Конфигурация IP-адресов для Power Automate

В этой статье описывается конфигурация, необходимая для:

  • Power Automate для подключения к службам в сети посредством настройки брандмауэра для входящих подключений и
  • Ваши разработчики и пользователи смогут получать доступ к Power Automate для создания сценариев и работы с ними с помощью настройки исходящего трафика в брандмауэре.

Общие рекомендации по настройке IP-адресов

Простейшим механизмом настройки брандмауэра, позволяющей облачным потокам Power Automate вызывать внешние службы через соединители, является использование тегов служб Azure. Основным тегом службы для соединителей Logic Apps является AzureConnectors, как описано в разделе Исходящие IP-адреса Power Platform.

Мониторинг диапазонов IP-адресов

В зависимости от брандмауэра, который вы используете, вам не нужно отслеживать и вручную обновлять диапазоны IP-адресов. В следующей таблице описаны рекомендуемые методы отслеживания для каждого типа брандмауэра.

брандмауэр Метод отслеживания
Azure Используйте теги служб Azure. При использовании тегов служб в правилах группы безопасности сети вам не нужно постоянно отслеживать и вручную обновлять диапазоны IP-адресов для каждой службы.
Локальная установка Используйте теги службы с локальным брандмауэром, чтобы не отслеживать и не обновлять вручную диапазоны IP-адресов. API-интерфейс обнаружения тегов служб предоставляет доступ к последним диапазонам IP-адресов, связанным с каждым тегом службы, что позволяет быть в курсе изменений.

Сведения о конфигурации

Сведения о конфигурации см. по ссылкам в следующей таблице.

Подробные сведения в этой категории Выберите из следующих ссылок
Разрешить потокам вызывать ваших службы
  • Разрешить вызовы ваших служб через соединители
  • Разрешение вызовов "HTTP" и "HTTP + Swagger" к вашим службам
    		•
    Разрешение пользователям в вашей сети использовать Power Automate
  • Использование веб-портала Power Automate
  • Разрешение пользователям в вашей сети использовать мобильное приложение Power Automate
  • Разрешение пользователям в вашей сети использовать триггер "При получении HTTP-запроса"
  • Предоставление компьютерам и пользователям в сети доступа к службам Power Automate для компьютеров
  • Глобальные конечные точки для среды выполнения потоков рабочего стола
  • Глобальные конечные точки для MSI-установщика Power Automate for desktop
  • Общедоступные конечные точки для среды выполнения потоков рабочего стола
  • Конечные точки для государственных организаций США для среды выполнения классических потоков
  • Конечные точки 21Vianet (Китай) для среды выполнения классических потоков
    		•
    Другие статьи об IP-адресе
  • Доставка сообщений электронной почты об утверждении
  • База данных SQL Azure
    		•

    Разрешить потокам вызывать ваши службы

    В следующих двух разделах перечислена конфигурация сети, необходимая для Power Automate для подключения к службам в сети. Эта конфигурация необходима только в том случае, если вы ограничиваете входящие или исходящие IP-адреса в сети (например, через брандмауэр).

    Разрешить вызовы ваших служб через соединители

    Потоки Power Automate состоят из действий. Действия могут использовать как действия соединителя, так и собственные действия, такие как "HTTP" и "HTTP + Swagger". Чтобы действия соединителя могли вызывать службы, размещенные в вашей сети, разрешите трафик в сеть из тега службы AzureConnectors.

    Разрешение вызовов "HTTP" и "HTTP + Swagger" к вашим службам

    Для потоков, состоящих из действий, включая действия "HTTP" и "HTTP + Swagger", разрешите трафик из всех следующих тегов служб:

    Тег службы Обязательное?
    LogicApps да
    PowerPlatformPlex да
    PowerPlatformInfra да

    Снимок экрана действий HTTP.

    Разрешение пользователям в вашей сети использовать Power Automate

    В этом разделе содержится информация о том, как предоставить разработчикам и пользователям доступ к возможностям сборки и использования в Power Automate.

