Power Platform 環境の IP ファイアウォール

IP ファイアウォールは、許可した IP の場所からのみ Microsoft Dataverse へのユーザー アクセスを制限することで、組織データの保護に役立ちます。 IP ファイアウォールは、各リクエストの IP アドレスをリアルタイムで分析します。 たとえば、運用の Dataverse 環境で IP ファイアウォールがオンになっており、許可した IP アドレスがオフィスの場所に関連付けられた範囲内にあり、コーヒーショップなどの外部の IP の場所にはないとします。 ユーザーがコーヒー ショップから組織のリソースにアクセスしようとすると、Dataverse はリアルタイムでアクセスを拒否します。

主な利点

Power Platform 環境で IP ファイアウォールを有効にすると、いくつかの主要な利点があります。

• データ流出などの内部脅威を軽減: Excelなどのクライアント ツールを使用して、または許可されていないIPの場所からデータをダウンロードしようとする悪意のあるユーザーは、リアルタイムでブロックされます。 Dataverse Power BI
• トークン リプレイ攻撃を防止: ユーザーが アクセス トークン を盗み、それを使用して許可されたIP範囲外からアクセスしようとした場合、 Dataverse リアルタイムでその試みを拒否します。 Dataverse

IP ファイアウォール保護は、対話型シナリオと非対話型シナリオの両方で機能します。

IP ファイアウォールはどのように機能しますか?

Dataverse にリクエストがあった場合、リクエストの IP アドレスは Power Platform の環境に設定された IP の範囲とリアルタイムで評価されます。 IP アドレスが許可された範囲内にある場合、リクエストは許可されます。 IP アドレスが環境に対して構成された IP 範囲外にある場合、IP ファイアウォールは次のエラー メッセージを表示してリクエストを拒否します: IP へのアクセスがブロックされているため、リクエストは拒否されました。詳細については、管理者にお問い合わせください。

前提条件

• IP ファイアウォールは、マネージド環境 の機能です。
• IP ファイアウォールを有効または無効にするには、Power Platform 管理者ロールが必要です。

IP ファイアウォールを有効にする

Power Platform 管理センターまたは Dataverse OData API を使用して、Power Platform 環境で IP ファイアウォールを有効にすることができます。

Power Platform 管理センターを使用して IP ファイアウォールを有効にする

1. Power Platform 管理センター に管理者としてサインインします。

2. 環境 を選択し、続いて環境を選択します。

3. 設定>製品>プライバシー + セキュリティを選択します。

4. IP アドレス設定 で IP アドレス ベースのファイアウォール規則を有効にする を On にします。

5. IPv4 範囲の許可リスト で、許可される IP 範囲を、RFC 4632のとおりに、クラスレス ドメイン間ルーティング (CIDR) 形式で指定します。 複数の IP 範囲がある場合は、コンマで区切ります。 このフィールドには、最大 4,000 文字の英数字を入力でき、最大 200 の IP 範囲が許可されます。

6. 必要に応じて、他の設定を選択します:

   • IPファイアウォールによって許可されるサービス タグ: リストから、IPファイアウォールの制限をバイパスできる 選択 サービス タグ。
   • Microsoft 信頼できるサービスのアクセスを許可: この設定により、 Microsoft 監視や サポート ユーザー などの信頼できるサービスがIPファイアウォールの制限をバイパスして Power Platform 環境with Dataverse にアクセスできるようになります。 既定で有効です。
   • すべてのアプリケーション ユーザーにアクセスを許可する: この設定により、 すべてのアプリケーション ユーザー がサードパーティおよびファーストパーティのAPIにアクセスできるようになります Dataverse 。 既定で有効です。 この値をクリアすると、サードパーティのアプリケーション ユーザーのみがブロックされます。
   • 監査専用モードでIPファイアウォールを有効にする: この設定により、IPファイアウォールが有効になりますが、IPアドレスに関係なく要求が許可されます。 既定で有効です。
   • リバース プロキシIPアドレス: 組織でリバース プロキシが設定されている場合は、1つ以上のIPアドレスをカンマで区切って入力します。 リバース プロキシ設定は、IP ベースの Cookie バインディングと IP ファイアウォールの両方に適用されます。

7. 保存 を選びます。

Dataverse OData API を 使用して IP ファイアウォールを有効にする

Dataverse OData API を使用して、Power Platform 環境内の値を取得、変更できます。 詳細なガイダンスについては、Web API を使用してデータをクエリする および Web API を使用してテーブル行を更新および削除する (Microsoft Dataverse) を参照してください。

好みのツールを柔軟に選択できます。 Dataverse OData API を介して値を取得および変更するには、次のドキュメントを使用します:

• Insomniaを Dataverse Web APIと共に使用する
• PowerShellと Visual Studio コードを使用したWeb APIのクイック スタート

OData APIを使用してIPファイアウォールを構成する

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

ペイロード

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – 値を true に設定して機能を有効にするか、値を false に設定して無効にします。

• allowediprangeforfirewall — 許可するIP範囲を一覧表示します。 カンマで区切った CIDR 表記で指定します。

  重要

  サービス タグ名が IP ファイアウォールの設定ページに表示されるものと正確に一致していることを確認してください。 矛盾がある場合、IP 制限が正しく機能しない可能性があります。

• enableipbasedfirewallruleinauditmode – 値 true は監査のみのモードを示し、値 false は強制モードを示します。

• allowedservicetagsforfirewall – 許可するサービス タグをカンマで区切ってリストします。 サービス タグを構成しない場合、値を null 値のままにします。

