本文介绍以下项所需的配置:
- Power Automate 通过入站防火墙配置连接到您网络中的服务,以及
- 您的制作者和用户通过出站防火墙配置访问 Power Automate,以构建和使用体验。
有关本文中的配置详细信息,请使用下表中的链接。
允许流调用您的服务
以下两部分列出了 Power Automate 连接到网络中的服务所需的网络配置。 仅当您限制网络上的入站或出站 IP 地址(例如,通过防火墙)时,才需要此配置。
允许连接器调用您的服务
Power Automate 流由操作组成。 操作既可以使用连接器操作,也可以使用“HTTP”和“HTTP + Swagger”等本地操作。 要启用连接器操作调用网络中托管的服务,请允许流量从 AzureConnectors 服务标签进入网络。
将对服务的“HTTP”和“HTTP + Swagger”调用列入允许列表
对于由包括“HTTP”和“HTTP + Swagger”操作在内的操作组成的流,允许来自所有下列服务标记的流量:
| 服务标签 | 是否为必填? |
|---|---|
| LogicApps | yes |
| PowerPlatformPlex | yes |
允许网络上的用户使用 Power Automate
本节包含有关让您的制作者和用户访问 Power Automate 中的构建和使用体验的信息。
使用 Power Automate 网络门户
Power Automate 网络门户也被称为 Maker Portal。
下表列出了 Power Automate 连接到的服务。 确保所有这些服务均未在网络上被屏蔽。
| 域 | 协议 | 使用 |
|---|---|---|
| login.microsoft.com login.windows.net login.microsoftonline.com login.live.com secure.aadcdn.microsoftonline-p.com |
https | 访问身份验证和授权终结点。 |
| graph.microsoft.com | https | 对 Microsoft graph 的访问权限 - 获取个人资料照片等用户信息。 |
| *.azure-apim.net | https | 对连接器运行时的访问权限。 |
| *.azure-apihub.net | https | 对连接器运行时的访问权限。 |
| *.blob.core.windows.net | https | 导出流的位置。 |
| *.flow.microsoft.com *.logic.azure.com |
https | 对 Power Automate 站点的访问权限。 |
| *.powerautomate.com | https | 对 Power Automate 站点的访问权限。 |
| *.powerapps.com | https | 对 Power Apps 站点的访问权限。 |
| *.azureedge.net | https | 访问 Power Automate CDN。 |
| *.azurefd.net | https | 访问 Power Automate CDN。 |
| *.microsoftcloud.com | https | 访问 NPS(净推荐值)。 |
| webshell.suite.office.com | https | 对用于标头和搜索的 Office 的访问权限。 在 Office 365 URL 和范围中了解更多信息。 |
| *.dynamics.com | https | 对 Dataverse 表的访问。 |
| go.microsoft.com | https | 访问 Power Automate 以检查更新。 |
| download.microsoft.com | https | 访问 Power Automate 以检查更新。 |
| login.partner.microsoftonline.cn | https | 访问 Power Automate 使用桌面 Cloud Discovery。 |
| s2s.config.skype.com use.config.skype.com config.edge.skype.com |
https | 访问通过外部测试和配置终结点管理的预览功能。 |
| s2s.config.ecs.infra.gov.teams.microsoft.us | https | 访问通过美国政府云的外部测试和配置终结点管理的预览功能。 |
| *.api.powerplatform.com *.api.powerplatformusercontent.com *.api.bap.microsoft.com *.logic.azure.com |
https | 访问多个 Power Platform API。 |
| *.api.gov.powerplatform.microsoft.us *.gov.api.bap.microsoft.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - GCC)。 |
| *.api.high.powerplatform.microsoft.us *.gov.api.bap.microsoft.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - GCC High)。 |
| *.api.appsplatform.us *.api.bap.appsplatform.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - DoD)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.api.bap.partner.microsoftonline.cn *.logic.azure.cn |
https | 访问多个 Power Platform API(21Vianet - 仅限中国)。 |
允许您网络上的用户使用 Power Automate 移动应用程序
下表列出了使用 Power Automate 移动应用程序时需要的其他端点。
| 域 | 协议 | 使用 |
|---|---|---|
| *.events.data.microsoft.com | https | 从移动应用发送所有生产区域和受支持的美国主权云的遥测数据。 |
| collector.azure.cn | https | 从移动应用发送 Mooncake 区域的遥测数据。 |
| officeapps.live.com | https | 访问移动应用的身份验证和授权终结点。 |
允许网络上的用户使用“收到 HTTP 请求时”触发器
我们建议在“使用 Power Automate web 门户”部分列出允许域列表,以确保您的制作者和管理员可以利用 Power Automate 服务。 对于希望严格允许网络流量以支持 When an HTTP request is received 触发器的客户,请在防火墙的出站配置中列出以下域。
| 域 | 协议 | 使用 |
|---|---|---|
| *.api.powerplatform.com *.logic.azure.com |
https | 访问多个 Power Platform API。 |
| *.api.gov.powerplatform.microsoft.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - GCC)。 |
| *.api.high.powerplatform.microsoft.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - GCC High)。 |
| *.api.appsplatform.us *.logic.azure.us |
