Power Platform 环境中的 IP 防火墙
IP 防火墙通过限制用户只能从允许的 IP 位置访问 Microsoft Dataverse 来帮助保护您的组织数据。 IP 防火墙实时分析每个请求的 IP 地址。 例如,假设 IP 防火墙在您的生产 Dataverse 环境中打开,并且允许的 IP 地址在与您的办公地点相关的范围内,而不是像咖啡店这样的任何外部 IP 位置。 如果用户尝试从咖啡店访问组织资源,Dataverse 会实时拒绝访问。
关键优势
在您的 Power Platform 环境中启用 IP 防火墙提供了几个关键好处。
- 缓解数据外泄等内部威胁:恶意用户试图使用 Excel 或 Power BI 等客户端工具从不允许的 IP 位置从 Dataverse 下载数据,会被实时阻止。
- 阻止令牌重播攻击:如果用户窃取访问令牌并试图使用它从允许的 IP 范围之外访问 Dataverse,Dataverse 会实时拒绝该尝试。
IP 防火墙保护在交互式和非交互式场景中都有效。
IP 防火墙如何工作?
向 Dataverse 发出请求时,将根据为 Power Platform 环境配置的 IP 范围实时评估请求的 IP 地址。 如果 IP 地址在允许的范围内,将允许请求。 如果 IP 地址在为环境配置的 IP 范围之外,IP 防火墙会拒绝该请求,并显示错误消息:由于对 IP 的访问被阻止,您尝试发出的请求将被拒绝。有关详细信息,请与管理员联系。
先决条件
- IP 防火墙是托管环境的一项功能。
- 您必须具有 Power Platform 管理员角色才能启用或禁用 IP 防火墙。
启用 IP 防火墙
您可以使用 Power Platform 管理中心或使用 Dataverse OData API 在 Power Platform 环境中启用 IP 防火墙。
使用 Power Platform 管理中心启用 IP 防火墙
作为管理员,登录到 Power Platform 管理中心。
选择环境,然后选择一个环境。
选择设置>产品>隐私 + 安全性。
在 IP 地址设置下面,将启用基于 IP 地址的防火墙规则设置为打开。
在 IPv4/IPv6 范围的允许列表下,按照 RFC 4632 使用无类别域际路由选择 (CIDR) 格式指定允许的 IP 范围。 如果有多个 IP 范围,使用逗号进行分隔。 此字段最多接受 4,000 个字母数字字符,最多允许 200 个 IP 范围。 允许使用十六进制和压缩格式的 IPv6 地址。
请相应选择其他设置:
IP 防火墙允许的服务标记:从列表中,选择可以绕过 IP 防火墙限制的服务标记。
允许访问 Microsoft 可信服务:此设置启用 Microsoft 可信服务,如监控和支持用户等绕过 IP 防火墙限制,使用 Dataverse 访问 Power Platform 环境。 默认启用。
允许所有应用程序用户访问:此设置允许所有应用程序用户第三方和第一方访问 Dataverse API。 默认启用。 如果您清除此值,则它仅阻止第三方应用程序用户。
在仅审核模式下启用 IP 防火墙:此设置启用 IP 防火墙,但无论 IP 地址如何,都允许请求。 默认启用。
反向代理 IP 地址:如果您的组织已配置反向代理,请输入逗号分隔的 IP 地址。 反向代理设置适用于基于 IP 的 cookie 绑定和 IP 防火墙。 请与网络管理员联系以获取反向代理 IP 地址。
备注
反向代理必须配置为在转发标头中发送用户客户端 IP 地址。
选择保存。
使用 Dataverse OData API 启用 IP 防火墙
Dataverse OData API 允许您在 Power Platform 环境中检索和修改值。 有关详细的指导,请参阅使用 Web API 查询数据和使用 Web API (Microsoft Dataverse) 更新和删除表。
您可以灵活地选择偏好的工具。 使用以下文档通过 Dataverse OData API 检索和修改值:
使用 OData API 配置 IP 防火墙
PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0
有效负载
[
{
"enableipbasedfirewallrule": true,
"allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
"enableipbasedfirewallruleinauditmode": true,
"allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
"allowapplicationuseraccess": true,
"allowmicrosofttrustedservicetags": true
}
]
enableipbasedfirewallrule – 通过将该值设置为 true 来启用该功能,或通过将该值设置为 false 来禁用该功能。
allowediprangeforfirewall — 列出应该允许的 IP 范围。 使用 CIDR 符号提供,用逗号分隔。
重要提示
确保服务标记名称与您在 IP 防火墙的设置页面看到的名称完全匹配。 如果存在任何差异,IP 限制可能无法正常工作。
