Поділитися через

IP-брандмауер у Power Platform середовищах

  • Стаття

IP-брандмауер допомагає захистити дані вашої організації, обмежуючи доступ користувачів лише Microsoft Dataverse з дозволених IP-адрес. IP-брандмауер аналізує IP-адресу кожного запиту в режимі реального часу. Наприклад, припустімо, що IP-брандмауер увімкнено у вашому виробничому Dataverse середовищі, і дозволені IP-адреси знаходяться в діапазонах, пов’язаних із розташуванням вашого офісу, а не з будь-яким зовнішнім IP-розташуванням, як-от кав’ярня. Якщо користувач намагається отримати доступ до організаційних ресурсів з кав’ярні,відмовляє Dataverse в доступі в режимі реального часу.

Діаграма, що ілюструє функцію IP-брандмауера в Dataverse.

Ключові переваги

Увімкнення IP-брандмауера у вашому Power Platform середовищі дає кілька ключових переваг.

  • Пом’якшення внутрішніх загроз, як-от викрадення даних: зловмиснику, який намагається завантажити дані за Dataverse допомогою клієнтського інструменту, як-от Excel, або Power BI з забороненого IP-місця, блокується робити це в режимі реального часу.
  • Запобігання атакам повторного відтворення токенів: якщо користувач краде токен доступу та намагається використати його для доступу Dataverse з-за меж дозволених діапазонів Dataverse IP, відхиляє спробу в режимі реального часу.

Захист IP-брандмауера працює як в інтерактивних, так і в неінтерактивних сценаріях.

Як працює IP-брандмауер?

Коли робиться запит Dataverse, IP-адреса запиту оцінюється в режимі реального часу за діапазонами IP, налаштованими для Power Platform середовища. Якщо IP-адреса знаходиться в допустимих діапазонах, запит дозволений. Якщо IP-адреса виходить за межі діапазонів IP, налаштованих для середовища, IP-брандмауер відхиляє запит з повідомленням про помилку: Запит, який ви намагаєтеся зробити, відхиляється, оскільки доступ до вашої IP-адреси заблоковано. Зверніться до адміністратора, щоб дізнатися більше.

вимоги

  • IP-брандмауер є особливістюкеровані середовища.
  • Ви повинні мати роль адміністратора Power Platform , щоб увімкнути або вимкнути брандмауер IP.

Увімкніть брандмауер IP

Ви можете ввімкнути IP-брандмауер у Power Platform середовищі за допомогою центру Power Platform адміністрування або Dataverse API OData.

Увімкніть IP-брандмауер за допомогою Power Platform Центру адміністрування

  1. Увійдіть в Power Platform Центр адміністрування як адміністратор.

  2. Виберіть елемент Середовища, а потім виберіть середовище.

  3. Виберіть пункт Параметри>Продукт>Конфіденційність + Безпека.

  4. У розділі Настройки IP-адреси встановіть для параметра Увімкнути правило брандмауера на основі IP-адреси значення Увімкнуто.

  5. У розділі Дозволений список діапазонів IPv4/IPv6 вкажіть дозволені діапазони IP у форматі безкласової міждоменної маршрутизації (CIDR) відповідно до RFC 4632. Якщо у вас кілька діапазонів IP, розділіть їх комою. Це поле приймає до 4 000 буквено-цифрових символів і допускає максимум 200 діапазонів IP. Адреси IPv6 допускаються як у шістнадцятковому, так і в стисненому форматі.

  6. Виберіть інші налаштування, якщо потрібно:

    • Теги служб, які має дозволити IP-брандмауер: зі списку виберіть сервісні теги, які можуть обійти обмеження IP-брандмауера.

    • Дозволити доступ для Microsoft довірених служб: цей параметр дозволяє Microsoft довіреним службам, таким як моніторинг та підтримка користувачів тощо, обійти обмеження IP-брандмауера для доступу до Power Platform середовища Dataverse. За замовчуванням цей параметр увімкнуто.

    • Дозволити доступ для всіх користувачів програми: цей параметр надає всім користувачам програми доступ до Dataverse API третіх сторін і першої сторони. За замовчуванням цей параметр увімкнуто. Якщо видалити це значення, воно блокує лише сторонніх користувачів додатків.

