ไฟร์วอลล์ IP ในสภาพแวดล้อม Power Platform
ไฟร์วอลล์ IP ช่วยปกป้องข้อมูลองค์กรของคุณโดยจำกัดการเข้าถึงของผู้ใช้ Microsoft Dataverse จากตำแหน่ง IP ที่อนุญาตเท่านั้น ไฟร์วอลล์ IP วิเคราะห์ที่อยู่ IP ของแต่ละคำขอในแบบเรียลไทม์ ตัวอย่างเช่น สมมติว่าไฟร์วอลล์ IP เปิดอยู่ในสภาพแวดล้อม Dataverse สำหรับการทำงานจริงของคุณและที่อยู่ IP ที่อนุญาตอยู่ในช่วงที่เกี่ยวข้องกับที่ตั้งสำนักงานของคุณ และไม่ใช่ที่อยู่ IP ภายนอกใดๆ เช่น ร้านกาแฟ หากผู้ใช้พยายามเข้าถึงทรัพยากรขององค์กรจากร้านกาแฟ Dataverse จะปฏิเสธการเข้าถึงแบบเรียลไทม์
การเปิดใช้งานไฟร์วอลล์ IP ใน สภาพแวดล้อม Power Platform ของคุณให้ประโยชน์ที่สำคัญหลายประการ
- ลดภัยคุกคามจากคนใน เช่น การจารกรรมข้อมูล: ผู้ใช้ที่ประสงค์ร้ายที่พยายามดาวน์โหลดข้อมูลจาก Dataverse โดยใช้เครื่องมือไคลเอ็นต์ เช่น Excel หรือ Power BI จากตำแหน่ง IP ที่ไม่ได้รับอนุญาตจะถูกบล็อกไม่ให้ทำเช่นนั้นแบบเรียลไทม์
- ป้องกันการโจมตีซ้ำของโทเค็น: หากผู้ใช้ขโมยโทเค็นการเข้าใช้และพยายามใช้เพื่อเข้าถึง Dataverse จากช่วง IP ภายนอกที่อนุญาต Dataverse จะปฏิเสธความพยายามดังกล่าวในแบบเรียลไทม์
การป้องกันไฟร์วอลล์ IP ทำงานได้ทั้งในสถานการณ์แบบโต้ตอบและไม่ใช่เชิงโต้ตอบ
เมื่อมีการร้องขอไปยัง Dataverse ที่อยู่ IP ของคำขอจะได้รับการประเมินแบบเรียลไทม์เทียบกับช่วง IP ที่กำหนดค่าไว้สำหรับสภาพแวดล้อม Power Platform หากที่อยู่ IP อยู่ในช่วงที่อนุญาต คำขอจะได้รับอนุญาต หากที่อยู่ IP อยู่นอกช่วง IP ที่กำหนดค่าไว้สำหรับสภาพแวดล้อม ไฟร์วอลล์ IP จะปฏิเสธคำขอพร้อมข้อความแสดงข้อผิดพลาด: คำขอที่คุณพยายามส่งถูกปฏิเสธเนื่องจากการเข้าถึง IP ของคุณถูกบล็อก ติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม
- ไฟร์วอลล์ IP เป็นคุณลักษณะของ สภาพแวดล้อมที่มีการจัดการ
- คุณต้องมีบทบาทผู้ดูแลระบบ Power Platform เพื่อเปิดหรือปิดใช้งานไฟร์วอลล์ IP
คุณสามารถเปิดใช้งานไฟร์วอลล์ IP ในสภาพแวดล้อม Power Platform โดยใช้ศูนย์จัดการ Power Platform หรือใช้ Dataverse OData API
ลงชื่อเข้าใช้ ศูนย์จัดการ Power Platform ในฐานะผู้ดูแลระบบ
เลือก สภาพแวดล้อม จากนั้นเลือกสภาพแวดล้อม
เลือก การตั้งค่า>ผลิตภัณฑ์>ความเป็นส่วนตัว + ความปลอดภัย
ภยใต้ การตั้งค่าที่อยู่ IP ให้ตั้งค่า เปิดใช้งานที่อยู่ IP ตามกฎไฟร์วอลล์ เป็น เปิด
ภายใต้ รายการที่อนุญาตของช่วง IPv4/IPv6 ให้ระบุช่วง IP ที่อนุญาตในรูปแบบการกำหนดเส้นทางระหว่างโดเมนแบบไม่มีคลาส (CIDR) ตาม RFC 4632 หากคุณมีช่วง IP หลายช่วง ให้คั่นด้วยเครื่องหมายจุลภาค ฟิลด์นี้ยอมรับอักขระที่เป็นตัวอักษรและตัวเลขคละกันได้สูงสุด 4,000 ตัว และอนุญาตให้มีช่วง IP ได้สูงสุด 200 ช่วง ที่อยู่ IPv6 ได้รับอนุญาตทั้งในรูปแบบเลขฐานสิบหกและรูปแบบบีบอัด