enableipbasedfirewallruleinauditmode – 值 true 表示仅审核模式,而值 false 表示强制模式。
allowedservicetagsforfirewall – 列出应该允许的服务标签,用逗号分隔。 如果您不想配置任何服务标记,则将值留空。
allowapplicationuseraccess – 默认值为 true。
allowmicrosofttrustedservicetags – 默认值为 true。
重要提示
当允许 Microsoft 可信服务访问和允许所有应用程序用户访问被禁用时,一些使用 Dataverse 的服务可能不再工作,如 Power Automate 流。
测试 IP 防火墙
您应该测试 IP 防火墙以验证它是否正常工作。
从不在环境的 IP 地址允许列表中的 IP 地址,浏览到您的 Power Platform 环境 URI。
您的请求应会被拒绝,并显示一条消息:“由于对 IP 的访问被阻止,您尝试发出的请求将被拒绝。 有关详细信息,请与管理员联系。”
从在环境的 IP 地址允许列表中的 IP 地址,浏览到您的 Power Platform 环境 URI。
您应该有权访问由您的安全角色定义的环境。
我们建议您首先在测试环境中测试 IP 防火墙,然后在生产环境中以仅审核模式测试,最后在生产环境中实施 IP 防火墙。
备注
默认情况下,TDS 端点在 Power Platform 环境中处于打开状态。
IP 防火墙的许可要求
IP 防火墙仅在为托管环境激活的环境上强制执行。 托管环境作为权利包含在独立的 Power Apps、Power Automate、Microsoft Copilot Studio、Power Pages 和 Dynamics 365 许可证中,这些许可证具有高级使用权限。 通过 Microsoft Power Platform 许可概述,了解有关托管环境许可的更多信息。
此外,对 Dataverse 使用 IP 防火墙的访问权限需要强制 IP 防火墙的环境中的用户拥有以下订阅之一:
- Microsoft 365 或 Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 合规
- Microsoft 365 F5 安全与合规
- Microsoft 365 A5/E5/F5/G5 信息保护和治理
- Microsoft 365 A5/E5/F5/G5 内部人员风险管理
常见问题 (FAQ)
Power Platform 中的 IP 防火墙覆盖哪些方面?
IP 防火墙在包括 Dataverse 的任何 Power Platform 环境中都受支持。
对 IP 地址列表的更改多久生效?
对允许的 IP 地址或范围列表的更改通常在大约 5-10 分钟内生效。
此功能是否是实时的?
IP 防火墙保护会实时工作。 由于该功能在网络层有效,因此将在身份验证请求完成后评估请求。
此功能是否在所有环境中默认启用?
IP 防火墙默认不启用。 Power Platform 管理员需要为托管环境启用该功能。
什么是仅审核模式?
在仅审核模式下,IP 防火墙会识别对环境进行调用的 IP 地址,并允许所有 IP 地址,无论它们是否在允许的范围内。 当您在 Power Platform 环境中配置限制时,这很有帮助。 我们建议您启用仅审核模式至少持续一周,且仅在仔细查看审核日志后再禁用。
此功能是否在所有环境中都可用?
IP 防火墙仅可用于托管环境。
我可以在 IP 地址文本框中添加的 IP 地址数量有限制吗?
根据 RFC 4632,您最多可以添加 200 个 CIDR 格式的 IP 地址范围,中间用逗号隔开。
如果向 Dataverse 发出的请求开始失败,我应该怎么做?
IP 防火墙的 IP 范围配置不正确会导致此问题。 您可以检查和验证 IP 防火墙设置页上的 IP 范围。 我们建议您在实施 IP 防火墙之前,以仅审核模式打开。
如何下载仅审核模式的审核日志?
使用 Dataverse OData API 下载 JSON 格式的审核日志数据。 审核日志 API 的格式为:
https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1
- 将 [orgURI] 替换为 Dataverse 环境 URI。
- 将此事件的操作值设置为 118。
- 在 top=1 中设置要返回的项数或指定要返回的项数。
在我的 Power Platform 环境中配置 IP 防火墙后,我的 Power Automate 流无法按预期工作。 我该做什么?
在 IP 防火墙设置中,允许托管连接器出站 IP 地址中列出的服务标记。
我正确配置了反向代理地址,但是 IP 防火墙未正常工作。 我该做什么?
请确保您的反向代理是否配置为在转发标头中发送客户端 IP 地址。
IP 防火墙审核功能在我的环境中不起作用。 我该做什么?
启用自带密钥 (BYOK) 加密密钥的租户不支持 IP 防火墙审核日志。 如果您的租户启用了自带密钥,则启用 BYOK 的租户中的所有环境将仅锁定到 SQL,因此审核日志只能存储在 SQL 中。 我们建议您迁移到客户管理密钥。 要从 BYOK 迁移到客户管理密钥 (CMKv2),请遵循将自带密钥 (BYOK) 环境迁移到客户管理密钥中的步骤。
IP 防火墙是否支持 IPv6 IP 范围?
是,IP 防火墙支持 IPv6 IP 范围。