อ่านในภาษาอังกฤษ

แชร์ผ่าน


ไฟร์วอลล์ IP ในสภาพแวดล้อม Power Platform

ไฟร์วอลล์ IP ช่วยปกป้องข้อมูลองค์กรของคุณโดยจำกัดการเข้าถึงของผู้ใช้ Microsoft Dataverse จากตำแหน่ง IP ที่อนุญาตเท่านั้น ไฟร์วอลล์ IP วิเคราะห์ที่อยู่ IP ของแต่ละคำขอในแบบเรียลไทม์ ตัวอย่างเช่น สมมติว่าไฟร์วอลล์ IP เปิดอยู่ในสภาพแวดล้อม Dataverse สำหรับการทำงานจริงของคุณและที่อยู่ IP ที่อนุญาตอยู่ในช่วงที่เกี่ยวข้องกับที่ตั้งสำนักงานของคุณ และไม่ใช่ที่อยู่ IP ภายนอกใดๆ เช่น ร้านกาแฟ หากผู้ใช้พยายามเข้าถึงทรัพยากรขององค์กรจากร้านกาแฟ Dataverse จะปฏิเสธการเข้าถึงแบบเรียลไทม์

แผนผังแสดงคุณลักษณะไฟร์วอลล์ IP ใน Dataverse

ประโยชน์ที่สำคัญ

การเปิดใช้งานไฟร์วอลล์ IP ใน สภาพแวดล้อม Power Platform ของคุณให้ประโยชน์ที่สำคัญหลายประการ

  • ลดภัยคุกคามจากคนใน เช่น การจารกรรมข้อมูล: ผู้ใช้ที่ประสงค์ร้ายที่พยายามดาวน์โหลดข้อมูลจาก Dataverse โดยใช้เครื่องมือไคลเอ็นต์ เช่น Excel หรือ Power BI จากตำแหน่ง IP ที่ไม่ได้รับอนุญาตจะถูกบล็อกไม่ให้ทำเช่นนั้นแบบเรียลไทม์
  • ป้องกันการโจมตีซ้ำของโทเค็น: หากผู้ใช้ขโมยโทเค็นการเข้าใช้และพยายามใช้เพื่อเข้าถึง Dataverse จากช่วง IP ภายนอกที่อนุญาต Dataverse จะปฏิเสธความพยายามดังกล่าวในแบบเรียลไทม์

การป้องกันไฟร์วอลล์ IP ทำงานได้ทั้งในสถานการณ์แบบโต้ตอบและไม่ใช่เชิงโต้ตอบ

ไฟร์วอลล์ IP ทำงานอย่างไร

เมื่อมีการร้องขอไปยัง Dataverse ที่อยู่ IP ของคำขอจะได้รับการประเมินแบบเรียลไทม์เทียบกับช่วง IP ที่กำหนดค่าไว้สำหรับสภาพแวดล้อม Power Platform หากที่อยู่ IP อยู่ในช่วงที่อนุญาต คำขอจะได้รับอนุญาต หากที่อยู่ IP อยู่นอกช่วง IP ที่กำหนดค่าไว้สำหรับสภาพแวดล้อม ไฟร์วอลล์ IP จะปฏิเสธคำขอพร้อมข้อความแสดงข้อผิดพลาด: คำขอที่คุณพยายามส่งถูกปฏิเสธเนื่องจากการเข้าถึง IP ของคุณถูกบล็อก ติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม

ข้อกำหนดเบื้องต้น

เปิดใช้งานไฟร์วอลล์ IP

คุณสามารถเปิดใช้งานไฟร์วอลล์ IP ในสภาพแวดล้อม Power Platform โดยใช้ศูนย์จัดการ Power Platform หรือใช้ Dataverse OData API

เปิดใช้งานไฟร์วอลล์ IP โดยใช้ศูนย์ผู้ดูแลระบบ Power Platform

  1. ลงชื่อเข้าใช้ ศูนย์จัดการ Power Platform ในฐานะผู้ดูแลระบบ

  2. เลือก สภาพแวดล้อม จากนั้นเลือกสภาพแวดล้อม

  3. เลือก การตั้งค่า>ผลิตภัณฑ์>ความเป็นส่วนตัว + ความปลอดภัย

  4. ภยใต้ การตั้งค่าที่อยู่ IP ให้ตั้งค่า เปิดใช้งานที่อยู่ IP ตามกฎไฟร์วอลล์ เป็น เปิด

