Deli putem

IP zaštitni zid u Power Platform okruženjima

  • Članak

IP zaštitni zid pomaže u zaštiti vaših organizacionih podataka ograničavanjem korisničkog pristupa Microsoft Dataverse samo sa dozvoljenih IP lokacija. IP zaštitni zid analizira IP adresu svakog zahteva u realnom vremenu. Na primer, pretpostavimo da je IP zaštitni zid uključen u vašem proizvodnom Dataverse okruženju, a dozvoljene IP adrese su u opsegu povezanom sa lokacijama vaše kancelarije, a ne bilo koja spoljna IP lokacija kao što je kafić. Ako korisnik pokuša da pristupi organizacionim resursima iz kafića,uskraćuje Dataverse pristup u realnom vremenu.

Dijagram koji ilustruje funkciju IP zaštitnog zida u Dataverse.

Ključne prednosti

Omogućavanje IP zaštitnog zida u vašim Power Platform okruženjima nudi nekoliko ključnih prednosti.

  • Ublažite insajderske pretnje kao što su eksfiltracija podataka: Zlonamerni korisnik koji pokušava da preuzme podatke pomoću Dataverse klijentskog alata kao što je Ekcel ili Power BI sa nedozvoljene IP lokacije je blokiran da to učini u realnom vremenu.
  • Sprečite token replai napade: Ako korisnik ukrade token za pristup i pokuša da ga koristi za pristup Dataverse van dozvoljenih IP opsega,negira Dataverse pokušaj u realnom vremenu.

IP zaštitni zid zaštita radi u interaktivnim i neinteraktivnim scenarijima.

Kako funkcioniše IP zaštitni zid?

Kada se Dataverse podnese zahtev, IP adresa zahteva se procenjuje u realnom vremenu u odnosu na IP opsege konfigurisane za Power Platform okruženje. Ako je IP adresa u dozvoljenim opsegima, zahtev je dozvoljen. Ako je IP adresa izvan IP opsega konfigurisanih za okruženje, IP zaštitni zid odbija zahtev sa porukom o grešci: Zahtev koji pokušavate da napravite je odbijen jer je pristup vašoj IP adresi blokiran. Obratite se svom administratoru za više informacija.

Preduslovi

  • IP zaštitni zid je karakteristika Nadgledana okruženja.
  • Morate imati ulogu administratora Power Platform da biste omogućili ili onemogućili IP zaštitni zid.

Omogućite IP zaštitni zid

IP zaštitni zid možete omogućiti u Power Platform okruženju pomoću administratorskog Power Platform centra ili OData API-ja Dataverse .

Omogućite IP zaštitni zid koristeći Power Platform admin centar

  1. Prijavite se u Power Platform Admin centar kao administrator.

  2. Izaberite Okruženja, a zatim izaberite okruženje.

  3. Izaberite Postavke>Proizvod>Privatnost + bezbednost.

  4. Pod podešavanjima IP adrese, podesite Omogući pravilo zaštitnog zida na osnovu IP adrese na Uključeno.

  5. Pod Dozvoljena lista IPv4 / IPv6 opsega, navedite dozvoljene IP opsege u besklasnom interdomain routing (CIDR) formatu prema RFC 4632. Ako imate više IP opsega, odvojite ih zarezom. Ovo polje prihvata do 4.000 alfanumeričkih znakova i dozvoljava maksimalno 200 IP opsega. IPv6 adrese su dozvoljene i u heksadecimalnom i komprimovanom formatu.

  6. Izaberite druga podešavanja, po potrebi:

    • Servisne oznake koje će dozvoliti IP zaštitni zid: Sa liste izaberite servisne oznake koje mogu zaobići ograničenja IP zaštitnog zida.

    • Dozvolite pristup za Microsoft pouzdane usluge: Ova postavka omogućava Microsoft pouzdanim uslugama kao što su praćenje i podrška korisniku itd. da zaobiđu ograničenja IP zaštitnog zida za pristup Power Platform okruženju Dataverse. Podrazumevano omogućeno.

    • Dozvoli pristup za sve korisnike aplikacija: Ova postavka omogućava svim korisnicima aplikacija treće strane i prve strane pristup Dataverse API-jima. Podrazumevano omogućeno. Ako obrišete ovu vrednost, ona blokira samo korisnike aplikacija nezavisnih proizvođača.

