Požarni zid IP v okoljih Power Platform

Požarni zid IP ščiti podatke vaše organizacije tako, da zagotavlja, da lahko uporabniki dostopajo le z dovoljenih lokacij IP. Microsoft Dataverse Požarni zid IP analizira naslov IP vsake zahteve v realnem času. Na primer, v svojem produkcijskem okolju lahko vklopite požarni zid IP in nastavite dovoljene naslove IP v obsegih, povezanih z lokacijami vaše pisarne, in ne s katero koli zunanjo lokacijo IP, kot je kavarna. Dataverse Če uporabnik poskuša dostopati do organizacijskih virov iz kavarne, Dataverse se dostop v realnem času zavrne.

Ključne prednosti

Vklop požarnega zidu IP v vašem okolju ponuja več ključnih prednosti. Power Platform

• Zmanjšanje notranjih groženj, kot je uhajanje podatkov: Zlonamernemu uporabniku, ki poskuša prenesti podatke iz Dataverse z uporabo odjemalskega orodja, kot je Excel, ali Power BI z nedovoljene lokacije IP, je to v realnem času onemogočeno.
• Preprečite napade s ponovnim predvajanjem žetonov: Če uporabnik ukrade dostopni žeton in ga poskuša uporabiti za dostop Dataverse izven dovoljenih območij IP-naslovov, Dataverse poskus zavrne v realnem času.

Zaščita požarnega zidu IP deluje tako v interaktivnih kot neinteraktivnih scenarijih.

Kako deluje požarni zid IP?

Ko je zahteva poslana na Dataverse, se IP-naslov zahteve v realnem času primerja z obsegi IP-naslovov, konfiguriranimi za okolje Power Platform . Če je IP-naslov znotraj dovoljenih območij, je zahteva dovoljena. Če je IP-naslov zunaj obsega IP-naslovov, konfiguriranega za okolje, požarni zid IP-ja zavrne zahtevo s sporočilom o napaki: Zahteva, ki jo poskušate poslati, je zavrnjena, ker je dostop do vašega IP-naslova blokiran. Za več informacij se obrnite na skrbnika.

Zahteve

• Požarni zid IP je funkcija upravljanih okolij. ...
• Za omogočanje ali onemogočanje požarnega zidu IP morate imeti skrbniško vlogo. Power Platform

Omogočite požarni zid IP

Požarni zid IP lahko omogočite v okolju z uporabo skrbniškega središča ali API-ja OData. Power Platform Power Platform Dataverse

Omogočite požarni zid IP v skrbniškem središču Power Platform

1. Prijavite se v Power Platform skrbniško središče kot skrbnik.

2. V navigacijskem podoknu izberite Varnost.

3. V podoknu Varnost izberite Identiteta in dostop.

4. Na strani Upravljanje identitete in dostopa izberite Požarni zid IP.

5. V podoknu Nastavitev požarnega zidu IP izberite okolje. Nato izberite Nastavi požarni zid IP.

6. V podoknu Nastavi požarni zid IP za to okolje izberi Požarni zid IP na Vklopljeno.

7. V razdelku Dovoljeni seznam naslovov IP določite dovoljene obsege naslovov IP v formatu brezrazrednega meddomenskega usmerjanja (CIDR) v skladu z RFC 4632. Če imate več IP-območij, jih ločite z vejico. To polje sprejme do 4000 alfanumeričnih znakov in dovoljuje največ 200 razponov IP-naslovov. Naslovi IPv6 so dovoljeni tako v šestnajstiški kot stisnjeni obliki.

8. Po potrebi izberite druge napredne nastavitve:

   • Seznam dovoljenih oznak storitev: Na seznamu izberite oznake storitev, ki lahko zaobidejo omejitve požarnega zidu IP.
   • Dovoli dostop za zaupanja vredne storitve Microsofta: Ta nastavitev omogoča zaupanja vrednim storitvam Microsofta, kot sta spremljanje in podpora uporabnikom itd., da zaobidejo omejitve požarnega zidu IP za dostop do okolja Power Platform z Dataverse. Privzeto omogočeno.
   • Dovoli dostop vsem uporabnikom aplikacije: Ta nastavitev dovoljuje vsem uporabnikom aplikacije dostop tretjih in lastnih ponudnikov do Dataverse API-jev. Privzeto omogočeno. Če to vrednost počistite, bodo blokirani samo uporabniki aplikacij tretjih oseb.
   • Omogoči požarni zid IP v načinu samo za revizijo: Ta nastavitev omogoči požarni zid IP, vendar dovoljuje zahteve ne glede na njihov naslov IP. Privzeto omogočeno.
   • IP-naslovi obratnih proxy strežnikov: Če ima vaša organizacija konfigurirane obratne proxy strežnike, vnesite IP-naslove, ločene z vejicami. Nastavitev obratnega proxyja velja tako za vezavo piškotkov na podlagi IP kot za požarni zid IP. Za pridobitev IP-naslovov obratnega proxyja se obrnite na skrbnika omrežja.