  5. ภายใต้ รายการที่อนุญาตของช่วง IPv4/IPv6 ให้ระบุช่วง IP ที่อนุญาตในรูปแบบการกำหนดเส้นทางระหว่างโดเมนแบบไม่มีคลาส (CIDR) ตาม RFC 4632 หากคุณมีช่วง IP หลายช่วง ให้คั่นด้วยเครื่องหมายจุลภาค ฟิลด์นี้ยอมรับอักขระที่เป็นตัวอักษรและตัวเลขคละกันได้สูงสุด 4,000 ตัว และอนุญาตให้มีช่วง IP ได้สูงสุด 200 ช่วง ที่อยู่ IPv6 ได้รับอนุญาตทั้งในรูปแบบเลขฐานสิบหกและรูปแบบบีบอัด

  6. เลือกการตั้งค่าอื่นๆ ตามความเหมาะสม:

    • แท็กบริการได้รับอนุญาตจากไฟร์วอลล์ IP: จากรายการ เลือกแท็กบริการที่สามารถข้ามข้อจำกัดไฟร์วอลล์ IP

    • อนุญาตการเข้าถึงบริการที่เชื่อถือได้ของ Microsoft: การตั้งค่านี้เปิดใช้งานบริการที่เชื่อถือได้ของ Microsoft เช่น การตรวจสอบและ ผู้ใช้การสนับสนุน ฯลฯ เพื่อข้ามการจำกัดไฟร์วอลล์ IP ในการเข้าถึงสภาพแวดล้อม Power Platform ด้วย Dataverse เปิดใช้งานตามค่าเริ่มต้น

    • อนุญาตการเข้าถึงสำหรับผู้ใช้แอปพลิเคชันทั้งหมด: การตั้งค่านี้อนุญาตให้ ผู้ใช้แอปพลิเคชันทั้งหมด ที่เป็นบุคคลที่สามและบุคคลที่หนึ่งเข้าถึง Dataverse API ได้ เปิดใช้งานตามค่าเริ่มต้น หากคุณล้างค่านี้ ระบบจะบล็อกเฉพาะผู้ใช้แอปพลิเคชันของบุคคลที่สามเท่านั้น

    • เปิดใช้งานไฟร์วอลล์ IP ในโหมดตรวจสอบเท่านั้น: การตั้งค่านี้เปิดใช้งานไฟร์วอลล์ IP แต่อนุญาตการร้องขอโดยไม่คำนึงถึงที่อยู่ IP ของพวกเขา เปิดใช้งานตามค่าเริ่มต้น

    • ที่อยู่ IP ของ Reverse proxy: หากองค์กรของคุณกำหนดค่าพร็อกซีแบบย้อนกลับไว้ ให้ป้อนที่อยู่ IP ที่คั่นด้วยเครื่องหมายจุลภาค การตั้งค่าพร็อกซีย้อนกลับใช้กับทั้งการผูกข้อมูลคุกกี้ตาม IP และไฟร์วอลล์ IP ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อรับที่อยู่ IP ของพร็อกซีย้อนกลับ

      หมายเหตุ

      ต้องกำหนดค่าพร็อกซีย้อนกลับเพื่อส่งที่อยู่ IP ของไคลเอ็นต์ผู้ใช้ในส่วนหัวที่ส่งต่อ

  7. เลือก บันทึก

เปิดใช้งานไฟร์วอลล์ IP โดยใช้ Dataverse OData API

คุณสามารถใช้ Dataverse OData API เพื่อดึงข้อมูลและแก้ไขค่าภายในสภาพแวดล้อม Power Platform สำหรับคำแนะนำโดยละเอียด โปรดดู ค้นหาข้อมูลโดยใช้ Web API และ อัปเดตและลบแถวของตารางโดยใช้ Web API (Microsoft Dataverse)

