IP-Adresskonfiguration für Power Automate

Dieser Artikel beschreibt die erforderliche Konfiguration für:

  • Das Herstellen einer Verbindung zwischen Power Automate und Diensten in Ihrem Netzwerk durch eine eingehende Firewall-Konfiguration
  • Das Konfigurieren der ausgehenden Firewall, sodass Ihre Erstellenden und Benutzer auf Power Automate zugreifen können, um Lösungen zu erstellen und zu verwenden.

Übergeordnete Empfehlung zur IP-Adresskonfiguration

Der einfachste Mechanismus zum Konfigurieren einer Firewall, damit Power Automate-Cloud-Flows externe Dienste über Konnektoren aufrufen können, ist Azure-Diensttags zu verwenden. Der primäre Diensttag für Konnektoren von Logic Apps ist AzureConnectors, wie unter Ausgehende IP-Adressen für Power Platform beschrieben.

IP-Bereiche überwachen

Je nach verwendeter Firewall müssen Sie IP-Bereiche nicht überwachen und manuell aktualisieren. In der folgenden Tabelle wird die empfohlene Nachverfolgungsmethode für jeden Firewalltyp beschrieben.

Firewall Verfolgungsmethode
Azure Verwenden Sie Azure-Diensttags. Durch die Verwendung von Diensttags in den Regeln Ihrer Netzwerksicherheitsgruppe müssen Sie die IP-Bereiche für jeden Dienst nicht ständig überwachen und manuell aktualisieren.
Lokal Verwenden Sie die Service-Tags mit einer lokalen Firewall, damit Sie IP-Bereiche nicht überwachen und manuell aktualisieren müssen. Die Diensttag-Discovery-API bietet Zugriff auf die neuesten IP-Adressbereiche, die jedem Dienst-Tag zugeordnet sind, sodass Sie über Änderungen auf dem Laufenden bleiben.

Konfigurationsdetails

Für Konfigurationsdetails verwenden Sie die Links in der folgenden Tabelle.

Für Details in dieser Kategorie Sie können aus diesen Links auswählen
Zulassen, dass Flows Ihre Dienste aufrufen
  • Konnektoraufrufe an Ihre Dienste zulassen
  • „HTTP“- und „HTTP + Swagger“-Aufrufe an Ihre Dienste auf die Positivliste setzen
  • Benutzenden in Ihrem Netzwerk erlauben, Power Automate zu verwenden
  • Das Power Automate-Webportal verwenden
  • Benutzenden in Ihrem Netzwerk erlauben, die Power Automate mobile App zu verwenden
  • Benutzern in Ihrem Netzwerk erlauben, den Auslöser „Wenn eine HTTP-Anforderung empfangen wird“ zu verwenden
  • Computern und Benutzenden in Ihrem Netzwerk den Zugriff auf Power Automate Desktop-Dienste erlauben
  • Globale Endpunkte für die Runtime von Desktop-Flows
  • Globale Endpunkte für das MSI-Installationsprogramm von Power Automate für Desktop
  • Öffentliche Endpunkte für die Desktop-Flow-Laufzeit
  • Endpunkte der US-Regierung für die Laufzeit von Desktop-Flows
  • 21Vianet-Endpunkte (China) für Desktop-Flow-Laufzeit
  • Weitere Artikel zu IP-Adressen
  • Zustellung von Genehmigungs-E-Mails
  • Azure SQL Datenbank
  • Zulassen, dass Flows Ihre Dienste aufrufen

    In den folgenden zwei Abschnitten wird die Netzwerkkonfiguration beschrieben, die notwendig ist, damit Power Automate eine Verbindung mit Diensten in Ihrem Netzwerk herstellt. Diese Konfiguration ist nur erforderlich, wenn Sie eingehende oder ausgehende IP-Adressen in Ihrem Netzwerk einschränken (z. B. durch eine Firewall).

    Konnektoraufrufe an Ihre Dienste zulassen

    Power Automate-Flows bestehen aus Aktionen. Aktionen können sowohl Connectoraktionen als auch native Aktionen wie „HTTP“ und „HTTP + Swagger“ verwenden. Damit Konnektoraktionen in Ihrem Netzwerk gehostete Dienste aufrufen können, lassen Sie Datenverkehr über das AzureConnectors-Diensttag in Ihr Netzwerk zu.

    „HTTP“- und „HTTP + Swagger“-Aufrufe an Ihre Dienste auf die Positivliste setzen

    Lassen Sie für Abläufe, die Aktionen wie „HTTP“ und „HTTP + Swagger“ umfassen, Datenverkehr von allen folgenden Diensttags zu:

    Servicetag Erforderlich?
    LogicApps Ja
    PowerPlatformPlex ja
    PowerPlatformInfra ja

    Screenshot der HTTP-Aktionen.

