Firewall IP în Power Platform medii

Firewall-ul IP vă ajută să vă protejați datele organizației, limitând accesul utilizatorilor la Microsoft Dataverse numai din locațiile IP permise. Firewall-ul IP analizează adresa IP a fiecărei solicitări în timp real. De exemplu, să presupunem că firewall-ul IP este activat în mediul dvs. de producție Dataverse și adresele IP permise se află în intervalele asociate cu locațiile biroului dvs. și nu cu orice locație IP externă, cum ar fi o cafenea. Dacă un utilizator încearcă să acceseze resursele organizaționale dintr-o cafenea, Dataverse interzice accesul în timp real.

Beneficii cheie

Activarea paravanului de protecție IP în mediile dvs. Power Platform oferă câteva beneficii cheie.

• Reduceți amenințările interne, cum ar fi exfiltrarea datelor: un utilizator rău intenționat care încearcă să descarce date de la Dataverse folosind un instrument client precum Excel sau Power BI de la o locație IP nepermisă este blocat să facă acest lucru în timp real.
• Preveniți atacurile de reluare a simbolurilor: dacă un utilizator fură un jeton de acces și încearcă să îl folosească pentru a accesa Dataverse din afara intervalelor IP permise, Dataverse nega încercarea în timp real.

Protecția IP firewall funcționează atât în ​​scenarii interactive, cât și neinteractive.

Cum funcționează firewall-ul IP?

Când se face o solicitare către Dataverse, adresa IP a solicitării este evaluată în timp real în raport cu intervalele IP configurate pentru mediul Power Platform . Dacă adresa IP se află în intervalele permise, cererea este permisă. Dacă adresa IP se află în afara intervalelor IP configurate pentru mediu, firewall-ul IP respinge solicitarea cu un mesaj de eroare: Solicitarea pe care încercați să o faceți este respinsă deoarece accesul la IP-ul dvs. este blocat. Contactați administratorul pentru mai multe informații.

Cerințe preliminare

• Firewall-ul IP este o caracteristică a Medii gestionate.
• Trebuie să aveți un Power Platform rol de administrator pentru a activa sau dezactiva paravanul de protecție IP.

Activați paravanul de protecție IP

Puteți activa paravanul de protecție IP într-un mediu Power Platform folosind fie Power Platform centrul de administrare, fie Dataverse API-ul OData.

Activați paravanul de protecție IP folosind Power Platform centrul de administrare

1. conectați-vă la Power Platform centrul de administrare ca administrator.

2. Selectați Medii, apoi selectați un mediu.

3. Selectați Setări>Produs>Confidențialitate + securitate.

4. Sub Setările adresei IP, setați Activați regula firewall bazată pe adresa IP la Activat.

5. Sub Lista de intervale IPv4/IPv6 permise, specificați intervalele de IP permise în format de rutare interdomeniu fără clasă (CIDR) conform RFC 4632. Dacă aveți mai multe intervale de IP, separați-le cu o virgulă. Acest câmp acceptă până la 4.000 de caractere alfanumerice și permite maximum 200 de intervale IP. Adresele IPv6 sunt permise atât în ​​format hexazecimal, cât și în format comprimat.

6. Selectați alte setări, după caz:

   • Etichetele de serviciu care trebuie permise de IP firewall: din listă, selectați etichete de serviciu care pot ocoli restricțiile IP firewall.

   • Permiteți accesul pentru serviciile de încredere Microsoft: această setare activează serviciile Microsoft de încredere, cum ar fi monitorizarea și asistența utilizatorului etc. pentru a ocoli restricțiile IP firewall pentru a accesa Power Platform mediul cu Dataverse. Este activată implicit.

   • Permiteți accesul tuturor utilizatorilor aplicației: această setare permite toți utilizatorii aplicației accesul terților și primari la Dataverse API-uri. Este activată implicit. Dacă ștergeți această valoare, blochează doar utilizatorii de aplicații terți.

   • Activați paravanul de protecție IP în modul numai de audit: această setare activează paravanul de protecție IP, dar permite solicitările indiferent de adresa lor IP. Este activată implicit.

