IP アドレス ベースの Cookie バインドにより、Dataverse におけるセッション ハイジャック エクスプロイトを防止します。 悪意のあるユーザーが、Cookie の IP バインドが有効になっている承認済みのコンピューターから有効なセッション Cookie をコピーしたとします。 その後、ユーザーは別のコンピューターで Cookie を使用して、Dataverse への不正アクセスを試みます。 Dataverse は、リアルタイムで Cookie の発信元の IP アドレスを、要求を行ったコンピューターの IP アドレスと比較します。 2 つが異なる場合、試行はブロックされ、エラー メッセージが表示されます。
IP ベースの Cookie バインディングは、政府機関向けクラウドを含むすべてのテナントの 管理対象環境 でのみ使用できます。 この機能を Power Platform 管理センター で有効にすることができます。
IP アドレス ベースの Cookie バインドを有効にする
Power Platform 管理センター に管理者としてサインインします。
ナビゲーション ウィンドウで、[管理] を選択 します。
管理ウィンドウで環境を選択します。
環境ページで、環境を選択します。
設定>製品>プライバシー + セキュリティを選択します。
[ IP アドレスの設定] で、[ IP アドレス ベースの Cookie バインドを有効にする ] オプションを選択します。
(オプション): 組織でリバース プロキシが設定されている場合は、リバース プロキシ IP アドレス フィールドに IP アドレスをカンマで区切って入力します。 リバース プロキシ設定は、IP ベースの Cookie バインディングと IP ファイアウォールの両方に適用されます。 リバース プロキシの IP アドレスを取得するには、ネットワーク管理者に問い合わせてください。
注
リバース プロキシは、転送ヘッダーでユーザー クライアント IP アドレスを送信するように構成する必要があります。
保存を選択します。
環境の Cookie バインディングを有効にする
- Power Platform 管理センター に管理者としてサインインします。
- ナビゲーション ウィンドウで、[管理] を選択 します。
- 管理ウィンドウで環境を選択します。
- 環境ページで、環境を選択します。
- コマンド バーで、設定 を選択します。 設定 ページが表示されます。
- Product>Privacy + Security を選択します。
- IP アドレス設定の見出しを見つけます。
- [ IP アドレスベースの Cookie バインドを有効にする] 設定を [オン] にします。
- [保存] を選択して変更を保存します。
クッキー バインディングが IP アドレスを使用して機能する仕組み
IP ベースの Cookie バインドは、セッション Cookie に IP アドレス要求を設定します。 各要求が評価され、現在の IP アドレスを Cookie の作成時に格納された送信元 IP アドレスと比較します。 アドレスが一致しない場合、ユーザーはアクセスを拒否されます。
ユーザーに再認証を求められるシナリオ
- いずれかの VPN クライアントがオンまたはオフになっている場合
- ワイヤレス ホットスポットに接続する場合
- インターネット サービス プロバイダーがインターネット接続をリセットした場合
- ルーターがリセットまたは再起動された場合
機能をテストする方法
ブラウザーからすべての Cookie を消去します。 この手順は、新しい Cookie が確実に生成されるようにするために重要です。
IP ベースのクッキング バインドが有効になっている Dynamics 365 環境にサインインします。
Fiddler などのクライアント ツールを使用して、セッション Cookie をコピーします。
以前に取得したセッション Cookie を使用して、別のコンピューター (元のネットワークの外部) から要求を送信します。 応答として HTTP 403 エラーが返されることが予想されます。
除外
- ユーザーが、古い有効な Cookie と同じ IP アドレスから Dataverse に接続した場合、Dataverse は Cookie を受け入れます。
- ネットワークと Power Platform 間のトラフィックが、動的 IP アドレスを持つリバース プロキシを使用するように構成されている場合、IP ベースの Cookie バインディングは機能しません。
FAQ
この機能は Dataverse で使用できますか?
Cookie IP バインドは、統一インターフェイスの CrmOwinAuth Cookie で使用できます。
Power Platform 管理センターで変更が行われた後、どのくらいで有効になりますか?
通常、変更は約 5 分で有効になります。
この機能はリアルタイムで動作しますか?
この機能は、機能が有効になった後に行われる最初の要求を除き、Cookie をリアルタイムで評価します。
この機能は、すべての環境でデフォルトで有効になっていますか?
Cookie IP バインド機能は、デフォルトで無効になっています。 管理者は、Power Platform 管理センターで有効にする必要があります。