Udostępnij za pośrednictwem


Zapora IP w środowiskach Power Platform

Zapora IP ułatwia ochronę danych organizacyjnych przez ograniczenie dostępu użytkowników do Microsoft Dataverse tylko do dozwolonych lokalizacji IP. Zapora IP analizuje w czasie rzeczywistym adres IP każdego żądania. Załóżmy na przykład, że zapora IP jest włączona w środowisku produkcyjnym Dataverse i że dozwolone adresy IP znajdują się w zakresie skojarzonym z lokalizacją Twojego biura i nie zawierają żadnych adresów IP lokalizacji zewnętrznych, np. kawiarni. Jeśli użytkownik próbuje uzyskać dostęp do zasobów organizacyjnych z baru, Dataverse odmówi dostępu w czasie rzeczywistym.

Diagram ilustrujący funkcję zapory IP w programie Dataverse.

Główne korzyści

Włączenie zapory IP w środowiskach Power Platform zapewnia kilka kluczowych korzyści.

  • Minimalizuj zagrożenia wewnętrzne jak eksfiltracja danych: złośliwy użytkownik, który próbuje pobrać dane z Dataverse za pomocą narzędzia klienckiego jak Excel lub Power BI z niedozwolonej lokalizacji IP jest blokowany w czasie rzeczywistym.
  • Zapobieganie atakom tokenu: jeśli użytkownik spróbuje użyć serwera token dostępu Dataverse i próbuje go użyć w celu uzyskania dostępu spoza dozwolonych zakresów IP, Dataverse odrzuca próbę w czasie rzeczywistym.

Ochrona zapory IP działa zarówno w scenariuszach interakcyjnych, jak i nieinterakcyjnych.

Jak działa używana zapora IP?

Gdy żądanie jest kierowane do Dataverse, adres IP żądania jest porównywany w czasie rzeczywistym z zakresami IP skonfigurowanymi dla środowiska Power Platform. Jeśli adres IP znajduje się w dozwolonym zakresie, żądanie jest dozwolone. Jeśli adres IP znajduje się poza zakresami IP skonfigurowanymi dla środowiska, zapora IP odrzuca żądanie z komunikatem o błędzie: Żądanie, które użytkownik próbuje wprowadzić, jest odrzucane, ponieważ dostęp do adresu IP jest blokowany. Aby uzyskać więcej informacji, skontaktuj się z administratorem.

Wymagania wstępne

  • Funkcja zapory IP jest dostępna w środowiskach zarządzanych.
  • Trzeba mieć rolę administratora Power Platform, aby włączyć lub wyłączyć zaporę IP.

Włączanie zapory IP

Zaporę IP można włączyć w środowisku Power Platform za pomocą centrum administracyjnego Power Platform lub interfejsu API Dataverse OData.

Włączanie zapory IP za pomocą centrum administracyjnego Power Platform

  1. Zaloguj się do centrum administracyjnego Power Platform jako administrator.

  2. Wybierz Środowisko, a następnie wybierz Dalej.

  3. Wybieranie Ustawienia>Produkt>Prywatność produktu i zabezpieczenia.

  4. W sekcji Ustawienia adresu IP ustaw Włącz regułę zapory opartą na adresie IP na Włączone.

  5. W sekcji Dozwolona lista zakresów IPv4/IPv6 określ dozwolone zakresy IP w formacie bezklasowego routingu międzydomenowego (CIDR) zgodnie z RFC 4632. W przypadku wielu zakresów IP należy je oddzielić przecinkami. To pole umożliwia zaakceptowanie do 4000 znaków alfanumerycznych i daje do 200 zakresów IP. Adresy IPv6 są dozwolone zarówno w formacie szesnastkowym, jak i skompresowanym.

  6. Wybierz odpowiednie inne ustawienia:

    • Znaczniki usługi, które mogą być dozwolone przez zaporę IP: z listy wybierz znaczniki usług, które mogą pominąć ograniczenia zapory IP.

    • Zezwalaj na dostęp do zaufanych usług firmy Microsoft. to ustawienie umożliwia zaufanym usługom firmy Microsoft, takim jak monitorowanie i obsługa użytkownika itp. pominąć ograniczenia zapory IP w celu uzyskania dostępu do środowiska Power Platform z usługą Dataverse. Włączone domyślnie.

    • Zezwalaj na dostęp wszystkim użytkownikom aplikacji: to ustawienie umożliwia wszystkim użytkownikom aplikacji stron trzecich i własnych na dostęp do interfejsów API Dataverse. Włączone domyślnie. Wyczyszczenie tej wartości spowoduje blokowanie tylko użytkowników aplikacji innych firm.

