IP-брандмауер в Power Platform середовищах
IP-брандмауер допомагає захистити дані вашої організації, обмежуючи доступ користувачів лише Microsoft Dataverse з дозволених IP-адрес. IP-брандмауер аналізує IP-адресу кожного запиту в режимі реального часу. Наприклад, припустімо, що IP-брандмауер увімкнуто у вашому виробничому Dataverse середовищі, і дозволені IP-адреси знаходяться в діапазонах, пов’язаних із розташуванням вашого офісу, а не будь-яким зовнішнім IP-розташуванням, як-от кав’ярня. Якщо користувач намагається отримати доступ до організаційних ресурсів з кав’ярні,забороняє Dataverse доступ в режимі реального часу.
Важливо
Функція IP-брандмауера підтримує лише кінцеві точки OData для доступу до Dataverse даних. Підтримка кінцевих точок TDS буде включена в наступний випуск.
Основні переваги
Увімкнення IP-брандмауера у вашому Power Platform середовищі дає кілька ключових переваг.
- Пом’якшення внутрішніх загроз, таких як викрадення даних: зловмисник, який намагається завантажити дані за Dataverse допомогою клієнтського інструменту, як-от Excel, або Power BI з забороненої IP-адреси, блокується в режимі реального часу.
- Запобігання атакам повторного відтворення токенів: якщо користувач викрадає токен доступу та намагається використати його для доступу Dataverse з-за меж дозволених діапазонів IP-адреси, Dataverse відхиляє спробу в режимі реального часу.
Захист IP-брандмауера працює як в інтерактивних, так і в неінтерактивних сценаріях.
Як працює IP-брандмауер?
Коли робиться запит Dataverse, IP-адреса запиту оцінюється в режимі реального часу за діапазонами IP-адрес, налаштованими для Power Platform середовища. Якщо IP-адреса знаходиться в допустимих діапазонах, запит дозволений. Якщо IP-адреса виходить за межі діапазонів IP-адрес, налаштованих для середовища, IP-брандмауер відхиляє запит із повідомленням про помилку: Запит, який ви намагаєтеся зробити, відхиляється, оскільки доступ до вашої IP-адреси заблоковано. Щоб дізнатися більше, зв’яжіться зі своїм адміністратором.
вимоги
- IP-брандмауер є функцією керованих середовищ.
- Ви повинні мати роль адміністратора Power Platform , щоб увімкнути або вимкнути IP-брандмауер.
Увімкніть IP-брандмауер
Ви можете ввімкнути IP-брандмауер у Power Platform середовищі за допомогою центру Power Platform адміністрування або Dataverse OData API.
Увімкніть IP-брандмауер за допомогою Power Platform центру адміністрування
Увійдіть в Power Platform Центр адміністрування як адміністратор.
Виберіть елемент Середовища, а потім виберіть середовище.
Виберіть пункт Параметри>Продукт>Конфіденційність + Безпека.
У розділі Настройки IP-адреси встановіть для параметра Увімкнути правило брандмауера на основі IP-адрес значення Увімкнуто.
У розділі Дозволений список діапазонів IPv4 укажіть дозволені діапазони IP-адрес у форматі безкласової міждоменної маршрутизації (CIDR) відповідно до RFC 4632. Якщо у вас кілька діапазонів IP-адрес, розділіть їх комою. Це поле приймає до 4 000 буквено-цифрових символів і допускає максимум 200 діапазонів IP.
Виберіть інші налаштування, якщо потрібно.
- Теги служб, які дозволені IP-брандмауером: зі списку виберіть сервісні теги, які можуть обійти обмеження IP-брандмауера.
- Дозволити доступ надійним службам Microsoft: цей параметр дає змогу надійним службам Microsoft, таким як моніторинг і підтримка користувачів тощо, обходити обмеження IP-брандмауера для доступу до Power Platform середовища Dataverse. За замовчуванням цей параметр увімкнуто.
- Дозволити доступ усім користувачам програми: цей параметр надає всім користувачам програми доступ до Dataverse API третіх і власних розробників. За замовчуванням цей параметр увімкнуто. Якщо ви очистите це значення, це заблокує лише сторонніх користувачів програм.
- Увімкнути IP-брандмауер у режимі лише аудиту: цей параметр вмикає IP-брандмауер, але дозволяє запити незалежно від їхньої IP-адреси. За замовчуванням цей параметр увімкнуто.
