IP-брандмауер в Power Platform середовищах

IP-брандмауер допомагає захистити дані вашої організації, обмежуючи доступ користувачів лише Microsoft Dataverse з дозволених IP-адрес. IP-брандмауер аналізує IP-адресу кожного запиту в режимі реального часу. Наприклад, припустімо, що IP-брандмауер увімкнуто у вашому виробничому Dataverse середовищі, і дозволені IP-адреси знаходяться в діапазонах, пов’язаних із розташуванням вашого офісу, а не будь-яким зовнішнім IP-розташуванням, як-от кав’ярня. Якщо користувач намагається отримати доступ до організаційних ресурсів з кав’ярні,забороняє Dataverse доступ в режимі реального часу.

Важливо

Функція IP-брандмауера підтримує лише кінцеві точки OData для доступу до Dataverse даних. Підтримка кінцевих точок TDS буде включена в наступний випуск.

Основні переваги

Увімкнення IP-брандмауера у вашому Power Platform середовищі дає кілька ключових переваг.

• Пом’якшення внутрішніх загроз, таких як викрадення даних: зловмисник, який намагається завантажити дані за Dataverse допомогою клієнтського інструменту, як-от Excel, або Power BI з забороненої IP-адреси, блокується в режимі реального часу.
• Запобігання атакам повторного відтворення токенів: якщо користувач викрадає токен доступу та намагається використати його для доступу Dataverse з-за меж дозволених діапазонів IP-адреси, Dataverse відхиляє спробу в режимі реального часу.

Захист IP-брандмауера працює як в інтерактивних, так і в неінтерактивних сценаріях.

Як працює IP-брандмауер?

Коли робиться запит Dataverse, IP-адреса запиту оцінюється в режимі реального часу за діапазонами IP-адрес, налаштованими для Power Platform середовища. Якщо IP-адреса знаходиться в допустимих діапазонах, запит дозволений. Якщо IP-адреса виходить за межі діапазонів IP-адрес, налаштованих для середовища, IP-брандмауер відхиляє запит із повідомленням про помилку: Запит, який ви намагаєтеся зробити, відхиляється, оскільки доступ до вашої IP-адреси заблоковано. Щоб дізнатися більше, зв’яжіться зі своїм адміністратором.

вимоги

• IP-брандмауер є функцією керованих середовищ.
• Ви повинні мати роль адміністратора Power Platform , щоб увімкнути або вимкнути IP-брандмауер.

Увімкніть IP-брандмауер

Ви можете ввімкнути IP-брандмауер у Power Platform середовищі за допомогою центру Power Platform адміністрування або Dataverse OData API.

Увімкніть IP-брандмауер за допомогою Power Platform центру адміністрування

1. Увійдіть в Power Platform Центр адміністрування як адміністратор.

2. Виберіть елемент Середовища, а потім виберіть середовище.

3. Виберіть пункт Параметри>Продукт>Конфіденційність + Безпека.

4. У розділі Настройки IP-адреси встановіть для параметра Увімкнути правило брандмауера на основі IP-адрес значення Увімкнуто.

5. У розділі Дозволений список діапазонів IPv4 укажіть дозволені діапазони IP-адрес у форматі безкласової міждоменної маршрутизації (CIDR) відповідно до RFC 4632. Якщо у вас кілька діапазонів IP-адрес, розділіть їх комою. Це поле приймає до 4 000 буквено-цифрових символів і допускає максимум 200 діапазонів IP.

6. Виберіть інші налаштування, якщо потрібно.

   • Теги служб, які дозволені IP-брандмауером: зі списку виберіть сервісні теги, які можуть обійти обмеження IP-брандмауера.
   • Дозволити доступ надійним службам Microsoft: цей параметр дає змогу надійним службам Microsoft, таким як моніторинг і підтримка користувачів тощо, обходити обмеження IP-брандмауера для доступу до Power Platform середовища Dataverse. За замовчуванням цей параметр увімкнуто.
   • Дозволити доступ усім користувачам програми: цей параметр надає всім користувачам програми доступ до Dataverse API третіх і власних розробників. За замовчуванням цей параметр увімкнуто. Якщо ви очистите це значення, це заблокує лише сторонніх користувачів програм.
   • Увімкнути IP-брандмауер у режимі лише аудиту: цей параметр вмикає IP-брандмауер, але дозволяє запити незалежно від їхньої IP-адреси. За замовчуванням цей параметр увімкнуто.
   • Зворотні IP-адреси проксі-серверів: якщо у вашій організації налаштовано зворотні проксі-адреси, введіть IP-адреси одного або кількох із них через кому. Зворотне налаштування проксі-сервера застосовується як до прив’язки файлів cookie на основі IP, так і до брандмауера IP.

