Tallafocs IP en Power Platform entorns

El tallafoc IP ajuda a protegir les dades de l'organització limitant l'accés dels usuaris només des Microsoft Dataverse de les ubicacions IP permeses. El tallafocs IP analitza l'adreça IP de cada sol·licitud en temps real. Per exemple, suposem que el tallafoc IP està activat a l'entorn de producció Dataverse i que les adreces IP permeses es troben en els intervals associats a les ubicacions de l'oficina i no en cap ubicació IP externa com una cafeteria. Si un usuari intenta accedir als recursos de l'organització des d'una cafeteria, Dataverse denega l'accés en temps real.

Beneficis clau

Habilitar el tallafoc IP en els seus Power Platform entorns ofereix diversos beneficis clau.

• Mitigar les amenaces internes com l'exfiltració de dades: un usuari maliciós que intenta descarregar dades des d'una eina client Dataverse com Excel o Power BI des d'una ubicació IP no permesa no pot fer-ho en temps real.
• Evitar atacs de reproducció de tokens: si un usuari roba un token d'accés i intenta utilitzar-lo per accedir Dataverse des de fora dels rangs d'IP permesos, Dataverse denega l'intent en temps real.

La protecció del tallafoc IP funciona tant en escenaris interactius com no interactius.

Com funciona el tallafocs IP?

Quan es fa Dataverse una sol·licitud, l'adreça IP de la sol·licitud s'avalua en temps real amb els intervals d'IP configurats per a l'entorn Power Platform . Si l'adreça IP es troba en els intervals permesos, es permet la sol·licitud. Si l'adreça IP està fora dels rangs d'IP configurats per a l'entorn, el tallafoc IP denega la sol·licitud amb un missatge d'error: La sol·licitud que esteu intentant fer es rebutja perquè l'accés a la vostra IP està bloquejat. Poseu-vos en contacte amb l'administrador per obtenir més informació.

Requisits previs

• El tallafoc IP és una característica dels entorns gestionats.
• Heu de tenir una Power Platform funció d'administrador per habilitar o inhabilitar el tallafoc IP.

Habilitar el tallafoc IP

Podeu habilitar el tallafoc IP en un Power Platform entorn mitjançant Power Platform el centre d'administració o l'API Dataverse OData.

Habilitar el tallafoc IP mitjançant Power Platform el centre d'administració

1. Inicieu sessió al Power Platform Centre d'administració com a administrador.

2. Seleccioneu Entorns i, a continuació, seleccioneu-ne un.

3. Seleccioneu Configuració>Producte>Privadesa i seguretat.

4. A Configuració del'adreça IP, definiu Habilita la regla de tallafoc basada en l'adreça IP a Activat.

5. A Llista permesa d'intervals IPv4/IPv6, especifiqueu els intervals d'IP permesos en format d'encaminament entre dominis sense classe (CIDR) segons RFC 4632. Si teniu diversos intervals d'IP, separeu-los amb una coma. Aquest camp accepta fins a 4.000 caràcters alfanumèrics i permet un màxim de 200 intervals d'IP. Les adreces IPv6 estan permeses tant en format hexadecimal com comprimit.

6. Seleccioneu altres configuracions, segons correspongui:

   • Les etiquetes de servei que permetran el tallafoc IP: a la llista, seleccioneu les etiquetes de servei que poden evitar les restriccions del tallafoc IP.

   • Permet l'accés als serveis de confiança de Microsoft: aquesta configuració permet que els serveis de confiança de Microsoft, com ara la supervisió i l'usuari de suport, etc., evitin les restriccions del tallafoc IP per accedir a l'entorn Power Platform Dataverse. Està habilitada per defecte.

   • Permet l'accés a tots els usuaris de l'aplicació: aquesta configuració permet a tots els usuaris de l'aplicació accedir a Dataverse les API de tercers i de tercers. Està habilitada per defecte. Si esborreu aquest valor, només bloquejarà els usuaris d'aplicacions de tercers.

