共用方式為

使用 IP Cookie 繫結保護 Dataverse 工作階段

  • 發行項

使用 IP 位址型 Cookie 繫結防止 Dataverse 中的工作階段劫持攻擊。 假設有惡意使用者從啟用了 Cookie IP 繫結的授權電腦複製有效工作階段 Cookie。 然後,使用者嘗試在另一台電腦上使用該 Cookie,以未經授權存取 Dataverse。 Dataverse 會將 Cookie 來源的 IP 位址與發出要求之電腦的 IP 位址即時進行比較。 如果兩者不同則會封鎖此嘗試,並顯示錯誤訊息。

IP 式 Cookie 繫結僅適用於所有租用戶 (包括政府雲端) 的受控環境。 您可以在 Power Platform 系統管理中心啟用此功能。

  1. 以管理員身分登入 Power Platform 系統管理中心

  2. 請選取環境,接著選擇一個環境。

  3. 選取設定>產品,然後選取隱私權 + 安全性

  4. IP 位址設定底下,選取啟用 IP 位址型 Cookie 繫結

  5. 選取儲存

IP 型 cookie 繫結會在工作階段 Cookie 中設定 IP 位址宣告。 每個要求都會進行評估,以比較目前的 IP 位址與建立時儲存在 Cookie 中的來源 IP 位址。 如果位址不相符,就會拒絕使用者存取。

要求使用者重新進行驗證的情境

  • 打開或關閉任何 VPN 用戶端時
  • 連接至無線熱點時
  • 網際網路服務提供者重設網際網路連線時
  • 重設或重新啟動路由器時

如何測試功能

  1. 從瀏覽器中清除所有 Cookie。 這是確保產生新 Cookie 非常重要的步驟。

  2. 登入已啟用 IP 型 Cookie 繫結的 Dynamics 365 環境。

  3. 使用用戶端工具 (例如 Fiddler) 來複製工作階段 Cookie。

  4. 使用先前獲取的工作階段 Cookie 從備用電腦 (原始網路外部) 提交要求。 您應該會收到 HTTP 403 錯誤回應。

排除項目

  • 如果使用者使用舊的有效 Cookie 從相同 IP 位址連線到 Dataverse,則 Dataverse 會接受該 Cookie。
  • 如果您的網路與 Power Platform 之間的流量已設定為使用含有動態 IP 位址反向 Proxy,IP 型 Cookie 繫結就無法運作。

常見問題

此功能是否可在 Dataverse 中使用?

Cookie IP 繫結適用於整合介面中的 CrmOwinAuth Cookie。

在 Power Platform 系統管理中心進行變更後多久會生效?

變更通常會在大約五分鐘內生效。

此功能是否能即時運作?

此功能會即時評估 Cookie,但在啟用該功能之後發出的初始要求除外。

此功能是否在所有環境中預設為啟用?

預設會停用 Cookie IP 繫結功能。 管理員須在 Power Platform 系統管理中心啟用它。