Keskkonnas lubatud rakenduste haldamine

Kaitske andmete väljafiltreerimise eest, kontrollides, millised rakendused saavad teie Dataverse keskkonnas töötada. Need kaitsemeetmed takistavad tundliku teabe volitamata eemaldamist, aidates teie ettevõttel säilitada järjepidevust ja järgida eeskirju.

Konfigureerige, millised rakendused on teie keskkonnas lubatud või blokeeritud. See takistab pahatahtlikel kasutajatel kasutada delikaatsete andmete eksportimiseks heakskiitmata rakendusi.

Kuidas rakenduse juurdepääsu reguleerimine töötab?

Rakenduse juurdepääsu reguleerimine toimub Dataverse autentimiskihis. Lisateavet leiate teemast Teenuste autentimine Power Platform . Dataverse autentimine valideerib kasutaja loas oleva kliendirakenduse ID keskkonna jaoks konfigureeritud lubatud ja blokeeritud rakenduste loendi alusel. Autentimine kas annab või keelab kasutaja rakenduse juurdepääsu keskkonnale.

Kasutajad saavad autentida neljal viisil.

• Kasutaja kontekst

  Kasutaja logib süsteemi (nt Dynamics 365 Sales) sisse oma mandaadiga.

• Rakenduse kontekst koos kasutaja kehastamisega

  Kasutaja logib sisse esimese osapoole Microsofti rakendusse. Rakendus teeb kõne Dataverse kasutajat esindava rakendustõendiga. Lisateavet leiate teemast Teise kasutajana esinemine veebi API abil.

• Esimese osapoole rakendus teenusetevahelise kõnega (rakenduse kontekst)

  Esimese osapoole Microsofti rakendus helistab Dataverse oma rakenduse tõendi kasutamiseks. Need esimese osapoole rakendused on registreeritud ja pakuvad sisemisi teenuseid, nagu meilide sünkroonimine, mis töötavad tavaliselt taustal ilma kasutaja sekkumiseta.

• Teie Azure’i portaali rakenduse registreerimisel registreeritud kolmanda osapoole rakendused

  Teie kohandatud rakendus autentib teie Azure’i rakenduse registreerimise serdi või kasutajatõendi abil.

Näited selle kohta, kuidas kliendirakenduse juurdepääsu reguleerimine kasutaja ja rakenduse konteksti autentimisel töötab .

• Kasutajakontekst koos kasutajatõendiga

  • Kõigi kasutajatõendite taotluste puhul kontrollime, kas kasutatav rakenduse ID on osa lubatud või blokeeritud loenditest.
  • Kasutajatõendi saab hankida ka avaliku kliendi jaoks esimese osapoole ja partnerrakenduste jaoks.

  Märkus.

  • Me ei soovita lubada avalikku klienti, välja arvatud juhul, kui see on ajutiselt vajalik.
  • Rakendus 00000007-0000-0000-c000-000000000000 Dataverse on automaatselt lubatud kõigis keskkondades. Kasutaja juurdepääsu keskkonnale Dataverse saab hallata kas vastava kasutajalitsentsi määramisega ja/või kasutajale turberolli määramisega Dataverse .

• Rakenduse kontekst koos kasutaja kehastamisega

• Kellegi teisena esinemine esimese osapoole rakenduse abil

  • Selliste stsenaariumide korral nagu Power Automate teenusetevahelise rakenduse luba kasutatakse kasutaja kehastamisega, kontrollime, kas rakenduse ID on lubatud või blokeeritud.
  • Muude stsenaariumide puhul, kus kasutaja kehastamist ei kasutata, ei tehta praegu teenusetevaheliste tõendite valideerimist.

Kliendirakenduse juurdepääsu reguleerimist ei rakendata järgmistele rakendustele.

• Esimese osapoole rakendused teenusetevaheliste kõnedega (rakenduse kontekst)

  Lisateavet leiate teemast Sageli kasutatavad Microsofti esimese osapoole teenused ja portaalirakendused.

• Teenusetevaheliste kõnedega partnerirakendused

  Nende rakenduste blokeerimiseks muutke need passiivseks või kustutage need halduskeskuse keskkonnast Power Platform . Lisateavet leiate teemast Rakenduse kasutajate Power Platform haldamine halduskeskuses.

eeltingimused

Täitke järgmised eeltingimused.

Kinnitage oma roll

Kõrgetasemelise administraatorihalduse tagamiseks saate määrata kaks Power Platform seotud teenuseadministraatori rolli.

• Power Platform administraator
• Dynamics 365 administraator

Veenduge, et teie keskkond on hallatav keskkond

Teie keskkond peab olema hallatav keskkond. Lisateavet leiate teemast Hallatava keskkonna ülevaade.

Keskkonnas auditeerimise sisselülitamine

1. Logige Power Platform halduskeskusesse sisse süsteemiadministraatorina.
2. Valige navigeerimispaanil Halda .
3. Valige paanil Haldamine Keskkonnad . Seejärel valige konkreetne keskkond.
4. Valige käsuribal Sätted .
5. Valige Audit ja logid>Auditi sätted.
6. Valige jaotises Auditeerimine suvandid Alusta auditeerimist, Logi juurdepääs ja Logide lugemine.
7. Valige käsk Salvesta.

Rakenduste loendi ülevaatamine keskkonnas

On olemas hulk rakendusi, mis on eelregistreeritud keskkonnas Dataverse töötamiseks. See rakenduste loend võib erinevates keskkondades erineda. Need rakendused laaditakse automaatselt teie keskkonda.

Märkus.

Keskkonnas Dataverse töötamiseks on eelautoriseeritud järgmised rakendused.

