Lưu ý
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử đăng nhập hoặc thay đổi thư mục.
Cần có ủy quyền mới truy nhập được vào trang này. Bạn có thể thử thay đổi thư mục.
Tường lửa IP bảo vệ dữ liệu tổ chức của bạn bằng cách đảm bảo người dùng chỉ có thể truy cập Microsoft Dataverse từ các vị trí IP được phép. Tường lửa IP phân tích địa chỉ IP của từng yêu cầu theo thời gian thực. Ví dụ: bạn có thể bật tường lửa IP trong môi trường sản xuất của mình và đặt các địa chỉ IP được phép trong phạm vi liên quan đến vị trí văn phòng của bạn chứ không phải bất kỳ vị trí IP bên ngoài nào, chẳng hạn như quán cà phê. Dataverse Nếu người dùng cố gắng truy cập vào các tài nguyên của tổ chức từ một quán cà phê, Dataverse sẽ từ chối quyền truy cập theo thời gian thực.
Lợi ích chính
Bật tường lửa IP trong môi trường của bạn mang lại một số lợi ích quan trọng. Power Platform
- Giảm thiểu các mối đe dọa từ bên trong như đánh cắp dữ liệu: Người dùng có ý đồ xấu cố gắng tải xuống dữ liệu từbằng công cụ máy khách như Excel hoặc Dataverse từ vị trí IP không được phép sẽ bị chặn không cho thực hiện hành động đó theo thời gian thực. Power BI
- Ngăn chặn các cuộc tấn công phát lại mã thông báo: Nếu người dùng đánh cắp mã thông báo truy cập và cố gắng sử dụng nó để truy cập Dataverse từ bên ngoài phạm vi IP được phép, Dataverse sẽ từ chối nỗ lực đó theo thời gian thực.
Tường lửa IP bảo vệ hoạt động trong cả trường hợp tương tác và không tương tác.
Tường lửa IP hoạt động như thế nào?
Khi có yêu cầu được gửi đến Dataverse, địa chỉ IP yêu cầu sẽ được đánh giá theo thời gian thực so với các dải IP được cấu hình cho môi trường Power Platform . Nếu địa chỉ IP nằm trong phạm vi cho phép thì yêu cầu sẽ được chấp nhận. Nếu địa chỉ IP nằm ngoài phạm vi IP được cấu hình cho môi trường, tường lửa IP sẽ từ chối yêu cầu bằng thông báo lỗi: Yêu cầu bạn đang cố gắng thực hiện bị từ chối vì quyền truy cập vào IP của bạn đã bị chặn. Vui lòng liên hệ với quản trị viên của bạn để biết thêm thông tin.
Điều kiện tiên quyết
- Tường lửa IP là một tính năng của Môi trường được quản lý.
- Bạn phải có vai trò quản trị viên để bật hoặc tắt tường lửa IP. Power Platform
Bật tường lửa IP
Bạn có thể bật tường lửa IP trong môi trường bằng cách sử dụng trung tâm quản trị hoặc API OData. Power Platform Power Platform Dataverse
Bật tường lửa IP bằng cách sử dụng trung tâm quản trị Power Platform
Đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên.
Trong ngăn điều hướng, chọn Bảo mật.
Trong ngăn Bảo mật , chọn Danh tính và quyền truy cập.
Trong trang Quản lý danh tính và quyền truy cập , hãy chọn Tường lửa IP.
Trong ngăn Thiết lập tường lửa IP , hãy chọn một môi trường. Sau đó chọn Thiết lập tường lửa IP.
Trong ngăn Thiết lập tường lửa IP cho môi trường này , hãy chọn Tường lửa IP thành Bật.
Trong Danh sách địa chỉ IP được phép, hãy chỉ định các dải IP được phép theo định dạng định tuyến liên miền không phân lớp (CIDR) theo RFC 4632. Nếu bạn có nhiều dải IP, hãy phân tách chúng bằng dấu phẩy. Trường này chấp nhận tối đa 4.000 ký tự chữ và số và cho phép tối đa 200 dải IP. Địa chỉ IPv6 được phép sử dụng ở cả định dạng thập lục phân và định dạng nén.
Chọn các cài đặt nâng cao khác nếu cần:
- Danh sách thẻ dịch vụ được phép: Từ danh sách, chọn thẻ dịch vụ có thể vượt qua các hạn chế của tường lửa IP.
- Cho phép truy cập các dịch vụ đáng tin cậy của Microsoft: Cài đặt này cho phép các dịch vụ đáng tin cậy của Microsoft như giám sát và hỗ trợ người dùng v.v. bỏ qua các hạn chế của tường lửa IP để truy cập vào Power Platform môi trường Dataverse. Bật theo mặc định.
