ИП заштитни зид у Power Platform окружењима

ИП заштитни зид штити ваше организационе податке тако што осигурава да корисници могу приступити Microsoft Dataverse само са дозвољених ИП локација. ИП заштитни зид анализира ИП адресу сваког захтева у реалном времену. На пример, можете укључити ИП заштитни зид у вашем производном Dataverse окружењу и подесити дозвољене ИП адресе у опсегу повезаном са вашим канцеларијским локацијама, а не било коју спољну ИП локацију, као што је кафић. Ако корисник покуша да приступи организационим ресурсима из кафића,ускраћује Dataverse приступ у реалном времену.

Дијаграм који илуструје функцију ИП заштитног зида у Dataverse.

Кључне предности

Укључивање ИП заштитног зида у вашим Power Platform окружењима нуди неколико кључних предности.

  • Ублажите инсајдерске претње као што су ексфилтрација података: Злонамерни корисник који покушава да преузме податке помоћу Dataverse клијентског алата као што је Екцел или Power BI са недозвољене ИП локације је блокиран да то учини у реалном времену.
  • Спречите токен реплаи нападе : Ако корисник украде приступни токен и покуша да га користи за приступ Dataverse изван дозвољених ИП опсега,негира Dataverse покушај у реалном времену.

ИП заштитни зид заштита ради у интерактивним и неинтерактивним сценаријима.

Како функционише ИП заштитни зид?

Када се Dataverse поднесе захтев, ИП адреса захтева се процењује у реалном времену у односу на ИП опсеге конфигурисане за Power Platform окружење. Ако је ИП адреса у дозвољеним опсегима, захтев је дозвољен. Ако је ИП адреса изван ИП опсега конфигурисаних за окружење, ИП заштитни зид одбија захтев са поруком о грешци: Захтев који покушавате да направите је одбијен јер је приступ вашој ИП адреси блокиран. Обратите се свом администратору за више информација .

Предуслови

  • ИП заштитни зид је карактеристика управљаних окружења .
  • Морате имати улогу администратора Power Platform да бисте омогућили или онемогућили ИП заштитни зид.

Омогућите ИП заштитни зид

ИП заштитни зид можете омогућити у Power Platform окружењу помоћу администраторског Power Platform центра или ОДата АПИ-ја Dataverse .

Омогућите ИП заштитни зид користећи Power Platform админ центар

  1. Пријавите се у Power Platform админ центар као администратор.

  2. У окну за навигацију изаберите Безбедност .

  3. У окну Безбедност изаберите Идентитет и приступ .

  4. На страници Управљање идентитетом и приступом изаберите ИП заштитни зид .

  5. У окну Подесите ИП заштитни зид изаберите окружење. Затим изаберите Подесите ИП заштитни зид .

  6. У окну Подесите ИП заштитни зид за ово окружење , изаберите ИП заштитни зид за Укључено .

  7. Под Дозвољена листа ИП адреса , наведите дозвољене ИП опсеге у бескласном интердомаин роутинг (ЦИДР) формату према РФЦ 4632 . Ако имате више ИП опсега, одвојите их зарезом. Ово поље прихвата до 4.000 алфанумеричких знакова и дозвољава максимално 200 ИП опсега. IPv6 адресе су дозвољене и у хексадецималном и компримованом формату.

  8. Изаберите друге напредне поставке, по потреби:

    • Дозвољена листа сервисних ознака : Са листе изаберите сервисне ознаке које могу заобићи ограничења ИП заштитног зида.
    • Дозволи приступ Мицрософт поузданим услугама : Ова поставка омогућава Мицрософт поузданим услугама као што су праћење и подршка корисника итд. да заобиђу ограничења ИП заштитног зида за приступ Power Platform окружењу са Dataverse. Подразумевано омогућено.
    • Дозволи приступ за све кориснике апликација: Ова поставка омогућава свим корисницима апликација треће стране и прве стране приступ Dataverse АПИ-јима. Подразумевано омогућено. Ако обришете ову вредност, она блокира само кориснике апликација независних произвођача.
    • Омогућите ИП заштитни зид у режиму само за ревизију: Ова поставка омогућава ИП заштитни зид, али дозвољава захтеве без обзира на њихову ИП адресу. Подразумевано омогућено.
    • Обрнуте прокси ИП адресе : Ако ваша организација има конфигурисане обрнуте пуномоћнике, унесите ИП адресе одвојене зарезима. Поставка обрнутог проки се односи и на везивање колачића заснованог на ИП-у и на ИП заштитни зид. Обратите се свом мрежном администратору да бисте добили обрнуте прокси ИП адресе.