7. Виберіть Зберегти.

Увімкніть IP-брандмауер за допомогою Dataverse OData API

Ви можете використовувати Dataverse OData API для отримання та зміни значень у Power Platform середовищі. Докладні вказівки наведено в статтях Запит даних за допомогою веб-API та Оновлення та видалення рядків таблиці за допомогою веб-API (Microsoft Dataverse).

У вас є можливість гнучко вибирати інструменти, які вам більше подобаються. Використовуйте наступну документацію для отримання та зміни значень через Dataverse OData API:

• Використовуйте Insomnia з Dataverse Web API
• Швидкий запуск веб-API з PowerShell і Visual Studio кодом

Налаштуйте IP-брандмауер за допомогою OData API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Вантажопідйомність

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule– увімкніть функцію, встановивши значення true , або вимкніть її, встановивши значення false .

• allowediprangeforfirewall — Вивести список діапазонів IP-адрес, які слід дозволити. Надайте їх у нотації CIDR, розділивши їх комою.

  Важливо

  Переконайтеся, що назви службових тегів точно збігаються з тими, що відображаються на сторінці налаштувань IP-брандмауера. Якщо є будь-які розбіжності, обмеження IP-адрес можуть працювати неправильно.

• enableipbasedfirewallruleinauditmode – значення true вказує на режим лише аудиту, тоді як значення false вказує на режим примусового виконання.

• allowedservicetagsforfirewall – Список сервісних тегів, які слід дозволити, розділяючи їх комою. Якщо ви не хочете налаштовувати службові теги, залиште значення null.

• allowapplicationuseraccess – значення за замовчуванням true .

• allowmicrosofttrustedservicetags – Значення за замовчуванням true .

Важливо

Якщо функції «Дозволити доступ для надійних служб Microsoft» і «Дозволити доступ для всіх користувачів програм» вимкнуто, деякі служби, які їх використовують Dataverse, наприклад Power Automate Flows, можуть більше не працювати.

Протестуйте IP-брандмауер

Вам слід протестувати IP-брандмауер, щоб переконатися, що він працює.

1. З IP-адреси, якої немає в списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

   Ваш запит має бути відхилений із повідомленням: «Запит, який ви намагаєтеся зробити, відхилено, оскільки доступ до вашої IP-адреси заблоковано. Зв’яжіться зі своїм адміністратором для отримання додаткової інформації."

2. З IP-адреси, яка входить до списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

   Ви повинні мати доступ до середовища, яке визначено вашим роль безпеки.

Рекомендовано спочатку протестувати IP-брандмауер у тестовому середовищі, а потім увімкнути режим лише аудиту у виробничому середовищі, перш ніж застосовувати IP-брандмауер у робочому середовищі.

Ліцензійні вимоги для IP-брандмауера

IP-брандмауер застосовується лише в середовищах, активованих для керованих середовищ. Керовані середовища включено як право в автономні Power Apps Power Automate Microsoft Copilot Studio Power Pages ліцензії та ліцензії Dynamics 365, які надають преміум-права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді Ліцензування для Microsoft Power Platform.

Крім того, доступ до використання IP-брандмауера для Dataverse вимагає, щоб користувачі в середовищах, де IP-брандмауер примусово використовується, мали одну з таких підписок:

• Microsoft 365 або Office 365 A5/E5/G5
• Microsoft 365 Відповідність вимогам A5/E5/F5/G5
• Microsoft 365 F5 Безпека та відповідність вимогам
• Microsoft 365 A5/E5/F5/G5 Захист інформації та управління нею
• Microsoft 365 A5/E5/F5/G5 Управління інсайдерськими ризиками

Докладніше про ці ліцензії

Поширені запитання (FAQ)

Що покриває Power Platform IP-брандмауер?

