Chia sẻ qua

Tường lửa IP trong môi trường Power Platform

  • Bài viết

Tường lửa IP giúp bảo vệ dữ liệu tổ chức của bạn bằng cách hạn chế quyền truy cập của người dùng vào Microsoft Dataverse chỉ từ các vị trí IP được phép. Tường lửa IP phân tích địa chỉ IP của từng yêu cầu trong thời gian thực. Ví dụ: giả sử tường lửa IP được bật trong môi trường sản xuất Dataverse của bạn và các địa chỉ IP được phép nằm trong phạm vi được liên kết với các vị trí văn phòng của bạn chứ không phải bất kỳ vị trí IP bên ngoài nào như quán cà phê. Nếu người dùng cố gắng truy cập tài nguyên của tổ chức từ quán cà phê, Dataverse sẽ từ chối quyền truy cập theo thời gian thực.

Sơ đồ minh họa tính năng tường lửa IP trong Dataverse.

Quan trọng

Tính năng tường lửa IP chỉ hỗ trợ điểm cuối OData để truy cập dữ liệu Dataverse . Hỗ trợ cho điểm cuối TDS sẽ được đưa vào bản phát hành trong tương lai.

Lợi ích chính

Việc kích hoạt tường lửa IP trong môi trường Power Platform của bạn mang lại một số lợi ích chính.

  • Giảm thiểu các mối đe dọa nội bộ như lọc dữ liệu: Người dùng độc hại cố tải xuống dữ liệu từ Dataverse bằng cách sử dụng công cụ máy khách như Excel hoặc Power BI từ vị trí IP không được phép là bị chặn làm như vậy trong thời gian thực.
  • Ngăn chặn các cuộc tấn công phát lại mã thông báo: Nếu người dùng đánh cắp mã thông báo truy cập và cố gắng sử dụng nó để truy cập Dataverse từ bên ngoài phạm vi IP được phép, Dataverse sẽ từ chối nỗ lực đó trong thời gian thực.

Bảo vệ tường lửa IP hoạt động trong cả kịch bản tương tác và không tương tác.

Tường lửa IP hoạt động như thế nào?

Khi yêu cầu được gửi tới Dataverse, địa chỉ IP của yêu cầu sẽ được đánh giá theo thời gian thực dựa trên dải IP được định cấu hình cho môi trường Power Platform . Nếu địa chỉ IP nằm trong phạm vi cho phép thì yêu cầu sẽ được cho phép. Nếu địa chỉ IP nằm ngoài dải IP được định cấu hình cho môi trường, tường lửa IP sẽ từ chối yêu cầu kèm theo thông báo lỗi: Yêu cầu mà bạn đang cố gắng thực hiện sẽ bị từ chối do quyền truy cập vào IP của bạn bị chặn. Hãy liên hệ với quản trị viên của bạn để biết thêm thông tin.

Điều kiện tiên quyết

  • Tường lửa IP là một tính năng của Môi trường được quản lý.
  • Bạn phải có Power Platform vai trò quản trị viên để bật hoặc tắt tường lửa IP.

Kích hoạt tường lửa IP

Bạn có thể bật tường lửa IP trong môi trường Power Platform bằng cách sử dụng Power Platform trung tâm quản trị hoặc Dataverse API OData.

Kích hoạt tường lửa IP bằng Power Platform trung tâm quản trị

  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách quản trị viên.

  2. Chọn Môi trường rồi chọn một môi trường.

  3. Chọn Thiết đặt>Sản phẩm>Quyền riêng tư + Bảo mật.

  4. Trong cài đặt địa chỉ IP, đặt Bật quy tắc tường lửa dựa trên địa chỉ IP thành Bật.

  5. Trong Danh sách các dải IPv4 được phép, hãy chỉ định các dải IP được phép ở định dạng định tuyến liên miền (CIDR) không phân loại theo RFC 4632. Nếu bạn có nhiều dải IP, hãy phân tách chúng bằng dấu phẩy. Trường này chấp nhận tối đa 4.000 ký tự chữ và số và cho phép tối đa 200 dải IP.

  6. Chọn các cài đặt khác nếu thích hợp:

    • Thẻ dịch vụ được tường lửa IP cho phép: Từ danh sách, chọn thẻ dịch vụ có thể vượt qua các hạn chế của tường lửa IP.
    • Cho phép truy cập vào các dịch vụ đáng tin cậy của Microsoft: Cài đặt này bật các dịch vụ đáng tin cậy của Microsoft như giám sát và hỗ trợ người dùng v.v. để vượt qua các hạn chế của tường lửa IP để truy cập vào Power Platform môi trường với Dataverse. Bật theo mặc định.
    • Cho phép truy cập cho tất cả người dùng ứng dụng: Cài đặt này cho phép tất cả người dùng ứng dụng quyền truy cập của bên thứ ba và bên thứ nhất vào Dataverse API. Bật theo mặc định. Nếu bạn xóa giá trị này, nó sẽ chỉ chặn người dùng ứng dụng của bên thứ ba.
    • Bật tường lửa IP ở chế độ chỉ kiểm tra: Cài đặt này bật tường lửa IP nhưng cho phép các yêu cầu bất kể địa chỉ IP của chúng. Bật theo mặc định.
    • Địa chỉ IP proxy ngược: Nếu tổ chức của bạn đã định cấu hình proxy ngược, hãy nhập địa chỉ IP của một hoặc nhiều địa chỉ, phân tách bằng dấu phẩy. Cài đặt proxy ngược áp dụng cho cả liên kết cookie dựa trên IP và tường lửa IP.

