IP firewall v Power Platform prostrediach
IP firewall pomáha chrániť vaše organizačné údaje obmedzením prístupu používateľov na Microsoft Dataverse len z povolených umiestnení IP. IP firewall analyzuje IP adresu každej požiadavky v reálnom čase. Predpokladajme napríklad, že je vo vašom produkčnom Dataverse prostredí zapnutá brána IP a povolené adresy IP sú v rozsahu pridruženom k umiestneniu vašej kancelárie a nie žiadne externé umiestnenie IP, ako je kaviareň. Ak sa používateľ pokúsi získať prístup k organizačným prostriedkom z kaviarne, Dataverse zamietne prístup v reálnom čase.
Povolenie IP firewallu vo vašom Power Platform prostredí ponúka niekoľko kľúčových výhod.
- Zmiernenie vnútorných hrozieb, ako je exfiltrácia údajov: Používateľ so zlými úmyslami, ktorý sa pokúša stiahnuť údaje z Dataverse pomocou klientskeho nástroja, ako je Excel alebo Power BI z nepovoleného umiestnenia IP, je zablokované, aby tak urobili v reálnom čase.
- Zabrániť útokom opakovaného prehrávania tokenu: Ak používateľ ukradne prístupový token a pokúsi sa ho použiť na prístup Dataverse z mimo povolených rozsahov IP, Dataverse zamietne pokus o v reálnom čase.
Ochrana IP firewallom funguje v interaktívnych aj neinteraktívnych scenároch.
Keď sa odošle požiadavka na Dataverse, IP adresa požiadavky sa vyhodnotí v reálnom čase v porovnaní s rozsahmi IP nakonfigurovanými pre Power Platform prostredie. Ak je IP adresa v povolených rozsahoch, požiadavka je povolená. Ak je IP adresa mimo rozsahov IP nakonfigurovaných pre dané prostredie, IP firewall odmietne požiadavku s chybovým hlásením: Požiadavka, ktorú sa pokúšate podať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie vám poskytne správca.
- IP firewall je funkcia Spravované prostredia.
- Ak chcete povoliť alebo zakázať bránu firewall IP, musíte mať Power Platform rolu správcu.
IP firewall môžete povoliť v Power Platform prostredí buď pomocou Power Platform centra spravovania alebo pomocou Dataverse OData API.
Prihláste sa do Power Platform centra spravovania ako správca.
Vyberte Prostredia a potom si vyberte prostredie.
Vyberte položku Nastavenia>Produkt>Ochrana osobných údajov + zabezpečenie.
V časti Nastavenia adresy IP nastavte položku Povoliť pravidlo brány firewall na základe adresy IP na hodnotu Zapnuté.
V časti Povolený zoznam rozsahov IPv4/IPv6 zadajte povolené rozsahy IP vo formáte CIDR (classless interdomain routing) podľa RFC 4632. Ak máte viacero rozsahov IP, oddeľte ich čiarkou. Toto pole prijíma až 4 000 alfanumerických znakov a umožňuje maximálne 200 rozsahov IP. Adresy IPv6 sú povolené v hexadecimálnom aj komprimovanom formáte.
Podľa potreby vyberte ďalšie nastavenia:
Servisné značky, ktoré má povoliť IP firewall: Zo zoznamu vyberte servisné značky, ktoré môžu obísť obmedzenia IP brány firewall.
Povoliť prístup pre Microsoft dôveryhodné služby: Toto nastavenie povolí Microsoft dôveryhodné služby, ako je monitorovanie a podpora používateľa atď. obísť obmedzenia IP brány firewall na prístup do Power Platform prostredia s Dataverse. Predvolene aktivované.
Povoliť prístup pre všetkých používateľov aplikácie: Toto nastavenie umožňuje všetkým používateľom aplikácie pristup tretej strany a prvej strany k Dataverse API. Predvolene aktivované. Ak túto hodnotu vymažete, zablokuje iba používateľov aplikácií tretích strán.
Povoliť IP firewall v režime iba auditu: Toto nastavenie povolí IP firewall, ale povolí požiadavky bez ohľadu na ich IP adresu. Predvolene aktivované.
Reverzné proxy adresy IP: Ak má vaša organizácia nakonfigurované reverzné servery proxy, zadajte adresy IP oddelené čiarkami. Nastavenie reverzného servera proxy sa vzťahuje na viazanie súborov cookie na základe adresy IP aj na bránu firewall IP. Kontaktujte svojho správcu siete, aby ste získali IP adresy reverzného proxy.
Poznámka
Reverzný server proxy musí byť nakonfigurovaný na odosielanie adries IP klientov používateľov v hlavičke forwarded .
Vyberte položku Uložiť.
Rozhranie Dataverse OData API môžete použiť na načítanie a úpravu hodnôt v prostredí Power Platform . Podrobné pokyny nájdete v časti Dopytovanie údajov pomocou webového rozhrania API a Aktualizácia a odstraňovanie riadkov tabuľky pomocou webového rozhrania API (Microsoft Dataverse).
Máte flexibilitu pri výbere nástrojov, ktoré uprednostňujete. Na získanie a úpravu hodnôt prostredníctvom rozhrania Dataverse OData API použite nasledujúcu dokumentáciu:
- Používajte Insomnia s Dataverse Web API
- Rýchle spustenie webového rozhrania API s PowerShell a Visual Studio kódom
Nakonfigurujte IP bránu firewall pomocou OData API
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Užitočné zaťaženie
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – Povoľte funkciu nastavením hodnoty na pravda alebo ju vypnite nastavením hodnoty na false.
allowiprangeforfirewall — Uveďte rozsahy IP, ktoré by mali byť povolené. Uveďte ich v notácii CIDR, oddelené čiarkou.