    • Omogućite IP zaštitni zid u režimu samo za reviziju: Ova postavka omogućava IP zaštitni zid, ali dozvoljava zahteve bez obzira na njihovu IP adresu. Podrazumevano omogućeno.

    • Obrnute proksi IP adrese: Ako vaša organizacija ima konfigurisane obrnute punomoćnike, unesite IP adrese odvojene zarezima. Postavka obrnutog proki se odnosi i na vezivanje kolačića zasnovanog na IP-u i na IP zaštitni zid. Obratite se administratoru mreže da biste dobili obrnute proksi IP adrese.

      Belešku

      Obrnuti proki mora biti konfigurisan da pošalje IP adrese korisnika klijenta u prosleđenom zaglavlju.

  7. Izaberite stavku Sačuvaj.

Omogućite IP zaštitni zid koristeći Dataverse OData API

Možete koristiti Dataverse OData API za preuzimanje i modifikovanje vrednosti unutar okruženja Power Platform . Za detaljna uputstva, pogledajte Upitni podaci pomoću Veb API-ja i Ažurirajte i izbrišite redove tabele pomoću Veb API-ja (Microsoft Dataverse).

Imate fleksibilnost da izaberete alate koje želite. Koristite sledeću dokumentaciju da biste preuzeli i modifikovali vrednosti preko OData API-ja Dataverse :

Konfigurišite IP zaštitni zid pomoću OData API-ja

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Tovar

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule – Omogućite funkciju postavljanjem vrednosti na true, ili je onemogućite postavljanjem vrednosti na false.

  • allowediprangeforfirewall — Spisak IP opsega koji bi trebalo da budu dozvoljeni. Navedite ih u CIDR notaciji, odvojene zarezom.

    Važno

    Uverite se da imena servisnih oznaka tačno odgovaraju onome što vidite na stranici sa podešavanjima IP zaštitnog zida. Ako postoji bilo kakvo odstupanje, IP ograničenja možda neće raditi ispravno.

  • enableipbasedfirewallruleinauditmode – Vrednost true označava režim samo za reviziju, dok vrednost false označava režim sprovođenja.

  • allowedservicetagsforfirewall – Navedite servisne oznake koje bi trebalo da budu dozvoljene, odvojene zarezom. Ako ne želite da konfigurišete bilo kakve servisne oznake, ostavite vrednost null.

  • allowapplicationuseraccess – Podrazumevana vrednost je istinita.

  • allowmicrosofttrustedservicetags – Podrazumevana vrednost je istinita.

Važno

Kada su opcije Dozvoli pristup za Microsoft pouzdane usluge i Dozvoli pristup svim korisnicima aplikacija onemogućene, neke usluge koje koriste Dataverse, kao što Power Automate su tokovi, možda više neće raditi.

Testirajte IP zaštitni zid

Trebalo bi da testirate IP zaštitni zid da biste proverili da radi.

  1. Sa IP adrese koja nije na dozvoljenoj listi IP adresa za okruženje, pretražite Power Platform URI okruženja.

    Vaš zahtev treba da bude odbijen sa porukom koja kaže: "Zahtev koji pokušavate da napravite je odbijen jer je blokiran pristup vašoj IP adresi. Obratite se svom administratoru za više informacija. "

  2. Sa IP adrese koja se nalazi na dozvoljenoj listi IP adresa za okruženje, potražite Power Platform URI okruženja.

    Trebalo bi da imate pristup okruženju koje je definisano vašom bezbednosnom uloga.

Preporučujemo da prvo testirate IP zaštitni zid u vašem testnom okruženju, a zatim režim samo za reviziju u proizvodnom okruženju pre nego što primenite IP zaštitni zid u vašem proizvodnom okruženju.

Belešku

Podrazumevano, TDS krajnja tačka je uključena Power Platform u okruženju.

Zahtevi za licenciranje IP zaštitnog zida

IP zaštitni zid se primenjuje samo na okruženjima koja su aktivirana za Nadgledana okruženja. Nadgledana okruženja su uključeni kao pravo u samostalnim Power Apps, Power Automate,, Microsoft Copilot Studio, Power Pages i Dynamics 365 licencama koje daju premium prava korišćenja. Saznajte više o licenciranju upravljanog okruženja sa pregledom licenciranja za Microsoft Power Platform.

