IP užkarda aplinkose Power Platform

IP užkarda padeda apsaugoti jūsų organizacijos duomenis, apribodama vartotojo prieigą Microsoft Dataverse tik iš leidžiamų IP vietų. IP užkarda analizuoja kiekvienos užklausos IP adresą realiuoju laiku. Pavyzdžiui, tarkime, kad IP užkarda yra įjungta jūsų gamybos Dataverse aplinkoje, o leidžiami IP adresai yra diapazonuose, susietuose su jūsų biuro vietomis, o ne bet kokia išorine IP vieta, pvz., kavine. Jei vartotojas bando pasiekti organizacinius išteklius iš kavinės, Dataverse neleidžia pasiekti prieigos realiuoju laiku.

Pagrindiniai privalumai

IP ugniasienės įjungimas jūsų Power Platform aplinkoje suteikia keletą pagrindinių pranašumų.

• Sumažinkite vidines grėsmes, pvz., duomenų išfiltravimą: kenkėjiškas vartotojas, bandantis atsisiųsti duomenis iš Dataverse kliento įrankio, pvz., "Excel", arba Power BI iš neleistinos IP vietos, negali to daryti realiuoju laiku.
• Užkirsti kelią žetonų pakartojimo atakoms: jei vartotojas pavogia prieigos atpažinimo ženklą ir bando jį naudoti prieigai Dataverse iš už leidžiamų IP diapazonų ribų, Dataverse bandymas atmetamas realiuoju laiku.

IP ugniasienės apsauga veikia tiek interaktyviuose, tiek neinteraktyviuose scenarijuose.

Kaip veikia IP užkarda?

Kai pateikiama užklausa Dataverse, užklausos IP adresas realiuoju laiku įvertinamas pagal IP diapazonus, Power Platform sukonfigūruotus aplinkai. Jei IP adresas yra leistinuose diapazonuose, užklausa leidžiama. Jei IP adresas nepatenka į aplinkai sukonfigūruotus IP diapazonus, IP užkarda atmeta užklausą pateikdama klaidos pranešimą:Užklausa, kurią bandote pateikti, atmetama, nes prieiga prie jūsų IP yra užblokuota. Norėdami gauti daugiau informacijos, kreipkitės į administratorių.

Būtinosios sąlygos

• IP užkarda yra valdomų aplinkų funkcija.
• Norėdami įjungti arba išjungti IP užkardą, turite turėti administratoriaus Power Platform vaidmenį.

Įjunkite IP užkardą

IP užkardą Power Platform aplinkoje galite įjungti naudodami Power Platform administravimo centrą arba Dataverse "OData" API.

Įgalinkite IP užkardą naudodami Power Platform administravimo centrą

1. Prisijunkite prie Power Platform administravimo centro kaip administratorius.

2. Pasirinkite Aplinkos, tada pasirinkite aplinką.

3. Pasirinkite Parametrai>Produktas>Privatumas + sauga.

4. Dalyje IP adreso parametrai nustatykite parinkties Įjungti IP adresu pagrįstą užkardos taisyklę reikšmę į Įjungta.

5. Dalyje Leidžiamas IPv4/IPv6 diapazonų sąrašas nurodykite leidžiamus IP diapazonus beklasiu tarpdomeninio kelvados (CIDR) formatu pagal RFC 4632. Jei turite kelis IP diapazonus, atskirkite juos kableliu. Šis laukas priima iki 4 000 raidinių ir skaitinių simbolių ir leidžia naudoti ne daugiau kaip 200 IP diapazonų. IPv6 adresai leidžiami tiek šešioliktainiu, tiek suglaudintu formatu.

6. Pasirinkite kitus parametrus, jei reikia:

   • Paslaugų žymos, kurias turi leisti IP užkarda: sąraše pasirinkite paslaugų žymas, kurios gali apeiti IP užkardos apribojimus.

   • Leisti prieigą prie "Microsoft" patikimų paslaugų: šis parametras leidžia "Microsoft" patikimoms paslaugoms, pvz., vartotojo stebėjimui ir palaikymui ir kt., apeiti IP užkardos apribojimus, kad būtų galima pasiekti Power Platform aplinką Dataverse. Įgalinta pagal numatytuosius parametrus.

   • Leisti prieigą visiems programos vartotojams: šis nustatymas suteikia visiems programos vartotojams , trečiosios šalies ir pirmosios šalies prieigą prie Dataverse API. Įgalinta pagal numatytuosius parametrus. Jei išvalysite šią reikšmę, ji blokuos tik trečiųjų šalių programų vartotojus.