- Cho phép tất cả người dùng ứng dụng truy cập: Cài đặt này cho phép tất cả người dùng ứng dụng bên thứ ba và bên thứ nhất truy cập Dataverse API. Bật theo mặc định. Nếu bạn xóa giá trị này, nó chỉ chặn người dùng ứng dụng của bên thứ ba.
- Bật tường lửa IP ở chế độ chỉ kiểm tra: Cài đặt này bật tường lửa IP nhưng cho phép các yêu cầu bất kể địa chỉ IP của chúng. Bật theo mặc định.
- Địa chỉ IP proxy ngược: Nếu tổ chức của bạn đã cấu hình proxy ngược, hãy nhập địa chỉ IP được phân tách bằng dấu phẩy. Cài đặt proxy ngược áp dụng cho cả liên kết cookie dựa trên IP và tường lửa IP. Liên hệ với quản trị viên mạng của bạn để lấy địa chỉ IP proxy ngược.
Lưu ý
Proxy ngược phải được cấu hình để gửi địa chỉ IP máy khách của người dùng trong tiêu đề được chuyển tiếp .
Chọn Lưu.
Bật tường lửa IP ở cấp độ nhóm môi trường
Để cấu hình cài đặt tường lửa IP ở cấp độ nhóm môi trường, hãy hoàn thành các bước sau. Đăng nhập vào Trung tâm quản trị Power Platform.
Trong ngăn điều hướng, chọn Bảo mật.
Trong ngăn Bảo mật , chọn Danh tính và quyền truy cập.
Chọn một ngăn tường lửa IP.
Trong ngăn được hiển thị, hãy chọn tab Nhóm môi trường mà bạn muốn áp dụng cài đặt bảo mật. Sau đó, chọn Thiết lập tường lửa IP.
Trong ngăn Thiết lập tường lửa IP , hãy chọn Tường lửa IP thành Bật.
Trong Danh sách địa chỉ IP được phép, hãy chỉ định các dải IP được phép theo định dạng định tuyến liên miền không phân lớp (CIDR) theo RFC 4632. Nếu bạn có nhiều dải IP, hãy phân tách chúng bằng dấu phẩy. Trường này chấp nhận tối đa 4.000 ký tự chữ và số và cho phép tối đa 200 dải IP. Địa chỉ IPv6 được phép sử dụng ở cả định dạng thập lục phân và định dạng nén.
Chọn các cài đặt nâng cao khác nếu cần:
- Danh sách thẻ dịch vụ được phép: Từ danh sách, chọn thẻ dịch vụ có thể vượt qua các hạn chế của tường lửa IP.
- Cho phép truy cập các dịch vụ đáng tin cậy của Microsoft: Cài đặt này cho phép các dịch vụ đáng tin cậy của Microsoft như giám sát và hỗ trợ người dùng v.v. bỏ qua các hạn chế của tường lửa IP để truy cập vào Power Platform môi trường Dataverse. Bật theo mặc định.
- Cho phép tất cả người dùng ứng dụng truy cập: Cài đặt này cho phép tất cả người dùng ứng dụng bên thứ ba và bên thứ nhất truy cập Dataverse API. Bật theo mặc định. Nếu bạn xóa giá trị này, nó chỉ chặn người dùng ứng dụng của bên thứ ba.
- Bật tường lửa IP ở chế độ chỉ kiểm tra: Cài đặt này bật tường lửa IP nhưng cho phép các yêu cầu bất kể địa chỉ IP của chúng. Bật theo mặc định.
- Địa chỉ IP proxy ngược: Nếu tổ chức của bạn đã cấu hình proxy ngược, hãy nhập địa chỉ IP được phân tách bằng dấu phẩy. Cài đặt proxy ngược áp dụng cho cả liên kết cookie dựa trên IP và tường lửa IP. Liên hệ với quản trị viên mạng của bạn để lấy địa chỉ IP proxy ngược.
Chọn Lưu.
Lưu ý
Proxy ngược phải được cấu hình để gửi địa chỉ IP máy khách của người dùng trong tiêu đề được chuyển tiếp .
Các thiết lập đã chọn sẽ được áp dụng cho tất cả các môi trường trong nhóm môi trường đó.
Bật tường lửa IP bằng API OData Dataverse
Bạn có thể sử dụng API OData để truy xuất và sửa đổi các giá trị trong môi trường. Dataverse Power Platform Để biết hướng dẫn chi tiết, hãy xem Truy vấn dữ liệu bằng Web API và Cập nhật và xóa các hàng trong bảng bằng Web API (Microsoft Dataverse).
