IP-brannmur i Power Platform-miljøer

IP-brannmuren bidrar til å beskytte organisasjonsdataene ved å begrense brukertilgangen til Microsoft Dataverse fra bare tillatte IP-plasseringer. IP-brannmuren analyserer IP-adressen til hver forespørsel i sanntid. La oss for eksempel si at IP-brannmuren er aktivert i Dataverse-produksjonsmiljøet, og at tillatte IP-adresser er i områdene som er tilknyttet kontoret ditt og ikke en ekstern IP-lokasjon som en kaffebar. Hvis en bruker prøver å få tilgang til organisasjonsressurser fra en kaffebar, nekter Dataverse tilgang i sanntid.

Viktig!

IP-brannmurfunksjonen støtter bare OData-endepunkter for tilgang til Dataverse-data. Støtte for TDS-endepunkter blir inkludert i en fremtidig versjon.

Hovedfordeler

Aktivering av IP-brannmuren i Power Platform-miljøene har flere viktige fordeler.

• Redusere innsidetrusler som dataeksfiltrasjon: En ondsinnet bruker som prøver å laste ned data Dataverse fra et klientverktøy som Excel eller Power BI fra en forbudt IP-plassering, blokkeres fra å gjøre dette i sanntid.
• Forhindre tokenangrep: Hvis en bruker stjeler et tilgangstoken og prøver å bruke det for å få tilgang til Dataverse fra utenfor tillatte IP-områder, nekter Dataverse forsøket i sanntid.

IP-brannmurbeskyttelse fungerer både i interaktive og ikke-interaktive scenarier.

Hvordan fungerer IP-brannmur?

Når det sendes en forespørsel til Dataverse, evalueres IP-adressen for forespørselen i sanntid mot IP-områdene som er konfigurert for Power Platform-miljøet. Hvis IP-adressen er i de tillatte områdene, er forespørselen tillatt. Hvis IP-adressen er utenfor IP-områdene som er konfigurert for miljøet, nekter IP-brannmuren forespørselen med en feilmelding: Forespørselen du prøver å sende, blir avvist fordi tilgang til IP-adressen din blir blokkert. Kontakt administrator hvis du vil ha mer informasjon.

Forutsetning

• IP-brannmur er en funksjon iAdministrerte miljøer.
• Du må ha en Power Platform-administratorrolle for å aktivere eller deaktivere IP-brannmuren.

Aktivere IP-brannmuren

Du kan aktivere IP-brannmuren i et Power Platform-miljø enten ved hjelp av administrasjonssenteret for Power Platform eller OData-API-en for Dataverse.

Aktiver IP-brannmuren ved hjelp av Power Platform-administrasjonssenteret

1. Logg deg på Power Platform-administrasjonssenteret som administrator.

2. Velg Miljøer, og velg deretter et miljø.

3. Velg Innstillinger>Produkt>Personvern + Sikkerhet.

4. Under Innstillinger for IP-adresse setter du Aktiver IP-adressebasert brannmurregel til På.

5. Under Tillatt liste over IPv4-områder angir du tillatte IP-områder i klasseløst CIDR-format (interdomain routing) i henhold til RFC 4632. Hvis du har flere IP-områder, skiller du dem med et komma. Dette feltet godtar opptil 4 000 alfanumeriske tegn og tillater maksimalt 200 IP-områder.

6. Velg andre innstillinger etter behov:

   • Tjenestemerker som skal tillates av IP-brannmuren: Velg tjenestemerker som kan omgå IP-brannmurbegrensninger, fra listen.
   • Tillat tilgang for Klarerte tjenester fra Microsoft: Denne innstillingen gjør det mulig for Microsoft-klarerte tjenester, for eksempel overvåking og støttebruker osv. å omgå IP-brannmurbegrensningene for å få tilgang til Power Platform-miljøet med Dataverse. Aktivert som standard.
   • Tillat tilgang for alle programbrukere: Denne innstillingen gir alle programbrukere tredjeparts- og førstepartstilgang til Dataverse-API-er. Aktivert som standard. Hvis du fjerner denne verdien, blokkerer den bare brukere av tredjepartsprogrammer.
   • Aktiver IP-brannmur i modus for sporing av endringer: Denne innstillingen aktiverer IP-brannmuren, men tillater forespørsler uavhengig av IP-adressen. Aktivert som standard.
   • IP-adresser for omvendt proxy : Hvis organisasjonen har konfigurert omvendt proxy, angir du IP-adressene til én eller flere, atskilt med kommaer. Innstillingen for omvendt proxy gjelder både for IP-basert informasjonskapselbinding og IP-brannmuren.

