IP-брандмауер у Power Platform середовищах

Брандмауер IP захищає дані вашої організації, гарантуючи, що користувачі можуть отримати доступ Microsoft Dataverse лише з дозволених IP-місць. IP-брандмауер аналізує IP-адресу кожного запиту в режимі реального часу. Наприклад, ви можете ввімкнути брандмауер IP у своєму виробничому Dataverse середовищі та встановити дозволені IP-адреси в діапазонах, пов'язаних із розташуванням вашого офісу, а не з будь-яким зовнішнім IP-розташуванням, як-от кав'ярня. Якщо користувач намагається отримати доступ до організаційних ресурсів з кав'ярні,відмовляє Dataverse в доступі в режимі реального часу.

Ключові переваги

Увімкнення IP-брандмауера у ваших Power Platform середовищах дає кілька ключових переваг.

• Пом'якшення внутрішніх загроз, як-от викрадення даних: зловмиснику, який намагається завантажити дані за Dataverse допомогою клієнтського інструменту, як-от Excel, або Power BI з забороненого IP-місця, блокується робити це в режимі реального часу.
• Запобігання атакам повторного відтворення токенів: якщо користувач краде токен доступу та намагається використати його для доступу Dataverse з-за меж дозволених діапазонів Dataverse IP, відхиляє спробу в режимі реального часу.

Захист IP-брандмауера працює як в інтерактивних, так і в неінтерактивних сценаріях.

Як працює IP-брандмауер?

Коли робиться запит Dataverse, IP-адреса запиту оцінюється в режимі реального часу за діапазонами IP, налаштованими для Power Platform середовища. Якщо IP-адреса знаходиться в допустимих діапазонах, запит дозволений. Якщо IP-адреса виходить за межі діапазонів IP, налаштованих для середовища, IP-брандмауер відхиляє запит з повідомленням про помилку: Запит, який ви намагаєтеся зробити, відхилено, оскільки доступ до вашої IP-адреси заблоковано. Зверніться до адміністратора, щоб дізнатися більше.

вимоги

• IP-брандмауер є особливістю керованих середовищ.
• Ви повинні мати роль адміністратора Power Platform , щоб увімкнути або вимкнути брандмауер IP.

Увімкніть брандмауер IP

Ви можете ввімкнути IP-брандмауер у Power Platform середовищі за допомогою центру Power Platform адміністрування або Dataverse API OData.

Увімкніть IP-брандмауер за допомогою Power Platform Центру адміністрування

1. Увійдіть у Power Platform Центр адміністрування як адміністратор.

2. В області переходів виберіть пункт Безпека.

3. В області «Безпека » виберіть « Ідентифікація та доступ».

4. На сторінці Керування ідентифікацією та доступом виберіть IP-брандмауер.

5. В області Настроювання брандмауера IP виберіть середовище. Потім виберіть Налаштувати IP-брандмауер.

6. На панелі Настроювання IP-брандмауера для цього середовища виберіть пункт IP-брандмауер для ввімкнення.

7. У розділі Дозволений список IP-адрес укажіть дозволені діапазони IP-адрес у форматі безкласової міждоменної маршрутизації (CIDR) відповідно до RFC 4632. Якщо у вас кілька діапазонів IP, розділіть їх комою. Це поле приймає до 4 000 буквено-цифрових символів і допускає максимум 200 діапазонів IP. Адреси IPv6 допускаються як у шістнадцятковому, так і в стисненому форматі.

