Sdílet prostřednictvím

Kontrola povolených aplikací v prostředí

Chraňte se před exfiltrací dat tím, že řídíte, které aplikace můžou běžet ve vašem prostředí Dataverse. Tato ochranná opatření zabraňují neoprávněnému odebrání citlivých informací a pomáhají vaší firmě udržovat kontinuitu a dodržovat předpisy.

Nakonfigurujte, které aplikace jsou ve vašem prostředí povolené nebo blokované. Tím zabráníte uživatelům se zlými úmysly používat neschválené aplikace k exportu citlivých dat.

Jak funguje řízení přístupu k aplikacím?

Řízení přístupu k aplikacím se provádí ve vrstvě ověřování Dataverse. Další informace najdete v ověřování ve službách Power Platform. Ověřování Dataverse ověřuje ID klientské aplikace v tokenu uživatele v seznamu povolených a blokovaných aplikací nakonfigurovaných pro dané prostředí. Ověřování buď udělí, nebo odepře aplikaci uživatele přístup k prostředí.

Uživatelé se můžou ověřit čtyřmi způsoby:

  • Kontext uživatele

    Uživatel se přihlásí k systému, například Dynamics 365 Sales, pomocí svých přihlašovacích údajů.

  • Kontext aplikace se zosobněním uživatele

    Uživatel se přihlásí k aplikaci Microsoft první strany. Aplikace provede volání Dataverse s tokenem aplikace představujícím uživatele. Další informace najdete v tématu Zosobnění jiného uživatele pomocí webového rozhraní API.

  • Aplikace první strany s voláním mezi službami (kontext aplikace)

    Aplikace Microsoft první strany volá Dataverse pomocí svého aplikačního tokenu. Tyto aplikace první strany jsou registrované a poskytují interní služby, jako je synchronizace e-mailů, které obvykle běží na pozadí bez jakékoli interakce uživatele.

  • Aplikace třetích stran zaregistrované v registraci aplikace portálu Azure

    Vaše vlastní aplikace se ověřuje pomocí certifikátu Azure registrace aplikace nebo tokenu uživatele.

Příklady toho, jak řízení přístupu k klientským aplikacím funguje při ověřování kontextu uživatele a aplikace :

  • Kontext uživatele s tokenem uživatele

    • U všech žádostí o tokeny uživatele ověřujeme, jestli je použité ID aplikace součástí povolených nebo blokovaných seznamů.
    • Token uživatele je také možné získat pro veřejného klienta pro aplikace první strany a partnerské aplikace.

    Poznámka:

    • Nedoporučujeme povolovat veřejného klienta, pokud to není dočasně potřeba.
    • Aplikace Dataverse 00000007-0000-0000-c000-000000000000 je automaticky povolena ve všech prostředích. Uživatelský přístup k prostředí Dataverse lze spravovat buď přiřazením příslušné uživatelské licence a/nebo přiřazením role zabezpečení Dataverse uživateli.

  • Kontext aplikace se zosobněním uživatele

  • Zosobnění pomocí aplikace první strany

    • Ve scénářích, jako je Power Automate, například použití tokenu aplikace service-to-service se zosobněním uživatele, zkontrolujeme, jestli je ID aplikace povolené nebo blokované.
    • V jiných scénářích, kdy se zosobnění uživatele nepoužívá, se v současné době neprovádějí žádná ověření tokenů mezi službami.

Řízení přístupu k klientské aplikaci se nevztahuje na následující aplikace:

Požadavky

Splňte následující předpoklady:

Ověření role

Existují dvě související role správce služeb Power Platform, které můžete přiřadit k zajištění vysoké úrovně správy:

  • Správce Power Platform
  • Správce Dynamics 365

Ověřte, zda se jedná o spravované prostředí

Vaše prostředí musí být spravované prostředí. Další informace najdete v tématu Přehled spravovaného prostředí.

