Power Platform орталардағы IP брандмауэр

IP брандмауэр тек рұқсат етілген IP орындарынан Microsoft Dataverse пайдаланушының кіруін шектеу арқылы ұйымдық деректеріңізді қорғауға көмектеседі. IP брандмауэр нақты уақытта әрбір сұраудың IP мекенжайын талдайды. Мысалы, IP брандмауэр өндірістік Dataverse ортаңызда қосылған және рұқсат етілген IP мекенжайлары кофехана сияқты кез келген сыртқы IP мекенжайы емес, кеңсе орындарымен байланысты ауқымдарда делік. Пайдаланушы кофеханадан ұйымдық ресурстарға кіруге әрекеттенсе, Dataverse нақты уақытта кіруге тыйым салады.

Маңызды

IP брандмауэр мүмкіндігі Dataverse деректерге қол жеткізу үшін OData соңғы нүктелерін ғана қолдайды. TDS соңғы нүктелеріне қолдау болашақ шығарылымға қосылады.

Негізгі артықшылықтар

Power Platform орталарыңызда IP брандмауэрін қосу бірнеше негізгі артықшылықтарды ұсынады.

• Деректерді эксфильтрациялау сияқты инсайдерлік қауіптерді азайту: Dataverse Excel сияқты клиент құралын немесе Power BI рұқсат етілмеген IP орнынан деректерді жүктеп алуға әрекеттенетін зиянды пайдаланушы нақты уақытта мұны істеуге тыйым салынады.
• Токенді қайталау шабуылдарын болдырмау: Егер пайдаланушы рұқсат таңбалауышын ұрлап, оны рұқсат етілген IP ауқымдарынан тыс Dataverse қатынау үшін пайдаланғысы келсе, Dataverse бұл әрекеттен бас тартады. шынайы уақыт.

IP брандмауэрін қорғау интерактивті және интерактивті емес сценарийлерде жұмыс істейді.

IP брандмауэр қалай жұмыс істейді?

Сұраныс Dataverse жасалғанда, сұраудың IP мекенжайы Power Platform орта үшін конфигурацияланған IP ауқымдарына қарсы нақты уақытта бағаланады. Егер IP мекенжайы рұқсат етілген ауқымдарда болса, сұрауға рұқсат етіледі. Егер IP мекенжайы орта үшін конфигурацияланған IP ауқымдарынан тыс болса, IP брандмауэр қате туралы хабармен сұрауды қабылдамайды: Сіз жасағыңыз келген сұрау қабылданбады, себебі IP мекенжайыңызға кіру бұғатталған. Қосымша ақпарат алу үшін әкімшіңізге хабарласыңыз.

Алғышарттар

• IP брандмауэр Басқарылатын орталардың мүмкіндігі болып табылады.
• IP брандмауэрін қосу немесе өшіру үшін сізде Power Platform әкімші рөлі болуы керек.

IP брандмауэрін қосыңыз

IP брандмауэрін Power Platform ортасында Power Platform басқару орталығын немесе Dataverse OData API пайдалану арқылы қосуға болады.

Power Platform басқару орталығы арқылы IP брандмауэрін қосыңыз

1. Power Platform басқару орталығына әкімші ретінде кіріңіз.

2. Орталар тармағын, содан кейін ортаны таңдаңыз.

3. Параметрлер>Өнім>Құпиялылық + қауіпсіздік тармағын таңдаңыз.

4. IP мекенжай параметрлері астында IP мекенжайына негізделген желіаралық қалқан ережесін қосуҚосулы< күйіне орнатыңыз.

5. IPv4 ауқымдарының рұқсат етілген тізімі астында RFC 4632 сәйкес класс аралық домендік маршруттау (CIDR) пішімінде рұқсат етілген IP ауқымдарын көрсетіңіз. Бірнеше IP ауқымы болса, оларды үтірмен бөліңіз. Бұл өріс 4000-ға дейін әріптік-цифрлық таңбаны қабылдайды және ең көбі 200 IP ауқымына рұқсат береді.

6. Сәйкесінше басқа параметрлерді таңдаңыз:

   • IP брандмауэр рұқсат ететін қызмет тегтері: Тізімнен IP брандмауэр шектеулерін айналып өтетін қызмет тегтерін таңдаңыз.
   • Microsoft сенімді қызметтеріне кіруге рұқсат ету: Бұл параметр бақылау және қолдау көрсету пайдаланушысына т.б. сияқты Microsoft сенімді қызметтерін қосады. Power Platform ортасына Dataverse арқылы кіру үшін IP брандмауэр шектеулерін айналып өту. Әдепкі бойынша қосулы.
   • Қолданбаның барлық пайдаланушыларына рұқсат беру: Бұл параметр барлық қолданба пайдаланушыларына үшінші және бірінші тарапқа Dataverse кіруге рұқсат береді. API интерфейстері. Әдепкі бойынша қосулы. Бұл мәнді өшірсеңіз, ол тек үшінші тарап қолданбасының пайдаланушыларын блоктайды.
   • IP брандмауэрін тек аудит режимінде қосу: Бұл параметр IP брандмауэрін қосады, бірақ олардың IP мекенжайына қарамастан сұрауларға рұқсат береді. Әдепкі бойынша қосулы.
   • Кері прокси IP мекенжайлары: ұйымыңызда кері прокси конфигурацияланған болса, бір немесе бірнеше IP мекенжайларын үтірмен бөліп енгізіңіз. Кері прокси параметрі IP негізіндегі cookie файлын байланыстыруға да, IP брандмауэріне де қолданылады.