    Использование веб-портала Power Automate

    Веб-портал Power Automate также известен как портал создателей Maker Portal.

    В следующей таблице перечислены службы, к которым подключается Power Automate. Настройте сеть так, чтобы она не блокировала эти службы.

    Домены Протоколы Использование
    login.microsoft.com
    login.windows.net
    login.microsoftonline.com
    login.live.com
    secure.aadcdn.microsoftonline-p.com    		 https Доступ к конечным точкам аутентификации и авторизации.
    graph.microsoft.com https Доступ к Microsoft Graph для получения сведений о пользователе, например таких, как фотография профиля.
    *.azure-apim.net https Доступ к среде исполнения для коннекторов.
    *.azure-apihub.net https Доступ к среде выполнения для коннекторов.
    *.blob.core.windows.net https Расположение экспортируемых потоков.
    *.flow.microsoft.com
    *.logic.azure.com    		 https Доступ к сайту Power Automate.
    *.powerautomate.com https Доступ к сайту Power Automate.
    *.powerapps.com https Доступ к сайту Power Apps.
    *.azureedge.net https Доступ к Power Automate CDN (сеть доставки содержимого).
    *.azurefd.net https Доступ к Power Automate CDN (сеть доставки содержимого).
    *.microsoftcloud.com https Доступ к NPS (Net Promoter Score).
    *.ces.microsoftcloud.com
    config.centro.core.microsoft
    admin.microsoft.com
    petrol.office.microsoft.com
    oness.microsoft.com    		 https Доступ к NPS (Net Promoter Score) и опросам.
    config.edge.skype.com https Получить флаги функций для Power Automate.
    res.cdn.office.net https Предоставьте стоковые изображения для использования в вашем приложении.
    webshell.suite.office.com https Доступ к Office для заголовка и поиска. Дополнительные сведения см. в разделе URL-адреса и диапазоны Office 365.
    *.dynamics.com https Доступ к таблицам Dataverse.
    go.microsoft.com https Доступ к Power Automate, чтобы проверить наличие обновлений.
    download.microsoft.com https Доступ к Power Automate, чтобы проверить наличие обновлений.
    login.partner.microsoftonline.cn https Доступ к Cloud Discovery для Power Automate для компьютеров.
    s2s.config.skype.com
    use.config.skype.com
    config.edge.skype.com    		 https Доступ к предварительным версиям функций, управляемый через конечные точки тестирования и настройки.
    s2s.config.ecs.infra.gov.teams.microsoft.us https Доступ к предварительным версиям функций, управляемый через конечные точки тестирования и настройки для облака для государственных организаций США.
    *.api.powerplatform.com
    *.api.powerplatformusercontent.com
    *.api.bap.microsoft.com
    *.logic.azure.com    		 https Доступ к нескольким API-интерфейсам Power Platform.
    api.bap.microsoft.com https Доступ к API Power Platform.
    *.api.gov.powerplatform.microsoft.us
    *.gov.api.bap.microsoft.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только для государственных организаций США — GCC).
    *.api.high.powerplatform.microsoft.us
    *.high.api.bap.microsoft.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только для государственных организаций США — GCC High).
    *.api.appsplatform.us
    *.api.bap.appsplatform.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — DoD).
    *.api.powerplatform.partner.microsoftonline.cn
    *.api.bap.partner.microsoftonline.cn
    *.logic.azure.cn    		 https Доступ к нескольким API-интерфейсам Power Platform (21Vianet — только для Китая).
    *.safelink.emails.azure.net https Ссылки на сообщения электронной почты из Power Automate.

    Разрешение пользователям в вашей сети использовать мобильное приложение Power Automate

    В следующей таблице перечислены дополнительные конечные точки, необходимые при использовании мобильного приложения Power Automate.