    Benutzenden in Ihrem Netzwerk erlauben, Power Automate zu verwenden

    Dieser Abschnitt enthält Informationen dazu, wie Sie Ihren Erstellern und Benutzern Zugriff auf die Oberflächen zum Erstellen und Verwenden in Power Automate gewähren.

    Das Power Automate-Webportal verwenden

    Das Power Automate-Webportal wird auch als Maker Portal bezeichnet.

    Die folgende Tabelle enthält die Dienste, mit denen Power Automate verbunden wird. Stellen Sie sicher, dass keiner dieser Dienste in Ihrem Netzwerk blockiert ist.

    Domänen Protokolle Verwendungen
    login.microsoft.com
    login.windows.net
    login.microsoftonline.com
    login.live.com
    secure.aadcdn.microsoftonline-p.com
    https Zugriff auf Authentifizierungs- und Autorisierungsendpunkte.
    graph.microsoft.com https Zugriff auf Microsoft Graph zum Abrufen von Benutzerinformationen z. B. einem Profilfoto.
    *.azure-apim.net https Zugriff auf die Runtime für Konnektoren.
    *.azure-apihub.net https Zugriff auf die Runtime für Konnektoren.
    *.blob.core.windows.net https Speicherort der exportierten Flows.
    *.flow.microsoft.com
    *.logic.azure.com
    https Zugriff auf die Power Automate-Website.
    *.powerautomate.com https Zugriff auf Power Automate -Site.
    *.powerapps.com https Zugriff auf die Power Apps-Website.
    *.azureedge.net https Zugriff auf Power Automate CDN (Content Delivery Network).
    *.azurefd.net https Zugriff auf Power Automate CDN (Content Delivery Network).
    *.microsoftcloud.com https Zugriff auf NPS (Net Promoter Score).
    *.ces.microsoftcloud.com
    config.centro.core.microsoft
    admin.microsoft.com
    petrol.office.microsoft.com
    oness.microsoft.com
    https Zugriff auf NPS (Net Promoter Score) und Umfragen.
    config.edge.skype.com https Featureflags für Power Automate abrufen.
    res.cdn.office.net https Stellen Sie Stockfotos zur Verwendung in Ihrer App bereit.
    webshell.suite.office.com https Zugriff auf Office in der Kopfzeile und für die Suche. Weitere Informationen finden Sie unter URLs und Bereiche von Office 365.
    *.dynamics.com https Zugriff auf Dataverse-Tabellen.
    go.microsoft.com https Zugriff auf Power Automate, um nach Updates zu suchen.
    download.microsoft.com https Zugriff auf Power Automate, um nach Updates zu suchen.
    login.partner.microsoftonline.cn https Zugriff auf Power Automate für die Desktop-Cloud-Erkennung.
    s2s.config.skype.com
    use.config.skype.com
    config.edge.skype.com
    https Zugriff auf Previewfunktionen, die über Flighting- und Konfigurationsendpunkte verwaltet werden.
    s2s.config.ecs.infra.gov.teams.microsoft.us https Zugriff auf Previewfunktionen, die über Flighting- und Konfigurationsendpunkte für die US Government-Cloud verwaltet werden.
    *.api.powerplatform.com
    *.api.powerplatformusercontent.com
    *.api.bap.microsoft.com
    *.logic.azure.com
    https Zugriff auf mehrere Power Platform APIs.
    api.bap.microsoft.com https Zugriff auf Power Platform-APIs.
    *.api.gov.powerplatform.microsoft.us
    *.gov.api.bap.microsoft.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform APIs (nur US-Regierung – GCC).
    *.api.high.powerplatform.microsoft.us
    *.high.api.bap.microsoft.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform-APIs (nur US-Regierung – GCC High).
    *.api.appsplatform.us
    *.api.bap.appsplatform.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform APIs (nur US-Regierung – DoD).
    *.api.powerplatform.partner.microsoftonline.cn
    *.api.bap.partner.microsoftonline.cn
    *.logic.azure.cn
    https Zugriff auf mehrere Power Platform-APIs (21Vianet - nur China).
    *.safelink.emails.azure.net https Links in E-Mails von Power Automate.

    Benutzenden in Ihrem Netzwerk erlauben, die mobile Power Automate-App zu verwenden

    Die folgende Tabelle enthält zusätzliche Endpunkte, die Sie benötigen, wenn Sie die mobile Power Automate-App verwenden.