   opomba,

   Obratni proxy mora biti konfiguriran tako, da pošilja IP-naslove uporabnikov in odjemalcev v glavi posredovano .

9. Izberite možnost Shrani.

Omogočanje požarnega zidu IP na ravni skupine okolja

Če želite konfigurirati nastavitve požarnega zidu IP na ravni skupine okolja, sledite naslednjim korakom. Vpišite se v skrbniško središče za Power Platform.

1. V navigacijskem podoknu izberite Varnost.

2. V podoknu Varnost izberite Identiteta in dostop.

3. Izberite podokno požarnega zidu IP.

4. V prikazanem podoknu izberite zavihek Skupine okolij , za katerega želite uporabiti varnostno nastavitev. Nato izberite Nastavi požarni zid IP.

5. V podoknu Nastavitev požarnega zidu IP izberite Požarni zid IP na Vklopljeno.

6. V razdelku Dovoljeni seznam naslovov IP določite dovoljene obsege naslovov IP v formatu brezrazrednega meddomenskega usmerjanja (CIDR) v skladu z RFC 4632. Če imate več IP-območij, jih ločite z vejico. To polje sprejme do 4000 alfanumeričnih znakov in dovoljuje največ 200 razponov IP-naslovov. Naslovi IPv6 so dovoljeni tako v šestnajstiški kot stisnjeni obliki.

7. Po potrebi izberite druge napredne nastavitve:

   • Seznam dovoljenih oznak storitev: Na seznamu izberite oznake storitev, ki lahko zaobidejo omejitve požarnega zidu IP.
   • Dovoli dostop za zaupanja vredne storitve Microsofta: Ta nastavitev omogoča zaupanja vrednim storitvam Microsofta, kot sta spremljanje in podpora uporabnikom itd., da zaobidejo omejitve požarnega zidu IP za dostop do okolja Power Platform z Dataverse. Privzeto omogočeno.
   • Dovoli dostop vsem uporabnikom aplikacije: Ta nastavitev dovoljuje vsem uporabnikom aplikacije dostop tretjih in lastnih ponudnikov do Dataverse API-jev. Privzeto omogočeno. Če to vrednost počistite, bodo blokirani samo uporabniki aplikacij tretjih oseb.
   • Omogoči požarni zid IP v načinu samo za revizijo: Ta nastavitev omogoči požarni zid IP, vendar dovoljuje zahteve ne glede na njihov naslov IP. Privzeto omogočeno.
   • IP-naslovi obratnih proxy strežnikov: Če ima vaša organizacija konfigurirane obratne proxy strežnike, vnesite IP-naslove, ločene z vejicami. Nastavitev obratnega proxyja velja tako za vezavo piškotkov na podlagi IP kot za požarni zid IP. Za pridobitev IP-naslovov obratnega proxyja se obrnite na skrbnika omrežja.

8. Izberite možnost Shrani.

   opomba,

   Obratni proxy mora biti konfiguriran tako, da pošilja IP-naslove uporabnikov in odjemalcev v glavi posredovano .

   Izbrane nastavitve se uporabijo za vsa okolja v tej skupini okolij.

Omogočanje požarnega zidu IP z uporabo API-ja OData Dataverse

Za pridobivanje in spreminjanje vrednosti v okolju lahko uporabite Dataverse OData API. Power Platform Za podrobna navodila glejte Poizvedovanje podatkov z uporabo spletnega API-ja in Posodabljanje in brisanje vrstic tabele z uporabo spletnega API-ja (Microsoft Dataverse).