Bạn có thể linh hoạt lựa chọn công cụ mà bạn thích. Sử dụng tài liệu sau để truy xuất và sửa đổi các giá trị thông qua API OData: Dataverse
Cấu hình tường lửa IP bằng cách sử dụng API OData
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Tải trọng
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule– Bật tính năng này bằng cách đặt giá trị thành true hoặc tắt tính năng này bằng cách đặt giá trị thành false.allowediprangeforfirewall— Liệt kê các dải IP được phép. Cung cấp chúng theo ký hiệu CIDR, phân tách bằng dấu phẩy.Quan trọng
Đảm bảo rằng tên thẻ dịch vụ khớp chính xác với những gì bạn thấy trên trang cài đặt tường lửa IP. Nếu có bất kỳ sự khác biệt nào, các hạn chế IP có thể không hoạt động chính xác.
enableipbasedfirewallruleinauditmode– Giá trị true chỉ ra chế độ chỉ kiểm toán, trong khi giá trị false chỉ ra chế độ thực thi.allowedservicetagsforfirewall– Liệt kê các thẻ dịch vụ được phép, phân tách bằng dấu phẩy. Nếu bạn không muốn cấu hình bất kỳ thẻ dịch vụ nào, hãy để giá trị null.allowapplicationuseraccess– Giá trị mặc định là true.allowmicrosofttrustedservicetags– Giá trị mặc định là true.
Quan trọng
Khi Cho phép truy cập đối với các dịch vụ đáng tin cậy của Microsoft và Cho phép truy cập đối với tất cả người dùng ứng dụng bị tắt, một số dịch vụ sử dụng Dataverse, chẳng hạn như Power Automate luồng, có thể không còn hoạt động nữa.
Kiểm tra tường lửa IP
Bạn nên kiểm tra tường lửa IP để xác minh rằng nó đang hoạt động.
Từ địa chỉ IP không có trong danh sách địa chỉ IP được phép cho môi trường, hãy duyệt đến URI môi trường của bạn. Power Platform
Yêu cầu của bạn sẽ bị từ chối với thông báo: "Yêu cầu bạn đang cố gắng thực hiện đã bị từ chối vì quyền truy cập vào IP của bạn đã bị chặn. Liên hệ với người quản lý của bạn để biết thêm thông tin."
Từ địa chỉ IP nằm trong danh sách địa chỉ IP được phép cho môi trường, hãy duyệt đến URI môi trường của bạn. Power Platform
Bạn phải có quyền truy cập vào môi trường được xác định theo vai trò bảo mật của bạn.
Trước tiên, bạn nên kiểm tra tường lửa IP trong môi trường thử nghiệm của mình, sau đó chuyển sang chế độ chỉ kiểm toán trong môi trường Sản xuất trước khi áp dụng tường lửa IP trên môi trường Sản xuất.
Lưu ý
Theo mặc định, điểm cuối TDS được bật trong môi trường Power Platform .
Lọc SPN cho người dùng ứng dụng
Tính năng Tường lửa IP trong Power Platform cho phép người quản trị hạn chế quyền truy cập vào môi trường dựa trên phạm vi địa chỉ IP. Đối với những trường hợp mà người dùng ứng dụng cụ thể (Tên dịch vụ chính hoặc SPN) cần bỏ qua những hạn chế này, bạn có thể bật lọc SPN bằng cách sử dụng phương pháp dựa trên API.
Các bước để bật lọc SPN
- Thêm người dùng ứng dụng. Nếu chưa được thêm, hãy thêm người dùng ứng dụng vào môi trường đích và chỉ định các vai trò bảo mật phù hợp. Ví dụ: Thêm người dùng ứng dụng có ID 123 và tên TestSPN vào môi trường và chỉ định các vai trò cần thiết
- Lấy ID người dùng hệ thống.
Sử dụng lệnh gọi API sau để lấy
systemuseridcho người dùng ứng dụng:
GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
- Cho phép người dùng ứng dụng.
POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Tải trọng
[
{
"isallowedbyipfirewall": true
}
]
- Cấu hình cài đặt tường lửa IP trong PPAC. Điều hướng đến Trung tâm quản trị (PPAC) và cấu hình cài đặt Tường lửa IP. Power Platform Đảm bảo rằng tùy chọn "Cho phép tất cả người dùng ứng dụng truy cập" không được chọn để thực hiện lọc.
Yêu cầu cấp phép cho tường lửa IP
Tường lửa IP chỉ được áp dụng trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được bao gồm như một quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cung cấp quyền sử dụng cao cấp. Tìm hiểu thêm về cấp phép Môi trường được quản lý với tổng quan về cấp phép cho Microsoft Power Platform.
Ngoài ra, để có thể sử dụng tường lửa IP, người dùng trong môi trường áp dụng tường lửa IP phải có một trong các đăng ký sau: Dataverse
- Microsoft 365 hoặc Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 Tuân thủ
- Microsoft 365 F5 Bảo mật và tuân thủ
- Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin
- Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ
Tìm hiểu thêm về Microsoft 365 giấy phép
Câu hỏi thường gặp (FAQ)
Tường lửa IP bao phủ những gì trong Power Platform?
