Firewall de IP em ambientes do Power Platform

A firewall de IP protege os seus dados organizacionais ao garantir que os utilizadores só conseguem aceder ao Microsoft Dataverse a partir de localizações de permitidas. A firewall de IP analisa o endereço IP de cada pedido em tempo real. Por exemplo, pode ativar a firewall de IP no seu ambiente de produção do Dataverse e definir endereços IP permitidos nos intervalos associados às localizações dos seus escritórios e não em qualquer localização de IP externo, como um café. Se um utilizador tentar aceder a recursos organizacionais a partir de uma loja de café, o Dataverse nega acesso em tempo real.

Principais benefícios

Ativar a firewall de IP nos seus ambientes do Power Platform oferece vários benefícios-chave.

• Mitigar ameaças internas, como exfiltração de dados: um utilizador mal intencionado que tenta transferir dados a partir do Dataverse através de uma ferramenta de cliente como o Excel ou o Power BI de uma localização de IP não permitida é impedido de o fazer em tempo real.
• Impedir ataques de reprodução de tokens: se um utilizador roubar um token de acesso e tentar utilizá-lo para aceder ao Dataverse a partir de fora de intervalos de IP permitidos, o Dataverse nega a tentativa em tempo real.

A proteção de firewalls IP funciona em cenários interativos e não interativos.

Como funciona a firewall de IP?

Quando um pedido é feito para o Dataverse, o endereço de IP do pedido é avaliado em tempo real em relação aos intervalos de IP configurados para o ambiente do Power Platform. Se o endereço IP estiver nos intervalos permitidos, o pedido é permitido. Se o endereço IP estiver fora dos intervalos IP configurados para o ambiente, a firewall de IP nega o pedido com uma mensagem de erro: O pedido que está a tentar fazer é rejeitado porque o acesso ao seu IP está bloqueado. Contacte o administrador para obter mais informações.

Pré-requisitos

• A firewall de IP é uma caraterística de Ambientes Geridos.
• Tem de ter uma função de admin do Power Platform para ativar ou desativar a firewall de IP.

Ativar a firewall de IP

Pode ativar a firewall de IP num ambiente do Power Platform ao utilizar o centro de administração do Power Platform ou a API OData do Dataverse.

Ativar a firewall de IP utilizando o centro de administração do Power Platform

1. Inicie sessão no Centro de administração do Power Platform como um administrador.

2. No painel de navegação esquerdo, selecione Segurança.

3. No painel Segurança, selecione Identidade e acesso.

4. Na página Gestão de identidade e acesso, selecione Firewall de IP.

5. No painel Configurar firewall de IP, selecione um ambiente. Em seguida, selecione Configurar firewall de IP.

6. No painel Configurar firewall de IP para este ambiente, selecione Firewall de IP como Ativado.

7. Em Lista de endereços IP permitidos, especifique os intervalos de IP permitidos no formato de encaminhamento CIDR (Classless InterDomain Routing) de acordo com a RFC 4632. Se tiver vários intervalos de IP, separe-os com uma vírgula. Este campo aceita até 4.000 carateres alfanuméricos e permite um máximo de 200 intervalos de IP. Os endereços IPv6 são permitidos em formato hexadecimal e comprimido.

8. Selecione outras definições avançadas, conforme apropriado:

   • Lista de etiquetas de serviço permitidas: na lista, selecione etiquetas de serviço que podem contornar as restrições da firewall de IP.
   • Permitir acesso para serviços fidedignos da Microsoft: esta definição permite que os serviços fidedignos da Microsoft, como a monitorização e o suporte ao utilizador, etc. ignorem as restrições da firewall IP para aceder ao ambiente do Power Platform com o Dataverse. Ativado por predefinição.
   • Permitir acesso a todos os utilizadores da aplicação: esta definição permite o acesso à API do Dataverse a todos os utilizadores da aplicação, sejam terceiros ou proprietários. Ativado por predefinição. Se limpar esse valor, este bloqueará apenas os utilizadores de aplicações de terceiros.
   • Ativar a firewall de IP no modo só de auditoria: esta definição ativa a firewall IP, mas permite pedidos independentemente do respetivo endereço IP. Ativado por predefinição.
   • Endereços IP de proxies inversos: se a sua organização tiver proxies inversos configurados, introduza os endereços IP separados por vírgulas. A definição de proxy inverso aplica-se ao enlace de cookies baseado no IP e à firewall de IP. Entre em contato com o administrador da rede para obter os endereços IP de proxy reverso.

