IP защитна стена в Power Platform среди

IP защитната стена помага да защитите вашите организационни данни, като ограничава достъпа на потребителите само Microsoft Dataverse от разрешени IP местоположения. IP защитната стена анализира IP адреса на всяка заявка в реално време. Да предположим например, че IP защитната стена е включена във вашата производствена Dataverse среда и разрешените IP адреси са в диапазоните, свързани с местоположенията на вашия офис, а не във външно IP местоположение като кафене. Ако потребител се опита да получи достъп до организационни ресурси от кафене, Dataverse отказва достъп в реално време.

Основни предимства

Активирането на IP защитната стена във вашите Power Platform среди предлага няколко ключови предимства.

• Смекчаване на вътрешни заплахи като ексфилтрация на данни: Злонамерен потребител, който се опитва да изтегли данни от Dataverse клиентски инструмент като Excel или Power BI от забранено IP местоположение, е блокиран да го направи в реално време.
• Предотвратяване на атаки с повторение на токени: Ако потребител открадне токен за достъп и се опита да го използва за достъп Dataverse от външни разрешени IP диапазони, Dataverse отказва опита в реално време.

Защитата на IP защитната стена работи както в интерактивни, така и в неинтерактивни сценарии.

Как работи IP защитната стена?

Когато се направи заявка, Dataverse IP адресът на заявката се оценява в реално време спрямо IP диапазоните, конфигурирани Power Platform за средата. Ако IP адресът е в разрешените диапазони, заявката е разрешена. Ако IP адресът е извън IP диапазоните, конфигурирани за средата, IP защитната стена отхвърля заявката със съобщение за грешка: Заявката, която се опитвате да направите, се отхвърля, тъй като достъпът до вашия IP е блокиран. Свържете се с вашия администратор за повече информация.

Предварителни изисквания

• IP защитната стена е характеристика на управляваните среди.
• Трябва да имате Power Platform роля на администратор, за да активирате или деактивирате IP защитната стена.

Активирайте IP защитната стена

Можете да активирате IP защитната стена в среда Power Platform , като използвате Power Platform центъра за администриране или Dataverse API на OData.

Разрешаване на IP защитната стена с помощта Power Platform на центъра за администриране

1. Влезте в Power Platform центъра за администриране като администратор.

2. Изберете Среди и след това изберете среда.

3. Изберете Настройки>продукт>Поверителност + Сигурност.

4. Под Настройки на IP адрес задайте Разрешаване на правилото за защитна стена, базирано на IP адрес, на Вкл.

5. Под Списък с разрешени IPv4/IPv6 диапазони посочете разрешените IP диапазони във формат безкласово междудомейново маршрутизиране (CIDR) съгласно RFC 4632. Ако имате няколко IP диапазона, разделете ги със запетая. Това поле приема до 4,000 буквено-цифрови знака и позволява максимум 200 IP диапазона. IPv6 адресите са разрешени както в шестнадесетичен, така и в компресиран формат.

6. Изберете други настройки, ако е подходящо:

   • Етикетите на услугата да бъдат разрешени от IP защитната стена: От списъка изберете етикети за услуги, които могат да заобиколят ограниченията на IP защитната стена.

   • Разрешаване на достъп за надеждни услуги на Microsoft: Тази настройка позволява на надеждни услуги на Microsoft като наблюдение и поддръжка, потребител и т.н., да заобикалят ограниченията на IP защитната стена за достъп до Power Platform Dataverse средата. Включено по подразбиране.

   • Разрешаване на достъп за всички потребители на приложението: Тази настройка позволява на всички потребители на приложения достъп на трети страни и първи страни до Dataverse API. Включено по подразбиране. Ако изчистите тази стойност, тя блокира само потребители на приложения на трети страни.

   • Разрешаване на IP защитна стена в режим само за проверка: Тази настройка разрешава IP защитната стена, но позволява заявки независимо от техния IP адрес. Включено по подразбиране.

   • Обратни прокси IP адреси: Ако вашата организация има конфигурирани обратни прокси сървъри, въведете IP адресите, разделени със запетаи. Настройката за обратен прокси се прилага както за обвързване на бисквитки, базирани на IP, така и за IP защитната стена. Свържете се с вашия мрежов администратор, за да получите IP адресите на обратния прокси сървър.

     Бележка

     Обратният прокси сървър трябва да бъде конфигуриран да изпраща IP адреси на потребителски клиент в препратената заглавка.

7. Изберете Запиши.

Активирайте IP защитната стена с помощта на Dataverse API на OData

Можете да използвате Dataverse API на OData, за да извличате и променяте стойности в среда Power Platform . За подробни указания вижте Заявяване на данни с помощта на уеб API и Актуализиране и изтриване на редове на таблица с помощта на уеб API (Microsoft Dataverse).

Имате гъвкавостта да изберете инструментите, които предпочитате. Използвайте следната документация, за да извличате и променяте стойности Dataverse чрез API на OData:

• Използване на Insomnia с Dataverse Web API
• Уеб API за бърз старт с PowerShell и Visual Studio код

Конфигурирайте IP защитната стена с помощта на API на OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Полезен товар

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Активирайте функцията, като зададете стойността на true, или я деактивирайте, като зададете стойността на false.

• allowediprangeforfirewall — Избройте IP диапазоните, които трябва да бъдат разрешени. Посочете ги в CIDR нотация, разделени със запетая.

  Важно

  Уверете се, че имената на етикетите на услугата съвпадат точно с това, което виждате на страницата с настройки на IP защитната стена. Ако има някакво несъответствие, IP ограниченията може да не работят правилно.

• enableipbasedfirewallruleinauditmode – Стойността на true показва режим само за проверка, докато стойността на false показва режим на прилагане.

• allowedservicetagsforfirewall – Избройте сервизните тагове, които трябва да бъдат разрешени, разделени със запетая. Ако не искате да конфигурирате етикети за услуги, оставете стойността нула.

• allowapplicationuseraccess – Стойността по подразбиране е вярна.

• allowmicrosofttrustedservicetags – Стойността по подразбиране е вярна.

Тествайте IP защитната стена

Трябва да тествате IP защитната стена, за да проверите дали работи.

1. От IP адрес, който не е в списъка с разрешени IP адреси за средата, намерете URI адреса на вашата Power Platform среда.

   Вашата заявка трябва да бъде отхвърлена със съобщение, което гласи: "Заявката, която се опитвате да направите, е отхвърлена, тъй като достъпът до вашия IP е блокиран. Свържете се с вашия администратор за повече информация."

2. От IP адрес, който е в списъка с разрешени IP адреси за средата, намерете URI адреса на средата Power Platform .

   Трябва да имате достъп до средата, която се определя от вашата права за достъп.

Препоръчваме ви първо да тествате IP защитната стена във вашата тестова среда, последвано от режим само за проверка в производствена среда, преди да наложите IP защитната стена във вашата производствена среда.

Лицензионни изисквания за IP защитна стена

IP защитната стена се прилага само за среди, които са активирани за управлявани среди. Управляваните среди са включени като право в самостоятелни Power Apps Power Automate Microsoft Copilot Studio Power Pages лицензи и лицензи на Dynamics 365, които дават първокласни права за използване. Научете повече за лицензирането на управлявана среда с прегледа на лицензирането за Microsoft Power Platform.

В допълнение, достъпът до използването на IP защитна стена за Dataverse изисква потребителите в средите, където IP защитната стена е наложена, да имат един от следните абонаменти:

• Microsoft 365 или Office 365 A5/E5/G5
• Съответствие за Microsoft 365 A5/E5/F5/G5
• Сигурност и съответствие за Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Защита на информацията и управление
• Управление на вътрешния риск за Microsoft 365 A5/E5/F5/G5

Научете повече за тези лицензи

Често задавани въпроси (ЧЗВ)

Какво покрива IP защитната стена Power Platform?

IP защитната стена се поддържа във всяка Power Platform среда, която включва Dataverse.

Колко скоро влиза в сила промяна в списъка с IP адреси?

Промените в списъка с разрешени IP адреси или диапазони обикновено влизат в сила след около 5-10 минути.

Тази функция работи ли в реално време?

IP защитата на защитната стена работи в реално време. Тъй като функцията работи на мрежовия слой, тя оценява заявката след завършване на заявката за удостоверяване.

Тази функция активирана ли е по подразбиране във всички среди?

IP защитната стена не е активирана по подразбиране. Администраторът Power Platform трябва да го разреши за управлявани среди.

Какво представлява режимът само за одит?

В режим само за проверка IP защитната стена идентифицира IP адресите, които извършват повиквания към средата, и ги позволява всички, независимо дали са в разрешен диапазон или не. Полезно е, когато конфигурирате ограничения за среда Power Platform . Препоръчваме ви да активирате режима само за проверка за поне една седмица и да го деактивирате само след внимателен преглед на регистрационните файлове за проверка.

Тази функция налична ли е във всички среди?

IP защитната стена е достъпна само за управлявани среди .

Има ли ограничение за броя на IP адресите, които мога да добавя в текстовото поле за IP адрес?

Можете да добавите до 200 диапазона от IP адреси във формат CIDR съгласно RFC 4632, разделени със запетаи.

Какво трябва да направя, ако заявките за Dataverse започване са неуспешни?

Неправилна конфигурация на IP диапазони за IP защитна стена може да причинява този проблем. Можете да проверите и проверите IP диапазоните на страницата с настройки на IP защитната стена. Препоръчваме ви да включите IP защитната стена в режим само за проверка, преди да я приложите.

Как да изтегля регистрационния файл за проверка за режим само за проверка?

Използвайте Dataverse API на OData, за да изтеглите данните от регистрационния файл за проверка във формат JSON. Форматът на API на регистрационния файл за одит е:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Заменете [orgURI] с Dataverse URI на средата.
• Задайте стойността на действието на 118 за това събитие.
• Задайте броя на артикулите за връщане в top=1 или конкретен номер, който искате да върнете.

Моите Power Automate потоци не работят според очакванията след конфигуриране на IP защитната стена в моята Power Platform среда. Какво да направя?

В настройките на IP защитната стена разрешете етикетите на услугата, изброени в Управлявани изходящи IP адреси на конектори.

Конфигурирах правилно обратния прокси адрес, но IP защитната стена не работи. Какво да направя?

Уверете се, че вашият обратен прокси сървър е конфигуриран да изпраща IP адреса на клиента в препратената заглавка.

Функционалността за проверка на IP защитната стена не работи в моята среда. Какво да направя?

Регистрационните файлове за проверка на IP защитната стена не се поддържат в клиенти, разрешени за шифроване на ключове за шифроване на собствения си ключ (BYOK ). Ако вашият клиент е разрешен за донеси собствения си ключ, тогава всички среди в клиент с активиран BYOK са заключени само към SQL, следователно регистрационните файлове за проверка могат да се съхраняват само в SQL. Препоръчваме ви да мигрирате към управляван от клиента ключ. За да мигрирате от BYOK към управляван от клиента ключ (CMKv2), следвайте стъпките в Мигриране на средите с донеси собствен ключ (BYOK) към управляван от клиента ключ.

IP защитната стена поддържа ли IPv6 IP диапазони?

Да, IP защитната стена поддържа IPv6 IP диапазони.

Следващи стъпки

Сигурност в Microsoft Dataverse