8. Виберіть інші додаткові налаштування, якщо потрібно:

   • Дозволений список сервісних тегів: зі списку виберіть сервісні теги, які можуть обійти обмеження IP-брандмауера.
   • Дозволити доступ для надійних служб Microsoft: цей параметр дає змогу надійним службам Microsoft, таким як моніторинг і підтримка, користувач тощо, обходити обмеження IP-брандмауера для доступу до Power Platform середовища Dataverse. За замовчуванням цей параметр увімкнуто.
   • Дозволити доступ для всіх користувачів програми: цей параметр надає всім користувачам програми доступ до Dataverse API третіх сторін і першої сторони. За замовчуванням цей параметр увімкнуто. Якщо видалити це значення, воно блокує лише сторонніх користувачів додатків.
   • Увімкнути IP-брандмауер у режимі лише аудиту: цей параметр вмикає IP-брандмауер, але дозволяє запити незалежно від їхньої IP-адреси. За замовчуванням цей параметр увімкнуто.
   • IP-адреси зворотних проксі-серверів: якщо у вашій організації налаштовано зворотні проксі-сервери, введіть IP-адреси, розділені комами. Зворотне налаштування проксі застосовується як до прив'язки файлів cookie на основі IP, так і до брандмауера IP. Зверніться до адміністратора мережі, щоб отримати зворотні IP-адреси проксі-серверів.

   Нотатка

   Зворотний проксі має бути налаштований на надсилання IP-адрес клієнтів користувача в пересланому заголовку.

9. Виберіть Зберегти.

Увімкніть брандмауер IP на рівні групи середовищ

Щоб налаштувати параметри IP-брандмауера на рівні групи середовищ, виконайте наведені нижче дії. Увійдіть у Центр адміністрування Power Platform.

1. В області переходів виберіть пункт Безпека.

2. В області «Безпека » виберіть « Ідентифікація та доступ».

3. Виберіть панель брандмауера IP.

4. В області, що відобразиться, виберіть вкладку Групи середовищ, до якої потрібно застосувати настройки безпеки. Потім виберіть Налаштувати IP-брандмауер.

5. На панелі Налаштування IP-брандмауера виберіть пункт IP-брандмауер для ввімкнення.

6. У розділі Дозволений список IP-адрес укажіть дозволені діапазони IP-адрес у форматі безкласової міждоменної маршрутизації (CIDR) відповідно до RFC 4632. Якщо у вас кілька діапазонів IP, розділіть їх комою. Це поле приймає до 4 000 буквено-цифрових символів і допускає максимум 200 діапазонів IP. Адреси IPv6 допускаються як у шістнадцятковому, так і в стисненому форматі.

7. Виберіть інші додаткові налаштування, якщо потрібно:

   • Дозволений список сервісних тегів: зі списку виберіть сервісні теги, які можуть обійти обмеження IP-брандмауера.
   • Дозволити доступ для надійних служб Microsoft: цей параметр дає змогу надійним службам Microsoft, таким як моніторинг і підтримка, користувач тощо, обходити обмеження IP-брандмауера для доступу до Power Platform середовища Dataverse. За замовчуванням цей параметр увімкнуто.
   • Дозволити доступ для всіх користувачів програми: цей параметр надає всім користувачам програми доступ до Dataverse API третіх сторін і першої сторони. За замовчуванням цей параметр увімкнуто. Якщо видалити це значення, воно блокує лише сторонніх користувачів додатків.
   • Увімкнути IP-брандмауер у режимі лише аудиту: цей параметр вмикає IP-брандмауер, але дозволяє запити незалежно від їхньої IP-адреси. За замовчуванням цей параметр увімкнуто.
   • IP-адреси зворотних проксі-серверів: якщо у вашій організації налаштовано зворотні проксі-сервери, введіть IP-адреси, розділені комами. Зворотне налаштування проксі застосовується як до прив'язки файлів cookie на основі IP, так і до брандмауера IP. Зверніться до адміністратора мережі, щоб отримати зворотні IP-адреси проксі-серверів.

8. Виберіть Зберегти.

   Нотатка

   Зворотний проксі має бути налаштований на надсилання IP-адрес клієнтів користувача в пересланому заголовку.

   Вибрані параметри застосовуються до всіх середовищ у цій групі середовищ.

Увімкніть IP-брандмауер за допомогою Dataverse OData API

Ви можете використовувати Dataverse API OData для отримання та зміни значень у Power Platform середовищі. Докладні вказівки наведено в статтях Запит даних за допомогою веб-API та Оновлення та видалення рядків таблиці за допомогою Web API (Microsoft Dataverse).