Zapnutí auditování v prostředí

  1. Přihlaste se do centra pro správu Power Platform jako správce systému.
  2. V podokně navigace vyberte položku Spravovat.
  3. V podokně Spravovat vyberte Prostředí. Pak vyberte konkrétní prostředí.
  4. Na panelu příkazů vyberte Nastavení.
  5. Vyberte Audit a protokoly>Nastavení auditu.
  6. V části Auditování vyberte možnosti Spustit auditování, Zaznamenávat přístup a Číst protokoly.
  7. Zvolte Uložit.

Zobrazení seznamu aplikací v prostředí

Existuje sada aplikací, které jsou předem zaregistrované pro spuštění v prostředí Dataverse. Tento seznam aplikací se může v různých prostředích lišit. Tyto aplikace se automaticky načtou do vašeho prostředí.

Poznámka:

Následující aplikace jsou předem autorizovány Dataverse ke spuštění v prostředí:

Přidání aplikací do seznamu

Chcete-li přidat aplikaci do seznamu, proveďte následující kroky.

  1. Přihlaste se k centru pro správu Power Platform.

  2. V podokně navigace vyberte položku Spravovat.

  3. V podokně Spravovat vyberte Prostředí.

  4. Na stránce Prostředí vyberte název prostředí.

  5. Zkopírujte Adresu URL prostředí, například contoso.crm.dynamics.com.

  6. Otevřete novou kartu ve stejném prohlížeči (abyste zůstali přihlášeni) a do adresního řádku přidejte následující adresu URL. Nahraďte <EnvironmentURL> adresou URL vašeho prostředí a stiskněte klávesu Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Formulář zobrazuje seznam aplikací, které jsou načteny ve vašem prostředí.

  7. Vyberte + Nové.

  8. Zadejte ApplicationId na nové obrazovce.

  9. Zadejte Název.

  10. Zvolte Uložit.

Ze seznamu odeberte aplikace.

Odebrání aplikace ze seznamu:

  1. Vyberte aplikaci.

  2. Vyberte Odstranit.

  3. Tento postup opakujte pro každou aplikaci, kterou chcete odebrat.

    Poznámka:

    Pokud jste odebrali systémovou aplikaci, která byla předinstalovaná v prostředí, může systém aplikaci automaticky obnovit. Možná budete chtít odstranit jenom aplikace, které jste přidali.

Povolení nebo blokování aplikací

Běžně používané aplikace, které byste mohli chtít povolit

Tady jsou některé běžně používané aplikace, které je bezpečné povolit.

Identifikátor aplikace Název aplikace
07ce06e6-4ae9-4466-bca4-2984fa04d057 Úložiště souborů Microsoft Dynamics
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Služba Microsoft Dynamics NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Aplikace Microsoft Dynamics CRM pro Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Globální služba zjišťování Common Data Service
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Služba Microsoft Flow
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link pro službu Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Služba autorizace Power Platform PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database a Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA pro CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Konektor Dynamic 365 Sales Insights pro Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Klient Common Data Service datových toků Power Platform
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Insights a doporučení Data Plane Prod
Aplikace, které můžete chtít zablokovat

Tyto aplikace jsou výkonnými exportéry dat. Jejich blokováním zabráníte možné exfiltraci citlivých informací.

Identifikátor aplikace Název aplikace
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query pro Excel (desktopový klient)
d3590ed6-52b3-4102-aeff-aad2292ab01c Klient Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Zapněte režim auditování v neprovozním prostředí.
  2. Zkontrolujte protokol auditu pro aplikace, které běží v prostředí, abyste získali seznam aplikací, jejichž řízení přístupu chcete spravovat.
  3. Opakujte kroky 1 až 2 v produkčním prostředí.
  4. Potvrďte seznam aplikací, které chcete povolit ke spuštění v prostředí.

Režimy řízení přístupu k aplikacím

Existují čtyři různé režimy:

Zapnutí režimu auditu

Doporučujeme zapnout režim auditování alespoň na jeden týden, abyste získali seznam aplikací, které vaši uživatelé spouštějí v prostředí.

Pomocí tohoto seznamu protokolu auditu můžete určit, které aplikace chcete povolit nebo blokovat.

