Deli z drugimi prek

IP požarni zid v Power Platform okoljih

  • Članek

Požarni zid IP pomaga zaščititi vaše organizacijske podatke tako, da uporabniku omeji dostop do Microsoft Dataverse samo dovoljenih lokacij IP. Požarni zid IP analizira naslov IP vsake zahteve v realnem času. Recimo, da je požarni zid IP vklopljen v vašem produkcijskem Dataverse okolju in da so dovoljeni naslovi IP v obsegih, povezanih z lokacijami vaše pisarne in ne z zunanjo lokacijo IP, kot je kavarna. Če uporabnik poskuša dostopati do organizacijskih virov iz kavarne, Dataverse zavrne dostop v realnem času.

Diagram, ki prikazuje funkcijo požarnega zidu IP v Dataverse.

Ključne prednosti

Omogočanje požarnega zidu IP v vaših Power Platform okoljih ponuja več ključnih prednosti.

  • Zmanjšajte notranje grožnje, kot je izruvanje podatkov: zlonamerni uporabnik, ki poskuša prenesti podatke iz Dataverse z uporabo odjemalskega orodja, kot je Excel, ali Power BI z nedovoljene lokacije IP, je onemogočen, da bi to storil v realnem času.
  • Prepreči napade ponovnega predvajanja žetonov: če uporabnik ukrade žeton za dostop in ga poskuša uporabiti za dostop Dataverse izven dovoljenih obsegov IP, Dataverse zavrne poskus v realnem času.

Zaščita požarnega zidu IP deluje v interaktivnih in neinteraktivnih scenarijih.

Kako deluje požarni zid IP?

Ko je zahteva podana Dataverse, se naslov IP zahteve v realnem času ovrednoti glede na obsege IP, konfigurirane za Power Platform okolje. Če je naslov IP v dovoljenih obsegih, je zahteva dovoljena. Če je naslov IP zunaj obsegov IP, konfiguriranih za okolje, požarni zid IP zavrne zahtevo s sporočilom o napaki: Zahteva, ki jo poskušate vložiti, je zavrnjena, ker je dostop do vašega IP blokiran. Za več informacij se obrnite na skrbnika.

Zahteve

  • Požarni zid IP je funkcija Upravljana okolja.
  • Če želite omogočiti ali onemogočiti požarni zid IP, morate imeti Power Platform skrbniško vlogo.

Omogočite požarni zid IP

Požarni zid IP lahko omogočite v Power Platform okolju z uporabo Power Platform skrbniškega središča ali Dataverse OData API.

Omogočite požarni zid IP s pomočjo Power Platform skrbniškega centra

  1. Prijavite se v Power Platform skrbniško središče kot skrbnik.

  2. Izberite Okolja in nato še okolje.

  3. Izberite Nastavitve>Izdelek>Zasebnost in varnost.

  4. Pod Nastavitve naslova IP nastavite Omogoči pravilo požarnega zidu na podlagi naslova IP na Vklopljeno.

  5. Pod Dovoljeni seznam obsegov IPv4/IPv6 določite dovoljene obsege IP v obliki brezrazrednega meddomenskega usmerjanja (CIDR) v skladu z RFC 4632. Če imate več obsegov IP, jih ločite z vejico. To polje sprejme do 4000 alfanumeričnih znakov in dovoljuje največ 200 obsegov IP. Naslovi IPv6 so dovoljeni v šestnajstiški in stisnjeni obliki.

  6. Po potrebi izberite druge nastavitve:

    • Storitvene oznake, ki jih dovoli požarni zid IP: Na seznamu izberite storitvene oznake, ki lahko obidejo omejitve požarnega zidu IP.

    • Dovoli dostop Microsoftovim zaupanja vrednim storitvam: Ta nastavitev omogoča Microsoftovim zaupanja vrednim storitvam, kot sta spremljanje in podpora uporabnikom itd. da obidete omejitve požarnega zidu IP za dostop do Power Platform okolja z Dataverse. Privzeto omogočeno.

    • Dovoli dostop za vse uporabnike aplikacije: Ta nastavitev dovoljuje vsem uporabnikom aplikacije dostop tretjih in lastnih do Dataverse API-ji. Privzeto omogočeno. Če počistite to vrednost, blokira samo uporabnike aplikacij tretjih oseb.

