Power Platform ortamlarda IP Güvenlik Duvarı
IP güvenlik duvarı, Microsoft Dataverse'e kullanıcı erişimini yalnızca izin verilen IP konumlarıyla sınırlayarak kuruluş verilerinizi korumaya yardımcı olur. IP güvenlik duvarı, her isteğin IP adresini gerçek zamanlı olarak analiz eder. Örneğin, üretim Dataverse ortamınızda IP güvenlik duvarının açık olduğunu ve izin verilen IP adreslerinin ofis konumlarınızla ilişkili aralıklarda olduğunu ve bir kahve dükkanı gibi harici IP konumu olmadığını varsayalım. Bir kullanıcı bir kafeden kuruluş kaynaklarına erişmeye çalıştığında, Dataverse erişimi gerçek zamanlı olarak engeller.
Power Platform ortamlarınızda IP güvenlik duvarını etkinleştirmek birçok önemli yarar sağlar.
- Veri sızdırma gibi içerden tehditleri azaltma: Excel veya Power BI gibi bir istemci aracını kullanarak Dataverse'ten izin verilmeyen bir IP konumundan veri indirmeye çalışan kötü amaçlı bir kullanıcının gerçek zamanlı olarak bu işlemi yapması engellenir.
- Belirteç yeniden oynatma saldırılarını engelleme: Kullanıcı bir erişim belirteci çalarak izin verilen IP aralıklarının dışından Dataverse'e erişmek için bu belirteci kullanmayı denerse, Dataverse girişimi gerçek zamanlı olarak engeller.
IP güvenlik duvarı koruması hem etkileşimli hem de etkileşimsiz senaryolarda çalışır.
Dataverse'e bir istek yapıldığında, istek IP adresi gerçek zamanlı olarak Power Platform ortamı için yapılandırılan IP aralıklarıyla değerlendirilir. IP adresi izin verilen aralıklardaysa isteğe izin verilir. IP adresi, ortam için yapılandırılan IP aralıklarının dışındaysa, IP güvenlik duvarı bir hata iletisi ile isteği reddeder: Gerçekleştirmeye çalıştığınız istek, IP'nize erişim engellendiği için reddedildi. Daha fazla bilgi için yöneticinizle iletişime geçin.
- IP güvenlik duvarı Yönetilen Ortamlar'ın bir özelliğidir.
- IP güvenlik duvarını etkinleştirmek veya devre dışı bırakmak için bir Power Platform yönetici rolüne sahip olmanız gerekir.
Power Platform yönetim merkezini veya Dataverse OData API'sini kullanarak bir Power Platform ortamında IP güvenlik duvarını etkinleştirebilirsiniz.
Power Platform yönetici merkezinde sistem yöneticisi olarak oturum açın.
Ortamları seçin ve sonra ortamı seçin.
Ayarlar>Ürün>Gizlilik + Güvenlik'i seçin.
IP adresi ayarları altında IP adresi tabanlı güvenlik duvarını etkinleştir'i Açık olarak ayarlayın.
İzin verilen IPv4/IPv6 aralıkları listesi altında , RFC 4632'ye göre izin verilen IP aralıklarını sınıfsız etki alanları arası yönlendirme (CIDR) biçiminde belirtin. Birden çok IP aralığına sahipseniz bunları virgülle ayırın. Bu alan en fazla 4.000 alfasayısal karakter kabul eder ve maksimum 200 IP aralığına izin verir. IPv6 adreslerine hem onaltılık hem de sıkıştırılmış biçimde izin verilir.
Gereken diğer ayarları seçin:
IP güvenlik duvarı tarafından izin verilecek hizmet etiketleri: Listeden, IP güvenlik duvarı kısıtlamalarını atlayabilecek hizmet etiketlerini seçin.
Microsoft güvenilen hizmetlerine erişim izin ver: Bu ayar, izleme ve kullanıcıyı destekleme gibi Microsoft güvenilen hizmetlerinin Dataverse ile Power Platform ortamına erişmeleri için IP güvenlik duvarı kısıtlamalarını atlamasına olanak tanır. Varsayılan olarak etkindir.
Tüm uygulama kullanıcılarına erişim izni ver: Bu ayar, tüm uygulama kullanıcılarına Dataverse API'leri için üçüncü taraf ve birinci taraf erişimi sağlar. Varsayılan olarak etkindir. Bu değeri temizlerseniz, yalnızca üçüncü taraf uygulama kullanıcılarını engeller.