   • Habilita el tallafoc IP en mode només d'auditoria: aquesta configuració habilita el tallafoc IP, però permet les sol·licituds independentment de la seva adreça IP. Està habilitada per defecte.

   • Adreces IP de proxy invers: si la vostra organització té servidors intermediaris inversos configurats, introduïu les adreces IP separades per comes. La configuració del proxy invers s'aplica tant a l'enllaç de galetes basat en IP com al tallafoc IP. poseu-vos en contacte amb l'administrador de la xarxa per obtenir les adreces IP del servidor intermediari invers.

     Nota

     El proxy invers s'ha de configurar per enviar adreces IP del client de l'usuari a la capçalera reenviada .

7. Seleccioneu Desa.

Habilitar el tallafoc IP mitjançant l'API Dataverse OData

Podeu utilitzar l'API Dataverse OData per recuperar i modificar valors dins d'un Power Platform entorn. Per obtenir instruccions detallades, vegeu Consultar dades mitjançant l'API web i Actualitzar i suprimir files de taula mitjançant l'API web (Microsoft Dataverse).

Tens la flexibilitat de seleccionar les eines que prefereixis. Utilitzeu la documentació següent per recuperar i modificar valors mitjançant l'API Dataverse OData:

• Utilitzar Insomnia amb Dataverse l'API web
• API web d'inici ràpid amb PowerShell i Visual Studio codi

Configurar el tallafoc IP mitjançant l'API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Càrrega

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Habiliteu la funció establint el valor com a true o desactiveu-la establint el valor com a false.

• allowediprangeforfirewall — Llista els intervals d'IP que s'han de permetre. Proporcioneu-los en notació CIDR, separats per una coma.

  Important

  Assegureu-vos que els noms de les etiquetes de servei coincideixin exactament amb el que veieu a la pàgina de configuració del tallafoc IP. Si hi ha alguna discrepància, és possible que les restriccions d'IP no funcionin correctament.

• enableipbasedfirewallruleinauditmode : un valor de true indica el mode només d'auditoria, mentre que un valor de false indica el mode d'aplicació .

• allowedservicetagsforfirewall – Llista les etiquetes de servei que s'han de permetre, separades per una coma. Si no voleu configurar cap etiqueta de servei, deixeu el valor nul.

• allowapplicationuseraccess : el valor per defecte és true.

• allowmicrosofttrustedservicetags : el valor per defecte és true.

Provar el tallafoc IP

Hauríeu de provar el tallafoc IP per verificar que funciona.

1. Des d'una adreça IP que no estigui a la llista permesa d'adreces IP per a l'entorn, aneu a l'URI de l'entorn Power Platform .

   La vostra sol·licitud s'ha de rebutjar amb un missatge que digui: "La sol·licitud que intenteu fer és rebutjada perquè l'accés a la vostra IP està bloquejat. Poseu-vos en contacte amb l'administrador per obtenir més informació".

2. Des d'una adreça IP que es troba a la llista permesa d'adreces IP per a l'entorn, navegueu fins a l'URI de l'entorn Power Platform .

   Hauríeu de tenir accés a l'entorn definit per la vostra funció de seguretat.

Us recomanem que proveu primer el tallafoc IP a l'entorn de prova, seguit del mode només d'auditoria a l'entorn de producció abans d'aplicar el tallafoc IP a l'entorn de producció.

Requisits de llicència per al tallafoc IP

El tallafoc IP només s'aplica als entorns activats per als entorns administrats. Els entorns administrats s'inclouen com a dret a les llicències autònomes Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, i del Dynamics 365 que atorguen drets d'ús premium. Obteniu més informació sobre les llicències de l'entorn gestionat amb la informació general de les llicències per Microsoft Power Platform.