7. Velg Lagre.

Aktiver IP-brannmur ved hjelp av OData-API-en for Dataverse

Du kan bruke OData-API-en for Dataverse til å hente og endre verdier i et Power Platform-miljø. Hvis du vil ha detaljert veiledning, kan du se Spør data ved hjelp av Web-API og Oppdater og slett tabellrader ved hjelp av Web-API (Microsoft Dataverse).

Du har fleksibiliteten til å velge verktøyene du foretrekker. Bruk følgende dokumentasjon til å hente og endre verdier via OData-API-en for Dataverse:

• Bruk Insomnia med Dataverse Web-API
• Web-API for hurtigstart med PowerShell og Visual Studio Code

Konfigurer IP-brannmuren ved hjelp av OData-API-en

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Nyttelast

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Aktiver funksjonen ved å sette verdien til true, eller deaktiver den ved å sette verdien til false.

• allowediprangeforfirewall – Vis IP-områdene som skal være tillatt. Oppgi dem i CIDR-notasjon, atskilt med komma.

  Viktig!

  Kontroller at navnene på servicemerkene samsvarer nøyaktig med det du ser på innstillingssiden for IP-brannmuren. Hvis det finnes avvik, kan det hende at IP-begrensninger ikke fungerer som de skal.

• enableipbasedfirewallruleinauditmode – Verdien true angir bare modus for sporing av endringer, mens verdien false angir håndhevelsesmodus.

• allowedservicetagsforfirewall – Liste over servicemerker som skal tillates, atskilt med komma. Hvis du ikke vil konfigurere noen servicemerker, lar du verdien være null.

• allowapplicationuseraccess – Standardverdien er true.

• allowmicrosofttrustedservicetags – Standardverdien er true.

Viktig!

Når Tillat tilgang for Klarerte tjenester fra Microsoft og Tillat tilgang for alle programbrukere er deaktivert, kan det hende at enkelte tjenester som bruker Dataverse, for eksempel Power Automate-flyter, ikke lenger fungerer.

Teste IP-brannmuren

Du bør teste IP-brannmuren for å kontrollere at den fungerer.

1. Bla til Power Platform-miljø-URI-en fra en IP-adresse som ikke finnes i listen over tillatte IP-adresser for miljøet.

   Forespørselen din bør avvises med en melding om at forespørselen du prøver å sende, blir avvist fordi tilgang til IP-adressen din blokkeres. Kontakt administratoren hvis du vil ha mer informasjon.

2. Bla til Power Platform-miljø-URI-en fra en IP-adresse som ikke finnes i listen over tillatte IP-adresser for miljøet.

   Du bør ha tilgang til miljøet som er definert av sikkerhetsrollen din.

Vi anbefaler at du tester IP-brannmuren i testmiljøet først, etterfulgt av modus for sporing av endringer i produksjonsmiljøet før du tvinger gjennom IP-brannmuren i produksjonsmiljøet.

Lisenskrav for IP-brannmur

IP-brannmur håndheves bare i miljøer som er aktivert for administrerte miljøer. Administrerte miljøer er inkludert som en rettighet i frittstående lisenser for Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages og Dynamics 365 som gir Premium-bruksrettigheter. Finn ut mer om lisensiering for administrert miljø med Oversikt over lisensiering for Microsoft Power Platform.

I tillegg må brukere som skal ha tilgang til å bruke IP-brannmur for Dataverse i miljøene der IP-brannmur håndheves, ha et av disse abonnementene:

• Microsoft 365 eller Office 365 A5/E5/G5
• Microsoft 365 A5/E5/F5/G5-samsvar
• Microsoft 365 F5 Sikkerhet og samsvar
• Microsoft 365 A5/E5/F5/G5 informasjonsbeskyttelse og -styring
• Microsoft 365 A5/E5/F5/G5 insider-risikobehandling

Finn ut mer om disse lisensene

Vanlige spørsmål

Hva dekker IP-brannmuren i Power Platform?