Yalnızca denetim modunda IP güvenlik duvarını etkinleştir: Bu ayar IP güvenlik duvarını etkinleştirir ancak IP adresleri ne olursa olsun isteklere izin verir. Varsayılan olarak etkindir.
Ters ara sunucu IP adresleri: Kuruluşunuzda yapılandırılmış ters proxy'ler varsa, Ters proxy IP adresleri alanına IP adreslerini virgülle ayırarak girin. Ters ara sunucu ayarı hem IP tabanlı tanımlama bilgisi bağlama hem de IP güvenlik duvarı için geçerlidir. Ters ara sunucu IP adreslerini almak için ağ yöneticinize başvurun.
Not
Ters ara sunucu, iletilen üst bilgide kullanıcı istemci IP adreslerini gönderecek şekilde yapılandırılmalıdır.
Kaydet'i seçin.
Dataverse OData API bir Power Platform ortamdaki değerleri almanıza ve değiştirmenize olanak tanır. Ayrıntılı kılavuzlar için bkz Web API kullanarak sorgu verileri ve Web API kullanarak tablo satırlarını güncelleme ve silme (Microsoft Dataverse).
Tercih ettiğiniz araçları seçme esnekliğine sahipsiniz. Dataverse OData API yoluyla değerleri almak ve değiştirmek üzere aşağıdaki belgeleri kullanın:
- Dataverse Web API ile Insomnia kullanma
- PowerShell ve Visual Studio Code ile Hızlı Başlangıç Web API'si
OData API kullanarak IP güvenlik duvarını yapılandırma
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Yük
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – Değeri doğru olarak ayarlayarak özelliği etkinleştirin veya değeri yanlış olarak ayarlayarak devre dışı bırakın.
allowediprangeforfirewall — İzin verilmesi gereken IP aralıklarını listeleyin. Onları CIDR gösteriminde virgülle ayrılmış olarak sağlayın.
Önemli
Servis etiketi adlarının IP güvenlik duvarının ayarlar sayfasında gördüğünüz adla tam olarak eşleştiğinden emin olun. Herhangi bir uyuşmazlık varsa IP kısıtlamaları doğru çalışmayabilir.
enableipbasedfirewallruleinauditmode - true değeri yalnızca denetim modunu belirtirken, false değeri uygulama modunu belirtir.
allowedservicetagsforfirewall - İzin verilmesi gereken hizmet etiketlerini virgülle ayırarak listeleyin. Servis etiketi yapılandırmak istemiyorsanız değeri null bırakın.
allowapplicationuseraccess - varsayılan değer doğru.
allowmicrosofttrustedservicetags - varsayılan değer doğru.
Önemli
Microsoft güvenilen hizmetlerine erişim izni ver ve Tüm uygulama kullanıcılarına erişim izni ver devre dışı bırakıldığında, Power Automate akışları gibi Dataverse kullanan bazı hizmetler artık çalışmayabilir.
IP güvenlik duvarını sınamanız ve çalıştığını doğrulamanız gerekir.
Ortam için izin verilen IP adresleri listesinde olmayan bir IP adresiyle, Power Platform ortam URI'nıza göz atın.
İsteğiniz, şunu belirten bir iletiyle reddedilmelidir: "Gerçekleştirmeye çalıştığınız istek, IP'nize erişim engellendiği için reddedildi. Daha fazla bilgi için yöneticinizle iletişime geçin."
Ortam için izin verilen IP adresleri listesinde olmayan bir IP adresiyle Power Platform ortam URI'nıza göz atın.
Güvenlik rolünüz tarafından tanımlanan ortama erişiminiz olmalıdır.
Önce test ortamınızda IP güvenlik duvarını test etmenizi, ardından Üretim ortamınızdaki IP güvenlik duvarını uygulamadan önce Üretim ortamında yalnızca denetim modunda test etmenizi öneririz.
Not
Varsayılan olarak, TDS uç nokta Power Platform ortamında açılır.
IP güvenlik duvarı yalnızca Yönetilen Ortamlar için etkinleştirilen ortamlarda zorlanır. Yönetilen Ortamlar; bağımsız Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages ve premium kullanım hakları veren Dynamics 365 lisanslarına destek hakkı olarak dahil edilir. Microsoft Power Platform için lisanslamaya genel bakış ile Yönetilen Ortam lisanslama hakkında bilgi edinin.