คุณมีความยืดหยุ่นในการเลือกเครื่องมือที่คุณต้องการ ใช้คู่มือต่อไปนี้เพื่อดึงและแก้ไขค่าผ่าน Dataverse OData API:

กำหนดค่าไฟร์วอลล์ IP โดยใช้ OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

ส่วนข้อมูล

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • enableipbasedfirewallrule – เปิดใช้งานคุณลักษณะโดยการตั้งค่าเป็น true หรือปิดใช้งานโดยตั้งค่าเป็น false

  • allowediprangeforfirewall — ระบุช่วง IP ที่ควรได้รับอนุญาต ระบุในรูปแบบ CIDR โดยคั่นด้วยเครื่องหมายจุลภาค

    ข้อสำคัญ

    ตรวจสอบให้แน่ใจว่าชื่อแท็กบริการตรงกับที่คุณเห็นในหน้าการตั้งค่าของไฟร์วอลล์ IP หากมีความคลาดเคลื่อน ข้อจำกัด IP อาจทำงานไม่ถูกต้อง

  • enableipbasedfirewallruleinauditmode – ค่าของ true หมายถึงโหมดการตรวจสอบเท่านั้น ขณะที่ค่าของ false หมายถึงโหมดการบังคับใช้

  • allowedservicetagsforfirewall – แสดงรายการแท็กบริการที่ควรอนุญาตโดยคั่นด้วยเครื่องหมายจุลภาค หากคุณไม่ต้องการกำหนดค่าแท็กบริการใดๆ ให้ปล่อยไว้โดยไม่มีค่า

  • allowapplicationuseraccess – ค่าเริ่มต้นเป็น true

  • allowmicrosofttrustedservicetags – ค่าเริ่มต้นเป็น true

ข้อสำคัญ

เมื่อปิดใช้งาน อนุญาตการเข้าถึงสำหรับบริการที่เชื่อถือได้ของ Microsoft และ อนุญาตการเข้าถึงสำหรับผู้ใช้แอปพลิเคชันทั้งหมด บางบริการที่ใช้ Dataverse เช่น โฟลว์ Power Automate อาจใช้งานไม่ได้อีกต่อไป

ทดสอบไฟร์วอลล์ IP

คุณควรทดสอบไฟร์วอลล์ IP เพื่อยืนยันว่าใช้งานได้

  1. จากที่อยู่ IP ที่ไม่อยู่ในรายการที่อยู่ IP ที่อนุญาตสำหรับสภาพแวดล้อม ให้เรียกดู URI สภาพแวดล้อม Power Platform ของคุณ

    คำขอของคุณควรถูกปฏิเสธด้วยข้อความที่ระบุว่า "คำขอที่คุณพยายามส่งถูกปฏิเสธเนื่องจากการเข้าถึง IP ของคุณถูกบล็อก ติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม"

  2. จากที่อยู่ IP ที่อยู่ในรายการที่อยู่ IP ที่อนุญาตสำหรับสภาพแวดล้อม ให้เรียกดู URI สภาพแวดล้อม Power Platform ของคุณ

    คุณควรมีสิทธิ์เข้าถึงสภาพแวดล้อมที่กำหนดโดยบทบาทความปลอดภัยของคุณ

เราขอแนะนำให้คุณควรทดสอบไฟร์วอลล์ IP ในสภาพแวดล้อมการทดสอบของคุณก่อน ตามด้วยโหมดตรวจสอบเท่านั้นในสภาพแวดล้อมการทำงานจริงก่อนที่จะบังคับใช้ไฟร์วอลล์ IP ในสภาพแวดล้อมการทำงานจริงของคุณ

