Comparteix via

Controlar quines aplicacions es permeten al vostre entorn

Protegeix-te contra l'exfiltració de dades controlant quines aplicacions es poden executar al teu Dataverse entorn. Aquestes mesures eviten l'eliminació no autoritzada d'informació sensible, ajudant la vostra empresa a mantenir la continuïtat i complir la normativa.

Configureu quines aplicacions estan permeses o bloquejades al vostre entorn. Això impedeix que els usuaris maliciosos utilitzin aplicacions no aprovades per exportar dades sensibles.

Com funciona el control d'accés a les aplicacions?

El control d'accés a l'aplicació es realitza a la capa d'autenticació Dataverse . Obteniu més informació a Autenticació als Power Platform serveis. Dataverse L'autenticació valida l'identificador de l'aplicació client al testimoni de l'usuari amb una llista d'aplicacions permeses i bloquejades configurades per a l'entorn. L'autenticació concedeix o denega l'accés de l'aplicació de l'usuari a l'entorn.

Els usuaris poden autenticar-se de quatre maneres:

  • Context d'usuari

    L'usuari inicia la sessió al sistema, com ara el Dynamics 365 Sales, amb les seves credencials.

  • Context de l'aplicació amb suplantació d'usuari

    L'usuari inicia la sessió en una aplicació de Microsoft pròpia. L'aplicació fa una crida amb Dataverse el seu testimoni d'aplicació que representa l'usuari. Obteniu més informació a Suplantar la identitat d'un altre usuari mitjançant l'API web.

  • Aplicació pròpia amb trucada de servei a servei (context d'aplicació)

    Una aplicació pròpia de Microsoft fa una trucada per Dataverse utilitzar el seu testimoni d'aplicació. Aquestes aplicacions pròpies estan registrades i proporcionen serveis interns, com ara la sincronització de correu electrònic, que normalment s'executen en segon pla sense cap interacció de l'usuari.

  • Aplicacions de tercers registrades al registre d'aplicacions del portal de l'Azure

    L'aplicació personalitzada s'autentica mitjançant el certificat o el testimoni d'usuari del registre de l'aplicació de l'Azure.

Exemples de com funciona el control d'accés a l'aplicació client a l'autenticació de context d'usuari i aplicació :

  • Context d'usuari amb testimoni d'usuari

    • Per a totes les sol·licituds de testimoni d'usuari, validem si l'ID d'aplicació utilitzat forma part de llistes permeses o bloquejades.
    • També es pot obtenir un testimoni d'usuari per a un client públic per a aplicacions pròpies i associades.

    Nota

    • No recomanem permetre un client públic tret que sigui necessari temporalment.
    • L'aplicació 00000007-0000-0000-c000-000000000000 Dataverse es permet automàticament en tots els entorns. L'accés de l'usuari a l'entorn Dataverse es pot gestionar assignant la llicència d'usuari adequada i/o assignant una Dataverse funció de seguretat a l'usuari.

  • Context de l'aplicació amb suplantació d'usuari

  • Suplantació d'identitat amb una aplicació pròpia

    • En escenaris com Power Automate ara quan s'utilitza un testimoni d'aplicació de servei a servei amb la suplantació d'usuari, comprovem si l'ID de l'aplicació està permès o bloquejat.
    • Per a altres escenaris en què no s'utilitza la suplantació d'usuari, actualment no es realitzen validacions per als testimonis de servei a servei.

El control d'accés a l'aplicació client no s'aplica a les aplicacions següents:

Requisits previs

Completeu els requisits previs següents:

Verificar la funció

Hi ha dues Power Platform funcions d'administrador de serveis relacionades que podeu assignar per proporcionar un alt nivell de gestió d'administradors:

  • Administrador del Power Platform
  • Administrador del Dynamics 365

Verifiqueu que l'entorn sigui un entorn gestionat

El vostre entorn ha de ser un entorn gestionat. Obteniu més informació a Informació general de l'entorngestionat.

