IP-palomuuri Power Platform -ympäristöissä

IP-palomuuri auttaa suojaamaan organisaatiotietoja rajoittamalla käyttäjien käyttöoikeuksia Microsoft Dataverseen vain sallitulta IP-sijainnilta. IP-palomuuri analysoi jokaisen pyynnön IP-osoitteen reaaliaikaisesti. Tässä esimerkissä IP-palomuuri on otettu käyttöön tuotannon Dataverse-ympäristössä, ja sallitut IP-osoitteet kuuluvat toimistojen sijainteihin, eivät ulkoisiin IP-sijainteihin, kuten kahvilaan. Jos käyttäjä yrittää käyttää organisaatioresursseja kahvilasta, Dataverse estää käytön reaaliajassa.

Keskeiset edut

Kun IP-palomuuri otetaan käyttöön Power Platform -ympäristöissä, siitä on useita tärkeitä etuja.

• Voit pienentää sisäpiirin uhkia, kuten tietoihin soluttautumista: Haitalliset käyttäjät, jotka yrittävät ladata tietoja Dataversesta asiakasohjelmista, kuten Excelistä tai Power BI:stä ei-sallitusta IP-sijainnista, estetään reaaliajassa.
• Estä tunnuksen toistohyökkäykset: Jos käyttäjä varastaa käyttöoikeustietueen ja yrittää käyttää sitä päästäkseen Dataverseen sallittujen IP-alueiden ulkopuolelta, Dataverse estää yrityksen reaaliajassa.

IP-palomuurisuojaus toimii sekä vuorovaikutteisessa että ei-vuorovaikutteisessa skenaariossa.

Miten IP-palomuuri toimii?

Kun Dataverse-pyyntö tehdään, pyynnön IP-osoitetta verrataan reaaliaikaisesti Power Platform -ympäristölle määritettyihin IP-osoitealueisiin. Jos IP-osoite on sallituilla alueilla, pyyntö sallitaan. Jos IP-osoite on ympäristölle määritettyjen IP-osoitteiden ulkopuolella, IP-palomuuri hylkää pyynnön virhesanomalla: Pyyntö, jonka yrität tehdä, hylätään, koska IP-osoitteesi on estetty. Saat lisätietoja järjestelmänvalvojalta.

edellytykset

• IP-palomuuriominaisuus on hallittujen ympäristöjen ominaisuus.
• Tarvitset Power Platform -järjestelmänvalvojan roolin, jotta voit ottaa IP-palomuurin käyttöön tai poistaa sen käytöstä.

Ota IP-palomuuri käyttöön

Voit ottaa IP-palomuurin käyttöön Power Platform -ympäristössä käyttämällä Power Platform -hallintakeskusta tai Dataversen OData-ohjelmointirajapintaa.

IP-palomuurin käyttöönotto Power Platform -hallintakeskuksen avulla

1. Kirjaudu Power Platformin hallintakeskukseen järjestelmänvalvojana.

2. Valitse Ympäristöt ja valitse sitten ympäristö.

3. Valitse Asetukset>Tuote>Tietoturva ja tietosuoja.

4. Määritä IP-osoitteen asetukset -kohdassa asetuksen Ota IP-osoiteperusteinen palomuurisääntö käyttöön arvoksi Käytössä.

5. Määritä Sallittujen IPv4/IPv6-alueiden luettelo -kohdassa sallitut IP-alueet luokattomassa toimialueiden välisessä reititysmuodossa (CIDR) RFC 4632 -määrityksen mukaisesti. Jos IP-osoitealueita on useita, erota ne pilkulla. Tämä kenttä hyväksyy enintään 4 000 aakkosnumeerista merkkiä ja sallii enintään 200 IP-osoitetta. IPv6-osoitteet ovat sallittuja sekä heksadesimaali- että pakatussa muodossa.

6. Valitse muut asetukset tarpeen mukaan:

   • IP-palomuurin sallimat palvelutunnisteet: Valitse luettelosta palvelutunnisteet, jotka voivat ohittaa IP-palomuurin rajoitukset.

   • Salli Microsoftin luotettujen palveluiden käyttö: Tämän asetuksen avulla Microsoftin luotetut palvelut, kuten valvonta ja tukikäyttäjä jne. voivat ohittaa IP-palomuurin rajoitukset käyttääkseen Power Platform -ympäristöä Dataversessa. Käytössä oletusarvoisesti.

   • Salli kaikkien sovelluksen käyttäjien käyttöoikeudet: Tämä asetus sallii kaikkien sovelluskäyttäjien kolmannen osapuolen ja ensimmäisen osapuolen Dataverse-ohjelmointirajapintojen käytön. Käytössä oletusarvoisesti. Jos poistat tämän arvon, se estää vain kolmannen osapuolen sovellusten käyttäjät.

   • Ota IP-palomuuri käyttöön vain seuranta -tilassa: Tämä asetus ottaa käyttöön IP-palomuurin, mutta sallii pyynnöt IP-osoitteesta riippumatta. Käytössä oletusarvoisesti.

