadajte adresy IP oddelené čiarkami. Nastavenie reverzného servera proxy sa vzťahuje na viazanie súborov cookie na základe adresy IP aj na bránu firewall IP. Kontaktujte svojho správcu siete, aby ste získali IP adresy reverzného proxy.

      Poznámka

      Reverzný server proxy musí byť nakonfigurovaný na odosielanie adries IP klientov používateľov v hlavičke forwarded .

  7. Vyberte položku Uložiť.

Povoľte IP bránu firewall pomocou rozhrania Dataverse OData API

Rozhranie Dataverse OData API môžete použiť na načítanie a úpravu hodnôt v prostredí Power Platform . Podrobné pokyny nájdete v časti Dopytovanie údajov pomocou webového rozhrania API a Aktualizácia a odstraňovanie riadkov tabuľky pomocou webového rozhrania API (Microsoft Dataverse).

Máte flexibilitu pri výbere nástrojov, ktoré uprednostňujete. Na získanie a úpravu hodnôt prostredníctvom rozhrania Dataverse OData API použite nasledujúcu dokumentáciu:

Nakonfigurujte IP bránu firewall pomocou OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Užitočné zaťaženie

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • enableipbasedfirewallrule – Povoľte funkciu nastavením hodnoty na pravda alebo ju vypnite nastavením hodnoty na false.

  • allowiprangeforfirewall — Uveďte rozsahy IP, ktoré by mali byť povolené. Uveďte ich v notácii CIDR, oddelené čiarkou.

    Dôležité

    Uistite sa, že názvy servisných značiek presne zodpovedajú tomu, čo vidíte na stránke nastavení brány firewall IP. Ak sa vyskytne nejaká nezrovnalosť, obmedzenia IP nemusia fungovať správne.

  • enableipbasedfirewallruleinauditmode – Hodnota pravda označuje režim iba auditu, zatiaľ čo hodnota nepravda označuje režim presadzovania.

  • allowservicetagsforfirewall – zoznam servisných značiek, ktoré by mali byť povolené, oddelené čiarkou. Ak nechcete konfigurovať žiadne servisné značky, ponechajte hodnotu null.

  • allowapplicationuseraccess – Predvolená hodnota je true.

  • allowmicrosofttrustedservicetags – Predvolená hodnota je true.

Dôležité

Keď sú povoliť prístup pre Microsoft dôveryhodné služby a povoliť prístup pre všetkých používateľov aplikácií , niektoré služby používajú Dataverse, ako napríklad Power Automate toky, už nemusia fungovať.

Otestujte IP bránu firewall

Mali by ste otestovať IP bránu firewall a overiť, či funguje.

  1. Z adresy IP, ktorá nie je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.

    Vaša žiadosť by mala byť odmietnutá správou, ktorá hovorí: „Požiadavka, ktorú sa pokúšate podať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie získate od svojho správcu."

  2. Z adresy IP, ktorá je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.

    Mali by ste mať prístup do prostredia, ktoré je definované vaším rola zabezpečenia.

Odporúčame, aby ste najskôr otestovali IP bránu firewall vo vašom testovacom prostredí a potom nasledoval režim iba auditu v produkčnom prostredí pred vynútením IP brány firewall vo vašom produkčnom prostredí.

Poznámka

V predvolenom nastavení je koncový bod TDS zapnutý v prostredí Power Platform .

Licenčné požiadavky pre IP firewall

IP firewall je vynútený iba v prostrediach, ktoré sú aktivované pre Spravované prostredia. Spravované prostredia sú zahrnuté ako oprávnenie v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní spravovaného prostredia v prehľade licencií pre Microsoft Power Platform.

Okrem toho, prístup k používaniu IP firewallu pre Dataverse vyžaduje, aby používatelia v prostrediach, kde je IP firewall vynútený, mali jedno z týchto predplatných:

  • Microsoft 365 alebo Office 365 A5/E5/G5
  • Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
  • Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
  • Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
  • Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5

Získajte viac informácií o týchto licenciách

Najčastejšie otázky

Čo pokrýva IP firewall v Power Platform?

