Конфигурация IP-адресов
Исходящие IP-адреса Power Platform для отправки запросов Power Automate, зависят от расположения региона среды, содержащей поток. FQDN (полные доменные имена) не публикуются для сценариев потоков.
Простейшим механизмом настройки брандмауэра, позволяющей облачным потокам Power Automate вызывать внешние службы через соединители, является использование тегов служб Azure. Основным тегом службы для соединителей Logic Apps является AzureConnectors, как описано в разделе Исходящие IP-адреса Power Platform.
Logic Apps и соединители для среды выполнения облачных потоков
Вызовы из облачного потока проходят непосредственно через службу Azure Logic Apps. Некоторые примеры этих вызовов включают HTTP или HTTP + OpenAPI. Сведения о том, какие IP-адреса используются этой службой см. в документации по Logic Apps.
Если вы ограничиваете входящие или исходящие IP-адреса в своей сети (например, с помощью брандмауэра), чтобы потоки продолжали работать, обновите конфигурацию сети, чтобы разрешить и IP-адреса для Azure Logic Apps, и IP-адреса для управляемых соединителей в поддерживаемых регионах. Подробнее см. в разделе Azure Logic Apps — настройка избыточности между зонами с помощью зон доступности.
Обязательные конечные точки для службы Power Automate
В следующей таблице перечислены службы, к которым подключается Power Automate. Настройте сеть так, чтобы она не блокировала эти службы.
| Домены | Протоколы | Использование |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | Доступ к конечным точкам аутентификации и авторизации. |
| graph.microsoft.com | https | Доступ к Microsoft Graph для получения сведений о пользователе, например таких, как фотография профиля. |
| *.azure-apim.net | https | Доступ к среде выполнения для соединителей. |
| *.azure-apihub.net | https | Доступ к среде выполнения для соединителей. |
| *.blob.core.windows.net | https | Расположение экспортируемых потоков. |
| *.flow.microsoft.com *.logic.azure.com |
https | Доступ к сайту Power Automate. |
| *.powerautomate.com | https | Доступ к сайту Power Automate. |
| *.powerapps.com | https | Доступ к сайту Power Apps. |
| *.azureedge.net | https | Доступ к Power Automate CDN. |
| *.microsoftcloud.com | https | Доступ к NPS (Net Promoter Score). |
| webshell.suite.office.com | https | Доступ к Office для заголовка и поиска. Дополнительные сведения см. в разделе URL-адреса и диапазоны Office 365. |
| *.dynamics.com | https | Доступ к таблицам Dataverse |
| go.microsoft.com | https | Доступ к Power Automate, чтобы проверить наличие обновлений |
| download.microsoft.com | https | Доступ к Power Automate, чтобы проверить наличие обновлений |
| login.partner.microsoftonline.cn | https | Доступ к Cloud Discovery Power Automate для компьютеров |
| s2s.config.skype.com use.config.skype.com |
https | Доступ к функциям предварительной версии, управляемый через конечные точки тестирования и настройки. |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | Доступ к функциям предварительной версии, управляемый через конечные точки тестирования и настройки для облака для государственных организаций США. |
| *.api.powerplatform.com *.api.powerplatformusercontent.com |
https | Доступ к нескольким API-интерфейсам Power Platform. |
| *.api.gov.powerplatform.microsoft.us | https | Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — GCC). |
| *.api.high.powerplatform.microsoft.us | https | Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — GCC High). |
| *.api.appsplatform.us | https | Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — DoD). |
| *.api.powerplatform.partner.microsoftonline.cn | https | Доступ к нескольким API-интерфейсам Power Platform (только 21Vianet — Китай). |
Конечные точки, необходимые для использования мобильного приложения Power Automate
В следующей таблице перечислены дополнительные конечные точки, необходимые при использовании мобильного приложения Power Automate.
| Домены | Протоколы | Использование |
|---|---|---|
| *.events.data.microsoft.com | https | Отправляйте данные телеметрии для всех производственных регионов и поддерживаемых национальных облаков США из мобильного приложения. |
| collector.azure.cn | https | Отправляйте данные телеметрии для региона Mooncake из мобильного приложения. |
| officeapps.live.com | https | Доступ к конечным точкам аутентификации и авторизации для мобильного приложения. |
Службы, необходимые для среды выполнения классических потоков
В следующей таблице перечислены требования к данным конечной точки для подключения с компьютера пользователя для выполнения классических потоков. Убедитесь, что вы авторизовали глобальные конечные точки и конечные точки, соответствующие вашему облаку.