Buna ek olarak Dataverse için IP güvenlik duvarı kullanımına erişim, IP güvenlik duvarının zorlandığı ortamlardaki kullanıcıların bu aboneliklerden birine sahip olmasını gerektirir:
- Microsoft 365 veya Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 Uyumluluk
- Microsoft 365 F5 Güvenlik ve Uyumluluk
- Microsoft 365 A5/E5/F5/G5 Bilgi Koruması ve İdare
- Microsoft 365 A5/E5/F5/G5 İçeriden Risk Yönetimi
Bu lisanslar hakkında daha fazla bilgi edinin
IP güvenlik duvarı, Dataverse içeren herhangi bir Power Platform ortamında desteklenir.
İzin verilen IP adresleri veya aralıkları listesindeki değişiklikler genellikle yaklaşık 5-10 dakika içinde geçerli olur.
IP güvenlik duvarı koruması gerçek zamanlı olarak çalışır. Özellik ağ katmanında çalıştığından, kimlik doğrulaması isteği tamamlandıktan sonra isteği değerlendirir.
IP güvenlik duvarı varsayılan olarak etkinleştirilmemiştir. Power Platform yöneticisinin Yönetilen Ortamlar için özelliği etkinleştirmesi gerekir.
Yalnızca denetim modunda IP güvenlik duvarı, ortama çağrı yapan IP adreslerini tanımlar ve izin verilen bir aralıkta olsalar da olmasalar da hepsine izin verir. Bir Power Platform ortamında kısıtlamaları yapılandırırken bu özellik yararlı olur. Yalnızca denetim modunu en az bir hafta süreyle etkinleştirmenizi ve denetim günlüklerini dikkatli bir şekilde gözden geçirdikten sonra devre dışı bırakmanızı öneririz.
IP güvenlik duvarı özelliği yalnızca Yönetilen Ortamlar'da kullanılabilir.
CIDR biçiminde, 200'e kadar IP adresi aralığını RFC 4632'ye uygun şekilde virgülle ayrılmış olarak ekleyebilirsiniz.
IP güvenlik duvarı için yanlış bir IP aralıkları yapılandırması bu soruna yol açabilir. IP güvenlik duvarı ayarları sayfasında IP aralıklarını kontrol edebilir ve doğrulayabilirsiniz. IP güvenlik duvarını uygulamadan önce Yalnızca denetim modunda etkinleştirmenizi öneririz.
Denetim günlüğü verilerini JSON biçiminde indirmek için Dataverse OData API'sini kullanın. Denetim günlüğü API biçimi şu şekildedir:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- [orgURI] yerine Dataverse ortam URI'sini girin.
- Bu olay için eylem değerini 118 olarak ayarlayın.
- Döndürülecek öğe sayısını top=1 olarak veya istediğiniz sayıya ayarlayın.
Power Platform ortamımda IP güvenlik duvarı yapılandırıldıktan sonra Power Automate akışlarım beklendiği gibi çalışmıyor. Ne yapmalıyım?
IP güvenlik duvarı ayarlarında, Yönetilen bağlayıcılar giden IP adresleri'nde listelenen hizmet etiketlerine izin verin.
Ters proxy'nizin, iletilen üstbilgideki istemci IP adresini gönderecek şekilde yapılandırıldığından emin olun.
IP güvenlik duvarı denetim günlükleri, kendi anahtarınızı getirin (BYOK) şifreleme anahtarları için etkinleştirilen kiracılarda desteklenmez. Kiracınızda kendi anahtarınızı getirin özelliği etkinse BYOK etkinleştirilmiş kiracıdaki tüm ortamlar yalnızca SQL için kilitlenir, bu nedenle denetim günlükleri yalnızca SQL'de depolanabilir. Müşteri tarafından yönetilen anahtara geçmenizi öneririz. BYOK'den müşteri tarafından yönetilen anahtara (CMKv2) geçmek için Kendi anahtarınızı getirin (BYOK) ortamlarını müşteri tarafından yönetilen anahtara geçirme bölümündeki adımları izleyin.
Evet, IP güvenlik duvarı IPv6 IP aralıklarını destekler.