Imate fleksibilnost pri izbiri orodij, ki vam ustrezajo. Za pridobivanje in spreminjanje vrednosti prek API-ja OData uporabite naslednjo dokumentacijo: Dataverse

• Uporabite Insomnio s spletnim API-jem Dataverse
• Spletni API za hitri začetek s PowerShellom in kodo Visual Studio

Konfigurirajte požarni zid IP z uporabo API-ja OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

koristni tovor

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Funkcijo omogočite tako, da vrednost nastavite na true, ali pa jo onemogočite tako, da vrednost nastavite na false.

• allowediprangeforfirewall — Navedite dovoljena območja IP-naslovov. Navedite jih v zapisu CIDR, ločene z vejico.

  Pomembno

  Prepričajte se, da se imena oznak storitev natančno ujemajo s tistimi, ki jih vidite na strani z nastavitvami požarnega zidu IP. Če pride do kakršnega koli neskladja, omejitve IP-naslovov morda ne bodo delovale pravilno.

• enableipbasedfirewallruleinauditmode – Vrednost true označuje način samo za revizijo, vrednost false pa način izvrševanja.

• allowedservicetagsforfirewall – Navedite storitvene oznake, ki naj bodo dovoljene, ločene z vejico. Če ne želite konfigurirati nobenih oznak storitev, pustite vrednost null.

• allowapplicationuseraccess – Privzeta vrednost je true.

• allowmicrosofttrustedservicetags – Privzeta vrednost je true.

Pomembno

Ko sta možnosti Dovoli dostop za zaupanja vredne storitve Microsofta in Dovoli dostop vsem uporabnikom aplikacije onemogočeni, nekatere storitve, ki uporabljajo Dataverse, kot so Power Automate potoki, morda ne bodo več delovale.

Preizkusite požarni zid IP

Preizkusite požarni zid IP, da preverite, ali deluje.

1. Z naslova IP, ki ni na seznamu dovoljenih naslovov IP za okolje, poiščite URI svojega okolja. Power Platform

   Vaša zahteva bi morala biti zavrnjena s sporočilom, ki pravi: »Zahteva, ki jo poskušate poslati, je zavrnjena, ker je dostop do vašega IP-naslova blokiran.« Za več informacij se obrnite na svojega skrbnika.

2. Z naslova IP, ki je na seznamu dovoljenih naslovov IP za okolje, poiščite URI svojega okolja. Power Platform

   Imeti morate dostop do okolja, ki ga določa vaša varnostna vloga.

Najprej preizkusite požarni zid IP v testnem okolju, nato pa v produkcijskem okolju preizkusite način samo za revizijo, preden uveljavite požarni zid IP v produkcijskem okolju.

opomba,

Privzeto je končna točka TDS v okolju vklopljena. Power Platform

Filtriranje SPN za uporabnike aplikacij

Funkcija požarnega zidu IP v Power Platform skrbnikom omogoča omejitev dostopa do okolij na podlagi obsegov naslovov IP. V scenarijih, kjer morajo določeni uporabniki aplikacij (imena glavnih storitev ali SPN-ji) zaobiti te omejitve, lahko omogočite filtriranje SPN-jev z uporabo pristopa, ki temelji na API-ju.

Koraki za omogočanje filtriranja SPN

1. Dodajte uporabnika aplikacije. Če uporabnika aplikacije še ni dodan, ga dodajte v ciljno okolje in mu dodelite ustrezne varnostne vloge. ... Primer: V okolje dodajte uporabnika aplikacije z ID-jem 123 in imenom TestSPN ter mu dodelite potrebne vloge.
2. Pridobite ID uporabnika sistema. Za pridobitev systemuserid za uporabnika aplikacije uporabite naslednji klic API-ja:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Dodajte uporabnika aplikacije na seznam dovoljenih.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

koristni tovor

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Konfigurirajte nastavitve požarnega zidu IP v PPAC. Pojdite v skrbniški center (PPAC) in konfigurirajte nastavitve požarnega zidu IP. Power Platform Za uveljavitev filtriranja se prepričajte, da možnost »Dovoli dostop vsem uporabnikom aplikacije« ni označena.