  1. Přihlaste se k centru pro správu Power Platform.
  2. V levém navigačním podokně vyberte Zabezpečení.
  3. V podokně Zabezpečení vyberte Identita a přístup.
  4. Na stránce Správa identit a přístupu vyberte Ovládací prvek přístupu k aplikaci.
  5. Vyberte prostředí, ve kterém chcete zapnout funkci řízení přístupu k aplikacím.
  6. Vyberte tlačítko Nastavit řízení přístupu k aplikacím.
  7. V rozevíracím seznamu Řízení přístupu vyberte možnost AuditMode .
  8. Vyberte aplikaci Dataverse a poté vyberte možnost Povolit umístěnou nad mřížkou.
  9. Zvolte Uložit.
  10. Znovu se zobrazí seznam prostředí. Opakujte postup pro každé prostředí, ve kterém chcete auditování zapnout. Až zapnete režim auditování pro vaše prostředí, zavřete panel.

Poznámka:

Po aktualizaci nastavení konfigurace může trvat až hodinu, než se režim auditování projeví.

V režimu auditování musíte vybrat alespoň jednu aplikaci, které povolíte přístup. Řízení přístupu k aplikacím se ale v režimu auditování nevynucuje. Zobrazí se seznam aplikací, které přistupují k prostředí bez ohledu na to, zda jim byl přístup povolen či odepřen.

Musí být povoleno nastavení auditu pro prostředí, včetně možnosti Protokolovat přístup.

Načtení seznamu protokolu auditu

  1. Přihlaste se do centra pro správu Power Platform jako správce systému.

  2. V podokně navigace vyberte položku Spravovat.

  3. V podokně Spravovat vyberte Prostředí. Pak vyberte prostředí, ve kterém jste auditování zapnuli.

  4. Vyberte Nastavení.

  5. Vyberte Audit a protokoly>Souhrnné zobrazení auditu.

  6. Výběrem možnosti Povolit/zakázat filtry zobrazíte seznam možností rozevíracího seznamu nadpisů.

  7. Vyberte šipku rozevíracího seznamu poblíž záhlaví události a pak vyhledejte a vyberte ApplicationBasedAccessDenied a ApplicationBasedAccessAllowed.

    Snímek obrazovky, který ukazuje, kde se na stránce zobrazení souhrnu auditu nachází tlačítko Povolit/zakázat filtry a zaškrtávací políčka ApplicationBasedAccessDenied a ApplicationBasedAccessAllowed.

  8. Vyberte položku OK.

    Zobrazí se filtrované audity.

Zapnutí aktivovaného režimu

Začněte blokovat neschválené aplikace a povolte pouze schválené aplikace. Můžete vybrat aplikace, které mají povolený nebo blokovaný přístup.

  1. Přihlaste se k centru pro správu Power Platform.

  2. V levém navigačním podokně vyberte Zabezpečení.

  3. V podokně Zabezpečení vyberte Identita a přístup.

  4. Na stránce Správa identit a přístupu vyberte Ovládací prvek přístupu k aplikaci.

  5. Vyberte prostředí, ve kterém chcete zapnout funkci řízení přístupu k aplikacím.

  6. Vyberte tlačítko Nastavit řízení přístupu k aplikacím.

  7. Vyberte Aktivováno v rozevíracím seznamu Řízení přístupu.

  8. Vyberte aplikaci Dataverse a poté vyberte jednu z těchto možností umístěnou nad mřížkou:

    • Povolit pro povolení přístupu k aplikaci.
    • Blokovat, chcete-li odepřít přístup k aplikaci.

  9. Zvolte Uložit.

  10. Znovu se zobrazí seznam prostředí. Opakujte postup pro každé prostředí, ve kterém chcete začít blokovat aplikace a povolit schválené aplikace. Až budete hotovi, panel zavřete.

    Poznámka:

    Aktivovaný režim se může projevit až hodinu po aktualizaci nastavení konfigurace.