  7. Chọn Lưu.

Bật tường lửa IP bằng API Dataverse OData

Bạn có thể sử dụng Dataverse API OData để truy xuất và sửa đổi các giá trị trong môi trường Power Platform . Để biết hướng dẫn chi tiết, hãy xem Truy vấn dữ liệu bằng API WebCập nhật và xóa các hàng trong bảng bằng API Web (Microsoft Dataverse).

Bạn có thể linh hoạt chọn các công cụ mà bạn thích. Hãy sử dụng tài liệu sau để truy xuất và sửa đổi các giá trị thông qua Dataverse API OData:

Định cấu hình tường lửa IP bằng cách sử dụng API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Khối hàng

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • Enableipbasedfirewallrule – Bật tính năng này bằng cách đặt giá trị thành true hoặc tắt tính năng này bằng cách đặt giá trị thành false.

  • allowiprangeforfirewall — Liệt kê các dải IP được phép. Cung cấp chúng theo ký hiệu CIDR, được phân tách bằng dấu phẩy.

    Quan trọng

    Đảm bảo rằng tên thẻ dịch vụ khớp chính xác với những gì bạn thấy trên trang cài đặt của tường lửa IP. Nếu có bất kỳ sự khác biệt nào, giới hạn IP có thể không hoạt động chính xác.

  • Enableipbasedfirewallruleinauditmode – Giá trị true biểu thị chế độ chỉ kiểm tra, trong khi giá trị false biểu thị chế độ thực thi.

  • allowservicetagsforfirewall – Liệt kê các thẻ dịch vụ được phép, phân tách bằng dấu phẩy. Nếu bạn không muốn định cấu hình bất kỳ thẻ dịch vụ nào, hãy để giá trị rỗng.

  • allowapplicationuseraccess – Giá trị mặc định là true.

  • allowmicrosofttrustedservicetags – Giá trị mặc định là true.

Quan trọng

Khi Cho phép truy cập đối với các dịch vụ đáng tin cậy của MicrosoftCho phép truy cập đối với tất cả người dùng ứng dụng bị tắt, một số dịch vụ sử dụng Dataverse, chẳng hạn như các luồng Power Automate , có thể không còn hoạt động.

Kiểm tra tường lửa IP

Bạn nên kiểm tra tường lửa IP để xác minh rằng nó đang hoạt động.

  1. Từ địa chỉ IP không nằm trong danh sách địa chỉ IP được phép cho môi trường, hãy duyệt đến Power Platform URI môi trường của bạn.

    Yêu cầu của bạn sẽ bị từ chối kèm theo thông báo có nội dung "Yêu cầu mà bạn đang cố gắng thực hiện bị từ chối do quyền truy cập vào IP của bạn bị chặn. Hãy liên hệ với quản trị viên của bạn để biết thêm thông tin."

  2. Từ địa chỉ IP nằm trong danh sách địa chỉ IP được phép cho môi trường, hãy duyệt đến Power Platform URI môi trường của bạn.

    Bạn phải có quyền truy cập vào môi trường được xác định bởi vai trò bảo mật của bạn.

Chúng tôi khuyên bạn nên kiểm tra tường lửa IP trong môi trường thử nghiệm của mình trước, sau đó là chế độ chỉ kiểm tra trong môi trường Sản xuất trước khi thực thi tường lửa IP trên môi trường Sản xuất của bạn.

Yêu cầu cấp phép cho tường lửa IP

Tường lửa IP chỉ được thực thi trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được đưa vào dưới dạng quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cung cấp quyền sử dụng cao cấp. Tìm hiểu thêm về Cấp phép Môi trường được quản lý với Tổng quan về cấp phép cho Microsoft Power Platform.

Ngoài ra, quyền truy cập vào việc sử dụng tường lửa IP cho Dataverse yêu cầu người dùng trong các môi trường nơi tường lửa IP được thi hành phải có một trong các đăng ký sau:

  • Microsoft 365 hoặc Office 365 A5/E5/G5
  • Microsoft 365 Tuân thủ A5/E5/F5/G5
  • Microsoft 365 F5 Bảo mật & Sự tuân thủ
  • Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin
  • Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ

Tìm hiểu thêm về các giấy phép này

Câu hỏi thường gặp (FAQ)

Tường lửa IP bao gồm những gì Power Platform?

Tường lửa IP được hỗ trợ trong mọi Power Platform môi trường bao gồm Dataverse.