• allowapplicationuseraccess – デフォルト値は trueです。

• allowmicrosofttrustedservicetags – デフォルト値は true です。

重要

「信頼できるサービスにアクセスを許可する」 Microsoft と 「すべてのアプリケーション ユーザーにアクセスを許可する」 が無効になっている場合、 フローなど Dataverseを使用する一部のサービスが機能しなくなる可能性があります。 Power Automate

IP ファイアウォールをテストする

IP ファイアウォールをテストして、機能していることを確認する必要があります。

1. 環境 の IP アドレスの許可リストにない IP アドレスから、Power Platform 環境の URI を参照します。

   リクエストは、次のメッセージで拒否されます: "IP へのアクセスがブロックされているため、リクエストは拒否されました。 詳細については、管理者にお問い合わせください。"

2. 環境 の IP アドレスの許可リストにある IP アドレスから、Power Platform 環境の URI を参照します。

   セキュリティ ロールで定義された環境にアクセスできる必要があります。

運用環境で IP ファイアウォールを実行する前に、最初にテスト環境で IP ファイアウォールをテストしてから、運用環境で監査専用モードをテストすることをお勧めします。

注意Note

デフォルトでは、Power Platform 環境で TDS エンドポイント がオンになっています。

IP ファイアウォールのライセンス要件

IP ファイアウォールは、管理環境用にアクティブ化された環境にのみ適用されます。 マネージド環境は、スタンドアロンの Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages、およびプレミアム利用権を付与する Dynamics 365 ライセンスに権利として含まれます。 管理された環境のライセンス の詳細は、Microsoft Power Platform のライセンスの概要 を参照してください。

さらに、Dataverse の IP ファイアウォールを使用するには、IP ファイアウォールが適用された環境にいるユーザーが次のいずれかのサブスクリプションを持てることが適用されていることが必要です:

• Microsoft 365 または Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 Compliance
• Microsoft 365 F5 Security & Compliance
• Microsoft 365 A5/E5/F5/G5 情報保護とガバナンス
• Microsoft 365 A5/E5/F5/G5 インサイダー リスク管理ユーザー

これらのライセンスについて詳しく見る

よくあるご質問 (FAQ)

IP ファイアウォールは Power Platform で何をカバーしますか?

IP ファイアウォールは、Dataverse を含むすべての Power Platform 環境でサポートされています。

IP アドレス リストの変更はどれくらいで反映されますか?

許可される IP アドレスまたは範囲のリストへの変更は、通常、約 5 分から 10 分で有効になります。

この機能はリアルタイムで動作しますか?

IP ファイアウォール保護はリアルタイムで機能します。 この機能はネットワーク層で動作するため、認証要求が完了した後に要求を評価します。

この機能は、すべての環境でデフォルトで有効になっていますか?

既定では IP ファイアウォールは無効になっています。 Power Platform 管理者は、マネージド環境に対して有効にする必要があります。

監査専用モードとは何ですか？

監査専用モードでは、IP ファイアウォールは環境への呼び出しを行っている IP アドレスを識別し、許可範囲内にあるかどうかに関係なく、すべてを許可します。 Power Platform 環境で制限を構成するときに役立ちます。 少なくとも 1 週間は監査専用モードを有効にし、監査ログを慎重に確認した後にのみ無効にすることをお勧めします。

この機能はすべての環境で利用できますか?

IP ファイアウォールは、マネージド環境 でのみ使用できます。

IP アドレス テキスト ボックスに追加できる IP アドレスの数に制限はありますか?

RFC 4632のとおり、CIDR 形式でカンマで区切られた最大 200 の IP アドレス範囲を追加できます。

Dataverse への要求が失敗し始めた場合はどうすればいいですか?

IP ファイアウォールの IP 範囲の構成が正しくないことが、この問題の原因となっている可能性があります。 IP ファイアウォール設定ページで、IP 範囲を確認および検証できます。 IP ファイアウォールを実行する前に、監査専用モードで IP ファイアウォールを有効にすることをお勧めします。

監査専用モードの監査ログをダウンロードするにはどうすればよいですか?

Dataverse OData API を使用して、監査ログ データを JSON 形式でダウンロードします。 監査ログ API の形式は、以下の通りです:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• [orgURI] を Dataverse 環境の URI に置き換えます。
• このイベントのアクション値を 118 に設定します。
• 返すアイテムの数を top=1 に設定するか、返したい数を指定します。

Power Platform 環境で IP ファイアウォールを構成した後、Power Automate フローが期待どおりに機能しません。 どうすればよいですか。

IP ファイアウォール設定で、マネージド コネクタのアウトバウンド IP アドレス にリストされているサービス タグを許可します。

リバース プロキシ アドレスを正しく構成しましたが、IP ファイアウォールが機能しません。 どうすればよいですか。

リバース プロキシが、転送ヘッダーでクライアント IP アドレスを送信するように構成されていることを確認します。

使用している環境で IP ファイアウォールの監査機能が動作しません。 どうすればよいですか。

IP ファイアウォール監査ログは、Bring Your Own Key (BYOK) 暗号化キーが有効になっているテナントではサポートされていません。 テナントで Bring Your Own Key が有効になっている場合、BYOK が有効なテナント内のすべての環境は SQL のみにロック ダウンされるため、監査ログは SQL にのみ保存できます。 カスタマー マネージド キーに移行することをお勧めします。 BYOK からカスタマー マネージド キー (CMKv2) に移行するには、Bring Your Own Key (BYOK) 環境をカスタマー マネージド キーに移行するの手順に従ってください。

IP ファイアウォールは IPv6 IP 範囲をサポートしていますか?

現在、IP ファイアウォールは IPv6 IP 範囲をサポートしていません。

次の手順

セキュリティ Microsoft Dataverse