7. Сақтау опциясын таңдаңыз.

Dataverse OData API арқылы IP брандмауэрін қосыңыз

Dataverse OData API интерфейсін Power Platform ортасындағы мәндерді шығарып алу және өзгерту үшін пайдалануға болады. Егжей-тегжейлі нұсқаулықты Web API арқылы сұрау деректерін және Web API арқылы кесте жолдарын жаңарту және жою (Microsoft Dataverse) бөлімінен қараңыз. ).

Сізге ұнайтын құралдарды таңдау икемділігі бар. Dataverse OData API арқылы мәндерді шығарып алу және өзгерту үшін келесі құжаттаманы пайдаланыңыз:

• Insomnia қолданбасын Dataverse Web API арқылы пайдаланыңыз
• PowerShell және Visual Studio коды бар Quick Start Web API

OData API арқылы IP брандмауэрін конфигурациялаңыз

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Пайдалы жүк

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Мәнді true етіп орнату арқылы мүмкіндікті қосыңыз немесе мәнді жалған етіп орнату арқылы оны өшіріңіз..

• allowiprangeforfirewall — Рұқсат етілетін IP ауқымдарының тізімін көрсетіңіз. Оларды үтірмен бөлінген CIDR белгілеуімен қамтамасыз етіңіз.

  Маңызды

  Қызметтік тег атаулары IP брандмауэрінің параметрлер бетінде көргендеріңізге дәл сәйкес келетініне көз жеткізіңіз. Қандай да бір сәйкессіздік болса, IP шектеулері дұрыс жұмыс істемеуі мүмкін.

• enableipbased firewallruleinauditmode – true мәні тек аудит режимін көрсетеді, ал мән жалған қолдану режимін көрсетеді.

• allowservicetagsforfirewall – Үтірмен бөлінген рұқсат етілетін қызмет тегтерін тізімдеңіз. Кез келген қызмет тегтерін конфигурациялағыңыз келмесе, мәнді бос қалдырыңыз.

• allowapplicationuseraccess – Әдепкі мән true болып табылады.

• allowmicrosofttrustedservicetags – Әдепкі мән true болып табылады.

Маңызды

Microsoft сенімді қызметтеріне рұқсат беру және Барлық қолданба пайдаланушыларына рұқсат беру өшірілгенде, кейбір қызметтер Dataverse, мысалы, Power Automate ағындары енді жұмыс істемеуі мүмкін.

IP брандмауэрін тексеріңіз

Оның жұмыс істеп тұрғанын тексеру үшін IP брандмауэрін тексеру керек.

1. Орта үшін рұқсат етілген IP мекенжайлар тізімінде жоқ IP мекенжайынан Power Platform ортаңыздың URI мекенжайына өтіңіз.

   Сұрауыңызды қабылдамау керек, онда «Сіз жасамақ болған сұрау қабылданбады, себебі сіздің IP-ге кіру рұқсаты бұғатталған. Қосымша ақпарат алу үшін әкімшіңізге хабарласыңыз."

2. Ортаға арналған рұқсат етілген IP мекенжайлар тізіміндегі IP мекенжайынан Power Platform ортаның URI мекенжайына өтіңіз.

   қауіпсіздік рөлі арқылы анықталған ортаға қол жеткізуіңіз керек.

Өндірістік ортада IP брандмауэрін қолданудан бұрын алдымен сынақ ортаңызда IP брандмауэрін, содан кейін Өндіріс ортасында тек аудит режимін тексеруді ұсынамыз.

IP брандмауэріне лицензиялық талаптар

IP брандмауэр басқарылатын орталар үшін белсендірілген орталарда ғана қолданылады. Басқарылатын орталар жеке Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages және жоғары сапалы пайдалану құқықтарын беретін Dynamics 365 лицензияларына құқық ретінде қосылған. . үшін Лицензиялау шолуымен Басқарылатын ортаны лицензиялау туралы толығырақ ақпарат алыңыз Microsoft Power Platform.

Сонымен қатар, Dataverse үшін IP брандмауэрін пайдалану рұқсаты IP брандмауэрі күшіне енген орталардағы пайдаланушылардан мына жазылымдардың біріне ие болуын талап етеді:

• Microsoft 365 немесе Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5 сәйкестік
• Microsoft 365 F5 Қауіпсіздік & Сәйкестік
• Microsoft 365 A5/E5/F5/G5 Ақпаратты қорғау және басқару
• Microsoft 365 A5/E5/F5/G5 Ішкі тәуекелдерді басқару

Бұл лицензиялар туралы көбірек біліңіз

Жиі қойылатын сұрақтар (ЖҚС)

IP брандмауэр Power Platform ішінде нені қамтиды?

