Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Защитете се от изтичане на данни, като контролирате кои приложения могат да се изпълняват във вашата Dataverse среда. Тези предпазни мерки предотвратяват неоторизирано премахване на чувствителна информация, като помагат на вашия бизнес да поддържа непрекъснатост и да спазва разпоредбите.
Конфигурирайте кои приложения са разрешени или блокирани във вашата среда. Това не позволява на злонамерените потребители да използват неодобрени приложения за експортиране на поверителни данни.
Как работи контролът на достъпа до приложенията?
Контролът на достъпа до приложението се извършва на слоя за Dataverse удостоверяване. Научете повече в Удостоверяване на Power Platform услуги. Dataverse Удостоверяването проверява ИД на клиентското приложение в маркера на потребителя спрямо списък с разрешени и блокирани приложения, конфигурирани за средата. Удостоверяването или предоставя, или отказва достъп на приложението на потребителя до средата.
Потребителите могат да се удостоверяват по четири начина:
Потребителски контекст
Потребителят влиза в системата, като например Dynamics 365 Sales, със своите идентификационни данни.
Контекст на приложението с представяне под чужда самоличност
Потребителят влиза в приложение Microsoft на първа страна. Приложението се обажда с Dataverse токена на приложението, представляващ потребителя. Научете повече в Представяне за друг потребител с помощта на уеб API.
Приложение на първа страна с повикване от услуга към услуга (контекст на приложението)
Приложение Microsoft на първа страна се обажда за Dataverse използване на своя токен за приложение. Тези приложения на първи страни са регистрирани и предоставят вътрешни услуги, като синхронизиране на имейли, които обикновено работят във фонов режим без никакво взаимодействие с потребителя.
Приложения на трети страни, регистрирани в регистрацията на приложението на вашия портал на Azure
Вашето персонализирано приложение се удостоверява с помощта на сертификата или потребителския маркер за регистрация на вашето приложение в Azure.
Примери за това как работи контролът на достъпа до клиентско приложение при удостоверяване на потребителя и контекста на приложението :
Потребителски контекст с потребителски маркер
- За всички заявки за потребителски маркери проверяваме дали използваният ИД на приложение е част от разрешени или блокирани списъци.
- Потребителски маркер може да бъде получен и за публичен клиент за приложения на първа страна ипартньори.
Бележка
- Не препоръчваме да допускате публичен клиент, освен ако не е необходимо временно.
- Приложението 00000007-0000-0000-c000-000000000000 Dataverse е автоматично разрешено във всички среди. Достъпът Dataverse на потребителя до средата може да се управлява чрез присвояване на съответния потребителски лиценз и/или присвояване Dataverse на права за достъп на потребителя.
Контекст на приложението с представяне под чужда самоличност
Представяне под чужда самоличност чрез приложение на първа страна
- В сценарии като Power Automate, когато се използва маркер на приложение от услуга към услуга с представяне под чужда самоличност, проверяваме дали идентификаторът на приложението е разрешен или блокиран.
- За други сценарии, при които не се използва въплъщение за потребител, понастоящем не се извършват проверки за маркери от услуга към услуга.
Контролът на достъпа до клиентски приложения не се прилага за следните приложения:
Приложения на първи страни с обаждания от услуга към услуга (контекст на приложението)
Научете повече в Често използвани Microsoft услуги на първи страни и приложения за портали.
Партньорски приложения с обаждания между услуги
За да блокирате тези приложения, направете ги неактивни или ги изтрийте от средата в центъра за Power Platform администриране. Научете повече в Управление на потребители на приложения в центъра Power Platform за администриране.
Предварителни изисквания
Изпълнете следните предпоставки:
Потвърждаване на вашата роля
Има две Power Platform свързани роли на администратор на услуги, които можете да присвоите, за да осигурите високо ниво на управление на администратора:
- Администратор на Power Platform
- Администриране на Dynamics 365
Проверете дали вашата среда е управлявана среда
Вашата среда трябва да бъде управлявана среда. Научете повече в Общ преглед на управляваната среда.
Включете одита в средата
- Влезте в центъра Power Platform за администриране като системен администратор.
- В навигационния екран изберете Управление.
- В екрана Управление изберете Среди. След това изберете вашата конкретна среда.
- Изберете Настройки в командната лента.
- Изберете Проверка и регистрира>настройките за проверка.
- В секцията Проверка изберете опциите Стартиране на проверка,Достъп до регистрационни файлове и Четене на регистрационни файлове.
- Изберете Запиши.
Преглед на списъка с приложения в средата
Има набор от приложения, които са предварително регистрирани за изпълнение в Dataverse среда. Този списък с приложения може да се различава в различните среди. Тези приложения се зареждат автоматично във вашата среда.
Бележка
Следните приложения са предварително упълномощени да се изпълняват в среда Dataverse :
- Всички приложения на Microsoft, които са предварително упълномощени да придобиват маркери от името на Of. Научете повече в платформата за самоличност на Microsoft и потока OAuth2.0 On-Behalf-Of.
- Приложения за потребители на приложението. Научете повече в Специални потребители на системата и потребители на приложения.