Zahteve za licenciranje požarnega zidu IP

Požarni zid IP se uveljavlja samo v okoljih, ki so aktivirana za upravljana okolja. Upravljana okolja so vključena kot upravičenost v samostojne licence Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages in Dynamics 365, ki dajejo pravice do premium uporabe. Več o licenciranju upravljanega okolja izveste v pregledu licenciranja za . Microsoft Power Platform

Poleg tega dostop do uporabe požarnega zidu IP za Dataverse zahteva, da imajo uporabniki v okoljih, kjer je požarni zid IP uveljavljen, eno od teh naročnin:

• Microsoft 365 ali Office 365 A5/E5/G5
• Skladnost za Microsoft 365 A5/E5/F5/G5
• Varnost in skladnost za Microsoft 365 F5
• Zaščita in upravljanje informacij za Microsoft 365 A5/E5/F5/G5
• Upravljanje notranjega tveganja za Microsoft 365 A5/E5/F5/G5

Več o licencah Microsoft 365

Pogosta vprašanja

Kaj zajema požarni zid IP v Power Platform?

Požarni zid IP je podprt v katerem koli okolju, ki vključuje Power Platform . Dataverse

Kako hitro začne veljati sprememba seznama IP-naslovov?

Spremembe seznama dovoljenih naslovov IP ali obsegov običajno začnejo veljati v približno 5–10 minutah.

Ali ta funkcija deluje v realnem času?

Zaščita požarnega zidu IP deluje v realnem času. Ker funkcija deluje na omrežni plasti, zahtevo ovrednoti po tem, ko je zahteva za preverjanje pristnosti končana.

Ali je ta funkcija privzeto omogočena v vseh okoljih?

Požarni zid IP ni privzeto omogočen. Skrbnik ga mora omogočiti za upravljana okolja. Power Platform

Kaj je način samo za revizijo?

V načinu samo za revizijo požarni zid IP prepozna naslove IP, ki kličejo v okolje, in jim dovoli dostop, ne glede na to, ali so v dovoljenem obsegu ali ne. To je koristno pri konfiguriranju omejitev v okolju. Power Platform Priporočamo, da način samo za revizijo omogočite vsaj en teden in ga onemogočite šele po skrbnem pregledu dnevnikov revizij.

Ali je ta funkcija na voljo v vseh okoljih?

Požarni zid IP je na voljo samo za upravljana okolja. ...

Ali obstaja omejitev števila naslovov IP, ki jih lahko dodam v besedilno polje za naslov IP?

Dodate lahko do 200 obsegov IP-naslovov v formatu CIDR v skladu z RFC 4632, ločenih z vejicami.

Kaj naj storim, če zahteve začnejo odpovedovati? Dataverse

To težavo lahko povzroča napačna konfiguracija obsegov IP-jev za požarni zid IP-ja. Razpone IP-naslovov lahko preverite in potrdite na strani z nastavitvami požarnega zidu IP-naslovov. Priporočamo, da požarni zid IP vklopite v načinu samo za nadzor, preden ga uveljavite.

Kako prenesem dnevnik nadzora za način samo za nadzor?

Za prenos podatkov dnevnika nadzora v obliki JSON uporabite API OData. Dataverse Oblika API-ja za dnevnik nadzora je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Zamenjajte [orgURI] z Dataverse URI okolja.
• Za ta dogodek nastavite vrednost dejanja na 118 .
• Nastavite število elementov, ki jih želite vrniti v top=1 ali navedite število, ki ga želite vrniti.

Moji poteki ne delujejo po pričakovanjih po konfiguraciji požarnega zidu IP v mojem okolju. Power Automate Power Platform Kaj lahko naredim?

V nastavitvah požarnega zidu IP dovolite storitvene oznake, navedene v razdelku Odhodni naslovi IP upravljanih konektorjev.

Pravilno sem konfiguriral naslov obratnega proxyja, vendar požarni zid IP ne deluje. Kaj lahko naredim?

Prepričajte se, da je vaš obratni proxy konfiguriran tako, da v posredovani glavi pošilja IP-naslov odjemalca.

Funkcionalnost revizije požarnega zidu IP v mojem okolju ne deluje. Kaj lahko naredim?

Dnevniki revizije IP požarnega zidu niso podprti v najemnikih, ki so omogočeni za šifriranje ključev 'prinesi svoj lastni ključ' (BYOK). Priporočamo, da preidete na ključ, ki ga upravlja stranka.

Ali požarni zid IP podpira obsege IPv6?

Da, požarni zid IP podpira obsege IPv6.

Naslednji koraki

Varnost v Microsoft Dataverse