ИП заштитни зид у Power Platform окружењима
ИП заштитни зид помаже у заштити ваших организационих података ограничавањем корисничког приступа Microsoft Dataverse само са дозвољених ИП локација. ИП заштитни зид анализира ИП адресу сваког захтева у реалном времену. На пример, претпоставимо да је ИП заштитни зид укључен у вашем производном Dataverse окружењу, а дозвољене ИП адресе су у опсегу повезаном са локацијама ваше канцеларије, а не било која спољна ИП локација као што је кафић. Ако корисник покуша да приступи организационим ресурсима из кафића,ускраћује Dataverse приступ у реалном времену.
Кључне предности
Омогућавање ИП заштитног зида у вашим Power Platform окружењима нуди неколико кључних предности.
- Ублажите инсајдерске претње као што су ексфилтрација података: Злонамерни корисник који покушава да преузме податке помоћу Dataverse клијентског алата као што је Екцел или Power BI са недозвољене ИП локације је блокиран да то учини у реалном времену.
- Спречите токен реплаи нападе : Ако корисник украде < ДИЦТ__токен за приступ > аццесс токен и покуша да га користи за приступ Dataverse ван дозвољених ИП опсега,негира Dataverse покушај у реалном времену.
ИП заштитни зид заштита ради у интерактивним и неинтерактивним сценаријима.
Како функционише ИП заштитни зид?
Када се Dataverse поднесе захтев, ИП адреса захтева се процењује у реалном времену у односу на ИП опсеге конфигурисане за Power Platform окружење. Ако је ИП адреса у дозвољеним опсегима, захтев је дозвољен. Ако је ИП адреса изван ИП опсега конфигурисаних за окружење, ИП заштитни зид одбија захтев са поруком о грешци: Захтев који покушавате да направите је одбијен јер је приступ вашој ИП адреси блокиран. Обратите се свом администратору за више информација.
Предуслови
- ИП заштитни зид је карактеристика < ДИЦТ__Надгледана окружења > Манагед Енвиронментс.
- Морате имати улогу администратора Power Platform да бисте омогућили или онемогућили ИП заштитни зид.
Омогућите ИП заштитни зид
ИП заштитни зид можете омогућити у Power Platform окружењу помоћу администраторског Power Platform центра или ОДата АПИ-ја Dataverse .
Омогућите ИП заштитни зид користећи Power Platform админ центар
Пријавите се у Power Platform Админ центар као администратор.
Изаберите Окружења, а затим изаберите окружење.
Изаберите Поставке>Производ>Приватност + безбедност.
Под подешавањима ИП адресе, подесите Омогући правило заштитног зида на основу ИП адресе на Укључено.
Под Дозвољена листа IPv4 / IPv6 опсега , наведите дозвољене ИП опсеге у бескласном интердомаин роутинг (ЦИДР) формату према РФЦ 4632. Ако имате више ИП опсега, одвојите их зарезом. Ово поље прихвата до 4.000 алфанумеричких знакова и дозвољава максимално 200 ИП опсега. IPv6 адресе су дозвољене и у хексадецималном и компримованом формату.
Изаберите друга подешавања, по потреби:
Сервисне ознаке које ће дозволити ИП заштитни зид : Са листе изаберите сервисне ознаке које могу заобићи ограничења ИП заштитног зида.
Дозволите приступ за #глср_цихцфјајз поуздане услуге : Ова поставка омогућава #глср_цихцфјајз поузданим услугама као што су праћење и подршка кориснику итд. да заобиђу ограничења ИП заштитног зида за приступ Power Platform окружењу Dataverse. Подразумевано омогућено.
Дозволи приступ за све кориснике апликација: Ова поставка омогућава свим корисницима апликација треће стране и прве стране приступ Dataverse АПИ-јима. Подразумевано омогућено. Ако обришете ову вредност, она блокира само кориснике апликација независних произвођача.
Омогућите ИП заштитни зид у режиму само за ревизију: Ова поставка омогућава ИП заштитни зид, али дозвољава захтеве без обзира на њихову ИП адресу. Подразумевано омогућено.