   Nota

   O proxy inverso deve ser configurado para enviar endereços IP de cliente do utilizador no cabeçalho reencaminhado.

9. Selecione Guardar.

Ativar a firewall de IP ao nível do grupo de ambientes

Para configurar definições de firewall de IP ao nível do grupo de ambientes, complete os passos a seguir. Inicie sessão no centro de administração do Power Platform.

1. No painel de navegação esquerdo, selecione Segurança.

2. No painel Segurança, selecione Identidade e acesso.

3. Selecione um painel de firewall de IP.

4. No painel apresentado, selecione o separador Grupos de ambientes ao qual deseja que a definição de segurança seja aplicada. Em seguida, selecione Configure firewall de IP.

5. No painel Configurar firewall de IP, defina Firewall de IP como Ativada.

6. Em Lista de endereços IP permitidos, especifique os intervalos de IP permitidos no formato de encaminhamento CIDR (Classless InterDomain Routing) de acordo com a RFC 4632. Se tiver vários intervalos de IP, separe-os com uma vírgula. Este campo aceita até 4.000 carateres alfanuméricos e permite um máximo de 200 intervalos de IP. Os endereços IPv6 são permitidos em formato hexadecimal e comprimido.

7. Selecione outras definições avançadas, conforme apropriado:

   • Lista de etiquetas de serviço permitidas: na lista, selecione etiquetas de serviço que podem contornar as restrições da firewall de IP.
   • Permitir acesso para serviços fidedignos da Microsoft: esta definição permite que os serviços fidedignos da Microsoft, como a monitorização e o suporte ao utilizador, etc. ignorem as restrições da firewall IP para aceder ao ambiente do Power Platform com o Dataverse. Ativado por predefinição.
   • Permitir acesso a todos os utilizadores da aplicação: esta definição permite o acesso à API do Dataverse a todos os utilizadores da aplicação, sejam terceiros ou proprietários. Ativado por predefinição. Se limpar esse valor, este bloqueará apenas os utilizadores de aplicações de terceiros.
   • Ativar a firewall de IP no modo só de auditoria: esta definição ativa a firewall IP, mas permite pedidos independentemente do respetivo endereço IP. Ativado por predefinição.
   • Endereços IP de proxies inversos: se a sua organização tiver proxies inversos configurados, introduza os endereços IP separados por vírgulas. A definição de proxy inverso aplica-se ao enlace de cookies baseado no IP e à firewall de IP. Entre em contato com o administrador da rede para obter os endereços IP de proxy reverso.

8. Selecione Guardar.

   Nota

   O proxy inverso deve ser configurado para enviar endereços IP de cliente do utilizador no cabeçalho reencaminhado.

   As definições selecionadas são aplicadas a todos os ambientes nesse grupo de ambientes.

Ativar a firewall de IP utilizando a API OData do Dataverse

Pode utilizar a API OData do Dataverse permite-lhe obter e modificar os valores dentro de um ambiente do Power Platform. Para obter orientações detalhadas, consulte Consultar dados utilizando a API Web e Atualizar e eliminar linhas de tabela utilizando a API Web (Microsoft Dataverse).

Tem a flexibilidade de selecionar as ferramentas que preferir. Utilize a seguinte documentação para obter e modificar valores através da API OData do Dataverse:

• Utilizar o Insomnia com a API Web do Dataverse
• Guia de Início Rápido da API Web com o PowerShell e o Visual Studio Code

Configurar a firewall de IP ao utilizar a API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Payload

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule — Ative a caraterística ao definir o valor como true ou desative-o ao definir o valor como false.