IP-brannmuren støttes i alle Power Platform-miljøer som omfatter Dataverse.

Hvor raskt trer en endring i IP-adresselisten i kraft?

Endringer i listen over tillatte IP-adresser eller områder trer vanligvis i kraft om 5–10 minutter.

Fungerer denne funksjonen i sanntid?

IP-brannmurbeskyttelse fungerer i sanntid. Siden funksjonen fungerer på nettverkslaget, evalueres forespørselen etter at godkjenningsforespørselen er fullført.

Er denne funksjonen er aktivert som standard i alle miljøer?

IP-brannmuren aktiveres ikke som standard. Power Platform-administrator må aktivere den for administrerte miljøer.

Hva er bare overvåkingsmodus?

I modusen for sporing av endringer identifiserer IP-brannmuren IP-adressene som foretar kall til miljøet, og tillater alle, enten de er innenfor et tillatt område eller ikke. Det er nyttig når du konfigurerer begrensninger for et Power Platform-miljø. Vi anbefaler at du aktiverer modus for sporing av endringer i minst en uke og deaktiverer den bare etter nøye gjennomgang av loggene for sporing av endringer.

Er denne funksjonen tilgjengelig i alle miljøer?

Funksjonen for IP-brannmur er bare tilgjengelig for administrerte miljøer.

Finnes det en begrensning på antall IP-adresser som jeg kan legge til i IP-adresse-tekstboksen?

Du kan legge til områder med opptil 200 IP-adresser i CIDR-format per RFC 4632, atskilt med kommaer.

Hva bør jeg gjøre hvis forespørsler til Dataverse mislykkes?

Feil konfigurasjon av IP-områder for IP-brannmuren kan forårsake dette problemet. Du kan kontrollere IP-områdene på siden med innstillinger for IP-brannmuren. Vi anbefaler at du aktiverer IP-brannmuren i modus for sporing av endringer før du aktiverer den.

Hvordan laster jeg ned revisjonsloggen for bare overvåkingsmodus?

Bruk Dataverse OData-API-en til å laste ned loggdataene for sporing av endringer i JSON-format. Formatet for API-en for revisjonslogg er som følger:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Bytt [orgURI] med Dataverse-miljø-URI-en.
• Sett handlingsverdien til 118 for denne hendelsen.
• Angi hvor mange elementer som skal returneres, i top=1, eller angi antallet du vil returnere.

Mine Power Automate-flyter fungerer ikke som forventet etter at IP-brannmuren er konfigurert i Power Platform-miljøet. Hva bør jeg gjøre?

I IP-brannmurinnstillingene tillat tjenestemerkene i Utgående IP-adresser for administrerte koblinger.

Jeg har konfigurert den omvendte proxy-adresse riktig, men IP-brannmuren fungerer ikke. Hva bør jeg gjøre?

Kontroller om den omvendte proxyen er konfigurert til å sende klientens IP-adresse i det videresendte hodet.

Noen av kallene fra Power BI mislykkes etter at jeg aktiverte IP-brannmuren i Power Platform-miljøet. Hva bør jeg gjøre?

For øyeblikket kan du bare bruke IP-brannmur for OData-endepunkter i Dataverse til å få tilgang til data fra konfigurert IP-plassering. Hvis du vil fortsette å bruke TDS-endepunkter, må du deaktivere IP-brannmuren i miljøet.

Funksjonen for sporing av endringer for IP-brannmur fungerer ikke i miljøet. Hva bør jeg gjøre?

Logger for sporing av endringer for IP-brannmur støttes ikke i leiere som er aktivert for BYOK-krypteringsnøkler (bring-your-own-key). Hvis leieren er aktivert for bring-your-own-key, låses alle miljøer i en BYOK-aktivert leier til bare SQL, og derfor kan logger for sporing av endringer bare lagres i SQL. Vi anbefaler på det sterkeste at du går over til kundeadministrert nøkkel. Hvis du vil gå over fra BYOK til kundestyrt nøkkel (CMKv2), følger du fremgangsmåten i Overfør BYOK-miljøer (bring-your-own-key) til kundeadministrert nøkkel.

Støtter IP-brannmuren IPv6-IP-områder?

IP-brannmuren støtter for øyeblikket ikke IPv6-IP-områder.

Neste trinn

Sikkerhet i Microsoft Dataverse