    Domänen Protokolle Verwendungen
    *.events.data.microsoft.com https Senden Sie Telemetriedaten für alle Produktionsregionen und unterstützten amerikanischen Sovereign-Clouds über die mobile App.
    collector.azure.cn https Senden Sie Telemetriedaten für die Mooncake-Region über die mobile App.
    officeapps.live.com https Zugriff auf Authentifizierungs- und Autorisierungsendpunkte für die mobile App.

    Ermöglichen Sie Benutzern in Ihrem Netzwerk, den Trigger „Beim Empfang einer HTTP-Anforderung“ zu verwenden.

    Wir empfehlen, die Liste der Domänen in Power Automate-Webportal verwenden zuzulassen, um sicherzustellen, dass Ihre Erstellenden und Admins die Power Automate Dienste nutzen können. Für Kunden, die den Netzwerkdatenverkehr zur Unterstützung des When an HTTP request is received-Triggers einschränken möchten, sollten Sie die folgenden Domänen in der ausgehenden Konfiguration Ihrer Firewall zulassen.

    Domänen Protokolle Verwendungen
    *.api.powerplatform.com
    *.logic.azure.com
    https Zugriff auf mehrere Power Platform APIs.
    *.api.gov.powerplatform.microsoft.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform APIs (nur US-Regierung – GCC).
    *.api.high.powerplatform.microsoft.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform-APIs (nur US-Regierung – GCC High).
    *.api.appsplatform.us
    *.logic.azure.us
    https Zugriff auf mehrere Power Platform APIs (nur US-Regierung – DoD).
    *.api.powerplatform.partner.microsoftonline.cn
    *.logic.azure.cn
    https Zugriff auf mehrere Power Platform-APIs (21Vianet - nur China).

    Computern und Benutzenden in Ihrem Netzwerk den Zugriff auf Power Automate Desktop-Dienste erlauben

    Die folgende Tabelle enthält die Anforderungen an die Endpunktdaten für die Konnektivität vom Computer des Benutzers zur Ausführung von Desktop-Flows. Stellen Sie sicher, dass Sie globale Endpunkte und die Ihrer Cloud entsprechenden Endpunkte autorisieren.

    Globale Endpunkte für die Desktop-Flow-Laufzeit

    Domänen Protokolle Verwendungen
    server.events.data.microsoft.com https Verarbeitet Telemetrie für Benutzer außerhalb von EMEA-, US-Regierungs- und chinesischen Cloudumgebungen. Funktioniert als Fallback-Telemetrie Endpunkt.
    msedgedriver.azureedge.net
    chromedriver.storage.googleapis.com
    https Zugriff auf WebDriver-Downloader für Desktop-Flows. WebDriver wird zur Automatisierung Ihres Browsers (Microsoft Edge und Google Chrome) verwendet.

    Globale Endpunkte für das MSI-Installationsprogramm für Power Automate für Desktop

    Domänen Protokolle Verwendungen
    aka.ms https Wird verwendet, um die neueste Version des .NET 8-Installationsprogramms zu ermitteln.
    builds.dotnet.microsoft.com https Lädt die .NET 8-Runtime herunter, sofern sie nicht bereits auf dem Computer installiert ist.

    Öffentliche Endpunkte für die Desktop-Flow-Laufzeit

    Domänen Protokolle Verwendungen
    ocsp.digicert.com
    ocsp.msocsp.com
    mscrl.microsoft.com
    crl3.digicert.com
    crl4.digicert.com
    http Zugriff auf den CRL-Server für die öffentliche Cloud.
    Wird benötigt, wenn Sie eine Verbindung über das lokale Daten-Gateway herstellen.
    *.servicebus.windows.net https Hört Service Bus Relay über TCP ab.
    Wird für die Konnektivität von Computern benötigt.
    *.gateway.prod.island.powerapps.com https Wird für die Konnektivität von Computern benötigt.
    emea.events.data.microsoft.com https Verarbeitet Telemetrie für EMEA-Benutzer.
    *.api.powerplatform.com https Zugriff auf mehrere Power Platform-APIs (obligatorisch für die Nutzung von Cloud-Konnektoren in Desktop-Flows).
    *.dynamics.com https Zugriff auf Dataverse-Tabellen (obligatorisch für benutzerdefinierte Aktionen in Desktop-Flows) (auch gültig für GCC).

    Anmerkung

    Wenn Sie den öffentlichen Endpunkt *.servicebus.windows.net nicht zulassen möchten, können Sie die Liste der Namespaces einzeln zulassen. Weitere Informationen zu Endpunkten von Namespaces finden Sie unter Allowlist der Endpunkte von Namespaces, die für die Laufzeit von Desktop-Flows erforderlich sind.

