IP 地址配置
发送 Power Automate 请求的 Power Platform 出站 IP 地址取决于包含该流的环境的区域位置。 FQDN(完全合格域名)不针对流场景发布。
配置防火墙以允许 Power Automate 云端流通过连接器调用外部服务的最简单机制是使用 Azure 服务标签。 Logic Apps 连接器的主要服务标签是 AzureConnectors,如 Power Platform 出站 IP 地址中所述。
面向云端流运行时的 Logic Apps 和连接器
从云端流中发起的调用直接通过 Azure 逻辑应用服务。 这些调用的一些示例包括 HTTP 或 HTTP + OpenAPI。 在 Logic Apps 文档中了解该服务使用的 IP 地址。
如果您要限制网络上的入站或出站 IP 地址(例如,通过防火墙),以确保流继续工作,请更新您的网络配置以在支持的区域允许 Azure 逻辑应用的 IP 地址和托管连接器的 IP 地址。 在 Azure Logic Apps - 使用可用性区域设置区域冗余中了解更多信息。
服务必需的 Power Automate 端点
下表列出了 Power Automate 连接到的服务。 确保所有这些服务均未在网络上被屏蔽。
| 域 | 协议 | 使用 |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | 访问身份验证和授权终结点。 |
| graph.microsoft.com | https | 对 Microsoft graph 的访问权限 - 获取个人资料照片等用户信息。 |
| *.azure-apim.net | https | 对连接器运行时的访问权限。 |
| *.azure-apihub.net | https | 对连接器运行时的访问权限。 |
| *.blob.core.windows.net | https | 导出流的位置。 |
| *.flow.microsoft.com *.logic.azure.com |
https | 对 Power Automate 站点的访问权限。 |
| *.powerautomate.com | https | 对 Power Automate 站点的访问权限。 |
| *.powerapps.com | https | 对 Power Apps 站点的访问权限。 |
| *.azureedge.net | https | 对 Power Automate CDN 的访问权限。 |
| *.microsoftcloud.com | https | 访问 NPS(净推荐值)。 |
| webshell.suite.office.com | https | 对用于标头和搜索的 Office 的访问权限。 在 Office 365 URL 和范围中了解更多信息。 |
| *.dynamics.com | https | 对 Dataverse 表的访问 |
| go.microsoft.com | https | 访问 Power Automate 检查更新 |
| download.microsoft.com | https | 访问 Power Automate 检查更新 |
| login.partner.microsoftonline.cn | https | 访问 Power Automate 使用桌面 Cloud Discovery |
| s2s.config.skype.com use.config.skype.com |
https | 访问通过外部测试和配置终结点管理的预览功能。 |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | 访问通过美国政府云的外部测试和配置终结点管理的预览功能。 |
| *.api.powerplatform.com *.api.powerplatformusercontent.com |
https | 访问多个 Power Platform API。 |
| *.api.gov.powerplatform.microsoft.us | https | 访问多个 Power Platform API(仅限美国政府 - GCC)。 |
| *.api.high.powerplatform.microsoft.us | https | 访问多个 Power Platform API(仅限美国政府 - GCC High)。 |
| *.api.appsplatform.us | https | 访问多个 Power Platform API(仅限美国政府 - DoD)。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | 访问多个 Power Platform API(仅限 21Vinaet - 中国)。 |
使用 Power Automate 移动应用所需的终结点
下表列出了使用 Power Automate 移动应用时需要的其他终结点。
| 域 | 协议 | 使用 |
|---|---|---|
| *.events.data.microsoft.com | https | 从移动应用发送所有生产区域和受支持的美国主权云的遥测数据。 |
| collector.azure.cn | https | 从移动应用发送 Mooncake 区域的遥测数据。 |
| officeapps.live.com | https | 访问移动应用的身份验证和授权终结点。 |
桌面流运行时所需的服务
下表列出了为进行桌面流运行从用户计算机建立连接需要达到的终结点数据要求。 确保您授权了全局端点和对应于您的云的端点。
桌面流运行时的全局端点
| 域 | 协议 | 使用 |
|---|---|---|