หมายเหตุ

โดยค่าเริ่มต้น จุดสิ้นสุด TDS ถูกเปิดใช้งานภายในสภาพแวดล้อม Power Platform

ข้อกำหนดการให้สิทธิการใช้งานสำหรับไฟร์วอลล์ IP

ไฟร์วอลล์ IP บังคับใช้กับสภาพแวดล้อมที่เปิดใช้งานสำหรับสภาพแวดล้อมที่มีการจัดการเท่านั้น สภาพแวดล้อมที่มีการจัดการจะรวมอยู่ในการให้สิทธิ์ใน Power Apps แบบสแตนด์อโลน, Power Automate, Microsoft Copilot Studio, Power Pages และสิทธิการใช้งาน Dynamics 365 ที่ให้สิทธิ์การใช้งานระดับพรีเมียม. เรียนรู้เพิ่มเติมเกี่ยวกับ การให้สิทธิการใช้งานสภาพแวดล้อมที่มีการจัดการ พร้อมด้วย ภาพรวมการให้สิทธิการใช้งานสำหรับ Microsoft Power Platform

นอกจากนี้ การเข้าถึงการใช้ไฟร์วอลล์ IP สำหรับ Dataverse กำหนดให้ผู้ใช้ในสภาพแวดล้อมที่มีการบังคับใช้ไฟร์วอลล์ IP ต้องมีการสมัครใช้งานอย่างใดอย่างหนึ่งต่อไปนี้:

  • Microsoft 365 หรือ Office 365 A5/E5/G5
  • การปฏิบัติตามกฎระเบียบ Microsoft 365 A5/E5/F5/G5
  • การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนด F5 ของ Microsoft 365
  • Microsoft 365 A5/E5/F5/G5 Information Protection และนโยบายการกำกับดูแล
  • Microsoft 365 A5/E5/F5/G5 การบริหารความเสี่ยงจากข้อมูลภายใน

เรียนรู้เพิ่มเติมเกี่ยวกับสิทธิการใช้งานเหล่านี้

คำถามที่ถามบ่อย (FAQ)

ไฟร์วอลล์ IP ครอบคลุม Power Platform สิ่งใดบ้าง

ไฟร์วอลล์ IP ได้รับการสนับสนุนในสภาพแวดล้อม Power Platform ใดๆ ซึ่งรวมถึง Dataverse

การเปลี่ยนแปลงรายการที่อยู่ IP จะมีผลเร็วแค่ไหน

การเปลี่ยนแปลงรายการที่อยู่ IP หรือช่วงที่อนุญาตโดยทั่วไปจะมีผลในเวลาประมาณ 5-10 นาที

คุณลักษณะนี้ทำงานแบบเรียลไทม์หรือไม่

การป้องกันไฟร์วอลล์ IP ทำงานแบบเรียลไทม์ เนื่องจากคุณลักษณะนี้ทำงานบนเลเยอร์เครือข่าย จึงประเมินคำขอหลังจากที่คำขอการรับรองความถูกต้องเสร็จสมบูรณ์

คุณลักษณะนี้เปิดใช้งานโดยค่าเริ่มต้นในสภาพแวดล้อมทั้งหมดหรือไม่

โดยค่าเริ่มต้น ไฟร์วอลล์ IP จะไม่ถูกเปิดใช้งาน ผู้ดูแลระบบ Power Platform จำเป็นต้องเปิดใช้งานในสภาพแวดล้อมที่มีการจัดการ

โหมดตรวจสอบเท่านั้นคืออะไร

ในโหมดการตรวจสอบเท่านั้น ไฟร์วอลล์ IP จะระบุที่อยู่ IP ที่กำลังเรียกไปยังสภาพแวดล้อมและอนุญาตทั้งหมด ไม่ว่าจะอยู่ในช่วงที่อนุญาตหรือไม่ก็ตาม ซึ่งมีประโยชน์เมื่อคุณกำหนดค่าข้อจำกัดในสภาพแวดล้อม Power Platform เราขอแนะนำให้คุณเปิดใช้งานโหมดการตรวจสอบเท่านั้นเป็นเวลาอย่างน้อยหนึ่งสัปดาห์ และปิดใช้งานหลังจากตรวจสอบ บันทึกการตรวจสอบ

