IP firewall v prostrediach Power Platform

IP firewall chráni dáta vašej organizácie tým, že zabezpečuje, aby používatelia mali prístup iba z povolených IP adries. Microsoft Dataverse IP firewall analyzuje IP adresu každej požiadavky v reálnom čase. Napríklad môžete zapnúť IP firewall vo svojom produkčnom prostredí a nastaviť povolené IP adresy v rozsahoch priradených k umiestneniu vašej kancelárie a nie k žiadnemu externému IP umiestneniu, ako je napríklad kaviareň. Dataverse Ak sa používateľ pokúsi získať prístup k organizačným zdrojom z kaviarne, Dataverse prístup sa v reálnom čase zamietne.

Kľúčové výhody

Zapnutie brány IP firewall vo vašom prostredí ponúka niekoľko kľúčových výhod. Power Platform

• Zmiernenie vnútorných hrozieb, ako je napríklad únik údajov: Zlomyseľnému používateľovi, ktorý sa pokúša stiahnuť údaje z Dataverse pomocou klientskeho nástroja, ako je Excel, alebo Power BI z nepovoleného umiestnenia IP, je v reálnom čase zablokovaná táto možnosť.
• Zabráňte útokom opakovaného prehrávania tokenov: Ak používateľ ukradne prístupový token a pokúsi sa ho použiť na prístup Dataverse z oblastí mimo povolených rozsahov IP adries, Dataverse pokus v reálnom čase zamietne.

Ochrana IP firewallom funguje v interaktívnych aj neinteraktívnych scenároch.

Ako funguje IP firewall?

Keď je odoslaná požiadavka na Dataverse, IP adresa požiadavky sa vyhodnocuje v reálnom čase oproti rozsahom IP adries nakonfigurovaným pre prostredie Power Platform . Ak je IP adresa v povolenom rozsahu, požiadavka je povolená. Ak je IP adresa mimo rozsahu IP adries nakonfigurovaných pre dané prostredie, brána firewall IP adries žiadosť zamietne chybovým hlásením: Žiadosť, ktorú sa pokúšate odoslať, je zamietnutá, pretože prístup k vašej IP adrese je zablokovaný. Ďalšie informácie získate od svojho správcu.

Požiadavky

• IP firewall je funkciou spravovaných prostredí. ...
• Na povolenie alebo zakázanie brány firewall IP musíte mať rolu správcu. Power Platform

Povoliť IP firewall

Firewall IP môžete povoliť v prostredí pomocou centra spravovania alebo rozhrania API OData. Power Platform Power Platform Dataverse

Povoľte bránu firewall IP pomocou centra spravovania Power Platform

1. Prihláste sa do centra spravovania ako správca. Power Platform

2. V navigačnej table vyberte položku Zabezpečenie.

3. V table Zabezpečenie vyberte možnosť Identita a prístup.

4. Na stránke Správa identít a prístupov vyberte možnosť IP firewall.

5. V table Nastaviť bránu firewall IP vyberte prostredie. Potom vyberte možnosť Nastaviť IP firewall.

6. V table Nastaviť bránu firewall IP pre toto prostredie vyberte pre položku Brána firewall IP možnosť Zapnuté.

7. V časti Zoznam povolených IP adries zadajte povolené rozsahy IP adries vo formáte beztriedneho medzidoménového smerovania (CIDR) podľa RFC 4632. Ak máte viacero rozsahov IP adries, oddeľte ich čiarkou. Toto pole akceptuje až 4 000 alfanumerických znakov a umožňuje maximálne 200 rozsahov IP adries. Adresy IPv6 sú povolené v hexadecimálnom aj komprimovanom formáte.