- Зворотні IP-адреси проксі-серверів: якщо у вашій організації налаштовано зворотні проксі-адреси, введіть IP-адреси одного або кількох із них через кому. Зворотне налаштування проксі-сервера застосовується як до прив’язки файлів cookie на основі IP, так і до брандмауера IP.
Виберіть Зберегти.
Увімкніть IP-брандмауер за допомогою Dataverse OData API
Ви можете використовувати Dataverse OData API для отримання та зміни значень у Power Platform середовищі. Докладні вказівки наведено в статтях Запит даних за допомогою веб-API та Оновлення та видалення рядків таблиці за допомогою веб-API (Microsoft Dataverse).
У вас є можливість гнучко вибирати інструменти, які вам більше подобаються. Використовуйте наступну документацію для отримання та зміни значень через Dataverse OData API:
- Використовуйте Insomnia з Dataverse Web API
- Швидкий запуск веб-API з PowerShell і Visual Studio кодом
Налаштуйте IP-брандмауер за допомогою OData API
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Вантажопідйомність
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule– увімкніть функцію, встановивши значення true , або вимкніть її, встановивши значення false .
allowediprangeforfirewall — Вивести список діапазонів IP-адрес, які слід дозволити. Надайте їх у нотації CIDR, розділивши їх комою.
Важливо
Переконайтеся, що назви службових тегів точно збігаються з тими, що відображаються на сторінці налаштувань IP-брандмауера. Якщо є будь-які розбіжності, обмеження IP-адрес можуть працювати неправильно.
enableipbasedfirewallruleinauditmode – значення true вказує на режим лише аудиту, тоді як значення false вказує на режим примусового виконання.
allowedservicetagsforfirewall – Список сервісних тегів, які слід дозволити, розділяючи їх комою. Якщо ви не хочете налаштовувати службові теги, залиште значення null.
allowapplicationuseraccess – значення за замовчуванням true .
allowmicrosofttrustedservicetags – Значення за замовчуванням true .
Важливо
Якщо функції «Дозволити доступ для надійних служб Microsoft» і «Дозволити доступ для всіх користувачів програм» вимкнуто, деякі служби, які їх використовують Dataverse, наприклад Power Automate Flows, можуть більше не працювати.
Протестуйте IP-брандмауер
Вам слід протестувати IP-брандмауер, щоб переконатися, що він працює.
З IP-адреси, якої немає в списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.
Ваш запит має бути відхилений із повідомленням: «Запит, який ви намагаєтеся зробити, відхилено, оскільки доступ до вашої IP-адреси заблоковано. Зв’яжіться зі своїм адміністратором для отримання додаткової інформації."
З IP-адреси, яка входить до списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.
Ви повинні мати доступ до середовища, яке визначено вашим роль безпеки.
Рекомендовано спочатку протестувати IP-брандмауер у тестовому середовищі, а потім увімкнути режим лише аудиту у виробничому середовищі, перш ніж застосовувати IP-брандмауер у робочому середовищі.
Ліцензійні вимоги для IP-брандмауера
IP-брандмауер застосовується лише в середовищах, активованих для керованих середовищ. Керовані середовища включено як право в автономні Power Apps Power Automate Microsoft Copilot Studio Power Pages ліцензії та ліцензії Dynamics 365, які надають преміум-права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді Ліцензування для Microsoft Power Platform.
Крім того, доступ до використання IP-брандмауера для Dataverse вимагає, щоб користувачі в середовищах, де IP-брандмауер примусово використовується, мали одну з таких підписок:
- Microsoft 365 або Office 365 A5/E5/G5
- Microsoft 365 Відповідність вимогам A5/E5/F5/G5
- Microsoft 365 F5 Безпека та відповідність вимогам
- Microsoft 365 A5/E5/F5/G5 Захист інформації та управління нею
- Microsoft 365 A5/E5/F5/G5 Управління інсайдерськими ризиками
Поширені запитання (FAQ)
Що покриває Power Platform IP-брандмауер?
IP-брандмауер підтримується в будь-якому Power Platform середовищі, яке включає Dataverse.
Як скоро набуде чинності зміна списку IP-адрес?
