使用 IP 位址型 Cookie 繫結防止 Dataverse 中的工作階段劫持攻擊。 假設有惡意使用者從啟用了 Cookie IP 繫結的授權電腦複製有效工作階段 Cookie。 然後,使用者嘗試在另一台電腦上使用該 Cookie,以未經授權存取 Dataverse。 Dataverse 會將 Cookie 來源的 IP 位址與發出要求之電腦的 IP 位址即時進行比較。 如果兩者不同則會封鎖此嘗試,並顯示錯誤訊息。
IP 式 Cookie 繫結僅適用於所有租用戶 (包括政府雲端) 的受控環境。 您可以在 Power Platform 系統管理中心啟用此功能。
啟用 IP 位址型 Cookie 繫結
以管理員身分登入 Power Platform 系統管理中心。
在導覽窗格中,選擇管理。
在管理窗格中,選擇環境。
在環境頁面上,選取一個環境。
選取設定>產品>隱私權 + 安全性。
在 IP 位址設定中,選擇 啟用基於 IP 位址的 Cookie 綁定 選項。
(選用):如果您的組織設定了 Proxy 代理,請在反向 Proxy IP 位址欄位中輸入以逗號分隔的 IP 位址。 反向 Proxy 設定會套用至 IP 型 Cookie 繫結與 IP 防火牆。 請與網路管理員聯繫以獲取反向代理 IP 位址。
注意
反向 Proxy 必須設定為在轉送標頭中傳送使用者用戶端 IP 位址。
選取儲存。
Cookie 繫結如何使用您的 IP 位址運作
IP 型 cookie 繫結會在工作階段 Cookie 中設定 IP 位址宣告。 每個要求都會進行評估,以比較目前的 IP 位址與建立時儲存在 Cookie 中的來源 IP 位址。 如果位址不相符,就會拒絕使用者存取。
要求使用者重新進行驗證的情境
- 打開或關閉任何 VPN 用戶端時
- 連接至無線熱點時
- 網際網路服務提供者重設網際網路連線時
- 重設或重新啟動路由器時
如何測試功能
從瀏覽器中清除所有 Cookie。 這是確保產生新 Cookie 非常重要的步驟。
登入已啟用 IP 型 Cookie 繫結的 Dynamics 365 環境。
使用用戶端工具 (例如 Fiddler) 來複製工作階段 Cookie。
使用先前獲取的工作階段 Cookie 從備用電腦 (原始網路外部) 提交要求。 您應該會收到 HTTP 403 錯誤回應。
排除項目
- 如果使用者使用舊的有效 Cookie 從相同 IP 位址連線到 Dataverse,則 Dataverse 會接受該 Cookie。
- 如果您的網路與 Power Platform 之間的流量已設定為使用含有動態 IP 位址反向 Proxy,IP 型 Cookie 繫結就無法運作。
FAQ
此功能是否可在 Dataverse 中使用?
Cookie IP 繫結適用於整合介面中的 CrmOwinAuth Cookie。
在 Power Platform 系統管理中心進行變更後多久會生效?
變更通常會在大約五分鐘內生效。
此功能是否能即時運作?
此功能會即時評估 Cookie,但在啟用該功能之後發出的初始要求除外。
此功能是否在所有環境中預設為啟用?
預設會停用 Cookie IP 繫結功能。 管理員須在 Power Platform 系統管理中心啟用它。