Брандмауэр для IP-адресов в средах Power Platform

Брандмауэр для IP-адресов помогает защитить данные вашей организации, разрешая пользователям доступ к Microsoft Dataverse только из разрешенных IP-местоположений. Брандмауэр IP-адресов анализирует IP-адрес каждого запроса в режиме реального времени. Например, предположим, что в вашей производственной среде Dataverse включен брандмауэр IP-адресов, а разрешенные IP-адреса находятся в диапазонах, связанных с местоположением вашего офиса, а не внешним местоположением, например кафе. Если пользователь пытается получить доступ к ресурсам организации из кафе, Dataverse отказывает в доступе в режиме реального времени.

Ключевые преимущества

Включение брандмауэра IP-адресов в вашей среде Power Platform дает несколько ключевых преимуществ.

• Смягчение внутренних угроз, таких как кража данных: злонамеренный пользователь, пытающийся загрузить данные из Dataverse с помощью клиентского инструмента, такого как Excel или Power BI, с запрещенного IP-адреса, будет заблокирован в режиме реального времени.
• Предотвращение атак повторного использования токенов: если пользователь крадет маркер доступа и пытается использовать его для доступа к Dataverse из-за пределов разрешенных диапазонов IP-адресов, Dataverse отклоняет попытку в режиме реального времени.

Защита брандмауэра IP-адресов работает как в интерактивных, так и в неинтерактивных сценариях.

Как работает брандмауэр IP-адресов?

Когда поступает запрос к Dataverse IP-адрес запроса оценивается в режиме реального времени и сравнивается с диапазонами IP-адресов, заданными для среды Power Platform. Если IP-адрес находится в допустимых диапазонах, запрос разрешается. Если IP-адрес находится за пределами диапазонов IP-адресов, настроенных для среды, брандмауэр IP-адресов отклоняет запрос с сообщением об ошибке: Запрос, который вы пытаетесь сделать, отклонен, так как доступ к вашему IP-адресу заблокирован. Свяжитесь с вашим администратором для получения дополнительной информации.

Предварительные условия

• Функция брандмауэра для IP-адресов управляемых сред.
• Вы должны иметь роль администратора Power Platform для включения или отключения брандмауэра IP-адресов.

Включение брандмауэра IP-адресов

Вы можете включить IP-брандмауэр в среде Power Platform с помощью центра администрирования Power Platform или с помощью API OData в Dataverse.

Включение IP-брандмауэра с помощью Центра администрирования Power Platform

1. Как администратор, войдите в Центр администрирования Power Platform.

2. Выберите Среды, затем выберите среду.

3. Выберите Параметры>Продукт>Конфиденциальность + безопасность.

4. В разделе Параметры IP-адресов задайте для параметра Включить правило брандмауэра на основе IP-адресов значение Вкл.

5. В разделе Список разрешенных диапазонов IPv4/IPv6-адресов укажите разрешенные диапазоны IP-адресов в формате CIDR в соответствии с RFC 4632. Если у вас несколько диапазонов IP-адресов, разделите их запятой. Это поле может содержать до 4000 буквенно-цифровых символов и позволяет указать до 200 диапазонов IP-адресов. IPv6-адреса допускаются как в шестнадцатеричном, так и в сжатом формате.

6. Выберите другие настройки, если это необходимо:

   • Сервисные теги, которые должны быть разрешены брандмауэром IP-адресов: выберите из списка служебные теги, которые могут обходить ограничения брандмауэра IP-адресов.

   • Разрешить доступ к доверенным службам Microsoft. Этот параметр включает доверенные службы Microsoft, такие как мониторинг, поддержка пользователя и т. д., чтобы обойти ограничения IP-брандмауэра для доступа к среде Power Platform в Dataverse. Включено по умолчанию.

   • Разрешить доступ для всех пользователей приложения. Этот параметр разрешает всем пользователям сторонних и собственных приложений доступ к API-интерфейсам Dataverse. Включено по умолчанию. Если удалить это значение, будут заблокированы только пользователи сторонних приложений.