У вас є гнучкість у виборі інструментів, які вам подобаються. Використовуйте наступну документацію для отримання та зміни значень через Dataverse OData API:

• Використовуйте Insomnia з Dataverse Web API
• Швидкий запуск веб-API з PowerShell і Visual Studio кодом

Налаштуйте IP-брандмауер за допомогою API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Вантажопідйомність

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Увімкніть функцію, встановивши значення true , або вимкніть її, встановивши значення false.

• allowediprangeforfirewall — Перерахуйте діапазони IP, які повинні бути дозволені. Надайте їх у записі CIDR, відокремлюючи їх комою.

  Важливо

  Переконайтеся, що назви сервісних тегів точно збігаються з тими, що ви бачите на сторінці налаштувань IP-брандмауера. Якщо є якісь розбіжності, обмеження IP можуть працювати неправильно.

• enableipbasedfirewallruleinauditmode – Значення true вказує на режим лише аудиту, тоді як значенняfalse вказує на режим примусового виконання.

• allowedservicetagsforfirewall – Перерахуйте службові теги, які повинні бути дозволені, розділяючи їх комою. Якщо ви не хочете налаштовувати жодних сервісних тегів, залиште значення null.

• allowapplicationuseraccess – Значення за замовчуванням – true .

• allowmicrosofttrustedservicetags – Значення за замовчуванням – true .

Важливо

Якщо вимкнуто функції «Дозволити доступ для надійних служб Microsoft» і «Дозволити доступ для всіх користувачів програм», деякі служби, які їх використовують Dataverse, наприклад Power Automate потоки, можуть більше не працювати.

Перевірте IP-брандмауер

Вам слід перевірити IP-брандмауер, щоб переконатися, що він працює.

1. З IP-адреси, якої немає в списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

   Ваш запит має бути відхилений із повідомленням: «Запит, який ви намагаєтеся зробити, відхилено, оскільки доступ до вашої IP-адреси заблоковано. Зверніться до адміністратора для отримання додаткової інформації."

2. З IP-адреси, яка входить до списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

   Ви повинні мати доступ до середовища, яке визначається вашою роллю безпеки.

Спочатку слід протестувати IP-брандмауер у тестовому середовищі, а потім увімкнути режим лише аудиту у виробничому середовищі, перш ніж застосовувати IP-брандмауер у робочому середовищі.

Нотатка

За замовчуванням кінцева точка TDS увімкнена в Power Platform середовищі.

Фільтрація SPN для користувачів додатків

Функція IP Firewall дозволяє Power Platform адміністраторам обмежувати доступ до середовищ на основі діапазонів IP-адрес. У сценаріях, де конкретним користувачам програм (іменам керівників служб або SPN) потрібно обійти ці обмеження, можна ввімкнути фільтрацію SPN за допомогою підходу на основі API.

Кроки для ввімкнення фільтрації SPN

1. Додайте користувача програми. Якщо ще не додано, додайте користувача програми до цільового середовища та призначте відповідні ролі безпеки. Приклад: додайте користувача програми з ID 123 та ім'ям TestSPN до середовища та призначте необхідні ролі
2. Отримайте ідентифікатор користувача системи. Використовуйте наступний виклик API, щоб отримати дані systemuserid для користувача програми:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Внести до білого списку користувача програми.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Вантажопідйомність

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Налаштуйте параметри IP-брандмауера в PPAC. Перейдіть до Центру Power Platform адміністрування (PPAC) і налаштуйте параметри IP-брандмауера. Переконайтеся, що опція «Дозволити доступ для всіх користувачів програми» знята, щоб застосувати фільтрацію.

Вимоги до ліцензування IP-брандмауера

IP-брандмауер застосовується лише в середовищах, активованих для керованих середовищ. Керовані середовища включено як право в автономні Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages і ліцензії Dynamics 365, які надають преміум-права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді ліцензування для Microsoft Power Platform.