    Белешка

    Обрнути проки мора бити конфигурисан да пошаље ИП адресе корисника клијента у прослеђеном заглављу.

  9. Изаберите ставку Сачувај.

Омогућите ИП заштитни зид на нивоу групе окружења

Да бисте конфигурисали поставке ИП заштитног зида на нивоу групе окружења, довршите следеће кораке. Пријавите се у Power Platform центар администрације.

  1. У окну за навигацију изаберите Безбедност .

  2. У окну Безбедност изаберите Идентитет и приступ .

  3. Изаберите окно ИП заштитног зида.

  4. У окну које је приказано, изаберите картицу Групе окружења на коју желите да се примени безбедносно подешавање. Затим изаберите Подесите ИП заштитни зид .

  5. У окну Подесите ИП заштитни зид , изаберите ИП заштитни зид за Укључено .

  6. Под Дозвољена листа ИП адреса , наведите дозвољене ИП опсеге у бескласном интердомаин роутинг (ЦИДР) формату према РФЦ 4632 . Ако имате више ИП опсега, одвојите их зарезом. Ово поље прихвата до 4.000 алфанумеричких знакова и дозвољава максимално 200 ИП опсега. IPv6 адресе су дозвољене и у хексадецималном и компримованом формату.

  7. Изаберите друге напредне поставке, по потреби:

    • Дозвољена листа сервисних ознака : Са листе изаберите сервисне ознаке које могу заобићи ограничења ИП заштитног зида.
    • Дозволи приступ Мицрософт поузданим услугама : Ова поставка омогућава Мицрософт поузданим услугама као што су праћење и подршка корисника итд. да заобиђу ограничења ИП заштитног зида за приступ Power Platform окружењу са Dataverse. Подразумевано омогућено.
    • Дозволи приступ за све кориснике апликација: Ова поставка омогућава свим корисницима апликација треће стране и прве стране приступ Dataverse АПИ-јима. Подразумевано омогућено. Ако обришете ову вредност, она блокира само кориснике апликација независних произвођача.
    • Омогућите ИП заштитни зид у режиму само за ревизију: Ова поставка омогућава ИП заштитни зид, али дозвољава захтеве без обзира на њихову ИП адресу. Подразумевано омогућено.
    • Обрнуте прокси ИП адресе : Ако ваша организација има конфигурисане обрнуте пуномоћнике, унесите ИП адресе одвојене зарезима. Поставка обрнутог проки се односи и на везивање колачића заснованог на ИП-у и на ИП заштитни зид. Обратите се свом мрежном администратору да бисте добили обрнуте прокси ИП адресе.

  8. Изаберите ставку Сачувај.

    Белешка

    Обрнути проки мора бити конфигурисан да пошаље ИП адресе корисника клијента у прослеђеном заглављу.

    Изабрана подешавања се примењују на сва окружења у тој групи окружења.

Омогућите ИП заштитни зид користећи Dataverse ОДата АПИ

Можете користити Dataverse ОДата АПИ за преузимање и модификовање вредности унутар окружења Power Platform . За детаљна упутства, погледајте Упитни подаци помоћу Веб АПИ-ја и Ажурирајте и избришите редове табеле помоћу Веб АПИ-ја ( Microsoft Dataverse).

Имате флексибилност да изаберете алате које желите. Користите следећу документацију да бисте преузели и модификовали вредности преко ОДата АПИ-ја Dataverse :

Конфигуришите ИП заштитни зид помоћу ОДата АПИ-ја



PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Товар



[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Омогућите функцију постављањем вредности на труе , или је онемогућите постављањем вредности на фалсе .