Activar l'auditoria a l'entorn

  1. Inicieu la sessió al Centre Power Platform d'administració com a administrador del sistema.
  2. A la subfinestra de navegació, seleccioneu Administra.
  3. A la subfinestra Administra , seleccioneu Entorns. A continuació, seleccioneu el vostre entorn específic.
  4. Seleccioneu Configuració a la barra d'ordres.
  5. Seleccioneu Auditoria i registra>la configuració d'auditoria.
  6. A la secció Auditoria , seleccioneu les opcions Inicia l'auditoria, Accés als registres i Llegeix els registres .
  7. Seleccioneu Desa.

Revisar la llista d'aplicacions a l'entorn

Hi ha un conjunt d'aplicacions que estan preregistrades per executar-se en un Dataverse entorn. Aquesta llista d'aplicacions pot ser diferent entre diferents entorns. Aquestes aplicacions es carreguen automàticament al vostre entorn.

Nota

Les aplicacions següents estan preautoritzades per executar-se en un Dataverse entorn:

Afegir aplicacions a la llista

Per afegir una aplicació a la llista completant els passos següents.

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. A la subfinestra de navegació, seleccioneu Administra.

  3. A la subfinestra Administra , seleccioneu Entorns.

  4. A la pàgina Entorns , seleccioneu el nom d'un entorn.

  5. Copieu l'URL de l'entorn , com ara . contoso.crm.dynamics.com

  6. Obriu una pestanya nova al mateix navegador (per mantenir la connessió) i afegiu l'URL següent a la barra d'adreces. Substituïu-lo <EnvironmentURL> per l'URL de l'entorn i premeu Retorn.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    El formulari mostra la llista d'aplicacions que es carreguen al vostre entorn.

  7. Seleccioneu + Crea.

  8. A la pantalla nova, introduïu un ApplicationId.

  9. Introduïu un nom.

  10. Seleccioneu Desa.

Suprimir aplicacions de la llista

Per suprimir una aplicació de la llista:

  1. Seleccioneu una aplicació.

  2. Seleccioneu Suprimeix.

  3. Repetiu aquest procediment per a cada aplicació que vulgueu suprimir.

    Nota

    Si heu suprimit una aplicació del sistema que s'havia carregat prèviament a l'entorn, el sistema la pot restaurar automàticament. És possible que vulgueu suprimir només les aplicacions que hàgiu afegit.

Permetre o bloquejar aplicacions

Aplicacions d'ús habitual que potser voldreu permetre

Aquí teniu algunes aplicacions d'ús habitual que són segures de permetre.

Identificador d'aplicació Nom de l'aplicació
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics Emmagatzematge de fitxers
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics Servei NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics Aplicació CRM per a l'Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Servei de descobriment global
730d33da-0894-409f-a907-c577151719c5 Flux-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow Servei
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 PRESES PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Servei d'autorització PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database i Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA per a CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Connector del Dynamic 365 Sales Insights per a Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorAlemanya
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Power Platform Client de fluxos Common Data Service de dades
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Informació i recomanacions Data Plane Prod
Aplicacions que potser vulguis bloquejar

Aquestes aplicacions són potents exportadores de dades. Bloquejar-los evita la possible exfiltració de dades d'informació sensible.

Identificador d'aplicació Nom de l'aplicació
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query per a Excel (client d'escriptori)
d3590ed6-52b3-4102-aeff-aad2292ab01c Client del Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Activeu el mode d'auditoria a l'entorn que no és de producció.
  2. Reviseu el registre d'auditoria de les aplicacions que s'executen a l'entorn per obtenir la llista d'aplicacions el control d'accés de les quals voleu administrar.
  3. Repetiu els passos 1-2 a l'entorn de producció.
  4. Confirmeu la llista d'aplicacions que voleu permetre que s'executin a l'entorn.

Modes de control d'accés a les aplicacions

Hi ha quatre modes diferents:

Activar el mode d'auditoria

Us recomanem que activeu el mode d'auditoria, com a mínim durant una setmana, per obtenir la llista d'aplicacions que els usuaris estan executant en un entorn.

Amb aquesta llista de registres d'auditoria, podeu determinar quines aplicacions voleu permetre o bloquejar.