Tường lửa IP được hỗ trợ trong bất kỳ Power Platform môi trường nào bao gồm Dataverse.
Việc thay đổi danh sách địa chỉ IP sẽ có hiệu lực sau bao lâu?
Những thay đổi trong danh sách địa chỉ IP hoặc phạm vi IP được phép thường có hiệu lực sau khoảng 5-10 phút.
Tính năng này có hoạt động trong thời gian thực không?
Tường lửa IP bảo vệ hoạt động theo thời gian thực. Vì tính năng này hoạt động ở lớp mạng nên nó sẽ đánh giá yêu cầu sau khi yêu cầu xác thực hoàn tất.
Tính năng này có được bật theo mặc định trong mọi môi trường không?
Tường lửa IP không được bật theo mặc định. Người quản trị cần bật tính năng này cho Môi trường được quản lý. Power Platform
Chế độ chỉ kiểm toán là gì?
Ở chế độ chỉ kiểm tra, tường lửa IP sẽ xác định các địa chỉ IP đang thực hiện cuộc gọi đến môi trường và cho phép tất cả các địa chỉ đó, bất kể chúng có nằm trong phạm vi cho phép hay không. Điều này hữu ích khi bạn cấu hình các hạn chế trên một môi trường. Power Platform Chúng tôi khuyên bạn nên bật chế độ chỉ kiểm toán trong ít nhất một tuần và chỉ tắt chế độ này sau khi xem xét kỹ lưỡng nhật ký kiểm toán.
Tính năng này có khả dụng trong mọi môi trường không?
Tường lửa IP chỉ khả dụng cho Môi trường được quản lý .
Có giới hạn số lượng địa chỉ IP mà tôi có thể thêm vào hộp văn bản địa chỉ IP không?
Bạn có thể thêm tối đa 200 dải địa chỉ IP theo định dạng CIDR theo RFC 4632, được phân tách bằng dấu phẩy.
Tôi nên làm gì nếu yêu cầu Dataverse bắt đầu không thành công?
Cấu hình không đúng dải IP cho tường lửa IP có thể là nguyên nhân gây ra sự cố này. Bạn có thể kiểm tra và xác minh phạm vi IP trên trang cài đặt tường lửa IP. Chúng tôi khuyên bạn nên bật tường lửa IP ở chế độ Chỉ kiểm tra trước khi thực hiện.
Làm thế nào để tải xuống nhật ký kiểm tra cho chế độ chỉ kiểm tra?
Sử dụng API OData để tải xuống dữ liệu nhật ký kiểm tra ở định dạng JSON. Dataverse Định dạng của API nhật ký kiểm tra là:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Thay thế [orgURI] bằng Dataverse URI môi trường.
- Đặt giá trị hành động thành 118 cho sự kiện này.
- Đặt số lượng mục cần trả về trong top=1 hoặc chỉ định số lượng bạn muốn trả về.
Luồng Power Automate của tôi không hoạt động như mong đợi sau khi cấu hình tường lửa IP trên môi trường Power Platform của tôi. Tôi nên làm gì?
Trong cài đặt tường lửa IP, hãy cho phép các thẻ dịch vụ được liệt kê trong Địa chỉ IP đi của trình kết nối được quản lý.
Tôi đã cấu hình đúng địa chỉ proxy ngược, nhưng tường lửa IP không hoạt động. Tôi nên làm gì?
Đảm bảo proxy ngược của bạn được cấu hình để gửi địa chỉ IP của máy khách trong tiêu đề được chuyển tiếp.
Chức năng kiểm tra tường lửa IP không hoạt động trong môi trường của tôi. Tôi nên làm gì?
Nhật ký kiểm tra tường lửa IP không được hỗ trợ trong các đối tượng thuê bao được kích hoạt khóa mã hóa mang theo (BYOK) . Nếu người thuê của bạn được bật tính năng mang theo khóa riêng, thì tất cả các môi trường trong người thuê hỗ trợ BYOK đều chỉ bị khóa bằng SQL, do đó nhật ký kiểm tra chỉ có thể được lưu trữ trong SQL. Chúng tôi khuyên bạn nên di chuyển sang khóa do khách hàng quản lý. Để di chuyển từ BYOK sang khóa do khách hàng quản lý (CMKv2), hãy làm theo các bước trong Di chuyển môi trường mang theo khóa của riêng bạn (BYOK) sang khóa do khách hàng quản lý.
Tường lửa IP có hỗ trợ dải IP IPv6 không?
Có, tường lửa IP hỗ trợ dải IP IPv6.