Конфигурация IP-адресов

Исходящие IP-адреса Power Platform для отправки запросов Power Automate, зависят от расположения региона среды, содержащей поток. FQDN (полные доменные имена) не публикуются для сценариев потоков.

Простейшим механизмом настройки брандмауэра, позволяющей облачным потокам Power Automate вызывать внешние службы через соединители, является использование тегов служб Azure. Основным тегом службы для соединителей Logic Apps является AzureConnectors, как описано в разделе Исходящие IP-адреса Power Platform.

Logic Apps и соединители для среды выполнения облачных потоков

Вызовы из облачного потока проходят непосредственно через службу Azure Logic Apps. Некоторые примеры этих вызовов включают HTTP или HTTP + OpenAPI. Сведения о том, какие IP-адреса используются этой службой см. в документации по Logic Apps.

Если вы ограничиваете входящие или исходящие IP-адреса в своей сети (например, с помощью брандмауэра), чтобы потоки продолжали работать, обновите конфигурацию сети, чтобы разрешить и IP-адреса для Azure Logic Apps, и IP-адреса для управляемых соединителей в поддерживаемых регионах. Подробнее см. в разделе Azure Logic Apps — настройка избыточности между зонами с помощью зон доступности.

Обязательные конечные точки для службы Power Automate

В следующей таблице перечислены службы, к которым подключается Power Automate. Настройте сеть так, чтобы она не блокировала эти службы.

Домены Протоколы Использование
login.microsoft.com
login.windows.net
login.microsoftonline.com
login.live.com
secure.aadcdn.microsoftonline-p.com
https Доступ к конечным точкам аутентификации и авторизации.
graph.microsoft.com https Доступ к Microsoft Graph для получения сведений о пользователе, например таких, как фотография профиля.
*.azure-apim.net https Доступ к среде выполнения для соединителей.
*.azure-apihub.net https Доступ к среде выполнения для соединителей.
*.blob.core.windows.net https Расположение экспортируемых потоков.
*.flow.microsoft.com
*.logic.azure.com
https Доступ к сайту Power Automate.
*.powerautomate.com https Доступ к сайту Power Automate.
*.powerapps.com https Доступ к сайту Power Apps.
*.azureedge.net https Доступ к Power Automate CDN.
*.microsoftcloud.com https Доступ к NPS (Net Promoter Score).
webshell.suite.office.com https Доступ к Office для заголовка и поиска. Дополнительные сведения см. в разделе URL-адреса и диапазоны Office 365.
*.dynamics.com https Доступ к таблицам Dataverse
go.microsoft.com https Доступ к Power Automate, чтобы проверить наличие обновлений
download.microsoft.com https Доступ к Power Automate, чтобы проверить наличие обновлений
login.partner.microsoftonline.cn https Доступ к Cloud Discovery Power Automate для компьютеров
s2s.config.skype.com
use.config.skype.com
https Доступ к функциям предварительной версии, управляемый через конечные точки тестирования и настройки.
s2s.config.ecs.infra.gov.teams.microsoft.us https Доступ к функциям предварительной версии, управляемый через конечные точки тестирования и настройки для облака для государственных организаций США.
*.api.powerplatform.com
*.api.powerplatformusercontent.com
https Доступ к нескольким API-интерфейсам Power Platform.
*.api.gov.powerplatform.microsoft.us https Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — GCC).
*.api.high.powerplatform.microsoft.us https Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — GCC High).
*.api.appsplatform.us https Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — DoD).
*.api.powerplatform.partner.microsoftonline.cn https Доступ к нескольким API-интерфейсам Power Platform (только 21Vianet — Китай).

Конечные точки, необходимые для использования мобильного приложения Power Automate

В следующей таблице перечислены дополнительные конечные точки, необходимые при использовании мобильного приложения Power Automate.

Домены Протоколы Использование
*.events.data.microsoft.com https Отправляйте данные телеметрии для всех производственных регионов и поддерживаемых национальных облаков США из мобильного приложения.
collector.azure.cn https Отправляйте данные телеметрии для региона Mooncake из мобильного приложения.
officeapps.live.com https Доступ к конечным точкам аутентификации и авторизации для мобильного приложения.

Службы, необходимые для среды выполнения классических потоков

В следующей таблице перечислены требования к данным конечной точки для подключения с компьютера пользователя для выполнения классических потоков. Убедитесь, что вы авторизовали глобальные конечные точки и конечные точки, соответствующие вашему облаку.

Глобальные конечные точки для среды выполнения классических потоков

Домены Протоколы Использование
server.events.data.microsoft.com https Обрабатывает телеметрию для пользователей за пределами EMEA, государственных организаций США и облаков в Китае. Работает как резервная конечная точка телеметрии.
msedgedriver.azureedge.net
chromedriver.storage.googleapis.com
https Доступ к классическим потокам загрузчиков WebDriver. WebDriver используется для автоматизации вашего браузера (Microsoft Edge и Google Chrome).

Общедоступные конечные точки для среды выполнения классических потоков

Домены Протоколы Использование
ocsp.digicert.com
ocsp.msocsp.com
mscrl.microsoft.com
crl3.digicert.com
crl4.digicert.com
http Доступ к серверу CRL для общедоступного облака.
Требуется для подключения через локальный шлюз данных.
*.servicebus.windows.net https Прослушивает ретранслятор служебной шины через TCP.
Требуется для подключения компьютера.
*.gateway.prod.island.powerapps.com https Требуется для подключения компьютера.
emea.events.data.microsoft.com https Обрабатывает телеметрию для пользователей EMEA.
*.api.powerplatform.com https Доступ к нескольким API-интерфейсам Power Platform (обязательно для использования облачных соединителей в классических потоках).
*.dynamics.com https Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (также действительно для GCC).

Заметка

Если вы не хотите разрешать общедоступную конечную точку *.servicebus.windows.net, вы можете разрешить список пространств имен по отдельности. Дополнительные сведения о конечных точках пространства имен см. в статье Список разрешенных конечных точек пространств имен, необходимых для среды выполнения классических потоков.

Конечные точки для государственных организаций США для среды выполнения классических потоков

Домены Протоколы Использование
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
http Доступ к серверу CRL для облака государственных учреждений США.
Требуется для подключения через локальный шлюз данных.
*.servicebus.usgovcloudapi.net https Слушает ретранслятор служебной шины для облака государственных организаций США.
Требуется для подключения компьютера.
*.gateway.gov.island.powerapps.us https Требуется для подключения компьютера к облаку для государственных организаций США (GCC and GCCH).
*.gateway.gov.island.appsplatform.us https Требуется для подключения компьютера к облаку для государственных организаций США (DOD).
tb.events.data.microsoft.com https Обрабатывает телеметрию для пользователей из государственных организаций США.
*.api.gov.powerplatform.microsoft.us https Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — GCC).
*.api.high.powerplatform.microsoft.us https Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — GCC High).
*.api.appsplatform.us https Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — DoD).
*.microsoftdynamics.us https Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (только для государственных организаций США — GCC High).
*.crm.appsplatform.us https Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (только для государственных организаций США — DoD).
*.dynamics.com https Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (также действительно для общедоступного облака).

Конечные точки 21Vinaet (Китай) для среды выполнения классических потоков

Домены Протоколы Использование
crl.digicert.cn
ocsp.digicert.cn
http Доступ к CRL-серверам для облака под управлением 21Vianet.
Требуется для подключения через локальный шлюз данных.
apac.events.data.microsoft.com https Обрабатывает телеметрию для пользователей в Китае.
*.api.powerplatform.partner.microsoftonline.cn https Доступ к нескольким API-интерфейсам Power Platform (обязательно для действий облачного соединителя в классических потоках) (21Vinaet — только Китай).
*.dynamics.cn https Доступ к таблицам Dataverse (функция модулей DesktopFlow) (21Vinaet — только для Китая).

Другие статьи об IP-адресе

Доставка сообщений электронной почты об утверждении

Подробнее о маршрутизации сообщений электронной почты об утверждении см. в статье Доставка сообщений электронной почты об утверждении.

База данных SQL Azure

Если требуется авторизовать IP-адреса для вашей базы данных SQL Azure, необходимо использовать Исходящие IP-адреса Power Platform.

Вопросы и ответы

Здесь есть много подробностей — каковы общие рекомендации по настройке IP-адресов?

Простейшим механизмом настройки брандмауэра, позволяющей облачным потокам Power Automate вызывать внешние службы через соединители, является использование тегов служб Azure. Основным тегом службы для соединителей Logic Apps является AzureConnectors, как описано в разделе Исходящие IP-адреса Power Platform.

Если я использую брандмауэр Azure, нужно ли мне отслеживать отдельные IP-адреса?

Вы должны использовать теги служб Azure. При использовании тегов служб в правилах группы безопасности сети вам не нужно постоянно отслеживать и вручную обновлять диапазоны IP-адресов для каждой службы.

Если я использую локальный брандмауэр, нужно ли мне отслеживать отдельные IP-адреса?

Вам следует использовать теги службы с локальным брандмауэром, чтобы не отслеживать и вручную обновлять диапазоны IP-адресов. API-интерфейс обнаружения тегов служб предоставляет доступ к последним диапазонам IP-адресов, связанным с каждым тегом службы, что позволяет быть в курсе изменений.