   • Включить брандмауэр IP-адресов в режиме только аудита: этот параметр включает брандмауэр IP-адресов, но разрешает запросы независимо от их IP-адреса. Включено по умолчанию.

   • IP-адреса обратных прокси-серверов. Если в вашей организации настроены обратные прокси-серверы, введите IP-адреса через запятую. Настройка обратного прокси-сервера применяется как к привязке файлов cookie на основе IP-адреса, так и к брандмауэру IP-адресов. Обратитесь к сетевому администратору, чтобы получить IP-адреса обратного прокси-сервера.

     Заметка

     Обратный прокси-сервер должен быть настроен на отправку IP-адресов клиентов пользователей в пересылаемом заголовке.

7. Выберите Сохранить.

Включение IP-брандмауэра с помощью API OData в Dataverse

API OData в Dataverse можно использовать для получения и изменения значений в среде Power Platform. Подробные инструкции см. в разделах Запрос данных с помощью веб-API и Обновление и удаление строк таблицы с помощью веб-API (Microsoft Dataverse).

У вас есть возможность выбрать инструменты, которые вы предпочитаете. Используйте следующую документацию для получения и изменения значений через API OData в Dataverse:

• Использование инструмента Insomnia с веб-API в Dataverse
• Быстрый запуск веб-API с PowerShell и Visual Studio Code

Настройка IP-брандмауэра с помощью API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Полезная нагрузка

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule — включите эту функцию, установив значение true или отключите ее, установив значение false.

• allowediprangeforfirewall — перечислите диапазоны IP-адресов, которые следует разрешить. Укажите их в нотации CIDR, разделенные запятой.

  Важно

  Убедитесь, что имена тегов службы точно соответствуют тому, что вы видите на странице параметров IP-брандмауэра. Если есть какие-либо несоответствия, ограничения IP могут работать неправильно.

• enableipbasedfirewallruleinauditmode — значение true указывает на режим только аудита, а значение false указывает на режим принудительного применения.

• allowservicetagsforfirewall — список тегов служб, которые должны быть разрешены, разделенный запятыми. Если вы не хотите настраивать-либо теги служб, оставьте это значение равным NULL.

• allowapplicationuseraccess — значение по умолчанию равно true.

• allowmicrosofttrustedservicetags — значение по умолчанию равно true.

Важно

Когда параметры Разрешить доступ для доверенных служб Майкрософт и Разрешить доступ для всех пользователей приложения отключены, некоторые службы, использующие Dataverse, такой как потоки Power Automate, могут больше не работать.

Проверка брандмауэра IP-адресов

Вы должны протестировать брандмауэр IP-адресов, чтобы убедиться, что он работает.

1. С IP-адреса, которого нет в списке разрешенных IP-адресов для среды, перейдите к URI среды Power Platform.

   Ваш запрос должен быть отклонен с сообщением, в котором говорится: «Запрос, который вы пытаетесь сделать, отклонен, так как доступ к вашему IP-адресу заблокирован. Свяжитесь с вашим администратором для получения дополнительной информации».

2. С IP-адреса, который находится в списке разрешенных IP-адресов для среды, перейдите к URI среды Power Platform.

   У вас должен быть доступ к среде, определенный вашей ролью безопасности.

Мы рекомендуем сначала протестировать брандмауэр IP-адресов в тестовой среде, а затем использовать режим "только аудит" в рабочей среде, прежде чем включать брандмауэр IP-адресов в рабочей среде.

Заметка

По умолчанию конечная точка TDS включена в среде Power Platform.

Лицензионные требования для IP-брандмауэра

IP-брандмауэр применяется только в средах, активированных для управляемых сред. Управляемые среды включены в качестве объема обслуживания в отдельные лицензии Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages и Dynamics 365, которые предоставляют права на использование премиум-уровня. Узнайте больше о лицензировании управляемой среды в разделе Обзор лицензирования для Microsoft Power Platform.