8. Podľa potreby vyberte ďalšie rozšírené nastavenia:

   • Zoznam povolených servisných značiek: Zo zoznamu vyberte servisné značky, ktoré dokážu obísť obmedzenia brány firewall IP.
   • Povoliť prístup pre dôveryhodné služby spoločnosti Microsoft: Toto nastavenie umožňuje dôveryhodným službám spoločnosti Microsoft, ako je monitorovanie a podpora používateľov atď., obísť obmedzenia brány firewall IP a získať prístup k prostrediu Power Platform Dataverse. Predvolene aktivované.
   • Povoliť prístup všetkým používateľom aplikácie: Toto nastavenie umožňuje všetkým používateľom aplikácie tretím aj prvým stranám prístup k rozhraniam API Dataverse . Predvolene aktivované. Ak túto hodnotu vymažete, blokujú sa iba používatelia aplikácií tretích strán.
   • Povoliť IP firewall v režime iba auditu: Toto nastavenie povoľuje IP firewall, ale povoľuje požiadavky bez ohľadu na ich IP adresu. Predvolene aktivované.
   • IP adresy reverzných proxy serverov: Ak má vaša organizácia nakonfigurované reverzné proxy servery, zadajte IP adresy oddelené čiarkami. Nastavenie reverzného proxy servera sa vzťahuje na väzbu súborov cookie založenú na IP adrese, ako aj na IP firewall. ... Ak chcete získať IP adresy reverznej proxy, obráťte sa na správcu siete.

   Poznámka

   Reverzný proxy server musí byť nakonfigurovaný tak, aby odosielal IP adresy používateľov klientov v hlavičke forwarded .

9. Vyberte položku Uložiť.

Povoliť bránu firewall IP na úrovni skupiny prostredia

Ak chcete nakonfigurovať nastavenia brány IP firewall na úrovni skupiny prostredí, vykonajte nasledujúce kroky. Prihláste sa do centra spravovania Power Platform.

1. V navigačnej table vyberte položku Zabezpečenie.

2. V table Zabezpečenie vyberte možnosť Identita a prístup.

3. Vyberte tablu brány firewall IP.

4. V zobrazenej table vyberte kartu Skupiny prostredí , na ktorú chcete použiť nastavenie zabezpečenia. Potom vyberte možnosť Nastaviť IP firewall.

5. V table Nastaviť bránu firewall IP vyberte pre položku Brána firewall IP možnosť Zapnuté.

6. V časti Zoznam povolených IP adries zadajte povolené rozsahy IP adries vo formáte beztriedneho medzidoménového smerovania (CIDR) podľa RFC 4632. Ak máte viacero rozsahov IP adries, oddeľte ich čiarkou. Toto pole akceptuje až 4 000 alfanumerických znakov a umožňuje maximálne 200 rozsahov IP adries. Adresy IPv6 sú povolené v hexadecimálnom aj komprimovanom formáte.

7. Podľa potreby vyberte ďalšie rozšírené nastavenia:

   • Zoznam povolených servisných značiek: Zo zoznamu vyberte servisné značky, ktoré dokážu obísť obmedzenia brány firewall IP.
   • Povoliť prístup pre dôveryhodné služby spoločnosti Microsoft: Toto nastavenie umožňuje dôveryhodným službám spoločnosti Microsoft, ako je monitorovanie a podpora používateľov atď., obísť obmedzenia brány firewall IP a získať prístup k prostrediu Power Platform Dataverse. Predvolene aktivované.
   • Povoliť prístup všetkým používateľom aplikácie: Toto nastavenie umožňuje všetkým používateľom aplikácie tretím aj prvým stranám prístup k rozhraniam API Dataverse . Predvolene aktivované. Ak túto hodnotu vymažete, blokujú sa iba používatelia aplikácií tretích strán.
   • Povoliť IP firewall v režime iba auditu: Toto nastavenie povoľuje IP firewall, ale povoľuje požiadavky bez ohľadu na ich IP adresu. Predvolene aktivované.
   • IP adresy reverzných proxy serverov: Ak má vaša organizácia nakonfigurované reverzné proxy servery, zadajte IP adresy oddelené čiarkami. Nastavenie reverzného proxy servera sa vzťahuje na väzbu súborov cookie založenú na IP adrese, ako aj na IP firewall. ... Ak chcete získať IP adresy reverznej proxy, obráťte sa na správcu siete.

8. Vyberte položku Uložiť.

   Poznámka

   Reverzný proxy server musí byť nakonfigurovaný tak, aby odosielal IP adresy používateľov klientov v hlavičke forwarded .

   Vybrané nastavenia sa použijú na všetky prostredia v danej skupine prostredí.

Povolenie IP firewallu pomocou rozhrania API Dataverse OData

Na načítanie a úpravu hodnôt v rámci prostredia môžete použiť rozhranie API Dataverse OData. Power Platform Podrobné pokyny nájdete v častiach Dotazovanie údajov pomocou webového rozhrania API a Aktualizácia a odstránenie riadkov tabuľky pomocou webového rozhrania API (Microsoft Dataverse).