   • Käänteisen välityspalvelimen IP-osoitteet: Jos organisaatiollesi on määritetty käänteiset välityspalvelimet, kirjoita IP-osoitteet pilkuilla erotettuina. Käänteinen välityspalvelinasetus koskee sekä IP-pohjaista evästeiden sidontaa että IP-palomuuria. Ota yhteyttä verkonvalvojaan saadaksesi käänteisen välityspalvelimen IP-osoitteet.

     Muistiinpano

     Käänteinen välityspalvelin on määritettävä lähettämään käyttäjän asiakasohjelman IP-osoitteet forwarded-otsikossa.

7. Valitse Tallenna.

IP-palomuurin käyttöönotto Dataversen OData-ohjelmointirajapinnan avulla

Voit käyttää Dataversen OData-ohjelmointirajapintaa Power Platform -ympäristön arvojen noutamisessa ja muokkaamisessa. Tarkat ohjeet löytyvät kohdista Kysely tiedoista verkko-ohjelmointirajapinnan avulla ja Taulukon rivien päivittäminen ja poistaminen verkko-ohjelmointirajapinnan avulla (Microsoft Dataverse).

Voit valita haluamasi työkalut. Seuraavien ohjeiden avulla voit noutaa arvoja ja muokata niitä Dataversen OData-ohjelmointirajapinnan kautta:

• Insomnian käyttäminen Dataversen verkko-ohjelmointirajapinnan kanssa
• Pikakäynnistyksen verkko-ohjelmointirajapinta PowerShellin ja Visual Studio Coden avulla

IP-palomuurin määritys OData-ohjelmointirajapinnan avulla

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Tiedot

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Ota käyttöön ominaisuus määrittämällä arvoksi Tosi tai poistamalla ominaisuus käytöstä määrittämällä arvoksi Epätosi.

• allowediprangeforfirewall – Luetteloi IP-välit, jotka tulee sallia. Määritä ne CIDR-merkinnässä pilkulla erotettuina.

  Tärkeää

  Varmista, että palvelutunnisteiden nimet vastaavat täsmälleen IP-palomuurin asetussivulla näkyvät nimiä. Jos tässä on ristiriita, IP-rajoitukset eivät välttämättä toimi oikein.

• enableipbasedfirewallruleinauditmode – Tosi-arvo osoittaa Vain seuranta -tilan, kun taas Epätosi-arvo osoittaa käyttöönottotilan.

• allowedservicetagsforfirewall – Sallittavien palvelutunnisteiden luettelo pilkulla eroteltuina. Joissakin tilanteissa ei haluta määrittää palvelutunnisteita. Tällöin arvo on tyhjäarvoinen.

• allowapplicationuseraccess – Oletusarvo on Tosi.

• allowmicrosofttrustedservicetags – Oletusarvo on Tosi.

Tärkeää

Kun Salli Microsoftin luotettujen palveluiden käyttö- ja Salli kaikkien sovelluskäyttäjien käyttöoikeudet -asetukset ovat poissa käytöstä, jotkin Dataversea käyttävät palvelut, kuten Power Automate -työnkulut, eivät ehkä enää toimi.

Testaa IP-palomuuria

Testaa IP-palomuuri ja tarkista, että se toimii.

1. Siirry IP-osoitteesta, joka ei ole ympäristön sallittujen IP-osoitteiden luettelossa, Power Platform -ympäristön URI-osoitteeseen.

   Pyyntösi pitäisi päätyä hylätyksi ja seuraavalla sanomalla: "Pyyntö, jonka yrität tehdä, hylätään, koska IP-osoitteesi on estetty. Saat lisätietoja järjestelmänvalvojalta".

2. Siirry IP-osoitteesta, joka on ympäristön sallittujen IP-osoitteiden luettelossa, Power Platform -ympäristön URI-osoitteeseen.

   Sinulla pitäisi olla käyttöoikeusroolisi määrittämä ympäristön käyttöoikeus.

On suositeltavaa testata ensin testiympäristön IP-palomuuri ja sen jälkeen asettaa vain seurantatila tuotantoympäristössä, ennen kuin IP-palomuuri otetaan käyttöön tuotantoympäristössä.

Muistiinpano

TDS-päätepiste on oletusarvoisesti käytössä Power Platform -ympäristössä.

IP-palomuurin käyttöoikeusvaatimukset

IP-palomuuri pakotetaan vain ympäristöissä, jotka on aktivoitu hallituissa ympäristöissä. Hallitut ympäristöt sisältyvät itsenäisinä Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- ja Dynamics 365 -käyttöoikeuksina, jotka antavat premium-käyttöoikeudet. Lue lisää hallinnoidun ympäristön käyttöoikeuksistaMicrosoft Power Platformin lisensoinnin yleiskatsauksessa.