   • Įjunkite IP užkardą tik audito režimu: šis nustatymas įgalina IP užkardą, bet leidžia užklausas neatsižvelgiant į jų IP adresą. Įgalinta pagal numatytuosius parametrus.

   • Atvirkštiniai tarpinio serverio IP adresai: jei jūsų organizacija sukonfigūravo atvirkštinius tarpinius serverius, įveskite kableliais atskirtus IP adresus. Atvirkštinio tarpinio serverio nustatymas taikomas tiek IP pagrįstam slapukų susiejimui , tiek IP užkardai. Susisiekite su tinklo administratoriumi, kad gautumėte atvirkštinio tarpinio serverio IP adresus.

     Pastaba.

     Atvirkštinis tarpinis serveris turi būti sukonfigūruotas siųsti vartotojo kliento IP adresus persiųstoje antraštėje.

7. Pasirinkite Įrašyti.

Įgalinkite IP užkardą naudodami Dataverse "OData" API

"OData" Dataverse API galite naudoti norėdami gauti ir modifikuoti aplinkos reikšmes Power Platform . Išsamių nurodymų ieškokite Užklausos duomenys naudojant žiniatinklio API ir Lentelės eilučių naujinimas ir naikinimas naudojant žiniatinklio API (Microsoft Dataverse).

Galite lanksčiai pasirinkti pageidaujamus įrankius. Norėdami gauti ir modifikuoti reikšmes naudodami Dataverse "OData" API, naudokite šią dokumentaciją:

• Naudokite nemiga su Dataverse žiniatinklio API
• Greito pasirengimo darbui žiniatinklio API su "PowerShell" ir Visual Studio kodu

IP užkardos konfigūravimas naudojant "OData" API

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Mokamoji krova

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – įjunkite funkciją nustatydami reikšmę į true arba išjunkite ją nustatydami reikšmę į false.

• allowediprangeforfirewall - Išvardykite IP diapazonus, kurie turėtų būti leidžiami. Pateikite juos CIDR žymėjime, atskirtame kableliu.

  Svarbu

  Įsitikinkite, kad tarnybos žymų pavadinimai tiksliai atitinka tai, ką matote IP užkardos parametrų puslapyje. Jei yra kokių nors neatitikimų, IP apribojimai gali veikti netinkamai.

• enableipbasedfirewallruleinauditmode – reikšmė true nurodo tik audito režimą, o klaidinga reikšmė rodo vykdymo režimą.

• allowedservicetagsforfirewall – išvardykite tarnybos žymes, kurios turėtų būti leidžiamos, atskirtas kableliu. Jei nenorite konfigūruoti jokių tarnybos žymių, palikite reikšmę neapibrėžtą.

• allowapplicationuseraccess – Numatytoji reikšmė yra teisinga.

• allowmicrosofttrustedservicetags – numatytoji reikšmė yra teisinga.

Išbandykite IP užkardą

Turėtumėte išbandyti IP užkardą, kad įsitikintumėte, jog ji veikia.

1. Iš IP adreso, kurio nėra leidžiamame aplinkos IP adresų sąraše, eikite į savo Power Platform aplinkos URI.

   Jūsų užklausa turėtų būti atmesta pranešimu, kuriame sakoma: "Užklausa, kurią bandote pateikti, atmetama, nes prieiga prie jūsų IP yra užblokuota. Norėdami gauti daugiau informacijos, susisiekite su administratoriumi."

2. Iš IP adreso, kuris yra leidžiamame aplinkos IP adresų sąraše, eikite į savo Power Platform aplinkos URI.

   Turėtumėte turėti prieigą prie aplinkos, kurią apibrėžia jūsų saugos vaidmuo.

Rekomenduojame pirmiausia išbandyti IP užkardą bandymo aplinkoje, o po to – tik audito režimą gamybos aplinkoje, prieš pradedant taikyti IP užkardą savo gamybos aplinkoje.

IP užkardos licencijavimo reikalavimai

IP užkarda taikoma tik tose aplinkose, kurios suaktyvintos valdomose aplinkose. Valdomos aplinkos yra įtrauktos kaip teisių suteikimas į atskiras Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages, ir "Dynamics 365" licencijas, kurios suteikia aukščiausios kokybės naudojimo teises. Sužinokite daugiau apie valdomosios aplinkos licencijavimą naudodami licencijavimo apžvalgą Microsoft Power Platform.