| server.events.data.microsoft.com | https | 为 EMEA、美国政府和中国云以外的用户处理遥测。 用作备用遥测终结点。 |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | 访问桌面流 WebDriver 下载程序。 WebDriver 用于实现浏览器自动化(Microsoft Edge 和 Google Chrome)。 |
桌面流运行时的公共端点
| 域 | 协议 | 使用 |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | 对公有云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| *.servicebus.windows.net | https | 通过 TCP 侦听服务总线中继。 建立计算机连接时需要。 |
| *.gateway.prod.island.powerapps.com | https | 建立计算机连接时需要。 |
| emea.events.data.microsoft.com | https | 为 EMEA 用户处理遥测。 |
| *.api.powerplatform.com | https | 访问多个 Power Platform API(对于在桌面流中利用云连接器是必需的)。 |
| *.dynamics.com | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(对 GCC 也有效)。 |
备注
如果不想允许公共终结点 *.servicebus.windows.net,您可以单独允许命名空间列表。 在允许运行时所需的命名空间终结点列表中了解有关命名空间终结点的更多信息。
用于桌面流运行时的 US 政府终结点
| 域 | 协议 | 使用 |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | 对 US government 云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| *.servicebus.usgovcloudapi.net | https | 侦听美国政府云的服务总线中继。 建立计算机连接时需要。 |
| *.gateway.gov.island.powerapps.us | https | 为美国政府云(GCC 和 GCCH)建立计算机连接时需要。 |
| *.gateway.gov.island.appsplatform.us | https | 为美国政府云建立计算机连接时需要 (DOD)。 |
| tb.events.data.microsoft.com | https | 为美国政府用户处理遥测。 |
| *.api.gov.powerplatform.microsoft.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 GCC)。 |
| *.api.high.powerplatform.microsoft.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 GCC High)。 |
| *.api.appsplatform.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 DoD)。 |
| *.microsoftdynamics.us | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(美国政府 - 仅限 GCC High)。 |
| *.crm.appsplatform.us | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(美国政府 - 仅限 DoD)。 |
| *.dynamics.com | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(对公有云也有效)。 |
桌面流运行时的世纪互联终结点(中国)
| 域 | 协议 | 使用 |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | 对世纪互联运营的云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| apac.events.data.microsoft.com | https | 为中国用户处理遥测。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(21Vinaet - 仅限中国)。 |
| *.dynamics.cn | https | 访问 Dataverse 表(DesktopFlow 模块功能)(21Vinaet - 仅限中国)。 |
其他 IP 地址文章
审批电子邮件发送
请参阅审批电子邮件发送一文,了解有关审批电子邮件发送的更多信息。
Azure SQL 数据库
如果您需要为您的 Azure SQL 数据库授权 IP 地址,您应该使用 Power Platform 出站 IP 地址。
常见问题
这里提供很多细节—IP 地址配置的高级建议是什么?
配置防火墙以允许 Power Automate 云端流通过连接器调用外部服务的最简单机制是使用 Azure 服务标签。 Logic Apps 连接器的主要服务标签是 AzureConnectors,如 Power Platform 出站 IP 地址中所述。
如果使用的是 Azure 防火墙,是否需要跟踪各个 IP 地址?
您应使用 Azure 服务标记。 通过使用网络安全组规则中的服务标记,不需要持续监视和手动更新每个服务的 IP 范围。
如果使用的是内部部署防火墙,是否需要跟踪单个 IP 地址?
您应该将服务标签用于本地防火墙,这样您就不需要监控和手动更新 IP 范围。 服务标签发现 API 提供对与每个服务标签相关的最新 IP 地址范围的访问,使您能够及时了解最新变化。