  • allowediprangeforfirewall — Наведите опсеге ИП адреса који би требало да буду дозвољени. Наведите их у ЦИДР нотацији, одвојене зарезом.

    Важно

    Уверите се да имена сервисних ознака тачно одговарају ономе што видите на страници са подешавањима ИП заштитног зида. Ако постоји било какво одступање, ИП ограничења можда неће радити исправно.

  • enableipbasedfirewallruleinauditmode – Вредност труе означава режим само за ревизију, док вредност фалсе означава режим спровођења.

  • allowedservicetagsforfirewall – Наведите сервисне ознаке које би требало да буду дозвољене, одвојене зарезом. Ако не желите да конфигуришете било какве сервисне ознаке, оставите вредност нулл.

  • allowapplicationuseraccess – Подразумевана вредност је истинита .

  • allowmicrosofttrustedservicetags – Подразумевана вредност је истинита .

Важно

Када су Дозволи приступ за Мицрософт поуздане услуге и Дозволи приступ за све кориснике апликација онемогућени, неке услуге које користе Dataverse, као што Power Automate су токови, можда више неће радити.

Тестирајте ИП заштитни зид

Требало би да тестирате ИП заштитни зид да бисте проверили да ради.

  1. Са ИП адресе која није на дозвољеној листи ИП адреса за окружење, претражите Power Platform УРИ окружења.

    Ваш захтев треба да буде одбијен са поруком која каже: "Захтев који покушавате да направите је одбијен јер је приступ вашој ИП адреси блокиран. Обратите се свом администратору за више информација. "

  2. Са ИП адресе која се налази на дозвољеној листи ИП адреса за окружење, потражите Power Platform УРИ окружења.

    Требало би да имате приступ окружењу које је дефинисано вашом безбедносном улогом.

Прво треба да тестирате ИП заштитни зид у вашем тестном окружењу, након чега следи режим само за ревизију у производном окружењу пре него што спроведете ИП заштитни зид у вашем производном окружењу.

Белешка

Подразумевано , ТДС крајња тачка је укључена Power Platform у окружењу.

СПН филтрирање за кориснике апликација

Функција ИП заштитног зида омогућава Power Platform администраторима да ограниче приступ окружењима на основу опсега ИП адреса. За сценарије у којима одређени корисници апликација (Сервице Принципал Намес или СПН) морају да заобиђу ова ограничења, можете омогућити СПН филтрирање користећи приступ заснован на АПИ-ју.

Кораци за омогућавање СПН филтрирања

  1. Додајте корисника апликације. Ако већ није додат, додајте корисника апликације у циљно окружење и доделите одговарајуће безбедносне улоге. Пример : Додајте корисника апликације са ИД КСНУМКС и именом ТестСПН у окружење и доделите потребне улоге
  2. Преузмите ИД корисника система. Користите следећи АПИ позив да бисте пронашли за systemuserid корисника апликације:


GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
  1. Листа дозвољених корисника апликације.


POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Товар

[
    {
        "isallowedbyipfirewall": true
    }
]
  1. Конфигуришите поставке ИП заштитног зида у ППАЦ-у. Идите на Power Platform Админ Центер (ППАЦ) и конфигуришите поставке ИП заштитног зида. Уверите се да је опција "Дозволи приступ за све кориснике апликације" није означена да би се извршило филтрирање.

Захтеви за лиценцирање ИП заштитног зида

ИП заштитни зид се примењује само на окружењима која су активирана за управљана окружења. Управљана окружења су укључена као право у самосталним Power Apps Power Automate Microsoft Copilot Studio Power Pages лиценцама које дају премиум права коришћења. Сазнајте више о лиценцирању управљаног окружења са прегледом лиценцирања за Microsoft Power Platform.