Глобальные конечные точки для среды выполнения классических потоков
| Домены | Протоколы | Использование |
|---|---|---|
| server.events.data.microsoft.com | https | Обрабатывает телеметрию для пользователей за пределами EMEA, государственных организаций США и облаков в Китае. Работает как резервная конечная точка телеметрии. |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | Доступ к классическим потокам загрузчиков WebDriver. WebDriver используется для автоматизации вашего браузера (Microsoft Edge и Google Chrome). |
Общедоступные конечные точки для среды выполнения классических потоков
| Домены | Протоколы | Использование |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | Доступ к серверу CRL для общедоступного облака. Требуется для подключения через локальный шлюз данных. |
| *.servicebus.windows.net | https | Прослушивает ретранслятор служебной шины через TCP. Требуется для подключения компьютера. |
| *.gateway.prod.island.powerapps.com | https | Требуется для подключения компьютера. |
| emea.events.data.microsoft.com | https | Обрабатывает телеметрию для пользователей EMEA. |
| *.api.powerplatform.com | https | Доступ к нескольким API-интерфейсам Power Platform (обязательно для использования облачных соединителей в классических потоках). |
| *.dynamics.com | https | Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (также действительно для GCC). |
Заметка
Если вы не хотите разрешать общедоступную конечную точку *.servicebus.windows.net, вы можете разрешить список пространств имен по отдельности. Дополнительные сведения о конечных точках пространства имен см. в статье Список разрешенных конечных точек пространств имен, необходимых для среды выполнения классических потоков.
Конечные точки для государственных организаций США для среды выполнения классических потоков
| Домены | Протоколы | Использование |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | Доступ к серверу CRL для облака государственных учреждений США. Требуется для подключения через локальный шлюз данных. |
| *.servicebus.usgovcloudapi.net | https | Слушает ретранслятор служебной шины для облака государственных организаций США. Требуется для подключения компьютера. |
| *.gateway.gov.island.powerapps.us | https | Требуется для подключения компьютера к облаку для государственных организаций США (GCC and GCCH). |
| *.gateway.gov.island.appsplatform.us | https | Требуется для подключения компьютера к облаку для государственных организаций США (DOD). |
| tb.events.data.microsoft.com | https | Обрабатывает телеметрию для пользователей из государственных организаций США. |
| *.api.gov.powerplatform.microsoft.us | https | Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — GCC). |
| *.api.high.powerplatform.microsoft.us | https | Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — GCC High). |
| *.api.appsplatform.us | https | Доступ к нескольким API Power Platform (обязательно для работы облачного соединителя в классических потоках) (только для государственных организаций США — DoD). |
| *.microsoftdynamics.us | https | Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (только для государственных организаций США — GCC High). |
| *.crm.appsplatform.us | https | Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (только для государственных организаций США — DoD). |
| *.dynamics.com | https | Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (также действительно для общедоступного облака). |
Конечные точки 21Vinaet (Китай) для среды выполнения классических потоков
| Домены | Протоколы | Использование |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | Доступ к CRL-серверам для облака под управлением 21Vianet. Требуется для подключения через локальный шлюз данных. |
| apac.events.data.microsoft.com | https | Обрабатывает телеметрию для пользователей в Китае. |
| *.api.powerplatform.partner.microsoftonline.cn | https | Доступ к нескольким API-интерфейсам Power Platform (обязательно для действий облачного соединителя в классических потоках) (21Vinaet — только Китай). |
| *.dynamics.cn | https | Доступ к таблицам Dataverse (функция модулей DesktopFlow) (21Vinaet — только для Китая). |
Другие статьи об IP-адресе
Доставка сообщений электронной почты об утверждении
Подробнее о маршрутизации сообщений электронной почты об утверждении см. в статье Доставка сообщений электронной почты об утверждении.
База данных SQL Azure
Если требуется авторизовать IP-адреса для вашей базы данных SQL Azure, необходимо использовать Исходящие IP-адреса Power Platform.
Вопросы и ответы
Здесь есть много подробностей — каковы общие рекомендации по настройке IP-адресов?
Простейшим механизмом настройки брандмауэра, позволяющей облачным потокам Power Automate вызывать внешние службы через соединители, является использование тегов служб Azure. Основным тегом службы для соединителей Logic Apps является AzureConnectors, как описано в разделе Исходящие IP-адреса Power Platform.
Если я использую брандмауэр Azure, нужно ли мне отслеживать отдельные IP-адреса?
Вы должны использовать теги служб Azure. При использовании тегов служб в правилах группы безопасности сети вам не нужно постоянно отслеживать и вручную обновлять диапазоны IP-адресов для каждой службы.
Если я использую локальный брандмауэр, нужно ли мне отслеживать отдельные IP-адреса?
Вам следует использовать теги службы с локальным брандмауэром, чтобы не отслеживать и вручную обновлять диапазоны IP-адресов. API-интерфейс обнаружения тегов служб предоставляет доступ к последним диапазонам IP-адресов, связанным с каждым тегом службы, что позволяет быть в курсе изменений.