   • Adrese IP reverse proxy: dacă organizația dvs. are proxy-uri inverse configurate, introduceți adresele IP separate prin virgule. Setarea proxy inversă se aplică atât pentru legarea cookie-urilor bazată pe IP , cât și pentru firewall-ul IP. Contactați administratorul de rețea pentru a obține adresele IP de proxy invers.

     Notă

     Proxy-ul invers trebuie configurat pentru a trimite adresele IP ale clientului utilizatorului în antetul redirecționat .

7. Selectați Salvați.

Activați paravanul de protecție IP folosind Dataverse API-ul OData

Puteți utiliza Dataverse API-ul OData pentru a prelua și modifica valorile dintr-un Power Platform mediu. Pentru îndrumări detaliate, consultați Interogarea datelor utilizând API-ul web și Actualizarea și ștergerea rândurilor de tabel folosind API-ul web (Microsoft Dataverse).

Aveți flexibilitatea de a selecta instrumentele pe care le preferați. Utilizați următoarea documentație pentru a prelua și modifica valori prin API-ul Dataverse OData:

• Utilizați Insomnia cu Dataverse Web API
• Quick Start Web API cu PowerShell și Visual Studio Code

Configurați paravanul de protecție IP utilizând API-ul OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Încărcătură utilă

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Activați caracteristica setând valoarea la true sau dezactivați-o setând valoarea la false.

• allowiprangeforfirewall — Enumerați intervalele IP care ar trebui permise. Furnizați-le în notație CIDR, separate prin virgulă.

  Important

  Asigurați-vă că numele etichetelor de serviciu se potrivesc exact cu ceea ce vedeți pe pagina de setări a paravanului de protecție IP. Dacă există vreo discrepanță, este posibil ca restricțiile IP să nu funcționeze corect.

• enableipbasedfirewallruleinauditmode – O valoare de true indică modul numai de audit, în timp ce o valoare de false indică modul de aplicare.

• allowservicetagsforfirewall – Listează etichetele de serviciu care ar trebui permise, separate prin virgulă. Dacă nu doriți să configurați nicio etichetă de serviciu, lăsați valoarea nulă.

• allowapplicationuseraccess – Valoarea implicită este true.

• allowmicrosofttrustedservicetags – Valoarea implicită este true.

Testați paravanul de protecție IP

Ar trebui să testați paravanul de protecție IP pentru a verifica dacă funcționează.

1. De la o adresă IP care nu se află în lista de adrese IP permise pentru mediu, navigați la Power Platform URI-ul mediului dvs.

   Solicitarea dvs. ar trebui să fie respinsă cu un mesaj care spune: „Solicitarea pe care încercați să o faceți este respinsă deoarece accesul la IP-ul dvs. este blocat. Contactați administratorul pentru mai multe informații.”

2. De la o adresă IP care se află în lista de adrese IP permise pentru mediu, navigați la Power Platform URI-ul mediului dvs.

   Ar trebui să aveți acces la mediul care este definit de rolul dvs. de securitate.

Vă recomandăm să testați mai întâi paravanul de protecție IP în mediul dvs. de testare, urmat de modul numai de audit în mediul de producție înainte de a aplica paravanul de protecție IP în mediul dvs. de producție.

Cerințe de licențiere pentru firewall IP

Firewall IP este aplicat numai în mediile care sunt activate pentru medii gestionate. Mediile gestionate sunt incluse ca drepturi în licențele autonome Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages și Dynamics 365 care oferă drepturi de utilizare premium. Aflați mai multe despre licențele pentru mediu gestionat cu Prezentarea generală a licențelor pentru Microsoft Power Platform.

În plus, accesul la utilizarea IP firewall pentru Dataverse necesită ca utilizatorii din mediile în care este aplicat IP firewall să aibă unul dintre aceste abonamente:

• Microsoft 365 sau Office 365 A5/E5/G5
• Conformitate Microsoft 365 A5/E5/F5/G5
• Securitate și conformitate Microsoft 365 F5
• Protecția informațiilor și guvernanța Microsoft 365 A5/E5/F5/G5
• Gestionarea riscurilor interne Microsoft 365 A5/E5/F5/G5

Aflați mai multe despre aceste licențe

Întrebări frecvente

Ce acoperă paravanul de protecție IP în Power Platform?