Кроме того, для доступа к использованию IP-брандмауэра для Dataverse требуется, чтобы пользователи в средах, где применяется IP-брандмауэр, обязательно имели одну из следующих подписок:

• Microsoft 365 или Office 365 A5/E5/G5
• Соответствие Microsoft 365 A5/E5/F5/G5
• Безопасность и соответствие требованиям Microsoft 365 F5
• Защита информации и управление Microsoft 365 A5/E5/F5/G5
• Управление внутренними рисками для Microsoft 365 A5/E5/F5/G5

Подробнее об этих лицензиях.

Вопросы и ответы

Что покрывает брандмауэр IP-адресов в Power Platform?

Брандмауэр IP-адресов поддерживается в любой среде Power Platform, включающей Dataverse.

Как скоро вступают в силу изменения в списке IP-адресов?

Изменения в списке разрешенных IP-адресов или диапазонов обычно вступают в силу примерно через 5–10 минут.

Эта функция работает в режиме реального времени?

Защита брандмауэром IP-адресов работает в режиме реального времени. Поскольку эта функция работает на сетевом уровне, она оценивает запрос после завершения запроса на аутентификацию.

Включена ли эта функция по умолчанию во всех средах?

Брандмауэр IP-адресов по умолчанию отключен. Администратор Power Platform должен включить его для управляемых сред.

Что такое режим «только для аудита»?

В режиме только аудита брандмауэр IP-адресов идентифицирует IP-адреса, которые выполняют вызовы в среду, и разрешает их все, независимо от того, находятся ли они в разрешенном диапазоне или нет. Это полезно, когда вы настраиваете ограничения для среды Power Platform. Мы рекомендуем включать режим только аудита как минимум на неделю и отключать его только после тщательного просмотра журналов аудита.

Эта функция доступна во всех средах?

Брандмауэр для IP-адресов доступен только для управляемых сред.

Есть ли ограничение на количество IP-адресов, которые я могу добавить в текстовое поле IP-адреса?

Вы можете добавить до 200 диапазонов IP-адресов в формате CIDR согласно RFC 4632, разделенных запятыми.

Что делать, если запросы к Dataverse завершаются сбоем?

Причиной этой проблемы может быть неправильная конфигурация диапазонов IP-адресов для IP-брандмауэра. Вы можете проверить и подтвердить диапазоны IP-адресов на странице параметров IP-брандмауэра. Мы рекомендуем вам включить IP-брандмауэр в режиме «Только аудит», прежде чем применять его.

Как загрузить журнал аудита для режима «только для аудита»?

Используйте API-интерфейс Dataverse OData для загрузки данных журнала аудита в формате JSON. Ниже приведен формат API журнала аудита:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Замените [orgURI] на URI среды Dataverse.
• Установите значение действия 118 для этого события.
• Установите количество возвращаемых элементов top=1 или укажите число, которое вы хотите вернуть.

Мои потоки Power Automate не работают должным образом после настройки брандмауэра IP-адресов в моей среде Power Platform. Что делать?

В настройках брандмауэра IP-адресов разрешите теги служб, перечисленные в разделе Исходящие IP-адреса управляемых соединителей.

Адрес обратного прокси-сервера настроен правильно, но брандмауэр IP-адресов не работает. Что делать?

Убедитесь, что в вашем обратном прокси-сервере настроена отправка IP-адреса клиента в пересылаемом заголовке.

Функция аудита брандмауэра IP-адресов не работает в моей среде. Что делать?

Журналы аудита брандмауэра IP-адресов не поддерживаются в клиентах, в которых разрешено использовать ключи шифрования с собственным ключом (BYOK). Если для вашего клиента включено использование собственного ключа, то все среды в клиенте с поддержкой BYOK заблокированы, за исключением SQL, поэтому журналы аудита могут храниться только в SQL. Мы рекомендуем вам перейти на ключ, управляемый клиентом. Чтобы перейти с BYOK на ключ, управляемый клиентом (CMKv2), выполните действия, описанные в разделе Перевод сред с собственным ключом (BYOK) на ключ, управляемый клиентом.

Поддерживает ли IP-брандмауэр диапазоны IP-адресов IPv6?

Да, IP-брандмауэр поддерживает диапазоны IP-адресов IPv6.

Следующие шаги

Безопасность в Microsoft Dataverse