Firewall de IP em ambientes do Power Platform

A firewall de IP ajuda a proteger os seus dados organizacionais ao limitar o acesso de utilizador ao Microsoft Dataverse a partir de apenas localizações de IP permitidas. A firewall de IP analisa o endereço IP de cada pedido em tempo real. Por exemplo, suponha que a firewall de IP está ativada no seu ambiente de produção do Dataverse e os endereços IP permitidos estão nos intervalos associados às localizações do seu escritório e não a nenhuma localização IP externa, como um café. Se um utilizador tentar aceder a recursos organizacionais a partir de uma loja de café, o Dataverse nega acesso em tempo real.

Principais benefícios

A ativação da firewall de IP nos seus ambientes do Power Platform oferece vários benefícios principais.

• Atenue ameaças internas, como exfiltração de dados: um utente mal-intencionado que tenta baixar dados usando uma ferramenta de Dataverse cliente como o Excel ou Power BI de um local IP não permitido é impedido de fazê-lo em tempo real.
• Impedir ataques de repetição de token: Se um utente rouba um token de acesso e tenta usá-lo para acessar Dataverse de fora dos intervalos de IP permitidos, Dataverse nega a tentativa em tempo real.

A proteção de firewalls IP funciona em cenários interativos e não interativos.

Como funciona a firewall de IP?

Quando um pedido é feito para o Dataverse, o endereço de IP do pedido é avaliado em tempo real em relação aos intervalos de IP configurados para o ambiente do Power Platform. Se o endereço IP estiver nos intervalos permitidos, o pedido é permitido. Se o endereço IP estiver fora dos intervalos IP configurados para o ambiente, a firewall de IP nega o pedido com uma mensagem de erro: O pedido que está a tentar fazer é rejeitado porque o acesso ao seu IP está bloqueado. Contacte o administrador para obter mais informações.

Pré-requisitos

• A firewall de IP é uma caraterística de Ambientes Geridos.
• Tem de ter uma função de admin do Power Platform para ativar ou desativar a firewall de IP.

Ativar a firewall de IP

Pode ativar a firewall de IP num ambiente do Power Platform ao utilizar o centro de administração do Power Platform ou a API OData do Dataverse.

Ativar a firewall de IP utilizando o centro de administração do Power Platform

1. Inicie sessão no Centro de administração do Power Platform como um administrador.

2. Selecione Ambientes e, em seguida, selecione um ambiente.

3. Selecione Definições>Produto>Privacidade + Segurança.

4. Em Definições do endereço IP, defina Ativar endereço IP baseado na regra da firewall como Ativado.

5. Em Lista permitida de intervalos IPv4, especifique os intervalos de IP permitidos no formato encaminhamento CIDR (Classless InterDomain Routing), conforme RFC 4632. Se tiver vários intervalos de IP, separe-os com uma vírgula. Este campo aceita até 4.000 carateres alfanuméricos e permite um máximo de 200 intervalos de IP.

6. Selecione outras definições, conforme adequado:

   • Tags de serviço a serem permitidas pelo firewall IP: Na lista, selecione as tags de serviço que podem ignorar as restrições do firewall IP.
   • Permitir acesso a Microsoft serviços confiáveis: essa configuração permite que Microsoft serviços confiáveis, como monitoramento e suporte ao utente , etc., ignorem as restrições do firewall IP para acessar o Power Platform ambiente Dataverse. Ativado por predefinição.
   • Permitir acesso para todos os usuários do aplicativo: essa configuração permite que todos os usuários do aplicativo acessem Dataverse APIs de terceiros e primários. Ativado por predefinição. Se limpar este valor, ele vai bloquear apenas utilizadores de aplicações de terceiros.
   • Ativar firewall IP no modo somente auditoria: essa configuração habilita o firewall IP, mas permite solicitações independentemente do endereço IP. Ativado por predefinição.
   • Endereços IP de proxy reverso: Se a sua organização tiver proxies reversos configurados, insira os endereços IP de um ou mais, separados por vírgulas. A definição de proxy invertido aplica-se ao enlace de cookies baseado no IP e à firewall de IP.

7. Selecione Guardar.

Ativar a firewall de IP utilizando a API OData do Dataverse

Pode utilizar a API OData do Dataverse permite-lhe obter e modificar os valores dentro de um ambiente do Power Platform. Para obter orientações detalhadas, consulte Consultar dados utilizando a API Web e Atualizar e eliminar linhas de tabela utilizando a API Web (Microsoft Dataverse).

Tem a flexibilidade de selecionar as ferramentas que preferir. Utilize a seguinte documentação para obter e modificar valores através da API OData do Dataverse:

• Use a insônia com Dataverse a API da Web
• API Web de início rápido com PowerShell e Visual Studio código

Configurar o firewall IP usando a API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Carga útil

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule – Habilite o recurso definindo o valor como true ou desabilite-o definindo o valor como false.

• allowediprangeforfirewall — Liste os intervalos de IP que devem ser permitidos. Forneça-os em notação CIDR, separados por uma vírgula.

  Importante

  Certifique-se de que os nomes das etiquetas de serviço correspondem ao que vê na página de definições da firewall de IP. Se houver alguma discrepância, as restrições de IP podem não funcionar corretamente.

• enableipbasedfirewallruleinauditmode – Um valor true indica o modo somente auditoria, enquanto um valor false indica o modo de imposição.