• allowediprangeforfirewall — Liste os intervalos de IP que devem ser permitidos. Forneça-os em notação CIDR, separados por uma vírgula.

  Importante

  Certifique-se de que os nomes das etiquetas de serviço correspondem ao que vê na página de definições da firewall de IP. Se houver alguma discrepância, as restrições de IP podem não funcionar corretamente.

• enableipbasedfirewallruleinauditmode — Um valor de true indica o modo só de auditoria, enquanto um valor de false indica o modo de imposição.

• allowedservicetagsforfirewall — Liste as etiquetas de serviço que devem ser permitidas, separadas por uma vírgula. Se não pretende configurar quaisquer etiquetas de serviço, deixe o valor como null.

• allowapplicationuseraccess — O valor predefinido é true.

• allowmicrosofttrustedservicetags — O valor predefinido é true.

Testar a firewall de IP

Deverá testar a firewall de IP para verificar se está a funcionar.

1. A partir de um endereço IP que não faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   O seu pedido deverá ser rejeitado com uma mensagem a dizer: "O pedido que está a tentar fazer foi rejeitado porque o acesso ao seu IP está bloqueado. Contacte o seu administrador para obter mais informações."

2. A partir de um endereço IP que faz parte da lista de endereços IP permitidos para o ambiente, navegue para o URI do ambiente do Power Platform.

   Deverá ter o acesso ao ambiente que é definido pelo seu direito de acesso.

Deve testar primeiro a firewall de IP no seu ambiente de teste, seguido pelo modo de só de auditoria em ambiente de Produção antes de impor a firewall de IP no seu ambiente de Produção.

Filtragem de SPN para utilizadores da aplicação

A caraterística de Firewall de IP no Power Platform permite que os administradores restrinjam o acesso aos ambientes com base em intervalos de endereços IP. Para cenários em que utilizadores de aplicação específicos (Nomes dos Principais de Serviço ou SPNs) precisam de ignorar estas restrições, pode ativar a filtragem de SPN usando uma abordagem baseada em API.

Passos para ativar a filtragem de SPN

1. Adicione o utilizador da aplicação. Se ainda não estiver adicionado, adicione o utilizador da aplicação ao ambiente de destino e atribua os direitos de acesso apropriados. Exemplo: Adicione o utilizador da aplicação com o ID 123 e o nome TestSPN ao ambiente e atribua as funções necessárias
2. Obtenha o ID de utilizador do sistema. Use a seguinte chamada à API para obter o systemuserid para o utilizador da aplicação:

GET https://{root-url}/api/data/v9.0/systemusers?$filter=applicationid eq {application-id}&$select=systemuserid
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

3. Colocar o utilizador da aplicação na lista de permissões.

POST https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/systemusers(SystemuserID)
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Payload

[
    {
        "isallowedbyipfirewall": true
    }
]

4. Configure as definições de firewall de IP no PPAC. Navegue até ao Centro de Administração do Power Platform (PPAC) e configure as definições da Firewall de IP. Certifique-se de que a opção "Permitir acesso a todos os utilizadores da aplicação" está desmarcada para impor a filtragem.

Requisitos de licenciamento da firewall de IP

A firewall de IP só é imposta em ambientes com Ambientes Geridos ativados. Os Ambientes Geridos são incluídos como um direito em licenças do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que fornecem direitos de utilização premium. Saiba mais sobre licenciamento do Ambiente Gerido com a Descrição geral do licenciamento para o Microsoft Power Platform.