    Домены Протоколы Использование
    *.events.data.microsoft.com https Отправляйте данные телеметрии для всех производственных регионов и поддерживаемых национальных облаков США из мобильного приложения.
    collector.azure.cn https Отправляйте данные телеметрии для региона Mooncake из мобильного приложения.
    officeapps.live.com https Доступ к конечным точкам аутентификации и авторизации для мобильного приложения.

    Разрешение пользователям в вашей сети использовать триггер "При получении HTTP-запроса"

    Рекомендуется добавить в список разрешенных доменов домены, перечисленные в разделе Использование веб-портала Power Automate, чтобы создатели и администраторы могли в полной мере использовать возможности служб Power Automate. Для клиентов, которым нужно точечно разрешить сетевой трафик для поддержки триггера When an HTTP request is received, добавьте следующие домены в список разрешённых в настройках исходящих подключений брандмауэра.

    Домены Протоколы Использование
    *.api.powerplatform.com
    *.logic.azure.com    		 https Доступ к нескольким API-интерфейсам Power Platform.
    *.api.gov.powerplatform.microsoft.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только для государственных организаций США — GCC).
    *.api.high.powerplatform.microsoft.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только для государственных организаций США — GCC High).
    *.api.appsplatform.us
    *.logic.azure.us    		 https Доступ к нескольким API-интерфейсам Power Platform (только государственные организации США — DoD).
    *.api.powerplatform.partner.microsoftonline.cn
    *.logic.azure.cn    		 https Доступ к нескольким API-интерфейсам Power Platform (21Vianet — только для Китая).

    Предоставление компьютерам и пользователям в сети доступа к службам Power Automate для компьютеров

    В следующей таблице перечислены требования к данным о конечных точках для подключения с компьютера пользователя при запуске потоков рабочего стола. Убедитесь, что вы авторизовали глобальные конечные точки и конечные точки, соответствующие вашему облаку.

    Глобальные конечные точки для среды выполнения классических потоков

    Домены Протоколы Использование
    server.events.data.microsoft.com https Обрабатывает телеметрию для пользователей за пределами EMEA, государственных организаций США и облаков в Китае. Работает как резервная конечная точка телеметрии.
    msedgedriver.azureedge.net
    chromedriver.storage.googleapis.com    		 https Доступ к классическим потокам загрузчиков WebDriver. WebDriver используется для автоматизации вашего браузера (Microsoft Edge и Google Chrome).

    Глобальные конечные точки для MSI-установщика Power Automate для настольных компьютеров

    Домены Протоколы Использование
    aka.ms https Используется для определения последней версии установщика .NET 8.
    builds.dotnet.microsoft.com https Загружает среду выполнения .NET 8, если она еще не установлена на компьютере.

    Общедоступные конечные точки для среды выполнения потоков рабочего стола

    Домены Протоколы Использование
    ocsp.digicert.com
    ocsp.msocsp.com
    mscrl.microsoft.com
    crl3.digicert.com
    crl4.digicert.com    		 http Доступ к серверу CRL для общедоступного облака.
    Требуется для подключения через локальный шлюз данных.
    *.servicebus.windows.net https Прослушивает ретранслятор служебной шины через TCP.
    Требуется для подключения компьютера.
    *.gateway.prod.island.powerapps.com https Требуется для подключения компьютера.
    emea.events.data.microsoft.com https Обрабатывает телеметрию для пользователей EMEA.
    *.api.powerplatform.com https Доступ к нескольким API-интерфейсам Power Platform (обязателен для использования облачных соединителей в классических потоках).
    *.dynamics.com https Доступ к таблицам Dataverse (обязательно для пользовательских действий в потоках рабочего стола) (также применимо к GCC).

    Заметка

    Если вы не хотите разрешать общедоступную конечную точку *.servicebus.windows.net, вы можете разрешить список пространств имен по отдельности. Подробнее о конечных точках пространств имен см. в статье Список разрешенных конечных точек пространств имен, необходимых для среды выполнения потоков рабочего стола.