    • Omogoči požarni zid IP v načinu samo za nadzor: Ta nastavitev omogoči požarni zid IP, vendar dovoljuje zahteve ne glede na njihov naslov IP. Privzeto omogočeno.

    • Naslovi IP povratnega posrednika: če ima vaša organizacija konfigurirane povratne posrednike, vnesite naslove IP, ločene z vejicami. Nastavitev obratnega proxyja velja tako za povezovanje piškotkov na osnovi IP kot za požarni zid IP. Se obrnite na skrbnika omrežja, da dobite povratne naslove IP proxy.

      opomba,

      Povratni proxy mora biti konfiguriran za pošiljanje naslovov IP odjemalcev uporabnikov v posleni glavi.

  7. Izberite možnost Shrani.

Omogočite požarni zid IP z Dataverse OData API

API Dataverse OData lahko uporabite za pridobivanje in spreminjanje vrednosti znotraj Power Platform okolja. Za podrobna navodila glejte Poizvedba po podatkih s spletnim API-jem in Posodobitev in brisanje vrstic tabele z uporabo spletnega API-ja (Microsoft Dataverse).

Imate prilagodljivost pri izbiri orodij, ki so vam ljubša. Uporabite naslednjo dokumentacijo za pridobivanje in spreminjanje vrednosti prek Dataverse OData API:

Konfigurirajte požarni zid IP z uporabo API-ja OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Tovor

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Omogočite funkcijo tako, da nastavite vrednost na true, ali jo onemogočite tako, da nastavite vrednost na false.

  • allowediprangeforfirewall — Navedite obsege IP, ki bi morali biti dovoljeni. Navedite jih v zapisu CIDR in jih ločite z vejico.

    Pomembno

    Prepričajte se, da se imena storitvenih oznak popolnoma ujemajo s tem, kar vidite na strani z nastavitvami požarnega zidu IP. Če pride do kakršnega koli neskladja, omejitve IP morda ne bodo delovale pravilno.

  • enableipbasedfirewallruleinauditmode – vrednost true označuje način samo za nadzor, medtem ko vrednost false označuje način uveljavitve.

  • allowedservicetagsforfirewall – Navedite storitvene oznake, ki bi morale biti dovoljene, ločene z vejico. Če ne želite konfigurirati nobene storitvene oznake, pustite vrednost nič.

  • allowapplicationuseraccess – Privzeta vrednost je true.

  • allowmicrosofttrustedservicetags – Privzeta vrednost je true.

Pomembno

Ko sta Dovoli dostop za Microsoftove zaupanja vredne storitve in Dovoli dostop za vse uporabnike aplikacije onemogočeni, nekatere storitve, ki uporabljajo Dataverse, kot je Power Automate flows, morda ne bo več deloval.

Preizkusite požarni zid IP

Preizkusite požarni zid IP, da preverite, ali deluje.

  1. Na naslovu IP, ki ni na seznamu dovoljenih naslovov IP za okolje, poiščite URI svojega Power Platform okolja.

    Vaša zahteva bi morala biti zavrnjena s sporočilom, ki pravi: »Zahteva, ki jo poskušate vložiti, je zavrnjena, ker je dostop do vašega IP-ja blokiran. Za več informacij se obrnite na skrbnika."

  2. Na naslovu IP, ki je na seznamu dovoljenih naslovov IP za okolje, poiščite URI svojega Power Platform okolja.

    Morali bi imeti dostop do okolja, ki ga določa vaš varnostna vloga.

Priporočamo, da najprej preizkusite požarni zid IP v svojem testnem okolju, nato pa sledite načinu samo revizije v produkcijskem okolju, preden uveljavite požarni zid IP v svojem produkcijskem okolju.

opomba,

Privzeto je TDS končna točka vklopljen v Power Platform okolju.

Licenčne zahteve za požarni zid IP

Požarni zid IP je uveljavljen samo v okoljih, ki so aktivirana za Upravljana okolja. Upravljana okolja so vključene kot pooblastilo v samostojne licence Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages in licence Dynamics 365, ki dajejo premium pravice uporabe. Izvedite več o licenciranju upravljanega okolja s pregledom licenciranja za Microsoft Power Platform.

