IP firewall v Power Platform prostrediach

Brána firewall IP pomáha chrániť údaje organizácie tým, že obmedzuje prístup používateľov len z Microsoft Dataverse povolených umiestnení IP. IP firewall analyzuje IP adresu každej požiadavky v reálnom čase. Predpokladajme napríklad, že brána firewall IP je zapnutá vo vašom produkčnom Dataverse prostredí a povolené adresy IP sú v rozsahoch priradených k umiestneniam vašej kancelárie, a nie v žiadnom externom umiestnení IP, ako je kaviareň. Ak sa používateľ pokúsi získať prístup k zdrojom organizácie z kaviarne, Dataverse odmietne prístup v reálnom čase.

Hlavné výhody

Povolenie brány firewall IP vo vašich Power Platform prostrediach ponúka niekoľko kľúčových výhod.

• Zmiernite vnútorné hrozby, ako je exfiltrácia údajov: Zlomyseľnému používateľovi, ktorý sa pokúsi stiahnuť údaje pomocou Dataverse klientskeho nástroja, ako je Excel, alebo Power BI z nepovoleného umiestnenia IP, je zablokovaný v reálnom čase.
• Zabráňte útokom na opakovanie tokenov: Ak používateľ ukradne prístupový token a pokúsi sa ho použiť na prístup Dataverse z vonkajších povolených rozsahov IP adries, Dataverse odmietne pokus v reálnom čase.

Ochrana brány firewall IP funguje v interaktívnych aj neinteraktívnych scenároch.

Ako funguje brána firewall IP?

Keď sa zadá Dataverse požiadavka, IP adresa požiadavky sa vyhodnocuje v reálnom čase na základe rozsahov IP adries nakonfigurovaných pre Power Platform prostredie. Ak je IP adresa v povolených rozsahoch, požiadavka je povolená. Ak je IP adresa mimo rozsahov IP nakonfigurovaných pre prostredie, IP firewall odmietne požiadavku s chybovým hlásením: Požiadavka, ktorú sa pokúšate vydať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie vám poskytne správca.

Požiadavky

• Brána firewall IP je funkciou Spravované prostredia.
• Ak chcete povoliť alebo zakázať bránu firewall IP, musíte mať rolu Power Platform správcu.

Zapnutie brány firewall IP

Bránu firewall IP môžete povoliť Power Platform v prostredí pomocou Power Platform centra spravovania alebo rozhrania Dataverse OData API.

Povolenie brány firewall IP pomocou Power Platform Centra spravovania

1. Prihláste sa do Power Platform Centra spravovania ako správca.

2. Vyberte Prostredia a potom si vyberte prostredie.

3. Vyberte položku Nastavenia>Produkt>Ochrana osobných údajov + zabezpečenie.

4. V časti Nastavenia IP adresy nastavte Povoliť pravidlo brány firewall založené na IP adrese na Zapnuté.

5. V časti Zoznam povolených rozsahov IPv4/IPv6 zadajte povolené rozsahy IP adries vo formáte CIDR (Classless Interdomain Routing) podľa RFC 4632. Ak máte viacero rozsahov IP adries, oddeľte ich čiarkou. Toto pole akceptuje až 4 000 alfanumerických znakov a umožňuje maximálne 200 rozsahov IP. IPv6 adresy sú povolené v hexadecimálnom aj komprimovanom formáte.

6. Podľa potreby vyberte ďalšie nastavenia:

   • Značky služieb, ktoré má povoľovať brána firewall IP: Zo zoznamu vyberte značky služieb, ktoré môžu obísť obmedzenia brány firewall IP.

   • Povoliť prístup dôveryhodným službám spoločnosti Microsoft: Toto nastavenie umožňuje dôveryhodným službám spoločnosti Microsoft, ako je monitorovanie a podpora používateľov atď., obísť obmedzenia brány firewall IP a získať prístup Power Platform k Dataverse prostrediu. Predvolene aktivované.

   • Povoliť prístup pre všetkých používateľov aplikácie: Toto nastavenie umožňuje všetkým používateľom aplikácie prístup k Dataverse rozhraniam API tretích strán a prvej strany. Predvolene aktivované. Ak túto hodnotu zrušíte, zablokujú sa iba používatelia aplikácií tretích strán.

   • Povoliť IP firewall v režime iba auditu: Toto nastavenie povolí IP firewall, ale povolí požiadavky bez ohľadu na ich IP adresu. Predvolene aktivované.