Paravanul de protecție IP este acceptat în orice Power Platform mediu care include Dataverse.

Cât de curând intră în vigoare o modificare a listei de adrese IP?

Modificările aduse listei de adrese sau intervale IP permise intră în vigoare de obicei în aproximativ 5-10 minute.

Funcționează această caracteristică în timp real?

Protecția IP firewall funcționează în timp real. Deoarece caracteristica funcționează la nivelul rețelei, evaluează cererea după ce cererea de autentificare este finalizată.

Este această caracteristică activată implicit în toate mediile?

Firewall-ul IP nu este activat în mod implicit. Power Platform Administratorul trebuie să îl activeze pentru mediile gestionate.

Ce este modul numai de audit?

În modul numai de audit, firewall-ul IP identifică adresele IP care fac apeluri către mediu și le permite pe toate, indiferent dacă se află sau nu într-un interval permis. Este util atunci când configurați restricții pentru un Power Platform mediu. Vă recomandăm să activați modul numai de audit timp de cel puțin o săptămână și să îl dezactivați numai după o examinare atentă a jurnalele de audit.

Este această caracteristică disponibilă în toate mediile?

Firewall-ul IP este disponibil numai pentru Mediile gestionate .

Există o limită a numărului de adrese IP pe care le pot adăuga în caseta de text adresa IP?

Puteți adăuga până la 200 de intervale de adrese IP în format CIDR conform RFC 4632, separate prin virgule.

Ce ar trebui să fac dacă cererile de Dataverse încep să eșueze?

O configurație incorectă a intervalelor IP pentru firewall IP ar putea cauza această problemă. Puteți verifica și verifica intervalele IP pe pagina de setări IP firewall. Vă recomandăm să activați paravanul de protecție IP în modul doar de audit înainte de a-l aplica.

Cum descarc jurnalul de audit pentru modul numai de audit?

Utilizați Dataverse API-ul OData pentru a descărca datele jurnalului de audit în format JSON. Formatul API-ului jurnalului de audit este:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Înlocuiți [orgURI] cu Dataverse URI de mediu.
• Setați valoarea acțiunii la 118 pentru acest eveniment.
• Setați numărul de articole de returnat în top=1 sau specificați numărul pe care doriți să îl returnați.

Fluxurile mele Power Automate nu funcționează conform așteptărilor după configurarea paravanului de protecție IP în Power Platform mediul meu. Ce trebuie să fac?

În setările IP firewall, permiteți etichetele de serviciu enumerate în Adresele IP de ieșire ale conectorilor gestionați.

Am configurat corect adresa proxy inversă, dar firewall-ul IP nu funcționează. Ce trebuie să fac?

Asigurați-vă că proxy-ul dvs. invers este configurat pentru a trimite adresa IP a clientului în antetul redirecționat.

Funcționalitatea de auditare a paravanului de protecție IP nu funcționează în mediul meu. Ce trebuie să fac?

Jurnalele de auditare a paravanului de protecție IP nu sunt acceptate în chiriașii activați pentru cheile de criptare aport-your-your-own-key (BYOK) . Dacă chiriașul dvs. este activat pentru aducerea propriei chei, atunci toate mediile dintr-un chiriaș activat pentru BYOK sunt blocate numai la SQL, prin urmare jurnalele de audit pot fi stocate numai în SQL. Vă recomandăm să migrați la cheie gestionată de client. Pentru a migra de la BYOK la cheia gestionată de client (CMKv2), urmați pașii din Migrați mediile de aducere-cheie proprie (BYOK) la cheia gestionată de client.

Firewall-ul IP acceptă intervalele IPv6 IP?

Da, paravanul de protecție IP acceptă intervale IPv6 IP.

Pașii următori

Securitate în Microsoft Dataverse