คุณลักษณะนี้สามารถใช้งานในสภาพแวดล้อมทั้งหมดหรือไม่

ไฟร์วอลล์ IP ใช้ได้เฉพาะใน สภาพแวดล้อมที่มีการจัดการ เท่านั้น

มีการจำกัดจำนวนที่อยู่ IP ที่ฉันสามารถเพิ่มในกล่องข้อความที่อยู่ IP หรือไม่

คุณสามารถเพิ่มช่วงที่อยู่ IP ได้สูงสุด 200 ช่วงในรูปแบบ CIDR ตาม RFC 4632 คั่นด้วยเครื่องหมายจุลภาค

ฉันควรทำอย่างไรหากคำขอไปยัง Dataverse เริ่มล้มเหลว

การกำหนดค่าช่วง IP ที่ไม่ถูกต้องสำหรับไฟร์วอลล์ IP อาจทำให้เกิดปัญหานี้ คุณสามารถตรวจสอบและยืนยันช่วง IP ได้ในหน้าการตั้งค่าไฟร์วอลล์ IP เราขอแนะนำให้คุณเปิดไฟร์วอลล์ IP ในโหมดตรวจสอบเท่านั้นก่อนที่จะบังคับใช้

ฉันจะดาวน์โหลดบันทึกการตรวจสอบสำหรับโหมดตรวจสอบเท่านั้นได้อย่างไร

ใช้ Dataverse OData API เพื่อดาวน์โหลดข้อมูลบันทึกการตรวจสอบในรูปแบบ JSON รูปแบบของ API บันทึกการตรวจสอบ คือ:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • แทนที่ [orgURI] ด้วย URI สภาพแวดล้อม Dataverse
  • ตั้งค่าการดำเนินการเป็น 118 สำหรับเหตุการณ์นี้
  • กำหนดจำนวนรายการที่จะส่งคืนใน top=1 หรือระบุจำนวนที่คุณต้องการส่งคืน

โฟลว์ Power Automate ของฉันไม่ทำงานตามที่คาดไว้หลังจากกำหนดค่าไฟร์วอลล์ IP บนสภาพแวดล้อม Power Platform ของฉัน ฉันควรทำอย่างไร?

ในการตั้งค่าไฟร์วอลล์ IP ให้อนุญาตแท็กบริการที่อยู่ใน ที่อยู่ IP ขาออกของตัวเชื่อมต่อที่มีการจัดการ

ฉันได้กำหนดค่าที่อยู่พร็อกซีย้อนกลับอย่างถูกต้องแล้ว แต่ไฟร์วอลล์ IP ไม่ทำงาน ฉันควรทำอย่างไร?

ตรวจสอบว่าพร็อกซีย้อนกลับของคุณได้รับการกำหนดค่าให้ส่งที่อยู่ IP ของไคลเอ็นต์ในส่วนหัวที่ส่งต่อ

ฟังก์ชันการตรวจสอบไฟร์วอลล์ IP ไม่ทำงานในสภาพแวดล้อมของฉัน ฉันควรทำอย่างไร?

บันทึกการตรวจสอบไฟร์วอลล์ IP ไม่ได้รับการสนับสนุนในผู้เช่าที่เปิดใช้งานสำหรับคีย์ทีคุณเป็นเจ้าของ (BYOK) หากผู้เช่าของคุณเปิดใช้งานสำหรับคีย์ที่คุณเป็นเจ้าของ สภาพแวดล้อมทั้งหมดในผู้เช่าที่เปิดใช้งาน BYOK จะถูกล็อคไว้ที่ SQL เท่านั้น ดังนั้นบันทึกการตรวจสอบจึงสามารถจัดเก็บใน SQL เท่านั้น เราขอแนะนำให้คุณย้ายไปที่ คีย์ที่จัดการโดยลูกค้า หากต้องการย้ายจาก BYOK ไปยังคีย์ที่จัดการโดยลูกค้า (CMKv2) ให้ทำตามขั้นตอนใน ย้ายสภาพแวดล้อมคีย์ที่คุณเป็นเจ้าของ (BYOK) ไปยังคีย์ที่จัดการโดยลูกค้า

ไฟร์วอลล์ IP รองรับช่วง IPv6 IP หรือไม่

ใช่ ไฟร์วอลล์ IP รองรับช่วง IP IPv6

ขั้นตอนถัดไป

ความปลอดภัยใน Microsoft Dataverse