   • Reverzné proxy adresy IP: Ak má vaša organizácia nakonfigurované reverzné servery proxy, zadajte adresy IP oddelené čiarkami. Nastavenie reverzného servera proxy sa vzťahuje na viazanie súborov cookie na základe adresy IP aj na bránu firewall IP. Kontaktujte svojho správcu siete, aby ste získali IP adresy reverzného proxy.

     Poznámka

     Reverzný server proxy musí byť nakonfigurovaný na odosielanie adries IP klientov používateľov v hlavičke forwarded .

7. Vyberte položku Uložiť.

Povoľte bránu firewall IP pomocou rozhrania Dataverse OData API

Rozhranie Dataverse OData API môžete použiť na načítanie a úpravu hodnôt v Power Platform prostredí. Podrobné pokyny nájdete v časti Dopytovanie údajov pomocou webového rozhrania API a Aktualizácia a odstraňovanie riadkov tabuľky pomocou webového rozhrania API (Microsoft Dataverse).

Máte flexibilitu pri výbere nástrojov, ktoré uprednostňujete. Na získanie a úpravu hodnôt prostredníctvom rozhrania Dataverse OData API použite nasledujúcu dokumentáciu:

• Používajte Insomnia s Dataverse Web API
• Rýchle spustenie webového rozhrania API s PowerShell a Visual Studio kódom

Nakonfigurujte IP bránu firewall pomocou OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Užitočné zaťaženie

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Povoľte funkciu nastavením hodnoty na pravda alebo ju vypnite nastavením hodnoty na false.

• allowiprangeforfirewall — Uveďte rozsahy IP, ktoré by mali byť povolené. Uveďte ich v notácii CIDR, oddelené čiarkou.

  Dôležité

  Uistite sa, že názvy servisných značiek presne zodpovedajú tomu, čo vidíte na stránke nastavení brány firewall IP. Ak sa vyskytne nejaká nezrovnalosť, obmedzenia IP nemusia fungovať správne.

• enableipbasedfirewallruleinauditmode – Hodnota pravda označuje režim iba auditu, zatiaľ čo hodnota nepravda označuje režim presadzovania.

• allowservicetagsforfirewall – zoznam servisných značiek, ktoré by mali byť povolené, oddelené čiarkou. Ak nechcete konfigurovať žiadne servisné značky, ponechajte hodnotu null.

• allowapplicationuseraccess – Predvolená hodnota je true.

• allowmicrosofttrustedservicetags – Predvolená hodnota je true.

Dôležité

Keď sú Povoliť prístup pre dôveryhodné služby Microsoftu a Povoliť prístup pre všetkých používateľov aplikácie , niektoré služby, ktoré používajú Dataverse, ako napríklad Power Automate toky, už nemusia fungovať.

Otestujte IP bránu firewall

Mali by ste otestovať IP bránu firewall a overiť, či funguje.

1. Z adresy IP, ktorá nie je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.

   Vaša žiadosť by mala byť odmietnutá správou, ktorá hovorí: „Požiadavka, ktorú sa pokúšate podať, je odmietnutá, pretože prístup k vašej IP je zablokovaný. Ďalšie informácie získate od svojho správcu."

2. Z adresy IP, ktorá je v zozname povolených adries IP pre dané prostredie, prejdite na Power Platform URI prostredia.

   Mali by ste mať prístup do prostredia, ktoré je definované vaším rola zabezpečenia.

Odporúčame, aby ste najskôr otestovali IP bránu firewall vo vašom testovacom prostredí a potom nasledoval režim iba auditu v produkčnom prostredí pred vynútením IP brány firewall vo vašom produkčnom prostredí.

Poznámka

V predvolenom nastavení je Koncový bod TDS v prostredí Power Platform zapnutý.

Licenčné požiadavky pre IP firewall

IP firewall je vynútený iba v prostrediach, ktoré sú aktivované pre Spravované prostredia. Spravované prostredia sú zahrnuté ako oprávnenie v samostatných licenciách Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, ktoré poskytujú prémiové práva na používanie. Získajte viac informácií o licencovaní spravovaného prostredia v prehľade licencií pre Microsoft Power Platform.