Poleg tega dostop do uporabe požarnega zidu IP za Dataverse zahteva, da imajo uporabniki v okoljih, kjer je uveljavljen požarni zid IP, eno od teh naročnin:

  • Microsoft 365 ali Office 365 A5/E5/G5
  • Skladnost za Microsoft 365 A5/E5/F5/G5
  • Varnost in skladnost za Microsoft 365 F5
  • Zaščita in upravljanje informacij za Microsoft 365 A5/E5/F5/G5
  • Upravljanje notranjega tveganja za Microsoft 365 A5/E5/F5/G5

Več o teh licencah

Pogosta vprašanja

Kaj pokriva požarni zid IP v Power Platform?

Požarni zid IP je podprt v katerem koli Power Platform okolju, ki vključuje Dataverse.

Kako hitro stopi v veljavo sprememba seznama naslovov IP?

Spremembe seznama dovoljenih naslovov IP ali obsegov običajno stopijo v veljavo v približno 5–10 minutah.

Ali ta funkcija deluje v realnem času?

IP požarni zid deluje v realnem času. Ker funkcija deluje v omrežju sloj, ovrednoti zahtevo, ko je zahteva za preverjanje pristnosti končana.

Ali je ta funkcija privzeto omogočena v vseh okoljih?

Požarni zid IP privzeto ni omogočen. Power Platform skrbnik ga mora omogočiti za Upravljana okolja.

Kaj je način samo za revizijo?

V načinu samo za nadzor požarni zid IP identificira naslove IP, ki kličejo v okolje, in jih vse dovoli, ne glede na to, ali so v dovoljenem območju ali ne. Koristno je, ko konfigurirate omejitve za Power Platform okolje. Priporočamo, da omogočite način samo za revizijo vsaj en teden in ga onemogočite šele po natančnem pregledu dnevnikov revizij.

Ali je ta funkcija na voljo v vseh okoljih?

Požarni zid IP je na voljo samo za Upravljana okolja .

Ali obstaja omejitev števila naslovov IP, ki jih lahko dodam v besedilno polje naslova IP?

Dodate lahko do 200 obsegov naslovov IP v formatu CIDR v skladu z RFC 4632, ločenih z vejicami.

Kaj naj storim, če zahteve za Dataverse začnejo neuspešno?

To težavo morda povzroča napačna konfiguracija obsegov IP za požarni zid IP. Območja IP lahko preverite in preverite na strani z nastavitvami požarnega zidu IP. Priporočamo, da vklopite požarni zid IP v načinu samo za nadzor, preden ga uveljavite.

Kako prenesem revizijski dnevnik za način samo za revizijo?

Uporabite Dataverse OData API za prenos podatkov revizijskega dnevnika v formatu JSON. Format API-ja revizijskega dnevnika je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Zamenjajte [orgURI] z Dataverse URI okolja.
  • Nastavite vrednost dejanja na 118 za ta dogodek.
  • Nastavite število elementov za vračilo v top=1 ali določite število, ki ga želite vrniti.

Moji Power Automate tokovi po konfiguraciji požarnega zidu IP v mojem Power Platform okolju ne delujejo po pričakovanjih. Kaj lahko naredim?

V nastavitvah požarnega zidu IP dovolite storitvene oznake, navedene v Izhodni naslovi IP upravljanih konektorjev.

Pravilno sem konfiguriral povratni naslov posrednika, vendar požarni zid IP ne deluje. Kaj lahko naredim?

Prepričajte se, da je vaš povratni proxy konfiguriran za pošiljanje naslova IP odjemalca v posredovani glavi.

Funkcija revizije požarnega zidu IP v mojem okolju ne deluje. Kaj lahko naredim?

Dnevniki nadzora požarnega zidu IP niso podprti v najemnikih, ki so omogočeni za šifrirne ključe (BYOK) . Če je vaš najemnik omogočen za prinašanje lastnega ključa, so vsa okolja v najemniku, ki podpira BYOK, zaklenjena samo na SQL, zato je mogoče revizijske dnevnike shraniti samo v SQL. Priporočamo, da preselite na ključ, ki ga upravlja stranka. Za selitev iz BYOK na ključ, ki ga upravlja stranka (CMKv2), sledite korakom v Migracija okolij prinašanja lastnega ključa (BYOK) na ključ, ki ga upravlja stranka.

Ali požarni zid IP podpira obseg IPv6 IP?

Da, požarni zid IP podpira obseg IPv6 IP.

Naslednji koraki

Varnost v Microsoft Dataverse