    • Włącz zaporę IP w trybie tylko inspekcji: to ustawienie włącza zaporę IP, ale zezwala na żądania niezależnie od ich adresu IP. Włączone domyślnie.

    • Adresy IP odwrotnych serwerów proxy: Jeśli Twoja organizacja ma skonfigurowane odwrotne serwery proxy, wprowadź adresy IP oddzielone przecinkami. Ustawienie odwrotnego proxy dotyczy zarówno IP-based cookie binding, jak i zapory IP. Skontaktuj się z administratorem sieci, aby uzyskać adresy IP odwrotnego serwera proxy.

      Uwaga

      Odwrotne proxy musi być skonfigurowane do wysyłania adresów IP klienta użytkownika w nagłówku przekazano.

  7. Wybierz pozycję Zapisz.

Włączanie zapory IP przy użyciu interfejsu API Dataverse OData

Możesz użyć interfejsu API Dataverse OData do pobierania i modyfikowania wartości w środowisku Power Platform. Aby uzyskać szczegółowe wskazówki, zobacz Wykonywanie zapytań o dane przy użyciu internetowego interfejsu API oraz Aktualizowanie i usuwanie wierszy tabel za pomocą internetowego interfejsu API (Microsoft Dataverse).

Można korzystać z elastyczności i wybierać odpowiednie narzędzia. Do pobierania i modyfikowania wartości za pośrednictwem interfejsu API Dataverse OData użyj następującej dokumentacji:

Konfigurowanie zapory IP przy użyciu interfejsu API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Ładunek

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]
  • enableipbasedfirewallrule — włącz funkcję, ustawiając wartość true, lub wyłącz ją, ustawiając wartość false.

  • allowediprangeforfirewall — należy wymienić zakresy IP, które powinny być dozwolone. Należy przekazać je w notacji CIDR rozdzielone przecinkami.

    Ważne

    Należy się upewnić, że nazwy tagów usługi są dokładnie zgodne ze stroną ustawień zapory IP. W przypadku rozbieżności ograniczenia IP mogą nie funkcjonować prawidłowo.

  • enableipbasedfirewallruleinauditmode — opcja true wskazuje tryb tylko inspekcji, opcja false wskazuje tryb wymuszania.

  • allowedservicetagsforfirewall — lista tagów usługi, które mogą być oddzielone przecinkami. Jeśli nie chcesz konfigurować żadnych tagów usług, pozostaw wartość null.

  • allowapplicationuseraccess — wartość domyślna to true.

  • allowmicrosofttrustedservicetags — wartość domyślna to true.

Ważne

Gdy opcjeZezwalaj na zaufane usługi Microsoft i Zezwalaj na dostęp wszystkim użytkownikom aplikacji są wyłączone, niektóre usługi, których używa Dataverse, jak przepływy Power Automate, mogą nie działać.

Testowanie zapory IP

Zaporę IP należy przetestować w celu sprawdzenia, czy działa.

  1. Z adresu IP, który nie znajduje się na liście dozwolonych adresów IP dla środowiska, przejdź do identyfikatora URI środowiska Power Platform.

    Prośba powinna zostać odrzucona przez komunikat „Żądanie, które próbujesz wykonać, jest odrzucane, ponieważ dostęp do adresu IP jest blokowany. Skontaktuj się z administratorem, aby uzyskać więcej informacji”.

  2. Z adresu IP, który nie znajduje się na liście dozwolonych adresów IP dla środowiska, przejdź do identyfikatora URI środowiska Power Platform.

    Użytkownik powinien mieć dostęp do środowiska zdefiniowanego przez rolę zabezpieczeń.

Zaleca się najpierw test zapory IP w środowisku testowym, a po nim w trybie tylko do inspekcji w środowisku produkcyjnym, przed wymuszeniem zapory IP w środowisku produkcyjnym.

Uwaga

Domyślnie punkt końcowy TDS jest włączony w środowisku Power Platform.

Wymagania licencyjne dotyczące zapory IP

Zapora IP jest egzekwowana tylko w środowiskach, które są aktywowane dla środowisk zarządzanych. Środowiska zarządzane są uwzględnione jako uprawnienie w samodzielnych licencjach Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages i Dynamics 365, które zapewniają prawa do użytkowania premium. Dowiedz się więcej o Licencjonowaniu środowiska zarządzanego, korzystając z Przeglądu licencjonowania dla środowiska zarządzanego Microsoft Power Platform.