- Всички наследени приложения, които могат динамично да придобиват токени от името на Of.
- Всички приложения с привилегия prvActOnBehalfOfAnotherUser и тези, които използват заглавки, за да се представят за потребители. Научете повече в Представяне за друг потребител.
Добавяне на приложения към списъка
За да добавите приложение към списъка, като изпълните следните стъпки.
В навигационния екран изберете Управление.
В екрана Управление изберете Среди.
На страницата Среди изберете името на среда.
Копирайте URL адреса на средата, като например
contoso.crm.dynamics.com.Отворете нов раздел в същия браузър (за да останете влезли) и добавете следния URL адрес към адресната лента. Заменете
<EnvironmentURL>с URL адреса на средата и след това натиснете Enter.https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039Формулярът показва списъка с приложения, които се зареждат във вашата среда.
Изберете + Нов.
На новия екран въведете ApplicationId.
Въведете име.
Изберете Запиши.
Премахване на приложения от списъка
За да премахнете приложение от списъка:
Избор на приложение.
Изберете Изтриване.
Повторете тази процедура за всяко приложение, което искате да премахнете.
Бележка
Ако сте премахнали системно приложение, което е било предварително заредено в средата, то може автоматично да бъде възстановено от системата. Добре е да изтриете само приложенията, които сте добавили.
Разрешаване или блокиране на приложения
Често използвани приложения, които може да искате да разрешите
Ето някои често използвани приложения, които са безопасни за разрешаване.
| ИД на приложение | Име на приложението |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Microsoft Dynamics Съхранение на файлове |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsИнтеграция |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Microsoft Dynamics Услуга NRD |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Обща услуга за данни - Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | Динамичен инсталатор |
| 60216f25-dbae-452b-83ae-6224158ce95e | Microsoft Dynamics CRM приложение за Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Dynamics 365 Analytics |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Common Data Service Глобална услуга за откриване |
| 730d33da-0894-409f-a907-c577151719c5 | Поток-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Microsoft Flow Услуга |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Azure Synapse Link for Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | ЯЗОВИРИ PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Power Platform Услуга за оторизация PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Azure SQL база данни и склад за данни |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA за CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Dynamic 365 Sales Insights Connector за Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | Работни местаСервизПрод |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Power Platform Клиент на потоци Common Data Service от данни |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Power Platform Прозрения и препоръки Data Plane Prod |
Приложения, които може да искате да блокирате
Тези приложения са мощни износители на данни. Блокирането им предотвратява евентуално изтичане на данни на чувствителна информация.
| ИД на приложение | Име на приложението |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query за Excel (настолен клиент) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Клиент на Microsoft Access |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
Препоръчителни стъпки
- Включете режима на проверка във вашата непроизводствена среда.
- Прегледайте регистрационния файл за проверка за приложенията, които се изпълняват в средата, за да получите списъка с приложения, чийто контрол на достъпа искате да управлявате.
- Повторете стъпки 1-2 във вашата производствена среда.
- Потвърдете списъка с приложения, които искате да разрешите да се изпълняват в средата.
Режими на контрол на достъпа до приложения
Има четири различни режима:
- Включване на режима на проверка
- Включване на активиран режим
- Включване на активиран режим на роли
- Изключване на достъпа до приложения
Включване на режима на проверка
Препоръчваме ви да включите режима на проверка за поне една седмица, за да получите списъка с приложенията, които вашите потребители изпълняват в дадена среда.
С помощта на този списък с регистрационни файлове за проверка можете да определите кои приложения искате да разрешите или блокирате.
- Влезте в центъра за администриране на Power Platform.
- В навигационния екран изберете Защита.
- В екрана Защита изберете Самоличност и достъп.
- в страницата Управление на самоличността и достъпа изберете Контрол на достъпа до приложения
- Изберете средата, в която искате да включите функцията за контрол на достъпа до приложения.
- Изберете бутона Настройване на контрол на достъпа до приложението.
- Изберете опцията AuditMode в падащия списък Контрол на достъпа.
- Изберете Dataverse приложение, след което изберете опцията Разрешаване , разположена над мрежата.
- Изберете Запиши.
- Списъкът със средата се показва отново. Повторете процедурата за всяка среда, в която искате да включите проверката. Затворете панела, когато приключите с включването на режима на проверка за вашите среди.
Бележка
Режимът на проверка може да отнеме до час, за да влезе в сила, след като актуализирате настройките за конфигурация.
В режим на проверка трябва да изберете поне едно приложение, за да разрешите достъп. Контролът на достъпа до приложения обаче не се прилага в режим на проверка. Получавате списък с приложения, които имат достъп до средата, независимо дали им е разрешен или е отказан достъп.
Настройките за проверка за среда трябва да бъдат разрешени, включително опцията за достъп до регистрационни файлове.
Извличане на вашия списък с регистрационни файлове за проверка
Влезте в центъра Power Platform за администриране като системен администратор.
В навигационния екран изберете Управление.
В екрана Управление изберете Среди. След това изберете среда, в която сте включили проверката.
Изберете Настройки.
Изберете Проверка и регистрационни>файлове Изглед на резюме на проверката.