Зміни в списку дозволених IP-адрес або діапазонів зазвичай набувають чинності приблизно через 5-10 хвилин.
Чи працює ця функція в режимі реального часу?
Захист IP-брандмауера працює в режимі реального часу. Оскільки функція працює на мережевому рівні, вона оцінює запит після завершення запиту на автентифікацію.
Чи ввімкнуто цю функцію за замовчуванням у всіх середовищах?
IP-брандмауер не ввімкнено за замовчуванням. Адміністратор Power Platform має ввімкнути його для керованих середовищ.
Що таке режим лише аудиту?
У режимі лише аудиту IP-брандмауер визначає IP-адреси, які здійснюють виклики до середовища, і дозволяє їх усі, незалежно від того, перебувають вони в дозволеному діапазоні чи ні. Це корисно, коли ви налаштовуєте обмеження середовища Power Platform . Ми рекомендуємо включати режим «тільки аудит» принаймні на тиждень і вимикати його тільки після ретельного перегляду журналів аудиту.
Чи доступна ця функція в усіх середовищах?
IP-брандмауер доступний лише для керованих середовищ.
Чи є обмеження на кількість IP-адрес, які можна додати в текстове поле IP-адреси?
Ви можете додати до 200 діапазонів IP-адрес у форматі CIDR відповідно до RFC 4632, розділяючи їх комами.
Що робити, якщо запити на Dataverse починають виходити з ладу?
Причиною цієї проблеми може бути неправильна конфігурація діапазонів IP-адрес для брандмауера IP. Ви можете перевірити діапазони IP-адрес на сторінці налаштувань IP-брандмауера. Ми рекомендуємо ввімкнути IP-брандмауер у режимі «Лише аудит», перш ніж застосовувати його.
Як завантажити журнал аудиту для режиму лише аудиту?
Використовуйте Dataverse API OData, щоб завантажити дані журналу аудиту у форматі JSON. Формат API журналу аудиту:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Замінити [orgURI] на Dataverse URI середовища.
- Для цієї події встановіть значення дії 118 .
- Встановіть кількість елементів, які потрібно повернути, у top =1 або вкажіть кількість, яку ви хочете повернути.
Мої Power Automate потоки не працюють належним чином після налаштування IP-брандмауера в моєму Power Platform середовищі. Що потрібно зробити?
У налаштуваннях IP-брандмауера дозвольте службові теги, перелічені в Керовані з’єднувачі, вихідні IP-адреси.
Я правильно налаштував зворотну адресу проксі-сервера, але IP-брандмауер не працює. Що потрібно зробити?
Переконайтеся, що ваш зворотний проксі-сервер налаштовано на надсилання IP-адреси клієнта в переспрямованому заголовку.
Деякі виклики з Power BI не вдавалися після того, як я ввімкнув IP-брандмауер у Power Platform середовищі. Що потрібно зробити?
Наразі ви можете використовувати IP-брандмауер лише для кінцевих точок Dataverse OData для доступу до даних із налаштованої IP-адреси. Якщо ви хочете продовжувати використовувати кінцеві точки TDS, ви повинні вимкнути IP-брандмауер у середовищі.
Функція аудиту IP-брандмауера не працює в моєму середовищі. Що потрібно зробити?
Журнали аудиту IP-брандмауера не підтримуються в клієнтах, для яких увімкнено ключі шифрування з власним ключем (BYOK). Якщо ваш клієнт увімкнено для принесення власного ключа, то всі середовища в клієнті з підтримкою BYOK будуть заблоковані лише SQL, тому журнали аудиту можуть зберігатися лише в SQL. Рекомендовано перейти на ключ, керований клієнтом. Щоб перейти з BYOK на керований клієнтом ключ (CMKv2), виконайте дії, описані в розділі Перенесення середовищ із власним ключем (BYOK) до ключа, керованого клієнтом.
Чи підтримує IP-брандмауер діапазони IPv6?
Наразі IP-брандмауер не підтримує діапазони IP-адрес IPv6.
Наступні кроки
Зворотний зв’язок
https://aka.ms/ContentUserFeedback.
Очікується незабаром: протягом 2024 року ми будемо припиняти використання механізму реєстрації проблем у GitHub для зворотного зв’язку щодо вмісту й замінювати його новою системою зворотного зв’язку. Докладніше:Надіслати й переглянути відгук про