Ponadto dostęp do korzystania z zapory IP dla Dataverse wymaga, aby użytkownicy w środowiskach, w których wymuszane są zapory IP, posiadali jedną z tych subskrypcji:

  • Microsoft 365 lub Office 365 A5/E5/G5
  • Zgodność Microsoft 365 A5/E5/F5/G5
  • Microsoft 365 F5 — zabezpieczenia i zgodność
  • Microsoft 365 A5/E5/F5/G5 Ochrona i zarządzanie informacjami
  • Microsoft 365 A5/E5/F5/G5 – Zarządzanie ryzykiem związanym z wykorzystaniem informacji poufnych

Dowiedz się więcej o tych licencjach.

Często zadawane pytania

Co obejmuje zapora IP Power Platform?

Zapora IP jest obsługiwana we wszystkich środowiskach Power Platform, które zawierają Dataverse.

Jak szybko zajdą zmiany na liście adresów IP?

Zmiany na liście dozwolonych adresów IP lub zakresów zazwyczaj są efektywne po około 5–10 minutach.

Czy ta funkcja działa w czasie rzeczywistym?

Ochrona zapory IP działa w czasie rzeczywistym. Ponieważ ta funkcja działa w warstwie sieciowej, ocenia ona żądanie po zakończeniu żądania uwierzytelnienia.

Czy ta funkcja jest domyślnie włączona we wszystkich środowiskach?

Zapora IP jest domyślnie włączona. Administrator Power Platform musi włączyć ją w środowiskach zarządzanych.

Co to jest tryb tylko do inspekcji?

W trybie tylko do inspekcji zapora IP identyfikuje adresy IP służące do wywołania środowiska i zezwala na to wszystkim użytkownikom, niezależnie od tego, czy znajdują się w dozwolonym zakresie, czy nie. Jest to pomocne podczas konfigurowania ograniczeń środowiska Power Platform. Zaleca się włączenie trybu tylko inspekcji przez co najmniej tydzień i wyłączenie go tylko po uważnym przejrzeniu dzienników inspekcji.

Czy ta funkcja jest dostępna we wszystkich środowiskach?

Funkcja zapory IP jest dostępna tylko w środowiskach zarządzanych.

Czy istnieje ograniczenie dotyczące liczby adresów IP, które można dodać w polu tekstowym adresu IP?

Można dodać do 200 zakresów adresów IP w formacie CIDR, zgodnie z opisem w RFC 4632, rozdzielając je przecinkami.

Co powinienem zrobić, jeśli żądania do Dataverse zaczną zawodzić?

Przyczyną tego problemu może być nieprawidłowa konfiguracja zakresów IP dla zapory IP. Zakresy adresów IP można sprawdzić na stronie ustawień zapory IP. Zaleca się włączenie zapory IP w trybie tylko do inspekcji przed jej włączeniem.

Jak pobrać dziennik kontroli w trybie tylko kontroli?

Interfejs API OData Dataverse umożliwia pobranie danych dziennika inspekcji w formacie JSON. Format interfejsu API dziennika audytu jest następujący:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • Zastąp [orgURI] przy użyciu identyfikatora URI środowiska Dataverse.
  • Ustaw wartość akcji na 118 dla tego zdarzenia.
  • Ustaw liczbę produktów do zwrócenia w top=1 lub określ liczbę, którą chcesz zwrócić.

Po skonfigurowaniu zapory IP w moim środowisku Power Platform moje przepływy Power Automate nie działają zgodnie z oczekiwaniami. Co mam robić?

W ustawieniach zapory IP zezwalaj na oznaczanie tagów usług wymienionych w Łącznikach zarządzanych wychodzących adresów IP.

Odwrotny serwer proxy został poprawnie skonfigurowany, jednak zapora IP nie działa. Co mam robić?

Należy sprawdzić, czy odwrotny serwer proxy jest skonfigurowany do wysyłania adresu IP klienta w nagłówku przesyłania dalej.

Funkcja inspekcji zapory IP nie działa w moim środowisku. Co mam robić?

Dzienniki inspekcji zapory IP nie są obsługiwane przez dzierżawców w przypadku kluczy szyfrowania typu bring-your-own-key (BYOK). Jeśli dzierżawca ma włączoną funkcję bring-your-own-key, wszystkie środowiska w dzierżawie korzystającej z programu BYOK są zablokowane tylko w języku SQL, dlatego dzienniki inspekcji mogą być przechowywane tylko w języku SQL. Zaleca się przeprowadzenie migracji do klucza zarządzanego przez klienta. Aby migrować z klucza BYOK do klucza zarządzanego przez klienta (CMKv2), należy wykonać kroki opisane w temacie Migracja środowisk typu bring-your-own-key (BYOK) do klucza zarządzanego przez klienta.

Czy zapora IP obsługuje zakresy IPv6 IP?

Tak, zapora IP obsługuje zakresy IPv6.

Następne kroki

Zabezpieczenia w usłudze Microsoft Dataverse