Крім того, доступ до використання IP-брандмауера для Dataverse вимагає від користувачів у середовищах, де IP-брандмауер примусово використовується, мати одну з таких підписок:

• Microsoft 365 або Office 365 A5/E5/G5
• Сумісність із Microsoft 365 A5/E5/F5/G5
• Безпека й відповідність Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Захист інформації та керування нею
• Керування внутрішніми ризиками Microsoft 365 A5/E5/F5/G5

Докладніше про Microsoft 365 ліцензії

Поширені запитання (FAQ)

Що покриває Power Platform IP-брандмауер?

IP-брандмауер підтримується в будь-якому Power Platform середовищі, яке включає Dataverse.

Як швидко набувають чинності зміни в списку IP-адрес?

Зміни в списку дозволених IP-адрес або діапазонів зазвичай набувають чинності приблизно через 5-10 хвилин.

Чи працює ця функція в режимі реального часу?

Захист IP брандмауера працює в режимі реального часу. Оскільки функція працює на мережевому рівні, вона оцінює запит після завершення запиту на аутентифікацію.

Чи ввімкнуто цю функцію за замовчуванням у всіх середовищах?

IP-брандмауер не ввімкнено за замовчуванням. Адміністратор Power Platform має ввімкнути його для керованих середовищ.

Що таке режим лише аудиту?

У режимі лише аудиту IP-брандмауер визначає IP-адреси, які викликають у середовище, і дозволяє їх усі, незалежно від того, перебувають вони в дозволеному діапазоні чи ні. Це корисно, коли ви налаштовуєте обмеження для Power Platform середовища. Ми рекомендуємо включати режим «тільки аудит» принаймні на тиждень і вимикати його тільки після ретельного перегляду журналів аудиту.

Чи ця функція доступна в усіх середовищах?

IP-брандмауер доступний лише для керованих середовищ.

Чи існує обмеження на кількість IP-адрес, які можна додати в текстове поле IP-адреси?

Ви можете додати до 200 діапазонів IP-адрес у форматі CIDR відповідно до RFC 4632, розділених комами.

Що робити, якщо запити на Dataverse початок збою?

Неправильна конфігурація діапазонів IP-адрес для IP-брандмауера може спричиняти цю проблему. Ви можете перевірити та перевірити діапазони IP-адрес на сторінці налаштувань IP-брандмауера. Рекомендовано ввімкнути IP-брандмауер у режимі "Лише аудит", перш ніж застосовувати його.

Як завантажити журнал аудиту для режиму лише аудиту?

Використовуйте Dataverse API OData для завантаження даних журналу аудиту у форматі JSON. Формат API журналу аудиту:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Замініть [orgURI] на Dataverse URI середовища.
• Встановіть значення дії на 118 для цієї події.
• Встановіть кількість елементів для повернення в top =1 або вкажіть кількість, яку ви хочете повернути.

Мої Power Automate потоки не працюють так, як очікувалося, після налаштування брандмауера IP у моєму Power Platform середовищі. Що потрібно зробити?

У налаштуваннях IP-брандмауера дозвольте теги служб, перелічені в Керовані конектори, вихідні IP-адреси.

Я правильно налаштував зворотну адресу проксі-сервера, але IP-брандмауер не працює. Що потрібно зробити?

Переконайтеся, що ваш зворотний проксі налаштовано на надсилання IP-адреси клієнта в пересланому заголовку.

Функція аудиту IP-брандмауера не працює в моєму середовищі. Що потрібно зробити?

Журнали аудиту IP-фаєрволу не підтримуються в орендарях, увімкнених для шифрування ключів із внесенням власного ключа (BYOK). Рекомендуємо перейти на ключ, керований клієнтом.

Чи підтримує IP-брандмауер IPv6 діапазони IPv6?

Так, IP-брандмауер підтримує діапазони IPv6.

Наступні кроки

Безпека в Microsoft Dataverse