Máte flexibilitu vybrať si nástroje, ktoré uprednostňujete. Na načítanie a úpravu hodnôt prostredníctvom rozhrania API Dataverse OData použite nasledujúcu dokumentáciu:

• Používajte Insomniu s webovým API Dataverse
• Rýchly štart Web API s PowerShellom a kódom Visual Studio

Konfigurácia IP firewallu pomocou rozhrania OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Užitočné zaťaženie

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Funkciu povoľte nastavením hodnoty na true alebo ju zakážte nastavením hodnoty na false.

• allowediprangeforfirewall — Vymenujte rozsahy IP adries, ktoré by mali byť povolené. Uveďte ich v notácii CIDR, oddelené čiarkou.

  Dôležité

  Uistite sa, že názvy servisných značiek presne zodpovedajú tomu, čo vidíte na stránke nastavení brány IP firewall. Ak existuje akýkoľvek rozpor, obmedzenia IP adries nemusia fungovať správne.

• enableipbasedfirewallruleinauditmode – Hodnota true označuje režim iba auditu, zatiaľ čo hodnota false označuje režim vynucovania.

• allowedservicetagsforfirewall – Uveďte servisné značky, ktoré by mali byť povolené, oddelené čiarkou. Ak nechcete konfigurovať žiadne servisné značky, ponechajte hodnotu null.

• allowapplicationuseraccess – Predvolená hodnota je true.

• allowmicrosofttrustedservicetags – Predvolená hodnota je true.

Dôležité

Keď sú možnosti Povoliť prístup pre dôveryhodné služby spoločnosti Microsoft a Povoliť prístup všetkým používateľom aplikácií zakázané, niektoré služby, ktoré používajú Dataverse, ako napríklad Power Automate postupy, už nemusia fungovať.

Otestujte IP firewall

Mali by ste otestovať IP firewall, aby ste overili, či funguje.

1. Z IP adresy, ktorá nie je v povolenom zozname IP adries pre dané prostredie, prejdite na URI vášho prostredia. Power Platform

   Vaša žiadosť by mala byť zamietnutá so správou, ktorá hovorí: „Žiadosť, ktorú sa pokúšate odoslať, je zamietnutá, pretože prístup k vašej IP adrese je zablokovaný.“ Pre viac informácií kontaktujte svojho správcu.

2. Z IP adresy, ktorá je v povolenom zozname IP adries pre dané prostredie, prejdite na URI vášho prostredia. Power Platform

   Mali by ste mať prístup k prostrediu, ktoré je definované vašou bezpečnostnou rolou.

Najprv by ste mali otestovať IP firewall v testovacom prostredí a potom ho v produkčnom prostredí prepnúť do režimu iba auditu. Potom ho vnútite aj v produkčnom prostredí.

Poznámka

Predvolene je koncový bod TDS v prostredí zapnutý. Power Platform

Filtrovanie SPN pre používateľov aplikácií

Funkcia IP Firewall v Power Platform umožňuje správcom obmedziť prístup k prostrediam na základe rozsahov IP adries. V scenároch, kde konkrétni používatelia aplikácií (názvy hlavných služieb alebo SPN) potrebujú obísť tieto obmedzenia, môžete povoliť filtrovanie SPN pomocou prístupu založeného na rozhraní API.

Kroky na povolenie filtrovania SPN

1. Pridajte používateľa aplikácie. Ak ešte nebol pridaný, pridajte používateľa aplikácie do cieľového prostredia a priraďte mu príslušné bezpečnostné roly. ... Príklad: Pridajte používateľa aplikácie s ID 123 a názvom TestSPN do prostredia a priraďte mu potrebné role.
2. Získajte ID používateľa systému. Na načítanie systemuserid pre používateľa aplikácie použite nasledujúce volanie rozhrania API:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Pridať používateľa aplikácie na zoznam povolených.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Užitočné zaťaženie

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Nakonfigurujte nastavenia IP firewallu v PPAC. Prejdite do Centra administrácie (PPAC) a nakonfigurujte nastavenia brány IP Firewall. Power Platform Pre aktiváciu filtrovania sa uistite, že nie je začiarknutá možnosť „Povoliť prístup všetkým používateľom aplikácie“.