  1. Inicieu la sessió al Centre d'administració del Power Platform.
  2. A la subfinestra de navegació, seleccioneu Seguretat.
  3. A la subfinestra Seguretat , seleccioneu Identitat i accés.
  4. A la pàgina Administració d'identitats i accessos, seleccioneu Control d'accés a l'aplicació
  5. Seleccioneu l'entorn on voleu activar la funció de control d'accés a l'aplicació.
  6. Seleccioneu el botó Configura el control d'accés a l'aplicació .
  7. Seleccioneu l'opció AuditMode a la llista desplegable Control d'accés .
  8. Seleccioneu una Dataverse aplicació i, a continuació, seleccioneu l'opció Permetre situada a sobre de la quadrícula.
  9. Seleccioneu Desa.
  10. La llista d'entorns es torna a mostrar. Repetiu el procediment per a cada entorn on vulgueu activar l'auditoria. Tanqueu el tauler quan hàgiu acabat d'activar el mode d'auditoria per als vostres entorns.

Nota

El mode d'auditoria pot tardar fins a una hora a tenir efecte, després d'actualitzar els paràmetres de configuració.

En mode d'auditoria, heu de seleccionar almenys una aplicació per permetre l'accés. Tanmateix, el control d'accés a l'aplicació no s'aplica en mode d'auditoria. Obteniu una llista d'aplicacions que accedeixen a l'entorn, tant si se'ls permet com si no l'accés.

S'ha de permetre la configuració d'auditoria d'un entorn, inclosa l'opció Accés al registre .

Recuperar la llista de registres d'auditoria

  1. Inicieu sessió al Centre Power Platform d'administració com a administrador del sistema.

  2. A la subfinestra de navegació, seleccioneu Administra.

  3. A la subfinestra Administra , seleccioneu Entorns. A continuació, seleccioneu un entorn on hàgiu activat l'auditoria.

  4. Seleccioneu Configuració.

  5. Seleccioneu Auditoria i registres>Visualització de resum d'auditoria.

  6. Seleccioneu Activa/Desactiva els filtres per revisar una llista de capacitats desplegables d'encapçalament.

  7. Seleccioneu la fletxa desplegable a prop de la capçalera Esdeveniment i, a continuació, cerqueu i seleccioneu ApplicationBasedAccessDenied i ApplicationBasedAccessAllowed.

    Captura de pantalla que mostra on es troben el botó Activa/Inhabilita els filtres i les caselles de selecció ApplicationBasedAccessDenied i ApplicationBasedAccessAllowed a la pàgina de visualització de resum d'auditoria.

  8. Seleccioneu D'acord.

    Es mostren les auditories filtrades.

Activar el mode activat

Comenceu a bloquejar les aplicacions bloquejades i permeteu només les aplicacions aprovades. Podeu seleccionar aplicacions per tenir accés permès o bloquejat .

  1. Inicieu la sessió al Centre d'administració del Power Platform.

  2. A la subfinestra de navegació, seleccioneu Seguretat.

  3. A la subfinestra Seguretat , seleccioneu Identitat i accés.

  4. A la pàgina Administració d'identitats i accessos, seleccioneu Control d'accés a l'aplicació.

  5. Seleccioneu l'entorn on voleu activar la funció de control d'accés a l'aplicació.

  6. Seleccioneu el botó Configura el control d'accés a l'aplicació .

  7. Seleccioneu Activat a la llista desplegable Control d'accés.

  8. Seleccioneu una Dataverse aplicació i, a continuació, seleccioneu una d'aquestes opcions, situada a sobre de la quadrícula:

    • Permet permetre l'accés a l'aplicació.
    • Bloqueja per denegar l'accés a l'aplicació.

  9. Seleccioneu Desa.

  10. La llista d'entorns es torna a mostrar. Repetiu el procediment per a cada entorn en què vulgueu començar a bloquejar les aplicacions bloquejades i permetre les aplicacions aprovades. Tanqueu el tauler quan hàgiu acabat.

    Nota

    El mode activat pot tardar fins a una hora a tenir efecte, després d'actualitzar els paràmetres de configuració.