Dôležité
Uistite sa, že názvy servisných značiek presne zodpovedajú tomu, čo vidíte na stránke nastavení brány firewall IP. Ak sa vyskytne nejaká nezrovnalosť, obmedzenia IP nemusia fungovať správne.
enableipbasedfirewallruleinauditmode – Hodnota pravda označuje režim iba auditu, zatiaľ čo hodnota nepravda označuje režim presadzovania.
allowservicetagsforfirewall – zoznam servisných značiek, ktoré by mali byť povolené, oddelené čiarkou. Ak nechcete konfigurovať žiadne servisné značky, ponechajte hodnotu null.
allowapplicationuseraccess – Predvolená hodnota je true.
allowmicrosofttrustedservicetags – Predvolená hodnota je true.
Dôležité
Keď sú povoliť prístup pre Microsoft dôveryhodné služby a povoliť prístup pre všetkých používateľov aplikácií , niektoré služby používajú Dataverse, ako napríklad Power Automate toky, už nemusia fungovať.
Mali by ste otestovať IP bránu firewall a overiť, či funguje.
Z adresy IP, ktorá nie je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.
Vaša žiadosť by mala byť odmietnutá správou, ktorá hovorí: „Požiadavka, ktorú sa pokúšate podať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie získate od svojho správcu."
Z adresy IP, ktorá je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.
Mali by ste mať prístup do prostredia, ktoré je definované vaším rola zabezpečenia.
Odporúčame, aby ste najskôr otestovali IP bránu firewall vo vašom testovacom prostredí a potom nasledoval režim iba auditu v produkčnom prostredí pred vynútením IP brány firewall vo vašom produkčnom prostredí.
Poznámka
V predvolenom nastavení je koncový bod TDS zapnutý v prostredí Power Platform .
IP firewall je vynútený iba v prostrediach, ktoré sú aktivované pre Spravované prostredia. Spravované prostredia sú zahrnuté ako oprávnenie v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní spravovaného prostredia v prehľade licencií pre Microsoft Power Platform.
Okrem toho, prístup k používaniu IP firewallu pre Dataverse vyžaduje, aby používatelia v prostrediach, kde je IP firewall vynútený, mali jedno z týchto predplatných:
- Microsoft 365 alebo Office 365 A5/E5/G5
- Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
- Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
- Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
- Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5
Získajte viac informácií o týchto licenciách
IP firewall je podporovaný v akomkoľvek Power Platform prostredí, ktoré zahŕňa Dataverse.
Zmeny v zozname povolených adries IP alebo rozsahov sa zvyčajne prejavia do 5 až 10 minút.
Ochrana IP firewallom funguje v reálnom čase. Keďže funkcia funguje v sieti vrstva, vyhodnotí požiadavku po dokončení autentifikačnej požiadavky.
IP firewall nie je v predvolenom nastavení povolený. Administrátor Power Platform to musí povoliť pre Spravované prostredia.
V režime iba audit IP firewall identifikuje IP adresy, ktoré volajú do prostredia, a povolí ich všetky, či už sú v povolenom rozsahu alebo nie. Je to užitočné, keď konfigurujete obmedzenia v Power Platform prostredí. Odporúčame vám povoliť režim iba auditu aspoň na týždeň a deaktivovať ho až po dôkladnom preštudovaní revíznych protokolov.
IP firewall je k dispozícii iba pre Spravované prostredia .
Môžete pridať až 200 rozsahov adries IP vo formáte CIDR podľa RFC 4632 oddelených čiarkami.
Tento problém môže spôsobovať nesprávna konfigurácia rozsahov IP pre bránu firewall IP. Rozsahy IP môžete skontrolovať a overiť na stránke nastavení brány firewall IP. Odporúčame, aby ste pred jeho vynútením zapli bránu IP v režime Iba audit.
Na stiahnutie údajov denníka auditu vo formáte JSON použite rozhranie Dataverse OData API. Formát rozhrania API protokolu auditu je:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Nahraďte [orgURI] s Dataverse uRI prostredia.
- Pre túto udalosť nastavte hodnotu akcie na 118 .
- Nastavte počet položiek, ktoré sa majú vrátiť v top=1 alebo zadajte počet, ktorý chcete vrátiť.
Moje Power Automate toky nefungujú podľa očakávania po konfigurácii IP brány firewall v mojom Power Platform prostredí. Čo by som mal urobiť?
V nastaveniach brány firewall IP povoľte servisné značky uvedené v časti Odchádzajúce adresy IP spravovaných konektorov.
Správne som nakonfiguroval adresu reverzného servera proxy, ale brána firewall IP nefunguje. Čo by som mal urobiť?
Uistite sa, že váš reverzný server proxy je nakonfigurovaný na odosielanie adresy IP klienta v hlavičke presmerovania.
Protokoly auditu brány firewall IP nie sú podporované u nájomníkov, ktorí majú aktivované šifrovacie kľúče s prinesením vlastného kľúča (BYOK) . Ak je vášmu nájomníkovi povolené prinesenie vlastného kľúča, potom všetky prostredia v nájomníkovi s povoleným BYOK sú uzamknuté iba na SQL, preto sa denníky auditu môžu ukladať iba do SQL. Odporúčame vám migrovať na kľúč spravovaný zákazníkom. Ak chcete migrovať z BYOK na kľúč spravovaný zákazníkom (CMKv2), postupujte podľa krokov v časti Migrácia prostredí prinesenia vlastného kľúča (BYOK) na kľúč spravovaný zákazníkom.
Áno, IP firewall podporuje rozsahy IPv6 IP.