Pored toga, pristup korišćenju IP zaštitnog zida zahteva Dataverse od korisnika u okruženjima u kojima se primenjuje IP zaštitni zid da imaju jednu od ovih pretplata:

  • Microsoft 365 ili Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 usaglašenost
  • Microsoft 365 F5 bezbednost i usaglašenost
  • Microsoft 365 A5/E5/F5/G5 zaštita informacija i upravljanje njima
  • Microsoft 365 A5/E5/F5/G5 upravljanje insajderskim rizikom

Saznajte više o ovim licencama

Najčešća pitanja

Šta pokriva IP zaštitni zid Power Platform?

IP zaštitni zid je podržan u bilo kom Power Platform okruženju koje uključuje Dataverse.

Koliko brzo promena na listi IP adresa stupa na snagu?

Promene na listi dozvoljenih IP adresa ili opsega obično stupaju na snagu za oko 5-10 minuta.

Da li ova funkcija funkcioniše u realnom vremenu?

IP zaštitni zid radi u realnom vremenu. Pošto funkcija radi na mrežnom sloj, ona procenjuje zahtev nakon što je zahtev za autentifikaciju završen.

Da li je ova funkcija podrazumevano omogućena u svim okruženjima?

IP zaštitni zid nije podrazumevano omogućen. Administrator Power Platform mora da ga omogući za Nadgledana okruženja.

Šta je režim samo za reviziju?

U režimu samo za reviziju, IP zaštitni zid identifikuje IP adrese koje upućuju pozive u okolinu i omogućava im sve, bez obzira da li su u dozvoljenom opsegu ili ne. Korisno je kada konfigurišete ograničenja u Power Platform okruženju. Preporučujemo da omogućite režim revizije samo za najmanje nedelju dana i onemogućite ga tek nakon pažljivog pregleda evidencije revizije.

Da li je ova funkcija dostupna u svim okruženjima?

IP zaštitni zid je dostupan samo za Nadgledana okruženja .

Da li postoji ograničenje broja IP adresa koje mogu dodati u polje za tekst IP adrese?

Možete dodati do 200 opsega IP adresa u CIDR formatu prema RFC 4632, odvojenim zarezima.

Šta da radim ako zahtevi počnu Dataverse da propadaju?

Pogrešna konfiguracija IP opsega za IP zaštitni zid može biti uzrok ovog problema. Možete proveriti i proveriti IP opsege na stranici sa podešavanjima IP zaštitnog zida. Preporučujemo da uključite IP zaštitni zid u režimu samo za reviziju pre nego što ga sprovedete.

Kako da preuzmem dnevnik revizije za režim samo za reviziju?

Koristite Dataverse OData API da biste preuzeli podatke dnevnika revizije u JSON formatu. Format API-ja dnevnika revizije je:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Zameni [orgURI] sa Dataverse URI okruženja.
  • Podesite vrednost akcije na 118 za ovaj događaj.
  • Podesite broj stavki koje želite da se vratite u top = KSNUMKS ili odredite broj koji želite da vratite.

Moji Power Automate tokovi ne rade kako se očekivalo nakon konfigurisanja IP zaštitnog zida u mom Power Platform okruženju. Šta da radim?

U podešavanjima IP zaštitnog zida, dozvolite oznake usluga navedene u Upravljani konektori odlazne IP adrese.

Ispravno sam konfigurisao obrnutu proksi adresu, ali IP zaštitni zid ne radi. Šta da radim?

Uverite se da je vaš obrnuti proksi konfigurisan da pošalje IP adresu klijenta u prosleđenom zaglavlju.

Funkcionalnost revizije IP zaštitnog zida ne radi u mom okruženju. Šta da radim?

Evidencije revizije IP zaštitnog zida nisu podržane u stanarima koji su omogućeni za ključeve za šifrovanje "donesite sopstveni ključ" (BIOK). Ako je vaš klijent omogućen za donesi-svoj-ključ, onda su sva okruženja u BYOK-omogućenom klijentu zaključana samo na SQL, stoga se evidencije revizije mogu čuvati samo u SQL. Preporučujemo da migrirate na ključ kojim upravlja klijent. Da biste migrirali sa BIOK-a na ključ kojim upravlja klijent (CMKvKSNUMKS), sledite korake u Migrirajte okruženja za donošenje sopstvenog ključa (BIOK) na ključ kojim upravlja klijent.

Da li IP zaštitni zid podržava IPvKSNUMKS IP opsege?

Da, IP zaštitni zid podržava IPv6 IP opsege.

Sledeći koraci

Bezbednost u Microsoft Dataverse