Activar el mode activat per a funcions

Comenceu a bloquejar les aplicacions bloquejades i permeteu només les aplicacions aprovades. Per a les aplicacions a les quals se'ls permet l'accés, podeu assignar funcions de seguretat per restringir qui pot executar aquestes aplicacions a l'entorn. Només els usuaris assignats amb una funció de seguretat seleccionada poden executar les aplicacions.

  1. Inicieu la sessió al Centre d'administració del Power Platform.
  2. A la subfinestra de navegació, seleccioneu Seguretat.
  3. A la subfinestra Seguretat , seleccioneu Identitat i accés.
  4. A la pàgina Administració d'identitats i accessos, seleccioneu Control d'accés a l'aplicació.
  5. Seleccioneu l'entorn on voleu activar la funció de control d'accés a l'aplicació.
  6. Seleccioneu el botó Configura el control d'accés a l'aplicació .
  7. Seleccioneu Habilitat per a funcions a la llista desplegable Control d'accés .
  8. Un cop seleccionada l'aplicació, seleccioneu l'opció Administra les funcions de seguretat situada a sobre de la quadrícula.
  9. Seleccioneu una o més funcions de seguretat desitjades.
  10. Seleccioneu Desa.
  11. Apareixerà una finestra que us demanarà que confirmeu les funcions que heu seleccionat. Seleccioneu Desa.
  12. Es torna a mostrar la llista d'aplicacions. Seleccioneu Desa.
  13. La llista d'entorns es torna a mostrar. Repetiu el procediment per a cada entorn on vulgueu assignar funcions de seguretat. Tanqueu el tauler quan hàgiu acabat.

Nota

El mode activat per a funcions pot tardar fins a una hora a tenir efecte, després d'actualitzar els paràmetres de configuració.

Desactivar la funció de control d'accés a l'aplicació

Desactiva la funció de control d'accés a les apps per eliminar les restriccions de les apps que s'executen en un entorn.

  1. Inicieu la sessió al Centre d'administració del Power Platform.
  2. A la subfinestra de navegació, seleccioneu Seguretat.
  3. A la subfinestra Seguretat , seleccioneu Identitat i accés.
  4. A la pàgina Administració d'identitats i accessos, seleccioneu Control d'accés a l'aplicació.
  5. Seleccioneu l'entorn on voleu activar la funció de control d'accés a l'aplicació.
  6. Seleccioneu el botó Configura el control d'accés a l'aplicació .
  7. Seleccioneu Desactivat a la llista desplegable Control d'accés .
  8. Seleccioneu Desa.
  9. La llista d'entorns es torna a mostrar. Repetiu el procediment per a cada entorn on vulgueu desactivar la funció. Tanqueu el tauler quan hàgiu acabat.

Nota

Si defineixes algunes aplicacions com a Permeses o Bloquejades, no cal que suprimeixis la configuració quan la funció de control d'accés a les apps estigui desactivada com a Desactivada. No hi ha restriccions d'aplicacions en aquest entorn.

Missatge d'error: error d'usuari denegat de l'aplicació

Els usuaris reben el missatge d'error següent si intenten executar una aplicació no permesa:

L'accés a l'API Dataverse està restringit per a aquest identificador d'aplicació.

Serveis propis de Microsoft i aplicacions de portal d'ús habitual

Les aplicacions següents són serveis propis de Microsoft. Aquesta llista d'aplicacions pot ser diferent segons els tipus d'entorn que tingueu i quines solucions s'instal·len. Aquestes aplicacions es permeten automàticament en tots els entorns on existeixen. Per impedir que els usuaris utilitzin aquestes aplicacions, podeu suprimir la llicència d'usuari necessària o suprimir l'assignació de Dataverse funcions de seguretat. Per exemple, per utilitzar el portal Power Apps de fabricants, el creador ha de tenir assignada una funció de seguretat de creador d'entorns, personalitzador del sistema o administrador del sistema.

Identificador d'aplicació Nom de l'aplicació
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Portal del Microsoft Flow GCC Alt
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Client del PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilot financer
a59cef1e-2e32-4703-8dab-810d9807efeb CCIBOTS
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Contingut relacionat

  • Last updated on