A més, l'accés a l'ús del tallafoc IP requereix Dataverse que els usuaris dels entorns on s'aplica el tallafoc IP tinguin una d'aquestes subscripcions:

• Microsoft 365 o Office 365 A5/E5/G5
• Compliment del Microsoft 365 A5/E5/F5/G5
• Seguretat i compliment del Microsoft 365 F5
• Microsoft 365 A5/E5/F5/G5 Protecció de la informació i govern
• Administració de riscos interns del Microsoft 365 A5/E5/F5/G5

Més informació sobre aquestes llicències

Preguntes més freqüents

Què cobreix Power Platform el tallafoc IP?

El tallafoc IP és compatible amb qualsevol Power Platform entorn que inclogui Dataverse.

Quant de temps entra en vigor un canvi a la llista d'adreces IP?

Els canvis a la llista d'adreces IP o intervals permesos solen tenir efecte en uns 5-10 minuts.

Aquesta característica funciona en temps real?

La protecció del tallafoc IP funciona en temps real. Com que la característica funciona a la capa de xarxa, avalua la sol·licitud un cop finalitzada la sol·licitud d'autenticació.

Aquesta característica està habilitada per defecte a tots els entorns?

El tallafoc IP no està activat per defecte. L'administrador Power Platform l'ha d'habilitar per als entorns administrats.

Què és el mode només d'auditoria?

En el mode només d'auditoria, el tallafoc IP identifica les adreces IP que fan trucades a l'entorn i les permet totes, tant si estan en un rang permès com si no. És útil quan configureu restriccions en un Power Platform entorn. Us recomanem que activeu el mode només d'auditoria durant almenys una setmana i que només el desactiveu després d'una revisió acurada dels registres d'auditoria.

Aquesta característica està disponible en tots els entorns?

El tallafoc IP només està disponible per a entorns gestionats.

Hi ha un límit en el nombre d'adreces IP que puc afegir al quadre de text de l'adreça IP?

Podeu afegir fins a 200 intervals d'adreces IP en format CIDR segons RFC 4632, separats per comes.

Què he de fer si les sol·licituds comencen a Dataverse fallar?

Una configuració incorrecta dels intervals d'IP per al tallafoc IP pot estar causant aquest problema. Podeu comprovar i verificar els intervals d'IP a la pàgina de configuració del tallafoc IP. Us recomanem que activeu el tallafoc IP en mode només d'auditoria abans d'aplicar-lo.

Com puc descarregar el registre d'auditoria per al mode només d'auditoria?

Utilitzeu l'API Dataverse OData per baixar les dades del registre d'auditoria en format JSON. El format de l'API de registre d'auditoria és:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substituïu [orgURI] per l'URI de l'entorn Dataverse .
• Definiu el valor de l'acció a 118 per a aquest esdeveniment.
• Definiu el nombre d'elements que voleu retornar a top=1 o especifiqueu el nombre que voleu retornar.

Els meus Power Automate fluxos no funcionen com s'esperava després de configurar el tallafoc IP al meu Power Platform entorn. Què he de fer?

A la configuració del tallafoc IP, permeteu les etiquetes de servei que apareixen a Adreces IP de sortida dels connectors administrats.

He configurat correctament l'adreça del servidor intermediari invers, però el tallafoc IP no funciona. Què he de fer?

Assegureu-vos que el vostre servidor intermediari invers estigui configurat per enviar l'adreça IP del client a la capçalera reenviada.

La funcionalitat d'auditoria del tallafoc IP no funciona al meu entorn. Què he de fer?

Els registres d'auditoria del tallafoc IP no s'admeten als inquilins habilitats per a les claus de xifratge BYOK. Si el vostre inquilí està habilitat per portar la vostra pròpia clau, tots els entorns d'un inquilí habilitat per BYOK només es bloquegen a SQL, per tant, els registres d'auditoria només es poden emmagatzemar a SQL. Us recomanem que migreu a la clau administrada pelclient. Per migrar de BYOK a clau administrada pel client (CMKv2), seguiu els passos de Migració d'entorns BYOK a clau administrada pel client.

El tallafoc IP admet intervals d'IP IPv6?

Sí, el tallafoc IP admet rangs d'IP IPv6.

Passos següents

Seguretat a Microsoft Dataverse