เลือกการตั้งค่าอื่นๆ ตามความเหมาะสม:
แท็กบริการได้รับอนุญาตจากไฟร์วอลล์ IP: จากรายการ เลือกแท็กบริการที่สามารถข้ามข้อจำกัดไฟร์วอลล์ IP
อนุญาตการเข้าถึงบริการที่เชื่อถือได้ของ Microsoft: การตั้งค่านี้เปิดใช้งานบริการที่เชื่อถือได้ของ Microsoft เช่น การตรวจสอบและ ผู้ใช้การสนับสนุน ฯลฯ เพื่อข้ามการจำกัดไฟร์วอลล์ IP ในการเข้าถึงสภาพแวดล้อม Power Platform ด้วย Dataverse เปิดใช้งานตามค่าเริ่มต้น
อนุญาตการเข้าถึงสำหรับผู้ใช้แอปพลิเคชันทั้งหมด: การตั้งค่านี้อนุญาตให้ ผู้ใช้แอปพลิเคชันทั้งหมด ที่เป็นบุคคลที่สามและบุคคลที่หนึ่งเข้าถึง Dataverse API ได้ เปิดใช้งานตามค่าเริ่มต้น หากคุณล้างค่านี้ ระบบจะบล็อกเฉพาะผู้ใช้แอปพลิเคชันของบุคคลที่สามเท่านั้น
เปิดใช้งานไฟร์วอลล์ IP ในโหมดตรวจสอบเท่านั้น: การตั้งค่านี้เปิดใช้งานไฟร์วอลล์ IP แต่อนุญาตการร้องขอโดยไม่คำนึงถึงที่อยู่ IP ของพวกเขา เปิดใช้งานตามค่าเริ่มต้น
ที่อยู่ IP ของ Reverse proxy: หากองค์กรของคุณกำหนดค่าพร็อกซีแบบย้อนกลับไว้ ให้ป้อนที่อยู่ IP ที่คั่นด้วยเครื่องหมายจุลภาค การตั้งค่าพร็อกซีย้อนกลับใช้กับทั้งการผูกข้อมูลคุกกี้ตาม IP และไฟร์วอลล์ IP ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อรับที่อยู่ IP ของพร็อกซีย้อนกลับ
หมายเหตุ
ต้องกำหนดค่าพร็อกซีย้อนกลับเพื่อส่งที่อยู่ IP ของไคลเอ็นต์ผู้ใช้ในส่วนหัวที่ส่งต่อ
เลือก บันทึก
คุณสามารถใช้ Dataverse OData API เพื่อดึงข้อมูลและแก้ไขค่าภายในสภาพแวดล้อม Power Platform สำหรับคำแนะนำโดยละเอียด โปรดดู ค้นหาข้อมูลโดยใช้ Web API และ อัปเดตและลบแถวของตารางโดยใช้ Web API (Microsoft Dataverse)
คุณมีความยืดหยุ่นในการเลือกเครื่องมือที่คุณต้องการ ใช้คู่มือต่อไปนี้เพื่อดึงและแก้ไขค่าผ่าน Dataverse OData API:
- ใช้ Insomnia กับ Dataverse Web API
- API เว็บเริ่มต้นใช้งานด่วนพร้อม PowerShell และ Visual Studio Code
กำหนดค่าไฟร์วอลล์ IP โดยใช้ OData API
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
ส่วนข้อมูล
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – เปิดใช้งานคุณลักษณะโดยการตั้งค่าเป็น true หรือปิดใช้งานโดยตั้งค่าเป็น false
allowediprangeforfirewall — ระบุช่วง IP ที่ควรได้รับอนุญาต ระบุในรูปแบบ CIDR โดยคั่นด้วยเครื่องหมายจุลภาค
ข้อสำคัญ
ตรวจสอบให้แน่ใจว่าชื่อแท็กบริการตรงกับที่คุณเห็นในหน้าการตั้งค่าของไฟร์วอลล์ IP หากมีความคลาดเคลื่อน ข้อจำกัด IP อาจทำงานไม่ถูกต้อง
enableipbasedfirewallruleinauditmode – ค่าของ true หมายถึงโหมดการตรวจสอบเท่านั้น ขณะที่ค่าของ false หมายถึงโหมดการบังคับใช้