Обрнуте прокси ИП адресе : Ако ваша организација има конфигурисане обрнуте пуномоћнике, унесите ИП адресе одвојене зарезима. Поставка обрнутог проки се односи и на везивање колачића заснованог на ИП-у и на ИП заштитни зид. Обратите се администратору мреже да бисте добили обрнуте прокси ИП адресе.
Белешка
Обрнути проки мора бити конфигурисан да пошаље ИП адресе корисника клијента у прослеђеном заглављу.
Изаберите ставку Сачувај.
Омогућите ИП заштитни зид користећи Dataverse ОДата АПИ
Можете користити Dataverse ОДата АПИ за преузимање и модификовање вредности унутар окружења Power Platform . За детаљна упутства, погледајте Упитни подаци помоћу Веб АПИ-ја и Ажурирајте и избришите редове табеле помоћу Веб АПИ-ја ( Microsoft Dataverse).
Имате флексибилност да изаберете алате које желите. Користите следећу документацију да бисте преузели и модификовали вредности преко ОДата АПИ-ја Dataverse :
- Користите Инсомниа са Веб АПИ-јем Dataverse
- Брзи почетак Веб АПИ-ја са #глср_цихцдиедз и Visual Studio кодом
Конфигуришите ИП заштитни зид помоћу ОДата АПИ-ја
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
Товар
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
енаблеипбаседфиреwаллруле – Омогућите функцију постављањем вредности на труе , или је онемогућите постављањем вредности на фалсе.
аллоwедипрангефорфиреwалл — Списак ИП опсега који би требало да буду дозвољени. Наведите их у ЦИДР нотацији, одвојене зарезом.
Важно
Уверите се да имена сервисних ознака тачно одговарају ономе што видите на страници са подешавањима ИП заштитног зида. Ако постоји било какво одступање, ИП ограничења можда неће радити исправно.
енаблеипбаседфиреwаллрулеинаудитмоде – Вредност труе означава режим само за ревизију, док вредност фалсе означава режим спровођења.
аллоwедсервицетагсфорфиреwалл – Наведите сервисне ознаке које би требало да буду дозвољене, одвојене зарезом. Ако не желите да конфигуришете било какве сервисне ознаке, оставите вредност нулл.
аллоwапплицатионусераццесс – Подразумевана вредност је истинита.
аллоwмицрософттрустедсервицетагс – Подразумевана вредност је истинита.
Важно
Када су опције Дозволи приступ за #глср_цихцфјајз поуздане услуге и Дозволи приступ свим корисницима апликација онемогућене, неке услуге које користе Dataverse, као што Power Automate су токови, можда више неће радити.
Тестирајте ИП заштитни зид
Требало би да тестирате ИП заштитни зид да бисте проверили да ради.
Са ИП адресе која није на дозвољеној листи ИП адреса за окружење, претражите Power Platform УРИ окружења.
Ваш захтев треба да буде одбијен са поруком која каже: "Захтев који покушавате да направите је одбијен јер је блокиран приступ вашој ИП адреси. Обратите се свом администратору за више информација. "
Са ИП адресе која се налази на дозвољеној листи ИП адреса за окружење, потражите Power Platform УРИ окружења.
Требало би да имате приступ окружењу које је дефинисано вашим < ДИЦТ__безбедносна улога > сецуритy роле.
Препоручујемо да прво тестирате ИП заштитни зид у вашем тестном окружењу, а затим режим само за ревизију у производном окружењу пре него што примените ИП заштитни зид у вашем производном окружењу.
Белешка
По дефаулту, ТДС < ДИЦТ__крајња тачка > ендпоинт је укључен у Power Platform окружењу.
Захтеви за лиценцирање ИП заштитног зида
ИП заштитни зид се примењује само на окружењима која су активирана за < ДИЦТ__Надгледана окружења > Манагед Енвиронментс. < ДИЦТ__Надгледана окружења >Манагед Енвиронментс су укључени као право у самосталним Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages и #глср_цихцдецдз лиценцама које дају премиум права коришћења. Сазнајте више о лиценцирању управљаног окружења са прегледом лиценцирања за Microsoft Power Platform.