IP firewall je podporovaný v akomkoľvek Power Platform prostredí, ktoré zahŕňa Dataverse.

Ako skoro sa prejaví zmena v zozname adries IP?

Zmeny v zozname povolených adries IP alebo rozsahov sa zvyčajne prejavia do 5 až 10 minút.

Funguje táto funkcia v reálnom čase?

Ochrana IP firewallom funguje v reálnom čase. Keďže funkcia funguje v sieti vrstva, vyhodnotí požiadavku po dokončení autentifikačnej požiadavky.

Je táto funkcia predvolene povolená vo všetkých prostrediach?

IP firewall nie je v predvolenom nastavení povolený. Administrátor Power Platform to musí povoliť pre Spravované prostredia.

Čo je režim iba auditu?

V režime iba audit IP firewall identifikuje IP adresy, ktoré volajú do prostredia, a povolí ich všetky, či už sú v povolenom rozsahu alebo nie. Je to užitočné, keď konfigurujete obmedzenia v Power Platform prostredí. Odporúčame vám povoliť režim iba auditu aspoň na týždeň a deaktivovať ho až po dôkladnom preštudovaní revíznych protokolov.

Je táto funkcia dostupná vo všetkých prostrediach?

IP firewall je k dispozícii iba pre Spravované prostredia .

Existuje obmedzenie počtu adries IP, ktoré môžem pridať do textového poľa adresy IP?

Môžete pridať až 200 rozsahov adries IP vo formáte CIDR podľa RFC 4632 oddelených čiarkami.

Čo mám robiť, ak žiadosti o Dataverse začať zlyhávajú?

Tento problém môže spôsobovať nesprávna konfigurácia rozsahov IP pre bránu firewall IP. Rozsahy IP môžete skontrolovať a overiť na stránke nastavení brány firewall IP. Odporúčame, aby ste pred jeho vynútením zapli bránu IP v režime Iba audit.

Ako si stiahnem protokol auditu pre režim iba auditu?

Na stiahnutie údajov denníka auditu vo formáte JSON použite rozhranie Dataverse OData API. Formát rozhrania API protokolu auditu je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Nahraďte [orgURI] s Dataverse uRI prostredia.
  • Pre túto udalosť nastavte hodnotu akcie na 118 .
  • Nastavte počet položiek, ktoré sa majú vrátiť v top=1 alebo zadajte počet, ktorý chcete vrátiť.

Moje Power Automate toky nefungujú podľa očakávania po konfigurácii IP brány firewall v mojom Power Platform prostredí. Čo by som mal urobiť?

V nastaveniach brány firewall IP povoľte servisné značky uvedené v časti Odchádzajúce adresy IP spravovaných konektorov.

Správne som nakonfiguroval adresu reverzného servera proxy, ale brána firewall IP nefunguje. Čo by som mal urobiť?

Uistite sa, že váš reverzný server proxy je nakonfigurovaný na odosielanie adresy IP klienta v hlavičke presmerovania.

Funkcia auditu brány firewall IP v mojom prostredí nefunguje. Čo by som mal urobiť?

Protokoly auditu brány firewall IP nie sú podporované u nájomníkov, ktorí majú aktivované šifrovacie kľúče s prinesením vlastného kľúča (BYOK) . Ak je vášmu nájomníkovi povolené prinesenie vlastného kľúča, potom všetky prostredia v nájomníkovi s povoleným BYOK sú uzamknuté iba na SQL, preto sa denníky auditu môžu ukladať iba do SQL. Odporúčame vám migrovať na kľúč spravovaný zákazníkom. Ak chcete migrovať z BYOK na kľúč spravovaný zákazníkom (CMKv2), postupujte podľa krokov v časti Migrácia prostredí prinesenia vlastného kľúča (BYOK) na kľúč spravovaný zákazníkom.

Podporuje IP firewall rozsahy IPv6 IP?

Áno, IP firewall podporuje rozsahy IPv6 IP.

Ďalšie kroky

Bezpečnosť v Microsoft Dataverse