allowedservicetagsforfirewall – แสดงรายการแท็กบริการที่ควรอนุญาตโดยคั่นด้วยเครื่องหมายจุลภาค หากคุณไม่ต้องการกำหนดค่าแท็กบริการใดๆ ให้ปล่อยไว้โดยไม่มีค่า
allowapplicationuseraccess – ค่าเริ่มต้นเป็น true
allowmicrosofttrustedservicetags – ค่าเริ่มต้นเป็น true
ข้อสำคัญ
เมื่อปิดใช้งาน อนุญาตการเข้าถึงสำหรับบริการที่เชื่อถือได้ของ Microsoft และ อนุญาตการเข้าถึงสำหรับผู้ใช้แอปพลิเคชันทั้งหมด บางบริการที่ใช้ Dataverse เช่น โฟลว์ Power Automate อาจใช้งานไม่ได้อีกต่อไป
คุณควรทดสอบไฟร์วอลล์ IP เพื่อยืนยันว่าใช้งานได้
จากที่อยู่ IP ที่ไม่อยู่ในรายการที่อยู่ IP ที่อนุญาตสำหรับสภาพแวดล้อม ให้เรียกดู URI สภาพแวดล้อม Power Platform ของคุณ
คำขอของคุณควรถูกปฏิเสธด้วยข้อความที่ระบุว่า "คำขอที่คุณพยายามส่งถูกปฏิเสธเนื่องจากการเข้าถึง IP ของคุณถูกบล็อก ติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม"
จากที่อยู่ IP ที่อยู่ในรายการที่อยู่ IP ที่อนุญาตสำหรับสภาพแวดล้อม ให้เรียกดู URI สภาพแวดล้อม Power Platform ของคุณ
คุณควรมีสิทธิ์เข้าถึงสภาพแวดล้อมที่กำหนดโดยบทบาทความปลอดภัยของคุณ
เราขอแนะนำให้คุณควรทดสอบไฟร์วอลล์ IP ในสภาพแวดล้อมการทดสอบของคุณก่อน ตามด้วยโหมดตรวจสอบเท่านั้นในสภาพแวดล้อมการทำงานจริงก่อนที่จะบังคับใช้ไฟร์วอลล์ IP ในสภาพแวดล้อมการทำงานจริงของคุณ
หมายเหตุ
โดยค่าเริ่มต้น จุดสิ้นสุด TDS ถูกเปิดใช้งานภายในสภาพแวดล้อม Power Platform
ไฟร์วอลล์ IP บังคับใช้กับสภาพแวดล้อมที่เปิดใช้งานสำหรับสภาพแวดล้อมที่มีการจัดการเท่านั้น สภาพแวดล้อมที่มีการจัดการจะรวมอยู่ในการให้สิทธิ์ใน Power Apps แบบสแตนด์อโลน, Power Automate, Microsoft Copilot Studio, Power Pages และสิทธิการใช้งาน Dynamics 365 ที่ให้สิทธิ์การใช้งานระดับพรีเมียม. เรียนรู้เพิ่มเติมเกี่ยวกับ การให้สิทธิการใช้งานสภาพแวดล้อมที่มีการจัดการ พร้อมด้วย ภาพรวมการให้สิทธิการใช้งานสำหรับ Microsoft Power Platform
นอกจากนี้ การเข้าถึงการใช้ไฟร์วอลล์ IP สำหรับ Dataverse กำหนดให้ผู้ใช้ในสภาพแวดล้อมที่มีการบังคับใช้ไฟร์วอลล์ IP ต้องมีการสมัครใช้งานอย่างใดอย่างหนึ่งต่อไปนี้:
- Microsoft 365 หรือ Office 365 A5/E5/G5
- การปฏิบัติตามกฎระเบียบ Microsoft 365 A5/E5/F5/G5
- การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนด F5 ของ Microsoft 365
- Microsoft 365 A5/E5/F5/G5 Information Protection และนโยบายการกำกับดูแล
- Microsoft 365 A5/E5/F5/G5 การบริหารความเสี่ยงจากข้อมูลภายใน
เรียนรู้เพิ่มเติมเกี่ยวกับสิทธิการใช้งานเหล่านี้