Поред тога, приступ коришћењу ИП заштитног зида захтева Dataverse од корисника у окружењима у којима се примењује ИП заштитни зид да имају једну од ових претплата:

  • Microsoft 365 или Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 усаглашеност
  • Microsoft 365 F5 безбедност и усаглашеност
  • Microsoft 365 A5/E5/F5/G5 заштита информација и управљање њима
  • Microsoft 365 A5/E5/F5/G5 управљање инсајдерским ризиком

Сазнајте више о Microsoft 365 лиценцама

Најчешћа питања

Шта покрива ИП заштитни зид Power Platform?

ИП заштитни зид је подржан у било ком Power Platform окружењу које укључује Dataverse.

Колико брзо промена на листи ИП адреса ступа на снагу?

Промене на листи дозвољених ИП адреса или опсега обично ступају на снагу за око 5-10 минута.

Да ли ова функција функционише у реалном времену?

ИП заштитни зид ради у реалном времену. Пошто функција ради на мрежном слоју, она процењује захтев након што је захтев за аутентификацију завршен.

Да ли је ова функција подразумевано омогућена у свим окружењима?

ИП заштитни зид није подразумевано омогућен. Администратор Power Platform треба да га омогући за управљана окружења.

Шта је режим само за ревизију?

У режиму само за ревизију, ИП заштитни зид идентификује ИП адресе које упућују позиве у околину и омогућава им све, без обзира да ли су у дозвољеном опсегу или не. Корисно је када конфигуришете ограничења у Power Platform окружењу. Препоручујемо да омогућите режим ревизије само за најмање недељу дана и онемогућите га тек након пажљивог прегледа евиденције ревизије.

Да ли је ова функција доступна у свим окружењима?

ИП заштитни зид је доступан само за управљана окружења .

Да ли постоји ограничење броја ИП адреса које могу додати у поље за текст ИП адресе?

Можете додати до 200 опсега ИП адреса у ЦИДР формату према РФЦ 4632 , одвојеним зарезима.

Шта да радим ако захтеви почну Dataverse да пропадају?

Погрешна конфигурација ИП опсега за ИП заштитни зид може бити узрок овог проблема. Можете проверити и проверити ИП опсеге на страници са подешавањима ИП заштитног зида. Препоручујемо да укључите ИП заштитни зид у режиму само за ревизију пре него што га спроведете.

Како да преузмем дневник ревизије за режим само за ревизију?

Користите Dataverse ОДата АПИ да бисте преузели податке дневника ревизије у ЈСОН формату. Формат АПИ-ја дневника ревизије је:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Замени [оргУРИ ] са Dataverse УРИ окружења.
  • Подесите вредност акције на 118 за овај догађај.
  • Подесите број ставки које желите да се вратите у топ = КСНУМКС или одредите број који желите да вратите.

Моји Power Automate токови не раде како се очекивало након конфигурисања ИП заштитног зида у мом Power Platform окружењу. Шта да радим?

У подешавањима ИП заштитног зида, дозволите ознаке услуга наведене у Управљани конектори одлазне ИП адресе .

Исправно сам конфигурисао обрнуту прокси адресу, али ИП заштитни зид не ради. Шта да радим?

Уверите се да је ваш обрнути прокси конфигурисан да пошаље ИП адресу клијента у прослеђеном заглављу.

Функционалност ревизије ИП заштитног зида не ради у мом окружењу. Шта да радим?

Евиденције ревизије ИП заштитног зида нису подржане у станарима који су омогућени за кључеве за шифровање "донесите сопствени кључ" (БИОК). Ако је ваш станар омогућен за доношење сопственог кључа, онда су сва окружења у БИОК-омогућеном клијенту закључана само за СКЛ, тако да се евиденције ревизије могу чувати само у СКЛ-у. Препоручујемо да мигрирате на кључ којим управља клијент. Да бисте мигрирали са БИОК-а на кључ којим управља клијент (ЦМКвКСНУМКС), следите кораке у Мигрирајте окружења за доношење сопственог кључа (БИОК) на кључ којим управља клијент.

Да ли ИП заштитни зид подржава ИПвКСНУМКС ИП опсеге?

Да , ИП заштитни зид подржава IPv6 ИП опсеге.

Следећи кораци

Безбедност у Microsoft Dataverse

  • Last updated on