Be to, norint gauti prieigą prie IP užkardos Dataverse naudojimo, aplinkose, kuriose vykdoma IP užkarda, vartotojai turi turėti vieną iš šių prenumeratų:

• „Microsoft 365“ arba „Office 365“ A5 / E5 / G5
• „Microsoft 365“ A5 / E5 / F5 / G5 atitiktis
• „Microsoft 365 F5“ sauga ir atitiktis
• „Microsoft 365“ A5/E5/F5/G5 informacijos apsauga ir valdymas
• „Microsoft 365“ A5 / E5 / F5 / G5 prekybos naudojantis viešai neatskleista informacija rizikos valdymas

Sužinokite daugiau apie šias licencijas

Dažnai užduodami klausimai (DUK)

Ką apima IP užkarda Power Platform?

IP užkarda palaikoma bet kurioje Power Platform aplinkoje, kuri apima Dataverse.

Kaip greitai įsigalioja IP adresų sąrašo pakeitimas?

Leidžiamų IP adresų ar diapazonų sąrašo pakeitimai paprastai įsigalioja maždaug per 5–10 minučių.

Ar ši funkcija veikia realiuoju laiku?

IP ugniasienės apsauga veikia realiuoju laiku. Kadangi funkcija veikia tinklo sluoksnyje, ji įvertina užklausą po to, kai autentifikavimo užklausa yra baigta.

Ar ši funkcija pagal numatytuosius parametrus įgalinta visose aplinkose?

IP užkarda neįjungta pagal numatytuosius nustatymus. Administratorius Power Platform turi jį įjungti valdomose aplinkose.

Kas yra tik audito režimas?

Tik audito režimu IP užkarda identifikuoja IP adresus, kurie skambina į aplinką, ir leidžia juos visus, nesvarbu, ar jie yra leidžiamame diapazone, ar ne. Tai naudinga, kai konfigūruojate aplinkos apribojimus Power Platform . Rekomenduojame bent savaitei įjungti tik audito režimą ir jį išjungti tik atidžiai peržiūrėjus audito žurnalus.

Ar ši funkcija pasiekiama visose aplinkose?

IP užkardą galima naudoti tik valdomose aplinkose .

Ar ribojamas IP adresų, kuriuos galiu įtraukti į teksto lauką IP adresas, skaičius?

Galite pridėti iki 200 IP adresų diapazonų CIDR formatu pagal RFC 4632, atskirtus kableliais.

Ką daryti, Dataverse jei užklausos pradeda žlugti?

Šią problemą gali sukelti neteisinga IP užkardos IP diapazonų konfigūracija. IP diapazonus galite patikrinti ir patikrinti IP užkardos nustatymų puslapyje. Rekomenduojame įjungti IP užkardą tik audito režimu prieš ją vykdant.

Kaip atsisiųsti audito žurnalą, skirtą tik audito režimui?

Naudokite "OData" API, Dataverse kad atsisiųstumėte audito žurnalo duomenis JSON formatu. Audito žurnalo API formatas yra:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Pakeiskite [orgURI] aplinkos Dataverse URI.
• Nustatykite šio įvykio veiksmo reikšmę 118 .
• Nustatykite grąžinamų elementų skaičių viršuje =1 arba nurodykite skaičių, kurį norite grąžinti.

Mano Power Automate srautai neveikia taip, kaip tikėtasi sukonfigūravus IP užkardą mano Power Platform aplinkoje. Ką daryti?

IP užkardos parametruose leiskite tarnybos žymes, išvardytas dalyje Valdomos jungtys, siunčiamų IP adresai.

Teisingai sukonfigūravau atvirkštinį tarpinio serverio adresą, bet neveikia IP užkarda. Ką daryti?

Įsitikinkite, kad atvirkštinis tarpinis serveris sukonfigūruotas siųsti kliento IP adresą persiųstoje antraštėje.

IP užkardos audito funkcija neveikia mano aplinkoje. Ką daryti?

IP užkardos audito žurnalai nepalaikomi nuomotojuose, kuriuose įgalinti atsinešti savo raktą (BYOK) šifravimo raktai. Jei jūsų nuomotojui įjungtas atsinešimo savo raktas, tada visos BYOK įgalinto nuomotojo aplinkos yra užrakintos tik SQL, todėl audito žurnalus galima saugoti tik SQL. Rekomenduojame pereiti prie kliento valdomo rakto. Norėdami pereiti iš BYOK į kliento valdomą raktą (CMKv2), atlikite veiksmus, nurodytus Aplinkos perkelkite savo raktą (BYOK) į kliento valdomą raktą.

Ar IP užkarda palaiko IPv6 IP diapazonus?

Taip, IP užkarda palaiko IPv6 IP diapazonus.

Paskesni veiksmai

Saugumas Microsoft Dataverse