ไฟร์วอลล์ IP ได้รับการสนับสนุนในสภาพแวดล้อม Power Platform ใดๆ ซึ่งรวมถึง Dataverse
การเปลี่ยนแปลงรายการที่อยู่ IP หรือช่วงที่อนุญาตโดยทั่วไปจะมีผลในเวลาประมาณ 5-10 นาที
การป้องกันไฟร์วอลล์ IP ทำงานแบบเรียลไทม์ เนื่องจากคุณลักษณะนี้ทำงานบนเลเยอร์เครือข่าย จึงประเมินคำขอหลังจากที่คำขอการรับรองความถูกต้องเสร็จสมบูรณ์
โดยค่าเริ่มต้น ไฟร์วอลล์ IP จะไม่ถูกเปิดใช้งาน ผู้ดูแลระบบ Power Platform จำเป็นต้องเปิดใช้งานในสภาพแวดล้อมที่มีการจัดการ
ในโหมดการตรวจสอบเท่านั้น ไฟร์วอลล์ IP จะระบุที่อยู่ IP ที่กำลังเรียกไปยังสภาพแวดล้อมและอนุญาตทั้งหมด ไม่ว่าจะอยู่ในช่วงที่อนุญาตหรือไม่ก็ตาม ซึ่งมีประโยชน์เมื่อคุณกำหนดค่าข้อจำกัดในสภาพแวดล้อม Power Platform เราขอแนะนำให้คุณเปิดใช้งานโหมดการตรวจสอบเท่านั้นเป็นเวลาอย่างน้อยหนึ่งสัปดาห์ และปิดใช้งานหลังจากตรวจสอบ บันทึกการตรวจสอบ
ไฟร์วอลล์ IP ใช้ได้เฉพาะใน สภาพแวดล้อมที่มีการจัดการ เท่านั้น
คุณสามารถเพิ่มช่วงที่อยู่ IP ได้สูงสุด 200 ช่วงในรูปแบบ CIDR ตาม RFC 4632 คั่นด้วยเครื่องหมายจุลภาค
การกำหนดค่าช่วง IP ที่ไม่ถูกต้องสำหรับไฟร์วอลล์ IP อาจทำให้เกิดปัญหานี้ คุณสามารถตรวจสอบและยืนยันช่วง IP ได้ในหน้าการตั้งค่าไฟร์วอลล์ IP เราขอแนะนำให้คุณเปิดไฟร์วอลล์ IP ในโหมดตรวจสอบเท่านั้นก่อนที่จะบังคับใช้
ใช้ Dataverse OData API เพื่อดาวน์โหลดข้อมูลบันทึกการตรวจสอบในรูปแบบ JSON รูปแบบของ API บันทึกการตรวจสอบ คือ:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- แทนที่ [orgURI] ด้วย URI สภาพแวดล้อม Dataverse
- ตั้งค่าการดำเนินการเป็น 118 สำหรับเหตุการณ์นี้
- กำหนดจำนวนรายการที่จะส่งคืนใน top=1 หรือระบุจำนวนที่คุณต้องการส่งคืน
โฟลว์ Power Automate ของฉันไม่ทำงานตามที่คาดไว้หลังจากกำหนดค่าไฟร์วอลล์ IP บนสภาพแวดล้อม Power Platform ของฉัน ฉันควรทำอย่างไร?
ในการตั้งค่าไฟร์วอลล์ IP ให้อนุญาตแท็กบริการที่อยู่ใน ที่อยู่ IP ขาออกของตัวเชื่อมต่อที่มีการจัดการ
ตรวจสอบว่าพร็อกซีย้อนกลับของคุณได้รับการกำหนดค่าให้ส่งที่อยู่ IP ของไคลเอ็นต์ในส่วนหัวที่ส่งต่อ
บันทึกการตรวจสอบไฟร์วอลล์ IP ไม่ได้รับการสนับสนุนในผู้เช่าที่เปิดใช้งานสำหรับคีย์ทีคุณเป็นเจ้าของ (BYOK) หากผู้เช่าของคุณเปิดใช้งานสำหรับคีย์ที่คุณเป็นเจ้าของ สภาพแวดล้อมทั้งหมดในผู้เช่าที่เปิดใช้งาน BYOK จะถูกล็อคไว้ที่ SQL เท่านั้น ดังนั้นบันทึกการตรวจสอบจึงสามารถจัดเก็บใน SQL เท่านั้น เราขอแนะนำให้คุณย้ายไปที่ คีย์ที่จัดการโดยลูกค้า หากต้องการย้ายจาก BYOK ไปยังคีย์ที่จัดการโดยลูกค้า (CMKv2) ให้ทำตามขั้นตอนใน ย้ายสภาพแวดล้อมคีย์ที่คุณเป็นเจ้าของ (BYOK) ไปยังคีย์ที่จัดการโดยลูกค้า
ใช่ ไฟร์วอลล์ IP รองรับช่วง IP IPv6