Việc thay đổi danh sách địa chỉ IP có hiệu lực sau bao lâu?

Những thay đổi đối với danh sách địa chỉ hoặc dải IP được phép thường có hiệu lực sau khoảng 5-10 phút.

Tính năng này có hoạt động trong thời gian thực không?

Bảo vệ tường lửa IP hoạt động trong thời gian thực. Vì tính năng này hoạt động ở lớp mạng nên nó sẽ đánh giá yêu cầu sau khi yêu cầu xác thực hoàn tất.

Tính năng này có được bật theo mặc định trong mọi môi trường không?

Tường lửa IP không được bật theo mặc định. Quản trị viên Power Platform cần kích hoạt tính năng này cho Môi trường được quản lý.

Chế độ chỉ kiểm tra là gì?

Ở chế độ chỉ kiểm tra, tường lửa IP xác định các địa chỉ IP đang thực hiện cuộc gọi đến môi trường và cho phép tất cả các địa chỉ đó, cho dù chúng có nằm trong phạm vi cho phép hay không. Điều này hữu ích khi bạn định cấu hình các hạn chế trên một Power Platform môi trường. Chúng tôi khuyên bạn nên bật chế độ chỉ kiểm tra trong ít nhất một tuần và chỉ tắt chế độ này sau khi xem xét cẩn thận nhật ký kiểm tra.

Tính năng này có sẵn trong tất cả các môi trường không?

Tường lửa IP chỉ khả dụng cho Môi trường được quản lý .

Có giới hạn về số lượng địa chỉ IP mà tôi có thể thêm vào hộp văn bản địa chỉ IP không?

Bạn có thể thêm tối đa 200 dải địa chỉ IP ở định dạng CIDR theo RFC 4632, phân tách bằng dấu phẩy.

Tôi nên làm gì nếu các yêu cầu Dataverse bắt đầu thất bại?

Cấu hình dải IP không chính xác cho tường lửa IP có thể gây ra sự cố này. Bạn có thể kiểm tra và xác minh phạm vi IP trên trang cài đặt tường lửa IP. Chúng tôi khuyên bạn nên bật tường lửa IP ở chế độ Chỉ kiểm tra trước khi thực thi nó.

Làm cách nào để tải xuống nhật ký kiểm tra cho chế độ chỉ kiểm tra?

Sử dụng Dataverse API OData để tải dữ liệu nhật ký kiểm tra xuống ở định dạng JSON. Định dạng của API nhật ký kiểm tra là:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Thay thế [orgURI] bằng URI môi trường Dataverse .
  • Đặt giá trị hành động thành 118 cho sự kiện này.
  • Đặt số lượng mục cần trả về trong top=1 hoặc chỉ định số mục bạn muốn trả về.

Luồng Power Automate của tôi không hoạt động như mong đợi sau khi định cấu hình tường lửa IP trên môi trường Power Platform của tôi. Tôi nên làm gì?

Trong cài đặt tường lửa IP, cho phép các thẻ dịch vụ được liệt kê trong Địa chỉ IP gửi đi của trình kết nối được quản lý.

Tôi đã định cấu hình chính xác địa chỉ proxy ngược nhưng tường lửa IP không hoạt động. Tôi nên làm gì?

Đảm bảo proxy ngược của bạn được định cấu hình để gửi địa chỉ IP của máy khách trong tiêu đề được chuyển tiếp.

Một số cuộc gọi từ Power BI không thành công sau khi tôi bật tường lửa IP trên môi trường Power Platform . Tôi nên làm gì?

Hiện tại, bạn chỉ có thể sử dụng tường lửa IP cho điểm cuối OData trong Dataverse để truy cập dữ liệu từ vị trí IP đã định cấu hình. Nếu muốn tiếp tục sử dụng điểm cuối TDS, bạn phải tắt tường lửa IP trong môi trường.

Chức năng kiểm tra tường lửa IP không hoạt động trong môi trường của tôi. Tôi nên làm gì?

Nhật ký kiểm tra tường lửa IP không được hỗ trợ trong các đối tượng thuê được kích hoạt cho khóa mã hóa mang theo khóa của bạn (BYOK) . Nếu đối tượng thuê của bạn được bật tính năng mang theo khóa của riêng bạn thì tất cả các môi trường trong đối tượng thuê hỗ trợ BYOK chỉ được khóa ở SQL, do đó, nhật ký kiểm tra chỉ có thể được lưu trữ trong SQL. Chúng tôi khuyên bạn nên di chuyển sang khóa do khách hàng quản lý. Để di chuyển từ BYOK sang khóa do khách hàng quản lý (CMKv2), hãy làm theo các bước trong Di chuyển môi trường mang theo khóa của riêng bạn (BYOK) sang khóa do khách hàng quản lý.

Tường lửa IP có hỗ trợ dải IP IPv6 không?

Hiện tại, tường lửa IP không hỗ trợ dải IP IPv6.

Các bước tiếp theo

Bảo mật trong Microsoft Dataverse