Licenčné požiadavky pre IP firewall

Firewall IP sa vynucuje iba v prostrediach, ktoré sú aktivované pre spravované prostredia. Spravované prostredia sú zahrnuté ako nárok v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní spravovaného prostredia v prehľade licencovania pre platformu **Managed Environment**. ... Microsoft Power Platform

Okrem toho prístup k používaniu IP firewallu pre Dataverse vyžaduje, aby používatelia v prostrediach, kde je IP firewall vynútený, mali jedno z týchto predplatných:

• Microsoft 365 alebo Office 365 A5/E5/G5
• Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
• Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
• Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
• Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5

Získajte viac informácií o licenciách Microsoft 365

Najčastejšie otázky

Čo zahŕňa IP firewall v Power Platform?

Firewall IP je podporovaný v akomkoľvek prostredí, ktoré zahŕňa Power Platform . Dataverse

Ako skoro nadobudne účinnosť zmena v zozname IP adries?

Zmeny v zozname povolených IP adries alebo rozsahov sa zvyčajne prejavia približne do 5 – 10 minút.

Funguje táto funkcia v reálnom čase?

Ochrana IP firewallom funguje v reálnom čase. Keďže funkcia pracuje na sieťovej vrstve, vyhodnotí požiadavku po dokončení požiadavky na autentifikáciu.

Je táto funkcia predvolene povolená vo všetkých prostrediach?

Brána firewall IP nie je predvolene povolená. Správca to musí povoliť pre spravované prostredia. Power Platform

Čo je režim iba na audit?

V režime iba auditu IP firewall identifikuje IP adresy, ktoré volajú do prostredia, a povoľuje ich všetky, bez ohľadu na to, či sú v povolenom rozsahu alebo nie. Je to užitočné pri konfigurácii obmedzení v prostredí. Power Platform Odporúčame vám povoliť režim iba pre audit aspoň na týždeň a vypnúť ho až po dôkladnom preskúmaní záznamov auditu.

Je táto funkcia dostupná vo všetkých prostrediach?

Firewall IP je k dispozícii iba pre spravované prostredia. ...

Existuje obmedzenie počtu IP adries, ktoré môžem pridať do textového poľa IP adresa?

Môžete pridať až 200 rozsahov IP adries vo formáte CIDR podľa RFC 4632, oddelených čiarkami. ...

Čo mám robiť, ak požiadavky začnú zlyhávať? Dataverse

Tento problém môže spôsobovať nesprávna konfigurácia rozsahov IP adries pre IP firewall. Rozsahy IP adries si môžete skontrolovať a overiť na stránke nastavení brány firewall IP adries. Pred vynútením odporúčame zapnúť IP firewall v režime iba audit.

Ako si stiahnem protokol auditu pre režim iba auditu?

Na stiahnutie údajov z protokolu auditu vo formáte JSON použite rozhranie API Dataverse OData. Formát API protokolu auditu je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Nahraďte [orgURI] identifikátorom URI prostredia Dataverse .
• Pre túto udalosť nastavte hodnotu akcie na 118 .
• Nastavte počet položiek, ktoré sa majú vrátiť, v parametri top=1 alebo zadajte číslo, ktoré chcete vrátiť.

Moje postupy nefungujú podľa očakávaní po konfigurácii brány firewall IP v mojom prostredí. Power Automate Power Platform Čo by som mal urobiť?

V nastaveniach brány firewall IP povoľte servisné značky uvedené v časti Odchádzajúce IP adresy spravovaných konektorov.

Nakonfiguroval som adresu reverznej proxy správne, ale IP firewall nefunguje. Čo by som mal urobiť?

Uistite sa, že váš reverzný proxy je nakonfigurovaný tak, aby odosielal IP adresu klienta v presmerovanej hlavičke.

Funkcia auditu IP firewallu v mojom prostredí nefunguje. Čo by som mal urobiť?

Auditné logy IP firewallu nie sú podporované v nájomcoch povolených pre šifrovacie kľúče typu bring-your-own-key (BYOK). Odporúčame migrovať na kľúč spravovaný zákazníkom.

Podporuje IP firewall rozsahy IPv6?

Áno, IP firewall podporuje rozsahy IP adries IPv6.

Ďalšie kroky

Bezpečnosť v Microsoft Dataverse