Zapnutí aktivovaného režimu pro režim rolí

Začněte blokovat neschválené aplikace a povolte pouze schválené aplikace. Aplikacím, které mají povolený přístup, můžete přiřadit role zabezpečení a omezit, kdo může tyto aplikace v prostředí spouštět. Aplikace můžou spouštět jenom uživatelé s přiřazenou vybranou rolí zabezpečení.

  1. Přihlaste se k centru pro správu Power Platform.
  2. V levém navigačním podokně vyberte Zabezpečení.
  3. V podokně Zabezpečení vyberte Identita a přístup.
  4. Na stránce Správa identit a přístupu vyberte Ovládací prvek přístupu k aplikaci.
  5. Vyberte prostředí, ve kterém chcete zapnout funkci řízení přístupu k aplikacím.
  6. Vyberte tlačítko Nastavit řízení přístupu k aplikacím.
  7. Vyberte Aktivováno pro role v rozevíracím seznamu Řízení přístupu.
  8. Jakmile je vaše aplikace vybraná, vyberte možnost Spravovat role zabezpečení umístěnou nad mřížkou.
  9. Vyberte jednu nebo více požadovaných rolí zabezpečení.
  10. Zvolte Uložit.
  11. Zobrazí se okno s výzvou k potvrzení rolí, které jste vybrali. Zvolte Uložit.
  12. Znovu se zobrazí se seznam aplikací. Zvolte Uložit.
  13. Znovu se zobrazí seznam prostředí. Opakujte postup pro každé prostředí, kam chcete přiřadit role zabezpečení. Až budete hotovi, panel zavřete.

Poznámka:

Po aktualizaci nastavení konfigurace může trvat až hodinu, než se režim povolených rolí projeví.

Vypnutí funkce řízení přístupu k aplikacím

Vypnutím funkce řízení přístupu k aplikacím odstraníte omezení aplikací spuštěných v prostředí.

  1. Přihlaste se k centru pro správu Power Platform.
  2. V levém navigačním podokně vyberte Zabezpečení.
  3. V podokně Zabezpečení vyberte Identita a přístup.
  4. Na stránce Správa identit a přístupu vyberte Ovládací prvek přístupu k aplikaci.
  5. Vyberte prostředí, ve kterém chcete zapnout funkci řízení přístupu k aplikacím.
  6. Vyberte tlačítko Nastavit řízení přístupu k aplikacím.
  7. Vyberte Deaktivováno v rozevíracím seznamu Řízení přístupu.
  8. Zvolte Uložit.
  9. Znovu se zobrazí seznam prostředí. Opakujte postup pro každé prostředí, ve kterém chcete funkci vypnout. Až budete hotovi, panel zavřete.

Poznámka:

Pokud u některých aplikací nastavíte Povolené nebo Blokované, nemusíte toto nastavení odstraňovat, když je funkce řízení přístupu k aplikacím vypnutá na Zakázáno. V tomto prostředí neexistují žádná omezení aplikací.

Chyba: Přístup aplikace uživateli byl odepřen

Uživatelům se zobrazí následující chybová zpráva, pokud se pokusí spustit aplikaci, která není povolena:

Přístup k rozhraní API Dataverse pro toto ID aplikace je omezený.

Běžně používané služby Microsoft a portálové aplikace

Následující aplikace jsou vlastní služby Microsoft. Tento seznam aplikací se může lišit v závislosti na tom, jaké typy prostředí máte a jaká řešení jsou nainstalována. Tyto aplikace jsou automaticky povoleny ve všech prostředích, kde existují. Pokud chcete uživatelům zablokovat používání těchto aplikací, můžete buď odebrat požadovanou uživatelskou licenci, nebo odebrat jejich Dataverse přiřazení role zabezpečení. Například k použití Power Apps Maker Portal musí mít tvůrce přiřazenou roli zabezpečení Tvůrce prostředí, Úpravce systému nebo Správce systému.

Identifikátor aplikace Název aplikace
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Portál Microsoft Flow DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Klient PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilot pro Finance
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Související obsah

  • Last updated on