Поред тога, приступ коришћењу ИП заштитног зида захтева Dataverse од корисника у окружењима у којима се примењује ИП заштитни зид да имају једну од ових претплата:
- Microsoft 365 или Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 усаглашеност
- Microsoft 365 F5 безбедност и усаглашеност
- Microsoft 365 A5/E5/F5/G5 заштита информација и управљање њима
- Microsoft 365 A5/E5/F5/G5 управљање инсајдерским ризиком
Сазнајте више о овим лиценцама
Најчешћа питања
Шта покрива ИП заштитни зид Power Platform?
ИП заштитни зид је подржан у било ком Power Platform окружењу које укључује Dataverse.
Колико брзо промена на листи ИП адреса ступа на снагу?
Промене на листи дозвољених ИП адреса или опсега обично ступају на снагу за око 5-10 минута.
Да ли ова функција функционише у реалном времену?
ИП заштитни зид ради у реалном времену. Пошто функција ради на мрежној слој, она процењује захтев након што је захтев за аутентификацију завршен.
Да ли је ова функција подразумевано омогућена у свим окружењима?
ИП заштитни зид није подразумевано омогућен. Администратор Power Platform треба да га омогући за < ДИЦТ__Надгледана окружења > Манагед Енвиронментс.
Шта је режим само за ревизију?
У режиму само за ревизију, ИП заштитни зид идентификује ИП адресе које упућују позиве у околину и омогућава им све, без обзира да ли су у дозвољеном опсегу или не. Корисно је када конфигуришете ограничења у Power Platform окружењу. Препоручујемо да омогућите режим ревизије само за најмање недељу дана и онемогућите га тек након пажљивог прегледа евиденције ревизије.
Да ли је ова функција доступна у свим окружењима?
ИП заштитни зид је доступан само за < ДИЦТ__Надгледана окружења > Манагед Енвиронментс .
Да ли постоји ограничење броја ИП адреса које могу додати у поље за текст ИП адресе?
Можете додати до 200 опсега ИП адреса у ЦИДР формату према РФЦ 4632 , одвојеним зарезима.
Шта да радим ако захтеви почну Dataverse да пропадају?
Погрешна конфигурација ИП опсега за ИП заштитни зид може бити узрок овог проблема. Можете проверити и проверити ИП опсеге на страници са подешавањима ИП заштитног зида. Препоручујемо да укључите ИП заштитни зид у режиму само за ревизију пре него што га спроведете.
Како да преузмем дневник ревизије за режим само за ревизију?
Користите Dataverse ОДата АПИ да бисте преузели податке дневника ревизије у ЈСОН формату. Формат АПИ-ја дневника ревизије је:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- Замени [оргУРИ ] са Dataverse УРИ окружења.
- Подесите вредност акције на 118 за овај догађај.
- Подесите број ставки које желите да се вратите у топ = КСНУМКС или одредите број који желите да вратите.
Моји Power Automate токови не раде како се очекивало након конфигурисања ИП заштитног зида у мом Power Platform окружењу. Шта да радим?
У подешавањима ИП заштитног зида, дозволите ознаке услуга наведене у Управљани конектори одлазне ИП адресе.
Исправно сам конфигурисао обрнуту прокси адресу, али ИП заштитни зид не ради. Шта да радим?
Уверите се да је ваш обрнути прокси конфигурисан да пошаље ИП адресу клијента у прослеђеном заглављу.
Функционалност ревизије ИП заштитног зида не ради у мом окружењу. Шта да радим?
Евиденције ревизије ИП заштитног зида нису подржане у станарима који су омогућени за кључеве за шифровање "донесите сопствени кључ" (БИОК). Ако је ваш клијент омогућен за донеси-свој-кључ, онда су сва окружења у БYОК-омогућеном клијенту закључана само на #глср_цихцејјдз, стога се евиденције ревизије могу чувати само у #глср_цихцејјдз. Препоручујемо да мигрирате на кључ којим управља клијент. Да бисте мигрирали са БИОК-а на кључ којим управља клијент (ЦМКвКСНУМКС), следите кораке у Мигрирајте окружења за доношење сопственог кључа (БИОК) на кључ којим управља клијент.
Да ли ИП заштитни зид подржава ИПвКСНУМКС ИП опсеге?
Да, ИП заштитни зид подржава IPv6 ИП опсеге.