https | 访问多个 Power Platform API(仅限美国政府 - DoD)。 |
| *.api.powerplatform.partner.microsoftonline.cn *.logic.azure.cn |
https | 访问多个 Power Platform API(21Vianet - 仅限中国)。 |
允许网络上的机器和用户访问 Power Automate 桌面服务
下表列出了为进行桌面流运行从用户计算机建立连接需要达到的终结点数据要求。 确保您授权了全局端点和对应于您的云的端点。
桌面流运行时的全局端点
| 域 | 协议 | 使用 |
|---|---|---|
| server.events.data.microsoft.com | https | 为 EMEA、美国政府和中国云以外的用户处理遥测。 用作备用遥测终结点。 |
| msedgedriver.azureedge.net chromedriver.storage.googleapis.com |
https | 访问桌面流 WebDriver 下载程序。 WebDriver 用于实现浏览器自动化(Microsoft Edge 和 Google Chrome)。 |
Power Automate 桌面版 MSI 安装程序的全局端点
| 域 | 协议 | 使用 |
|---|---|---|
| *.builds.dotnet.microsoft.com | https | 下载 .NET 8 运行时(如果计算机上尚未安装该运行时)。 |
桌面流运行时的公共端点
| 域 | 协议 | 使用 |
|---|---|---|
| ocsp.digicert.com ocsp.msocsp.com mscrl.microsoft.com crl3.digicert.com crl4.digicert.com |
http | 对公有云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| *.servicebus.windows.net | https | 通过 TCP 侦听服务总线中继。 建立计算机连接时需要。 |
| *.gateway.prod.island.powerapps.com | https | 建立计算机连接时需要。 |
| emea.events.data.microsoft.com | https | 为 EMEA 用户处理遥测。 |
| *.api.powerplatform.com | https | 访问多个 Power Platform API(对于在桌面流中利用云连接器是必需的)。 |
| *.dynamics.com | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(对 GCC 也有效)。 |
备注
如果不想允许公共终结点 *.servicebus.windows.net,您可以单独允许命名空间列表。 在允许运行时所需的命名空间终结点列表中了解有关命名空间终结点的更多信息。
用于桌面流运行时的 US 政府终结点
| 域 | 协议 | 使用 |
|---|---|---|
| ocsp.digicert.com crl3.digicert.com crl4.digicert.com |
http | 对 US government 云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| *.servicebus.usgovcloudapi.net | https | 侦听美国政府云的服务总线中继。 建立计算机连接时需要。 |
| *.gateway.gov.island.powerapps.us | https | 为美国政府云(GCC 和 GCCH)建立计算机连接时需要。 |
| *.gateway.gov.island.appsplatform.us | https | 为美国政府云建立计算机连接时需要 (DOD)。 |
| tb.events.data.microsoft.com | https | 为美国政府用户处理遥测。 |
| *.api.gov.powerplatform.microsoft.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 GCC)。 |
| *.api.high.powerplatform.microsoft.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 GCC High)。 |
| *.api.appsplatform.us | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(美国政府 - 仅限 DoD)。 |
| *.microsoftdynamics.us | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(美国政府 - 仅限 GCC High)。 |
| *.crm.appsplatform.us | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(美国政府 - 仅限 DoD)。 |
| *.dynamics.com | https | 访问 Dataverse 表(对于桌面流中的自定义操作是必需的)(对公有云也有效)。 |
用于桌面流运行时的 21Vianet 端点(中国)
| 域 | 协议 | 使用 |
|---|---|---|
| crl.digicert.cn ocsp.digicert.cn |
http | 对世纪互联运营的云的 CRL 服务器的访问权限。 在通过本地数据网关连接时需要。 |
| apac.events.data.microsoft.com | https | 为中国用户处理遥测。 |
| *.gateway.mooncake.island.powerapps.cn | https | 建立计算机连接时需要(21Vianet - 仅限中国)。 |
| *.api.powerplatform.partner.microsoftonline.cn | https | 访问多个 Power Platform API(对于桌面流中的云连接器操作是必需的)(21Vianet - 仅限中国)。 |
| *.dynamics.cn | https | 访问 Dataverse 表(DesktopFlow 模块功能)(21Vinaet - 仅限中国)。 |
| *.api.powerautomate.cn | https | 访问 Power Automate API(21Vianet - 仅限中国)。 |
其他 IP 地址文章
审批电子邮件发送
在 Power Automate 审批电子邮件发送信息中了解有关审批电子邮件路由的更多信息。
Azure SQL 数据库
如果需要为 Azure SQL 数据库授权 IP 地址,请使用 Power Platform 出站 IP 地址。
常见问题
这里提供很多细节—IP 地址配置的高级建议是什么?
配置防火墙以允许 Power Automate 云端流通过连接器调用外部服务的最简单机制是使用 Azure 服务标签。 Logic Apps 连接器的主要服务标签是 AzureConnectors,如 Power Platform 出站 IP 地址中所述。
如果使用的是 Azure 防火墙,是否需要跟踪各个 IP 地址?
您应使用 Azure 服务标记。 通过使用网络安全组规则中的服务标记,不需要持续监视和手动更新每个服务的 IP 范围。
如果使用的是内部部署防火墙,是否需要跟踪单个 IP 地址?
您应该将服务标签用于本地防火墙,这样您就不需要监控和手动更新 IP 范围。 服务标签发现 API 提供对与每个服务标签相关的最新 IP 地址范围的访问,使您能够及时了解最新变化。