Okrem toho, prístup k používaniu IP firewallu pre Dataverse vyžaduje, aby používatelia v prostrediach, kde je IP firewall vynútený, mali jedno z týchto predplatných:

• Microsoft 365 alebo Office 365 A5/E5/G5
• Dodržiavanie súladu pre Microsoft 365 A5/E5/F5/G5
• Zabezpečenie a dodržiavanie súladu pre Microsoft 365 F5
• Ochrana a riadenie informácií Microsoft 365 A5/E5/F5/G5
• Spravovanie rizík zvnútra pre Microsoft 365 A5/E5/F5/G5

Získajte viac informácií o týchto licenciách

Najčastejšie otázky

Čo pokrýva IP firewall v Power Platform?

IP firewall je podporovaný v akomkoľvek Power Platform prostredí, ktoré zahŕňa Dataverse.

Ako skoro sa prejaví zmena v zozname adries IP?

Zmeny v zozname povolených adries IP alebo rozsahov sa zvyčajne prejavia približne do 5 až 10 minút.

Funguje táto funkcia v reálnom čase?

Ochrana IP firewallom funguje v reálnom čase. Keďže funkcia funguje v sieti vrstva, vyhodnotí požiadavku po dokončení autentifikačnej požiadavky.

Je táto funkcia predvolene povolená vo všetkých prostrediach?

IP firewall nie je v predvolenom nastavení povolený. Administrátor Power Platform to musí povoliť pre Spravované prostredia.

Čo je režim iba auditu?

V režime iba audit IP firewall identifikuje IP adresy, ktoré volajú do prostredia, a povolí ich všetky, či už sú v povolenom rozsahu alebo nie. Je to užitočné, keď konfigurujete obmedzenia v Power Platform prostredí. Odporúčame vám povoliť režim iba auditu aspoň na týždeň a deaktivovať ho až po dôkladnom preštudovaní revíznych protokolov.

Je táto funkcia dostupná vo všetkých prostrediach?

IP firewall je k dispozícii iba pre Spravované prostredia .

Existuje obmedzenie počtu adries IP, ktoré môžem pridať do textového poľa adresy IP?

Môžete pridať až 200 rozsahov adries IP vo formáte CIDR podľa RFC 4632 oddelených čiarkami.

Čo mám robiť, ak žiadosti o Dataverse začať zlyhávajú?

Tento problém môže spôsobovať nesprávna konfigurácia rozsahov IP pre bránu firewall IP. Rozsahy IP môžete skontrolovať a overiť na stránke nastavení brány firewall IP. Odporúčame, aby ste pred jeho vynútením zapli IP firewall v režime Iba audit.

Ako si stiahnem protokol auditu pre režim iba auditu?

Na stiahnutie údajov denníka auditu vo formáte JSON použite rozhranie Dataverse OData API. Formát rozhrania API protokolu auditu je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Nahraďte [orgURI] s Dataverse uRI prostredia.
• Pre túto udalosť nastavte hodnotu akcie na 118 .
• Nastavte počet položiek, ktoré sa majú vrátiť v top=1 alebo zadajte počet, ktorý chcete vrátiť.

Moje Power Automate toky nefungujú podľa očakávania po konfigurácii IP brány firewall v mojom Power Platform prostredí. Čo by som mal urobiť?

V nastaveniach brány firewall IP povoľte servisné značky uvedené v časti Odchádzajúce adresy IP spravovaných konektorov.

Správne som nakonfiguroval adresu reverzného servera proxy, ale brána firewall IP nefunguje. Čo by som mal urobiť?

Uistite sa, že váš reverzný server proxy je nakonfigurovaný na odosielanie adresy IP klienta v hlavičke presmerovania.

Funkcia auditu brány firewall IP v mojom prostredí nefunguje. Čo by som mal urobiť?

Protokoly auditu brány firewall IP nie sú podporované u nájomníkov, ktorí majú aktivované šifrovacie kľúče s prinesením vlastného kľúča (BYOK) . Ak je váš nájomca povolený na to, aby ste si priniesli svoj vlastný kľúč, potom všetky prostredia v nájomcovi podporovanom BYOK sú uzamknuté iba na SQL, a preto protokoly auditu je možné uložiť iba v SQL. Odporúčame vám migrovať na kľúč spravovaný zákazníkom. Ak chcete migrovať z BYOK na kľúč spravovaný zákazníkom (CMKv2), postupujte podľa krokov v časti Migrácia prostredí prinesenia vlastného kľúča (BYOK) na kľúč spravovaný zákazníkom.

Podporuje IP firewall rozsahy IPv6 IP?

Áno, IP firewall podporuje rozsahy IPv6 IP.

Ďalšie kroky

Zabezpečiť Microsoft Dataverse