    Öffentliche Endpunkte für gehostete Computer und gehostete Computergruppen

    Domänen Protokolle Verwendungen
    go.microsoft.com https Erforderlich für das Herunterladen des Installationsprogramms für Power Automate für Desktop während der Bereitstellung.
    enterpriseregistration.windows.net https Erforderlich für das Verknüpfen von Computern zu Microsoft Entra.
    device.login.microsoftonline.com https Erforderlich für das Verknüpfen von Computern zu Microsoft Entra.
    login.microsoftonline.com https Erforderlich für das Verknüpfen von Computern zu Microsoft Entra.

    Anmerkung

    Zusätzlich zu diesen Endpunkten müssen Sie alle Endpunkte konfigurieren, die in den Abschnitten desktop flows runtime and desktop MSI installers aufgeführt sind.

    US Government-Endpunkte für die Desktop-Flow-Laufzeit

    Domänen Protokolle Verwendungen
    ocsp.digicert.com
    crl3.digicert.com
    crl4.digicert.com
    http Zugriff auf den CRL-Server für die US Government-Cloud.
    Wird benötigt, wenn Sie eine Verbindung über das lokale Daten-Gateway herstellen.
    *.servicebus.usgovcloudapi.net https Hört Service Bus Relay für die US Government-Cloud ab.
    Wird für die Konnektivität von Computern benötigt.
    *.gateway.gov.island.powerapps.us https Erforderlich für Maschinenkonnektivität für die US Government-Cloud (GCC und GCCH).
    *.gateway.gov.island.appsplatform.us https Erforderlich für Maschinenkonnektivität für die US Government Cloud (DOD).
    tb.events.data.microsoft.com https Verarbeitet Telemetrie für Benutzer der US-Regierung.
    *.api.gov.powerplatform.microsoft.us https Zugriff auf mehrere Power Platform-APIs (erforderlich für die Cloud-Konnektor-Aktion in Desktop-Flows –nur US Government – GCC).
    *.api.high.powerplatform.microsoft.us https Zugriff auf mehrere Power Platform-APIs (erforderlich für die Cloud-Konnektor-Aktionen in Desktop-Flows –nur US Government – GCC High).
    *.api.appsplatform.us https Zugriff auf mehrere Power Platform-APIs (erforderlich für die Cloud-Konnektor-Aktionen in Desktop-Flows –nur US Government – DoD).
    *.microsoftdynamics.us https Zugriff auf Dataverse-Tabellen (erforderlich für benutzerdefinierte Aktionen in Desktop-Flows – nur US Government – GCC High).
    *.crm.appsplatform.us https Zugriff auf Dataverse-Tabellen (obligatorisch für benutzerdefinierte Aktionen in Desktop-Flows) (nur US Government – DoD).
    *.dynamics.com https Zugriff auf Dataverse-Tabellen (obligatorisch für benutzerdefinierte Aktionen in Desktop-Flows) (auch gültig für öffentliche Clouds).

    21Vianet-Endpunkte (China) für Desktop-Flow-Laufzeit

    Domänen Protokolle Verwendungen
    crl.digicert.cn
    ocsp.digicert.cn
    http Zugriff auf die CRL-Server für die von 21Vianet betriebene Cloud.
    Wird benötigt, wenn Sie eine Verbindung über das lokale Daten-Gateway herstellen.
    apac.events.data.microsoft.com https Verarbeitet Telemetrie für Benutzer in China.
    *.gateway.mooncake.island.powerapps.cn https Erforderlich für die Maschinenkonnektivität (nur 21Vianet – China).
    *.api.powerplatform.partner.microsoftonline.cn https Zugriff auf mehrere Power Platform-APIs (obligatorisch für die Cloud-Konnektoraktionen in Desktop-Flows) (21Vianet - nur China).
    *.dynamics.cn https Zugriff auf Dataverse-Tabellen (Funktion von DesktopFlow-Modulen)(21Vianet – nur China).
    *.api.powerautomate.cn https Zugriff auf Power Automate (21Vianet - nur in China).

    Weitere Artikel zu IP-Adressen

    Zustellung von Genehmigungs-E-Mails

    Weitere Informationen zum Routing von Genehmigungs-E-Mails finden Sie unter Informationen zur Übermittlung von Power Automate-Genehmigungs-E-Mails.

    Azure SQL-Datenbank

    Wenn Sie IP-Adressen für Ihre Azure SQL-Datenbank autorisieren müssen, verwenden Sie ausgehende IP-Adressen von Power Platform.