• allowedservicetagsforfirewall – Liste as tags de serviço que devem ser permitidas, separadas por uma vírgula. Se não pretende configurar quaisquer etiquetas de serviço, deixe o valor como null.

• allowapplicationuseraccess – O valor padrão é true.

• allowmicrosofttrustedservicetags – O valor padrão é true.

Testar a firewall de IP

Deverá testar a firewall de IP para verificar se está a funcionar.

1. A partir de um endereço IP que não faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   O seu pedido deverá ser rejeitado com uma mensagem a dizer: "O pedido que está a tentar fazer foi rejeitado porque o acesso ao seu IP está bloqueado. Contacte o seu administrador para obter mais informações."

2. A partir de um endereço IP que faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   Deverá ter o acesso ao ambiente que é definido pelo seu direito de acesso.

Recomendamos que teste a firewall IP no seu ambiente de teste primeiro, seguido pelo modo só de auditoria no Ambiente de produção antes de aplicar a firewall IP no seu Ambiente de produção.

Requisitos de licenciamento da firewall de IP

A firewall de IP só é imposta em ambientes ativados para Ambientes Geridos. Os Ambientes Geridos são incluídos como um direito em licenças do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que fornecem direitos de utilização premium. Saiba mais sobre licenciamento do Ambiente Gerido com a Descrição geral do licenciamento para o Microsoft Power Platform.

Além disso, o acesso à utilização da firewall de IP para o Dataverse exige que os utilizadores nos ambientes em que a firewal de IP é imposta tenham uma destas subscrições:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade do Microsoft 365 A5/E5/F5/G5
• Segurança & Conformidade do Microsoft 365 F5
• Information Protection e Governação do Microsoft 365 A5/E5/F5/G5
• Gestão de Risco Interno do Microsoft 365 A5/E5/F5/G5

Saiba mais sobre estas licenças

Perguntas mais frequentes (FAQ)

O que abrange a firewall de IP no Power Platform?

A firewall de IP é suportada em qualquer ambiente do Power Platform que inclua o Dataverse.

Quando é que uma alteração à lista de endereços IP entra em vigor?

Normalmente, as alterações à lista de endereços IP permitidos ou intervalos entram em vigor em cerca de 5-10 minutos.

Esta caraterística funciona em tempo real?

A proteção da firewall de IP funciona em tempo real. Como a funcionalidade funciona na camada de rede, avalia o pedido depois de o pedido de autenticação ficar concluído.

Esta caraterística está ativada por predefinição em todos os ambientes?

Por predefinição, a firewall de IP não está ativada. O administrador do Power Platform necessita de o ativar para Ambientes Geridos.

O que é o modo só de auditoria?

No modo só de auditoria, a firewall de IP identifica os endereços IP que estão a fazer chamadas para o ambiente e permite-os a todos, quer estejam ou não num intervalo permitido. É útil quando está a configurar restrições num ambiente do Power Platform. Recomendamos que ative o modo só de auditoria durante, pelo menos, uma semana e que o desative apenas depois de rever cuidadosamente os registos de auditoria.

Esta caraterística está disponível em todos os ambientes?

A firewall IP só está disponível para Ambientes Geridos.

Existe algum limite ao número de endereços IP que posso adicionar na caixa de texto do endereço IP?

Pode adicionar até 200 intervalos de endereços IP no formato CIDR de acordo com RFC 4632, separados por vírgulas.

O que devo fazer se os pedidos ao Dataverse começarem a falhar?

Uma configuração incorreta de intervalos de IP para firewall IP pode estar a causar este problema. Pode verificar os intervalos de IP na página de definições do firewall IP. Recomendamos que ative o firewall IP no modo Só de auditoria antes de o aplicar.

Como transfiro o registo de auditoria para o modo só de auditoria?

Utilize a API de OData do Dataverse para transferir os dados do registo de auditoria no formato JSON. O formato da API do registo de auditoria é:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substitua [orgURI] pelo URI do ambiente do Dataverse.
• Defina o valor da ação como 118 para este evento.
• Defina o número de itens a devolver em top=1 ou especifique o número que pretende devolver.

Os meus fluxos do Power Automate não estão a funcionar como esperado depois de configurar a firewall de IP no meu ambiente do Power Platform. O que devo fazer?

Nas definições da firewall de IP, permita as etiquetas de serviço listadas em Endereços IP de saída de conectores geridos.

Configurei o endereço proxy inverso corretamente, mas a firewall de IP não está a funcionar. O que devo fazer?

Certifique-se de que o proxy inverso está configurado para enviar o endereço IP do cliente no cabeçalho reencaminhado.

A funcionalidade de auditoria da firewall IP não está a funcionar no meu ambiente. O que devo fazer?

Os registos de auditoria da firewall IP não são suportados em inquilinos ativados para chaves de encriptação bring-your-own-key (BYOK). Se o seu inquilino estiver ativado para bring-your-own-key, todos os ambientes num inquilino ativado são bloqueados apenas para SQL, portanto, os registos de auditoria só poderão ser armazenados em SQL. Recomendamos que migre para a chave gerida pelo cliente. Para migrar do BYOK para a chave gerida pelo cliente (CMKv2), siga os passos em Migrar ambientes bring your own key (BYOK) para a chave gerida pelo cliente.

A firewall de IP suporta intervalos de IP IPv6?

Atualmente, a firewall de IP não suporta intervalos de IP IPv6.

Próximos passos

Segurança em Microsoft Dataverse