    • Увімкнути IP-брандмауер у режимі лише аудиту: цей параметр вмикає IP-брандмауер, але дозволяє запити незалежно від їхньої IP-адреси. За замовчуванням цей параметр увімкнуто.

    • IP-адреси зворотних проксі-серверів: якщо у вашій організації налаштовано зворотні проксі-сервери, введіть IP-адреси, розділені комами. Зворотне налаштування проксі застосовується як до прив’язки файлів cookie на основі IP, так і до брандмауера IP. зверніться до адміністратора мережі, щоб отримати IP-адреси зворотного проксі-сервера.

      Нотатка

      Зворотний проксі має бути налаштований на надсилання IP-адрес клієнтів користувача в пересланому заголовку.

  7. Виберіть Зберегти.

Увімкніть IP-брандмауер за допомогою Dataverse OData API

Ви можете використовувати Dataverse API OData для отримання та зміни значень у Power Platform середовищі. Докладні вказівки наведено в статтях Запит даних за допомогою веб-API та Оновлення та видалення рядків таблиці за допомогою Web API (Microsoft Dataverse).

У вас є гнучкість у виборі інструментів, які вам подобаються. Використовуйте наступну документацію для отримання та зміни значень через Dataverse OData API:

Налаштуйте IP-брандмауер за допомогою API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Вантажопідйомність

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • enableipbasedfirewallrule– увімкніть функцію, встановивши значення true , або вимкніть її, встановивши значення false .

  • allowediprangeforfirewall — Перелічіть діапазони IP, які повинні бути дозволені. Надайте їх у записі CIDR, відокремлюючи їх комою.

    Важливо

    Переконайтеся, що назви сервісних тегів точно збігаються з тими, що ви бачите на сторінці налаштувань IP-брандмауера. Якщо є якісь розбіжності, обмеження IP можуть працювати неправильно.

  • enableipbasedfirewallruleinauditmode – Значення true вказує на режим лише аудиту, тоді як значення false вказує на режим примусового виконання.

  • allowedservicetagsдляfirewall – Перелічте сервісні теги, які повинні бути дозволені, розділені комою. Якщо ви не хочете налаштовувати жодних сервісних тегів, залиште значення null.

  • allowapplicationuseraccess– Значення за замовчуванням true .

  • allowmicrosofttrustedservicetags – Значення за замовчуванням true .

Важливо

Якщо вимкнено функції «Дозволити доступ для довірених служб Microsoft» та «Дозволити доступ для всіх користувачів програми», деякі служби, які їх використовують Dataverse, наприклад Power Automate потоки, можуть більше не працювати.

Перевірте IP-брандмауер

Вам слід перевірити IP-брандмауер, щоб переконатися, що він працює.

  1. З IP-адреси, якої немає в списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

    Ваш запит повинен бути відхилений з повідомленням про те, що «Запит, який ви намагаєтеся зробити, відхилений, оскільки доступ до вашої IP-адреси заблоковано. Зверніться до адміністратора для отримання додаткової інформації."

  2. З IP-адреси, яка входить до списку дозволених IP-адрес для середовища, перейдіть до URI свого Power Platform середовища.

    Ви повинні мати доступ до середовища, яке визначається вашою роллю безпеки.

Ми рекомендуємо спочатку протестувати IP-брандмауер у тестовому середовищі, а потім увімкнути режим лише аудиту у виробничому середовищі, перш ніж застосовувати IP-брандмауер у робочому середовищі.

Нотатка

За замовчуванням кінцева точка TDS увімкнена в Power Platform середовищі.

Вимоги до ліцензування IP-брандмауера

Брандмауер IP застосовується лише в середовищах, які активовано для керованих середовищ. Керовані середовища включені як право в автономні Power Apps, Power Automate, Microsoft Copilot Studio,, Power Pages та Dynamics 365 ліцензії, які надають преміум-права на використання. Дізнайтеся більше про ліцензування керованого середовища в огляді ліцензування для Microsoft Power Platform.