    Общедоступные конечные точки для размещенных компьютеров и размещенных групп компьютеров

    Домены Протоколы Использование
    go.microsoft.com https Требуется для загрузки установщика Power Automate для компьютеров во время подготовки.
    enterpriseregistration.windows.net https Требуется для присоединения компьютеров к Microsoft Entra.
    device.login.microsoftonline.com https Требуется для присоединения компьютеров к Microsoft Entra.
    login.microsoftonline.com https Требуется для присоединения компьютеров к Microsoft Entra.

    Заметка

    Кроме того, необходимо настроить все конечные точки, перечисленные в разделе среды выполнения потоков рабочего стола и установщика MSI для настольных компьютеров , в дополнение к этим конечным точкам.

    Конечные точки для государственных организаций США для среды выполнения классических потоков

    Домены Протоколы Использование
    ocsp.digicert.com
    crl3.digicert.com
    crl4.digicert.com    		 http Доступ к серверу CRL для облака государственных учреждений США.
    Требуется для подключения через локальный шлюз данных.
    *.servicebus.usgovcloudapi.net https Слушает ретранслятор служебной шины для облака государственных организаций США.
    Требуется для подключения компьютера.
    *.gateway.gov.island.powerapps.us https Требуется для подключения компьютера к облаку для государственных организаций США (GCC and GCCH).
    *.gateway.gov.island.appsplatform.us https Требуется для подключения компьютера к облаку для государственных организаций США (DOD).
    tb.events.data.microsoft.com https Обрабатывает телеметрию для пользователей из государственных организаций США.
    *.api.gov.powerplatform.microsoft.us https Доступ к нескольким API-интерфейсам Power Platform (обязателен для действия облачных соединителей в классических потоках) (только для государственных организаций США — GCC).
    *.api.high.powerplatform.microsoft.us https Доступ к нескольким API-интерфейсам Power Platform (обязателен для действий облачных соединителей в классических потоках) (только для государственных организаций США — GCC High).
    *.api.appsplatform.us https Доступ к нескольким API-интерфейсам Power Platform (обязателен для действий облачных соединителей в классических потоках) (только для государственных организаций США — DoD).
    *.microsoftdynamics.us https Доступ к таблицам Dataverse (обязателен для пользовательских действий в классических потоках) (только для государственных организаций США — GCC High).
    *.crm.appsplatform.us https Доступ к таблицам Dataverse (обязательно для настраиваемых действий в потоках рабочего стола) (только для Министерства обороны США).
    *.dynamics.com https Доступ к таблицам Dataverse (обязательно для пользовательских действий в классических потоках) (также действительно для общедоступного облака).

    Конечные точки 21Vianet (Китай) для среды выполнения классических потоков

    Домены Протоколы Использование
    crl.digicert.cn
    ocsp.digicert.cn    		 http Доступ к CRL-серверам для облака под управлением 21Vianet.
    Требуется для подключения через локальный шлюз данных.
    apac.events.data.microsoft.com https Обрабатывает телеметрию для пользователей в Китае.
    *.gateway.mooncake.island.powerapps.cn https Требуется для соединения с компьютерами (21Vianet — только для Китая).
    *.api.powerplatform.partner.microsoftonline.cn https Доступ к нескольким API-интерфейсам Power Platform (обязателен для действий облачных соединителей в классических потоках) (только для 21Vianet — Китай).
    *.dynamics.cn https Доступ к таблицам Dataverse (функция модулей DesktopFlow) (21Vianet — только для Китая).
    *.api.powerautomate.cn https Доступ к Power Automate (21Vianet — только для Китая).

    Другие статьи об IP-адресе

    Доставка сообщений электронной почты об утверждении

    Дополнительные сведения о маршрутизации электронной почты с утверждениями см. в сведениях о доставке сообщений электронной почты с утверждениями Power Automate.

    База данных SQL Azure

    Если нужно авторизовать IP-адреса для вашей базы данных SQL Azure, используйте исходящие IP-адреса Power Platform.

    • Last updated on