Изберете Активиране/деактивиране на филтри , за да прегледате списък с възможности за падащо меню на заглавия.
Изберете стрелката на падащото меню близо до заглавието Събитие , след което намерете и изберете ApplicationBasedAccessDenied и ApplicationBasedAccessAllowed.
Изберете OK.
Показват се филтрираните ви одити.
Включване на активиран режим
Започнете да блокирате приложения, които са блокирани, и разрешавайте само одобрени приложения. Можете да изберете приложения, които да имат разрешен или блокиран достъп.
В навигационния екран изберете Защита.
В екрана Защита изберете Самоличност и достъп.
На страницата Управление на самоличността и достъпа изберете Контрол на достъпа до приложения.
Изберете средата, в която искате да включите функцията за контрол на достъпа до приложения.
Изберете бутона Настройване на контрол на достъпа до приложението.
Изберете Разрешено в падащия списък Контрол на достъпа.
Изберете Dataverse приложение, след което изберете една от тези опции, разположени над мрежата:
- Разрешаване на достъп до приложението.
- Блокиране , за да се откаже достъп до приложението.
Изберете Запиши.
Списъкът със средата се показва отново. Повторете процедурата за всяка среда, в която искате да започнете да блокирате приложения, които са блокирани, и да разрешите одобрени приложения. Затворете панела, когато сте готови.
Бележка
Активираният режим може да отнеме до час, за да влезе в сила, след като актуализирате настройките за конфигурация.
Включване на активиран режим на роли
Започнете да блокирате приложения, които са блокирани, и разрешавайте само одобрени приложения. За приложения, които имат разрешен достъп, можете да зададете права за достъп, за да ограничите кой може да изпълнява тези приложения в средата. Само потребители, на които е присвоено избрано право за достъп, могат да изпълняват приложенията.
- Влезте в центъра за администриране на Power Platform.
- В навигационния екран изберете Защита.
- В екрана Защита изберете Самоличност и достъп.
- На страницата Управление на самоличността и достъпа изберете Контрол на достъпа до приложения.
- Изберете средата, в която искате да включите функцията за контрол на достъпа до приложения.
- Изберете бутона Настройване на контрол на достъпа до приложението.
- Изберете Разрешено за роли в падащия списък Контрол на достъпа.
- След като приложението ви бъде избрано, изберете опцията Управление на права за достъп , разположена над мрежата.
- Изберете една или повече желани права за достъп.
- Изберете Запиши.
- Появява се прозорец с молба да потвърдите избраните от вас роли. Изберете Запиши.
- Списъкът с приложения се показва отново. Изберете Запиши.
- Списъкът със средата се показва отново. Повторете процедурата за всяка среда, в която искате да присвоите права за достъп. Затворете панела, когато сте готови.
Бележка
Режимът на активирани роли може да отнеме до един час, за да влезе в сила, след като актуализирате настройките за конфигурация.
Изключване на функцията за контрол на достъпа до приложения
Изключете функцията за контрол на достъпа до приложения, за да премахнете ограниченията за приложенията, работещи в среда.
- Влезте в центъра за администриране на Power Platform.
- В навигационния екран изберете Защита.
- В екрана Защита изберете Самоличност и достъп.
- На страницата Управление на самоличността и достъпа изберете Контрол на достъпа до приложения.
- Изберете средата, в която искате да включите функцията за контрол на достъпа до приложения.
- Изберете бутона Настройване на контрол на достъпа до приложението.
- Изберете Забранено в падащия списък Контрол на достъпа.
- Изберете Запиши.
- Списъкът със средата се показва отново. Повторете процедурата за всяка среда, в която искате да изключите функцията. Затворете панела, когато сте готови.
Бележка
Ако зададете някои приложения на Разрешено или Блокирано, не е необходимо да премахвате настройката, когато функцията за контрол на достъпа до приложения е изключена на Деактивирано. В тази среда няма ограничения за приложенията.
Съобщение за грешка: Грешка на потребителя с отказано приложение
Потребителите получават следното съобщение за грешка, ако се опитат да стартират приложение, което не е разрешено:
Достъпът Dataverse до API е ограничен за този идентификатор на приложението.
Често използвани Microsoft услуги на първи страни и портални приложения
Следните приложения са услуги на Microsoft от първа страна. Този списък с приложения може да бъде различен в зависимост от това какви типове среда имате и какви решения са инсталирани. Тези приложения са автоматично разрешени във всички среди, където съществуват. За да блокирате потребителите си да използват тези приложения, можете да премахнете необходимия потребителски лиценз или да премахнете присвояването на права за достъп. Dataverse Например, за да използвате портала Power Apps насъздателя, на производителя трябва да бъде присвоена права за достъп на създател на среда, персонализатор на системата или системен администратор.
| ИД на приложение | Име на приложението |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Microsoft Flow Портално министерство на отбраната |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft Flow Портал GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | Клиент на PowerPlatformAdminCenter |
| 065d9450-1e87-434e-ac2f-69af271549ed | Център за администриране на PowerPlatformAdmin |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | Финансов втори пилот |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |