Power Platform ortamlarda IP Güvenlik Duvarı

  • Makale

IP güvenlik duvarı, Microsoft Dataverse'e kullanıcı erişimini yalnızca izin verilen IP konumlarıyla sınırlayarak kuruluş verilerinizi korumaya yardımcı olur. IP güvenlik duvarı, her isteğin IP adresini gerçek zamanlı olarak analiz eder. Örneğin, üretim Dataverse ortamınızda IP güvenlik duvarının açık olduğunu ve izin verilen IP adreslerinin ofis konumlarınızla ilişkili aralıklarda olduğunu ve bir kahve dükkanı gibi harici IP konumu olmadığını varsayalım. Bir kullanıcı bir kafeden kuruluş kaynaklarına erişmeye çalıştığında, Dataverse erişimi gerçek zamanlı olarak engeller.

Dataverse uygulamasında IP güvenlik duvarı özelliğini gösteren diyagram.

Temel avantajlar

Power Platform ortamlarınızda IP güvenlik duvarını etkinleştirmek birçok önemli yarar sağlar.

  • Veri hırsızlığı gibi içeriden gelen tehditleri azaltın: Excel gibi bir istemci aracı kullanarak veya Dataverse izin verilmeyen bir IP konumundan veri Power BI indirmeye çalışan kötü amaçlı bir kullanıcının bunu gerçek zamanlı olarak yapması engellenir.
  • Belirteç yeniden yürütme saldırılarını önleyin: Bir kullanıcı bir erişim belirteci çalar ve bunu izin verilen IP aralıklarının dışından erişmek Dataverse için kullanmaya çalışırsa, Dataverse girişimi gerçek zamanlı olarak reddeder.

IP güvenlik duvarı koruması hem etkileşimli hem de etkileşimsiz senaryolarda çalışır.

IP güvenlik duvarı nasıl çalışır?

Dataverse'e bir istek yapıldığında, istek IP adresi gerçek zamanlı olarak Power Platform ortamı için yapılandırılan IP aralıklarıyla değerlendirilir. IP adresi izin verilen aralıklardaysa isteğe izin verilir. IP adresi, ortam için yapılandırılan IP aralıklarının dışındaysa, IP güvenlik duvarı bir hata iletisi ile isteği reddeder: Gerçekleştirmeye çalıştığınız istek, IP'nize erişim engellendiği için reddedildi. Daha fazla bilgi için yöneticinizle iletişime geçin.

Önkoşullar

  • IP güvenlik duvarı Yönetilen Ortamlar'ın bir özelliğidir.
  • IP güvenlik duvarını etkinleştirmek veya devre dışı bırakmak için bir Power Platform yönetici rolüne sahip olmanız gerekir.

IP güvenlik duvarını etkinleştirme

Power Platform yönetim merkezini veya Dataverse OData API'sini kullanarak bir Power Platform ortamında IP güvenlik duvarını etkinleştirebilirsiniz.

Power Platform yönetim merkezini kullanarak IP güvenlik duvarını etkinleştirme

  1. Power Platform yönetici merkezinde sistem yöneticisi olarak oturum açın.

  2. Ortamları seçin ve sonra ortamı seçin.

  3. Ayarlar>Ürün>Gizlilik + Güvenlik'i seçin.

  4. IP adresi ayarları altında IP adresi tabanlı güvenlik duvarını etkinleştir'i Açık olarak ayarlayın.

  5. İzin verilen IPv4 aralıkları listesi altında, izin verilen IP aralıklarını RFC 4632'ye uygun olarak sınıfsız etki alanları arası yönlendirme (CIDR) biçiminde belirtin. Birden çok IP aralığına sahipseniz bunları virgülle ayırın. Bu alan en fazla 4.000 alfasayısal karakter kabul eder ve maksimum 200 IP aralığına izin verir.

  6. Gereken diğer ayarları seçin:

    • IP güvenlik duvarı tarafından izin verilecek hizmet etiketleri: Listeden, IP güvenlik duvarı kısıtlamalarını atlayabilen hizmet etiketlerini seçin.
    • Güvenilir hizmetler Microsoft için erişime izin ver: Bu ayar, izleme vedestek kullanıcısı Microsoft vb. gibi güvenilir hizmetlerin ortama erişmek için Power Platform IP güvenlik duvarı kısıtlamalarını atlamasını sağlar Dataverse. Varsayılan olarak etkindir.
    • Tüm uygulama kullanıcıları için erişime izin ver: Bu ayar, tüm uygulama kullanıcılarının API'lere üçüncü taraf ve birinci taraf erişimine izin verir Dataverse . Varsayılan olarak etkindir. Bu değeri temizlerseniz yalnızca üçüncü taraf uygulama kullanıcıları engellenir.
    • IP güvenlik duvarını yalnızca denetim modunda etkinleştir: Bu ayar, IP güvenlik duvarını etkinleştirir ancak IP adreslerinden bağımsız olarak isteklere izin verir. Varsayılan olarak etkindir.
    • Ters proxy IP adresleri: Kuruluşunuzda yapılandırılmış ters proxy'ler varsa, bir veya daha fazla IP adresini virgülle ayırarak girin. Ters proxy ayarı hem IP tabanlı tanımlama bilgisi bağlama hem de IP güvenlik duvarı için geçerlidir.