Крім того, доступ до використання IP-брандмауера для Dataverse вимагає від користувачів у середовищах, де IP-брандмауер примусово використовується, мати одну з таких підписок:

  • Microsoft 365 або Office 365 A5/E5/G5
  • Сумісність із Microsoft 365 A5/E5/F5/G5
  • Безпека й відповідність Microsoft 365 F5
  • Microsoft 365 A5/E5/F5/G5 Захист інформації та керування нею
  • Керування внутрішніми ризиками Microsoft 365 A5/E5/F5/G5

Дізнайтеся більше про ці ліцензії

Поширені запитання (FAQ)

Що покриває Power Platform IP-брандмауер?

IP-брандмауер підтримується в будь-якому Power Platform середовищі, яке включає Dataverse.

Як швидко набувають чинності зміни в списку IP-адрес?

Зміни в списку дозволених IP-адрес або діапазонів зазвичай набувають чинності приблизно через 5-10 хвилин.

Чи працює ця функція в режимі реального часу?

Захист IP брандмауера працює в режимі реального часу. Оскільки функція працює на шар мережі, вона оцінює запит після завершення запиту на аутентифікацію.

Чи ввімкнуто цю функцію за замовчуванням у всіх середовищах?

IP-брандмауер не ввімкнено за замовчуванням. Адміністратор Power Platform повинен увімкнути його для керованих середовищ.

Що таке режим лише аудиту?

У режимі лише аудиту IP-брандмауер визначає IP-адреси, які викликають у середовище, і дозволяє їх усі, незалежно від того, перебувають вони в дозволеному діапазоні чи ні. Це корисно, коли ви налаштовуєте обмеження для Power Platform середовища. Ми рекомендуємо включати режим «тільки аудит» принаймні на тиждень і вимикати його тільки після ретельного перегляду журналів аудиту.

Чи ця функція доступна в усіх середовищах?

IP-брандмауер доступний лише длякеровані середовища .

Чи існує обмеження на кількість IP-адрес, які можна додати в текстове поле IP-адреси?

Ви можете додати до 200 діапазонів IP-адрес у форматі CIDR відповідно до RFC 4632, розділених комами.

Що робити, якщо запити на Dataverse початок збою?

Неправильна конфігурація діапазонів IP-адрес для IP-брандмауера може спричиняти цю проблему. Ви можете перевірити та перевірити діапазони IP-адрес на сторінці налаштувань IP-брандмауера. Рекомендовано ввімкнути IP-брандмауер у режимі "Лише аудит", перш ніж застосовувати його.

Як завантажити журнал аудиту для режиму лише аудиту?

Використовуйте Dataverse API OData для завантаження даних журналу аудиту у форматі JSON. Формат API журналу аудиту:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Замініть [orgURI] на Dataverse URI середовища.
  • Встановіть значення дії на 118 для цієї події.
  • Встановіть кількість елементів для повернення в top =1 або вкажіть кількість, яку ви хочете повернути.

Мої Power Automate потоки не працюють так, як очікувалося, після налаштування брандмауера IP у моєму Power Platform середовищі. Що потрібно зробити?

У налаштуваннях IP-брандмауера дозвольте теги служб, перелічені в Керовані конектори, вихідні IP-адреси.

Я правильно налаштував зворотну адресу проксі-сервера, але IP-брандмауер не працює. Що потрібно зробити?

Переконайтеся, що ваш зворотний проксі налаштовано на надсилання IP-адреси клієнта в пересланому заголовку.

Функція аудиту IP-брандмауера не працює в моєму середовищі. Що потрібно зробити?

Журнали аудиту брандмауера IP не підтримуються в клієнтах, для яких увімкнено ключі шифрування «Принесіть свій власний ключ » (BYOK). Якщо ваш клієнт увімкнено для принесення власного ключа, то всі середовища в клієнті з підтримкою BYOK блокуються лише до SQL, тому журнали аудиту можуть зберігатися лише в SQL. Радимо перейти на ключ, керований клієнтом. Щоб перейти з BYOK до керованого клієнтом ключа (CMKv2), дотримуйтеся вказівок, наведених у розділі Міграція середовищ принесення власного ключа (BYOK) до ключа, керованого клієнтом.

Чи підтримує IP-брандмауер IPv6 діапазони IPv6?

Так, IP-брандмауер підтримує діапазони IPv6.

Наступні кроки

Безпека в Microsoft Dataverse