Além disso, o acesso à utilização da firewall de IP para o Dataverse exige que os utilizadores nos ambientes em que a firewal de IP é imposta tenham uma destas subscrições:

• Microsoft 365 ou Office 365 A5/E5/G5
• Conformidade do Microsoft 365 A5/E5/F5/G5
• Segurança & Conformidade do Microsoft 365 F5
• Information Protection e Governação do Microsoft 365 A5/E5/F5/G5
• Gestão de Risco Interno do Microsoft 365 A5/E5/F5/G5

Obtenha mais informações sobre licenças do Microsoft 365

Perguntas mais frequentes (FAQ)

O que abrange a firewall de IP no Power Platform?

A firewall de IP é suportada em qualquer ambiente do Power Platform que inclua o Dataverse.

Quando é que uma alteração à lista de endereços IP entra em vigor?

Normalmente, as alterações à lista de endereços IP permitidos ou intervalos entram em vigor em cerca de 5-10 minutos.

Esta caraterística funciona em tempo real?

A proteção da firewall de IP funciona em tempo real. Como a funcionalidade funciona na camada de rede, avalia o pedido depois de o pedido de autenticação ficar concluído.

Esta caraterística está ativada por predefinição em todos os ambientes?

Por predefinição, a firewall de IP não está ativada. O administrador do Power Platform necessita de o ativar para Ambientes Geridos.

O que é o modo só de auditoria?

No modo só de auditoria, a firewall de IP identifica os endereços IP que estão a fazer chamadas para o ambiente e permite-os a todos, quer estejam ou não num intervalo permitido. É útil quando está a configurar restrições num ambiente do Power Platform. Recomendamos que ative o modo só de auditoria durante, pelo menos, uma semana e que o desative apenas depois de rever cuidadosamente os registos de auditoria.

Esta caraterística está disponível em todos os ambientes?

A firewall IP só está disponível para Ambientes Geridos.

Existe algum limite ao número de endereços IP que posso adicionar na caixa de texto do endereço IP?

Pode adicionar até 200 intervalos de endereços IP no formato CIDR de acordo com RFC 4632, separados por vírgulas.

O que devo fazer se os pedidos ao Dataverse começarem a falhar?

Uma configuração incorreta de intervalos de IP para firewall IP pode estar a causar este problema. Pode verificar os intervalos de IP na página de definições do firewall IP. Recomendamos que ative o firewall IP no modo Só de auditoria antes de o aplicar.

Como transfiro o registo de auditoria para o modo só de auditoria?

Utilize a API de OData do Dataverse para transferir os dados do registo de auditoria no formato JSON. O formato da API do registo de auditoria é:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substitua [orgURI] pelo URI do ambiente do Dataverse.
• Defina o valor da ação como 118 para este evento.
• Defina o número de itens a devolver em top=1 ou especifique o número que pretende devolver.

Os meus fluxos do Power Automate não estão a funcionar como esperado depois de configurar a firewall de IP no meu ambiente do Power Platform. O que devo fazer?

Nas definições da firewall de IP, permita as etiquetas de serviço listadas em Endereços IP de saída de conectores geridos.

Configurei o endereço proxy inverso corretamente, mas a firewall de IP não está a funcionar. O que devo fazer?

Certifique-se de que o proxy inverso está configurado para enviar o endereço IP do cliente no cabeçalho reencaminhado.

A funcionalidade de auditoria da firewall IP não está a funcionar no meu ambiente. O que devo fazer?

Os registos de auditoria da firewall IP não são suportados em inquilinos ativados para chaves de encriptação bring-your-own-key (BYOK). Se o seu inquilino estiver ativado para bring-your-own-key, todos os ambientes num inquilino ativado são bloqueados apenas para SQL, portanto, os registos de auditoria só poderão ser armazenados em SQL. Recomendamos que migre para a chave gerida pelo cliente. Para migrar do BYOK para a chave gerida pelo cliente (CMKv2), siga os passos em Migrar ambientes bring your own key (BYOK) para a chave gerida pelo cliente.

A firewall de IP suporta intervalos de IP IPv6?

Sim, o firewall IP suporta intervalos de IP IPv6.

Próximos passos

Segurança no Microsoft Dataverse