  7. Kaydet'i seçin.

Dataverse OData API'sini kullanarak IP güvenlik duvarını etkinleştirin

Dataverse OData API bir Power Platform ortamdaki değerleri almanıza ve değiştirmenize olanak tanır. Ayrıntılı kılavuzlar için bkz Web API kullanarak sorgu verileri ve Web API kullanarak tablo satırlarını güncelleme ve silme (Microsoft Dataverse).

Tercih ettiğiniz araçları seçme esnekliğine sahipsiniz. Dataverse OData API yoluyla değerleri almak ve değiştirmek üzere aşağıdaki belgeleri kullanın:

OData API'sini kullanarak IP güvenlik duvarını yapılandırma

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Yükü

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

  • EnableIPSedBasedFirewallRule – Değeri true olarakayarlayarak özelliği etkinleştirin veya değeri false olarakayarlayarak devre dışı bırakın.

  • allowediprangeforfirewall — İzin verilmesi gereken IP aralıklarını listeleyin. Onları CIDR gösteriminde virgülle ayrılmış olarak sağlayın.

    Önemli

    Servis etiketi adlarının IP güvenlik duvarının ayarlar sayfasında gördüğünüz adla tam olarak eşleştiğinden emin olun. Herhangi bir uyuşmazlık varsa IP kısıtlamaları doğru çalışmayabilir.

  • enableipbasedfirewallruleinauditmode – true değeri yalnızca denetim modunu, false değeri ise zorlama modunu gösterir.

  • allowedservicetagsforfirewall – İzin verilmesi gereken hizmet etiketlerini virgülle ayırarak listeleyin. Servis etiketi yapılandırmak istemiyorsanız değeri null bırakın.

  • allowapplicationuseraccess – Varsayılan değer true'dur .

  • allowmicrosofttrustedservicetags – Varsayılan değer true'dur .

Önemli

Güvenilen hizmetler için Erişime İzin Ver ve Microsoft Tüm uygulama kullanıcıları için erişime izin ver devre dışı bırakıldığında , akışlar gibi kullanılan bazı hizmetler Dataverse artık çalışmayabilir Power Automate .

IP güvenlik duvarını test etme

IP güvenlik duvarını sınamanız ve çalıştığını doğrulamanız gerekir.

  1. Ortam için izin verilen IP adresleri listesinde olmayan bir IP adresiyle, Power Platform ortam URI'nıza göz atın.

    İsteğiniz, şunu belirten bir iletiyle reddedilmelidir: "Gerçekleştirmeye çalıştığınız istek, IP'nize erişim engellendiği için reddedildi. Daha fazla bilgi için yöneticinizle iletişime geçin."

  2. Ortam için izin verilen IP adresleri listesinde olmayan bir IP adresiyle Power Platform ortam URI'nıza göz atın.

    Güvenlik rolünüz tarafından tanımlanan ortama erişiminiz olmalıdır.

Önce test ortamınızda IP güvenlik duvarını test etmenizi, ardından Üretim ortamınızdaki IP güvenlik duvarını uygulamadan önce Üretim ortamında yalnızca denetim modunda test etmenizi öneririz.

Not

Varsayılan olarak, TDS uç nokta Power Platform ortamında açılır.

IP güvenlik duvarı için lisanslama gereksinimleri

IP güvenlik duvarı yalnızca Yönetilen Ortamlar için etkinleştirilen ortamlarda zorlanır. Yönetilen Ortamlar; bağımsız Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages ve premium kullanım hakları veren Dynamics 365 lisanslarına destek hakkı olarak dahil edilir. Microsoft Power Platform için lisanslamaya genel bakış ile Yönetilen Ortam lisanslama hakkında bilgi edinin.

Buna ek olarak Dataverse için IP güvenlik duvarı kullanımına erişim, IP güvenlik duvarının zorlandığı ortamlardaki kullanıcıların bu aboneliklerden birine sahip olmasını gerektirir:

  • Microsoft 365 veya Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Uyumluluk
  • Microsoft 365 F5 Güvenlik ve Uyumluluk
  • Microsoft 365 A5/E5/F5/G5 Bilgi Koruması ve İdare
  • Microsoft 365 A5/E5/F5/G5 İçeriden Risk Yönetimi

Bu lisanslar hakkında daha fazla bilgi edinin

Sık sorulan sorular (SSS)

Power Platform'da IP güvenlik duvarı neleri kapsıyor?

IP güvenlik duvarı, Dataverse içeren herhangi bir Power Platform ortamında desteklenir.

IP adresi listesindeki bir değişiklik ne zaman geçerli olur?

İzin verilen IP adresleri veya aralıkları listesindeki değişiklikler genellikle yaklaşık 5-10 dakika içinde geçerli olur.

Bu özellik gerçek zamanlı olarak çalışıyor mu?

IP güvenlik duvarı koruması gerçek zamanlı olarak çalışır. Özellik ağ katmanında çalıştığından, kimlik doğrulaması isteği tamamlandıktan sonra isteği değerlendirir.

Bu özellik varsayılan olarak tüm ortamlarda etkin mi?

IP güvenlik duvarı varsayılan olarak etkinleştirilmemiştir. Power Platform yöneticisinin Yönetilen Ortamlar için özelliği etkinleştirmesi gerekir.

Yalnızca denetim modu nedir?

Yalnızca denetim modunda IP güvenlik duvarı, ortama çağrı yapan IP adreslerini tanımlar ve izin verilen bir aralıkta olsalar da olmasalar da hepsine izin verir. Bir Power Platform ortamında kısıtlamaları yapılandırırken bu özellik yararlı olur. Yalnızca denetim modunu en az bir hafta süreyle etkinleştirmenizi ve denetim günlüklerini dikkatli bir şekilde gözden geçirdikten sonra devre dışı bırakmanızı öneririz.

Bu özellik tüm ortamlarda kullanılabiliyor mu?

IP güvenlik duvarı özelliği yalnızca Yönetilen Ortamlar'da kullanılabilir.

IP adresi metin kutusuna ekleyebileceğim IP adresi sayısında sınırlama var mı?

CIDR biçiminde, 200'e kadar IP adresi aralığını RFC 4632'ye uygun şekilde virgülle ayrılmış olarak ekleyebilirsiniz.

Dataverse'e yapılan istekler başarısız olmaya başladığında ne yapmam gerekir?

IP güvenlik duvarı için yanlış bir IP aralıkları yapılandırması bu soruna yol açabilir. IP güvenlik duvarı ayarları sayfasında IP aralıklarını kontrol edebilir ve doğrulayabilirsiniz. IP güvenlik duvarını uygulamadan önce Yalnızca denetim modunda etkinleştirmenizi öneririz.

Yalnızca denetim modu için denetim günlüğünü nasıl indirebilirim?

Denetim günlüğü verilerini JSON biçiminde indirmek için Dataverse OData API'sini kullanın. Denetim günlüğü API biçimi şu şekildedir:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

  • [orgURI] yerine Dataverse ortam URI'sini girin.
  • Bu olay için eylem değerini 118 olarak ayarlayın.
  • Döndürülecek öğe sayısını top=1 olarak veya istediğiniz sayıya ayarlayın.

Power Platform ortamımda IP güvenlik duvarı yapılandırıldıktan sonra Power Automate akışlarım beklendiği gibi çalışmıyor. Ne yapmalıyım?

IP güvenlik duvarı ayarlarında, Yönetilen bağlayıcılar giden IP adresleri'nde listelenen hizmet etiketlerine izin verin.

Ters proxy adresini doğru şekilde yapılandırdım ancak IP güvenlik duvarı çalışmıyor. Ne yapmalıyım?

Ters proxy'nizin, iletilen üstbilgideki istemci IP adresini gönderecek şekilde yapılandırıldığından emin olun.

Ortamımda IP güvenlik duvarı denetim işlevi çalışmıyor. Ne yapmalıyım?

IP güvenlik duvarı denetim günlükleri, kendi anahtarınızı getirin (BYOK) şifreleme anahtarları için etkinleştirilen kiracılarda desteklenmez. Kiracınızda kendi anahtarınızı getirin özelliği etkinse BYOK etkinleştirilmiş kiracıdaki tüm ortamlar yalnızca SQL için kilitlenir, bu nedenle denetim günlükleri yalnızca SQL'de depolanabilir. Müşteri tarafından yönetilen anahtara geçmenizi öneririz. BYOK'den müşteri tarafından yönetilen anahtara (CMKv2) geçmek için Kendi anahtarınızı getirin (BYOK) ortamlarını müşteri tarafından yönetilen anahtara geçirme bölümündeki adımları izleyin.

IP güvenlik duvarı IPv6 IP aralıklarını destekliyor mu?

Şu anda IP güvenlik duvarı IPv6 IP aralıklarını desteklememektedir.

Sonraki adımlar

Güvenlik Microsoft Dataverse