IP-брандмауер підтримується в будь-якому Power Platform середовищі, яке включає Dataverse.

Як скоро набуде чинності зміна списку IP-адрес?

Зміни в списку дозволених IP-адрес або діапазонів зазвичай набувають чинності приблизно через 5-10 хвилин.

Чи працює ця функція в режимі реального часу?

Захист IP-брандмауера працює в режимі реального часу. Оскільки функція працює на мережевому рівні, вона оцінює запит після завершення запиту на автентифікацію.

Чи ввімкнуто цю функцію за замовчуванням у всіх середовищах?

IP-брандмауер не ввімкнено за замовчуванням. Адміністратор Power Platform має ввімкнути його для керованих середовищ.

Що таке режим лише аудиту?

У режимі лише аудиту IP-брандмауер визначає IP-адреси, які здійснюють виклики до середовища, і дозволяє їх усі, незалежно від того, перебувають вони в дозволеному діапазоні чи ні. Це корисно, коли ви налаштовуєте обмеження середовища Power Platform . Ми рекомендуємо включати режим «тільки аудит» принаймні на тиждень і вимикати його тільки після ретельного перегляду журналів аудиту.

Чи доступна ця функція в усіх середовищах?

IP-брандмауер доступний лише для керованих середовищ.

Чи є обмеження на кількість IP-адрес, які можна додати в текстове поле IP-адреси?

Ви можете додати до 200 діапазонів IP-адрес у форматі CIDR відповідно до RFC 4632, розділяючи їх комами.

Що робити, якщо запити на Dataverse починають виходити з ладу?

Причиною цієї проблеми може бути неправильна конфігурація діапазонів IP-адрес для брандмауера IP. Ви можете перевірити діапазони IP-адрес на сторінці налаштувань IP-брандмауера. Ми рекомендуємо ввімкнути IP-брандмауер у режимі «Лише аудит», перш ніж застосовувати його.

Як завантажити журнал аудиту для режиму лише аудиту?

Використовуйте Dataverse API OData, щоб завантажити дані журналу аудиту у форматі JSON. Формат API журналу аудиту:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Замінити [orgURI] на Dataverse URI середовища.
• Для цієї події встановіть значення дії 118 .
• Встановіть кількість елементів, які потрібно повернути, у top =1 або вкажіть кількість, яку ви хочете повернути.

Мої Power Automate потоки не працюють належним чином після налаштування IP-брандмауера в моєму Power Platform середовищі. Що потрібно зробити?

У налаштуваннях IP-брандмауера дозвольте службові теги, перелічені в Керовані з’єднувачі, вихідні IP-адреси.

Я правильно налаштував зворотну адресу проксі-сервера, але IP-брандмауер не працює. Що потрібно зробити?

Переконайтеся, що ваш зворотний проксі-сервер налаштовано на надсилання IP-адреси клієнта в переспрямованому заголовку.

Деякі виклики з Power BI не вдавалися після того, як я ввімкнув IP-брандмауер у Power Platform середовищі. Що потрібно зробити?

Наразі ви можете використовувати IP-брандмауер лише для кінцевих точок Dataverse OData для доступу до даних із налаштованої IP-адреси. Якщо ви хочете продовжувати використовувати кінцеві точки TDS, ви повинні вимкнути IP-брандмауер у середовищі.

Функція аудиту IP-брандмауера не працює в моєму середовищі. Що потрібно зробити?

Журнали аудиту IP-брандмауера не підтримуються в клієнтах, для яких увімкнено ключі шифрування з власним ключем (BYOK). Якщо ваш клієнт увімкнено для принесення власного ключа, то всі середовища в клієнті з підтримкою BYOK будуть заблоковані лише SQL, тому журнали аудиту можуть зберігатися лише в SQL. Рекомендовано перейти на ключ, керований клієнтом. Щоб перейти з BYOK на керований клієнтом ключ (CMKv2), виконайте дії, описані в розділі Перенесення середовищ із власним ключем (BYOK) до ключа, керованого клієнтом.

Чи підтримує IP-брандмауер діапазони IPv6?

Наразі IP-брандмауер не підтримує діапазони IP-адрес IPv6.

Наступні кроки

Безпека в Microsoft Dataverse