Lisäksi Dataversen IP-palomuurin käyttö edellyttää, että käyttäjät ovat ympäristössä, jossa IP-palomuuri on pakotettu käyttämään yhtä seuraavista tilauksista:

• Microsoft 365 tai Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Compliance
• Microsoft 365 F5 Security & Compliance
• Microsoft 365 A5/E5/F5/G5 Information Protection ja hallinto
• Microsoft 365 A5/E5/F5/G5 – rajatun yleisön riskinhallinta

Lue lisätietoja näistä käyttöoikeuksista

Usein kysyttyjä kysymyksiä

Mitä IP-palomuuri kattaa Power Platformissa?

IP-palomuuria tuetaan kaikissa Power Platform -ympäristöissä, jotka sisältävät Dataversen.

Kuinka pian IP-osoiteluettelon muutos tulee voimaan?

Sallittujen IP-osoitteiden tai -alueiden luettelon muutokset tulevat yleensä voimaan noin 5-10 minuutin kuluttua.

Toimiiko tämä ominaisuus reaaliaikaisesti?

IP-palomuurin suojaus toimii reaaliaikaisesti. Koska toiminto toimii verkkotasolla, se arvioi pyynnön sen jälkeen, kun todentamispyyntö on valmis.

Onko tämä ominaisuus oletusarvoisesti käytössä kaikissa ympäristöissä?

IP-palomuuri ei ole oletusarvoisesti käytössä. Power Platform -järjestelmänvalvojan on otettava se käyttöön hallituissa ympäristöissä.

Mikä vain valvonta -tila on?

Vain seuranta -tilassa IP-palomuuri tunnistaa IP-osoitteet, jotka tekevät kutsuja ympäristöön ja sallii kaikki IP-osoitteet riippumatta siitä, ovatko ne sallitulla alueella vai ei. Siitä on hyötyä määritettäessä Power Platform -ympäristön rajoituksia. Vain seuranta -tila kannattaa ottaa käyttöön vähintään viikon ajaksi ja poistaa käytöstä vasta seurantalokien huolellisen tarkistamisen jälkeen.

Onko tämä toiminto käytettävissä kaikissa ympäristöissä?

IP-palomuuriominaisuus on käytettävissä vain hallituissa ympäristöissä.

Onko IP-osoitteiden tekstiruudussa rajoitettu lisättävien IP-osoitteiden määrää?

Voit lisätä enintään 200 IP-osoitealuetta CIDR-muodossa RFC 4632 :n mukaan pilkuilla erotettuina.

Mitä minun pitäisi tehdä, jos pyynnöt Dataverseen alkavat epäonnistua?

Virheelliset IP-palomuurin IP-alueiden määritykset voivat aiheuttaa tämän ongelman. Voit tarkistaa ja vahvistaa IP-alueet IP-palomuurin asetussivulla. IP-palomuuri kannattaa ottaa käyttöön vain seurantatilassa, ennen kuin se otetaan käyttöön.

Miten lataan valvontalokin vain valvonta -tilan osalta?

Lataa seurantalokitiedot JSON-muodossa Dataverse OData -ohjelmointirajapinnan avulla. Valvontalokin ohjelmointirajapinnan muoto on:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Korvaa [orgURI]-osoite Dataverse-ympäristön URI-osoitteella.
• Määritä toiminnon arvoksi 118 tämän tapahtuman osalta.
• Määritä palautettavien kohteiden määräksi top=1 tai syötä palautettava määrä.

Power Automate -työnkulkuni eivät toimi odotetulla tavalla Power Platform -ympäristön IP-palomuurin määrittämisen jälkeen. Mitä minun tulisi tehdä?

Salli IP-palomuurin asetuksissa palvelutunnisteet, jotka on lueteltu kohdassa Hallittujen yhdistinten lähtevät IP-osoitteet.

Olen määrittänyt käänteisen välityspalvelimen osoitteen oikein, mutta IP-palomuuri ei toimi. Mitä minun tulisi tehdä?

Varmista, että käänteinen välityspalvelin määritetty lähettämään asiakkaan IP-osoite edelleen välitetyssä otsikossa.

IP-palomuurin seuranta ei toimi ympäristössäni. Mitä minun tulisi tehdä?

IP-palomuurin seurantalokeja ei tueta vuokraajille, joille on otettu käyttöön BYOK-salausavaimet. Jos vuokraajalle on otettu käyttöön BYOK-avain, kaikki BYOK-yhteensopivan vuokraajan ympäristöt lukitaan vain SQL-käyttöön, joten seurantalokeja voi tallentaa vain SQL:ssä. Suosittelemme, että siirryt asiakashallittuun avaimeen. Jos haluat siirtyä BYOK-avaimesta asiakashallittuun avaimeen (CMVad2), noudata ohjeita kohdassa Oma avain (BYOK) -ympäristön siirtäminen asiakkaiden hallitsemaan avaimeen.

Tukeeko IP-palomuuri IPv6-version IP-osoitteita?

Kyllä, IP-palomuuri tukee IPv6-IP-alueita.

Seuraavat vaiheet

Suojaus Microsoft Dataversessä