IP брандмауэріне Power Platform кіретін кез келген Dataverseортада қолдау көрсетіледі.

IP мекенжайлар тізімін өзгерту қаншалықты тез күшіне енеді?

Рұқсат етілген IP мекенжайларының немесе ауқымдарының тізіміндегі өзгерістер әдетте шамамен 5-10 минут ішінде күшіне енеді.

Бұл мүмкіндік нақты уақытта жұмыс істей ме?

IP брандмауэрін қорғау нақты уақытта жұмыс істейді. Мүмкіндік желі деңгейінде жұмыс істейтіндіктен, аутентификация сұрауы аяқталғаннан кейін сұрауды бағалайды.

Бұл мүмкіндік барлық орталарда әдепкі бойынша қосылған ба?

IP брандмауэр әдепкі бойынша қосылмаған. Power Platform әкімші оны басқарылатын орталар үшін қосуы керек.

Тек аудит режимі дегеніміз не?

Тек аудит режимінде IP брандмауэр ортаға қоңырау шалатын IP мекенжайларын анықтайды және рұқсат етілген ауқымда болса да, жоқ па, барлығына рұқсат береді. Бұл Power Platform ортадағы шектеулерді конфигурациялағанда пайдалы. Тек тексеру режимін кем дегенде бір апта бойы қосып, оны аудит журналдарын мұқият қарап шыққаннан кейін ғана өшіруді ұсынамыз.

Бұл мүмкіндік барлық орталарда қолжетімді ме?

IP брандмауэр Басқарылатын орталар үшін ғана қолжетімді.

IP мекенжайы мәтін жолағына қоса алатын IP мекенжайларының санына шектеу бар ма?

Үтірмен бөлінген RFC 4632 сәйкес CIDR пішімінде 200 IP мекенжай ауқымын қосуға болады.

Dataverse сұраулары сәтсіз аяқталса, не істеуім керек?

IP брандмауэріне арналған IP ауқымдарының қате конфигурациясы бұл мәселені тудыруы мүмкін. IP брандмауэр параметрлері бетінде IP ауқымдарын тексеруге және тексеруге болады. IP брандмауэрін іске қоспас бұрын Тек Тексеру режимінде қосуды ұсынамыз.

Тек аудит режимі үшін аудит журналын қалай жүктеп алуға болады?

JSON пішіміндегі аудит журналының деректерін жүктеп алу үшін Dataverse OData API пайдаланыңыз. Аудит журналының API форматы:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• [orgURI] ортасының URI-мен Dataverse ауыстырыңыз.
• Осы оқиға үшін 118 әрекет мәнін орнатыңыз.
• Қайтарылатын элементтер санын top=1 немесе қайтарғыңыз келетін санды белгілеңіз.

Менің Power Automate ортадағы IP брандмауэрін теңшегеннен кейін менің ағындарым күтілгендей жұмыс істемейді. Power Platform Не істеуім керек?

IP брандмауэр параметрлерінде Басқарылатын қосқыштар шығыс IP мекенжайлары бөлімінде тізімделген қызмет тегтеріне рұқсат беріңіз.

Мен кері прокси мекенжайын дұрыс конфигурацияладым, бірақ IP брандмауэр жұмыс істемейді. Не істеуім керек?

Қайта жіберілген тақырыпта клиенттің IP мекенжайын жіберу үшін кері прокси конфигурацияланғанын тексеріңіз.

Мен Power BI ортасында IP брандмауэрін қосқаннан кейін Power Platform қабылданған кейбір қоңыраулар сәтсіз болып жатыр. Не істеуім керек?

Қазіргі уақытта конфигурацияланған IP орнынан деректерге қол жеткізу үшін Dataverse ішіндегі OData соңғы нүктелері үшін IP брандмауэрін ғана пайдалана аласыз. Егер TDS соңғы нүктелерін пайдалануды жалғастырғыңыз келсе, ортада IP брандмауэрін өшіруіңіз керек.

IP брандмауэрінің аудит функциясы менің ортамда жұмыс істемейді. Не істеуім керек?

IP брандмауэрінің аудит журналдарына өз кілтіңізді әкелу (BYOK) шифрлау кілттері үшін қосылған жалға берушілерде қолдау көрсетілмейді. Егер жалға алушы өз кілтін әкелу үшін қосылған болса, BYOK қосылған жалға алушыдағы барлық орталар тек SQL жүйесіне құлыпталады, сондықтан аудит журналдарын тек SQL ішінде сақтауға болады. Сізге тұтынушы басқаратын кілтке көшуді ұсынамыз. BYOK жүйесінен тұтынушы басқаратын кілтке (CMKv2) тасымалдау үшін Өз кілтіңізді әкелу (BYOK) орталарын тұтынушы басқаратын кілтке тасымалдау бөліміндегі қадамдарды орындаңыз.

IP брандмауэр IPv6 IP ауқымдарын қолдайды ма?

Қазіргі уақытта IP брандмауэр IPv6 IP ауқымдарын қолдамайды.

Келесі қадамдар

Microsoft Dataverse бағдарламасындағы қауіпсіздік