• Kõik Microsofti rakendused, mis on eelautoriseeritud On-Becurrent-Of lubade hankimiseks. Lisateavet leiate teemadest Microsofti identimisplatvorm ja OAuth2.0 On-Behalf-Of-voog.
• Rakenduse kasutajate rakendused. Lisateavet leiate teemadest Spetsiaalsed süsteemikasutajad ja rakenduse kasutajad.
• Kõik pärandrakendused, mis saavad dünaamiliselt hankida On-Behalf-Of tokeneid.
• Kõik rakendused, millel on prvActOnBehalfOfAnotherUser õigus, ja rakendused, mis kasutavad kasutajatena esinemiseks päiseid. Lisateavet leiate teemast Teise kasutajana esinemine.

Rakenduste lisamine loendisse

Rakenduse loendisse lisamiseks tehke järgmist.

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige navigeerimispaanil Halda .

3. Valige paanil Haldamine Keskkonnad .

4. Valige lehel Keskkonnad keskkonna nimi.

5. Kopeerige keskkonna URL, näiteks contoso.crm.dynamics.com.

6. Avage samas brauseris uus vahekaart (sisselogimiseks jäämiseks) ja lisage aadressiribale järgmine URL. Asendage <EnvironmentURL> oma keskkonna URL-iga ja vajutage sisestusklahvi (Enter).

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   Vormil kuvatakse teie keskkonda laaditud rakenduste loend.

7. Valige suvand + Uus.

8. Sisestage uuel ekraanil ApplicationId .

9. Sisestage nimi.

10. Valige käsk Salvesta.

Rakenduste eemaldamine loendist

Rakenduse loendist eemaldamiseks toimige järgmiselt.

1. Valige rakendus.

2. Valige Kustuta.

3. Korrake seda toimingut iga rakenduse puhul, mille soovite eemaldada.

   Märkus.

   Kui eemaldasite keskkonda eellaaditud süsteemirakenduse, saab süsteem rakenduse automaatselt taastada. Võib-olla soovite kustutada ainult lisatud rakendused.

Rakenduste lubamine või blokeerimine

Sagedamini kasutatavad rakendused, mida võiksite lubada

Siin on mõned sageli kasutatavad rakendused, mida on ohutu lubada.

Rakenduse ID	Rakenduse nimi
07ce06e6-4ae9-4466-bca4-2984fa04d057	Microsoft Dynamics Failide salvestamine
1884bdbf-452a-4a11-9c76-afdbdb1b3768	RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3	PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff	MicrosoftDynamics365OfficeAppsIntegratsioon
4ade18ba-d41e-45d6-a563-97c67fc0be15	Microsoft Dynamics NRD teenus
546068c3-99b1-4890-8e93-c8aeadcfe56a	Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa	DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e	Microsoft Dynamics CRM-i rakendus Outlooki jaoks
61d02d70-ab6c-4569-be48-787ea2cda65d	Dynamics 365 analüüs
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8	Common Data Service Ülemaailmne tuvastusteenus
730d33da-0894-409f-a907-c577151719c5	Vool-RP
7df0a125-d3be-4c96-aa54-591f83ff541c	Microsoft Flow Teenus
7f15f9d9-cad0-44f1-bbba-d36650e07765	Azure Synapse Link Dataverse'i jaoks
84e37c07-7362-4d9f-b4b1-09be02be0195	DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3	Power Platform Autoriseerimisteenus PROD
978b42f5-e03a-4695-b8df-454959d032c8	BAP
99ff962b-6252-4b98-8478-0c65a3ea1925	InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf	Azure’i SQL-i andmebaas ja andmeladu
aeb01831-b358-4750-92ce-722e4f3ea7e8	BizQA CDS-i jaoks
b5faaec4-04c9-45e6-990a-093ed6d02c94	Dynamic 365 Sales Insightsi konnektor Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9	PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e	IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b	Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021	CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3	JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2	AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7	Power Platform Andmevoogude Common Data Service klient
0c906d81-7073-46b5-a95c-3726fca3e3a3	Power Platform Ülevaated ja soovitused Data Plane Prod

Rakendused, mida võiksite blokeerida

Need rakendused on võimsad andmete eksportijad. Nende blokeerimine hoiab ära tundliku teabe võimaliku andmete väljafiltreerimise.

Rakenduse ID	Rakenduse nimi
a672d62c-fc7b-4e81-a576-e60dc46e951d	Microsoft Power Query Exceli jaoks (töölauaklient)
d3590ed6-52b3-4102-aeff-aad2292ab01c	Microsoft Accessi klient
51f81489-12ee-4a9e-aaae-a2591f45987d	XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc	PowerShell
00000009-0000-0000-c000-000000000000	Power BI

Soovitatavad sammud

1. Lülitage auditirežiim sisse oma mittetootmiskeskkonnas.
2. Vaadake üle keskkonnas töötavate rakenduste auditilogi, et saada loend rakendustest, mille juurdepääsu reguleerimist soovite hallata.
3. Korrake samme 1–2 oma tootmiskeskkonnas.
4. Kinnitage nende rakenduste loend, mille keskkonnas käitamise soovite lubada.

Rakenduse juurdepääsu reguleerimise režiimid

On neli erinevat režiimi:

• Auditirežiimi sisselülitamine
• Lubatud režiimi sisselülitamine
• Rollide režiimi jaoks lubatud sisselülitamine
• Rakendusele juurdepääsu väljalülitamine

Auditirežiimi sisselülitamine

Soovitame teil auditirežiimi sisse lülitada vähemalt üheks nädalaks, et saada loend rakendustest, mida teie kasutajad keskkonnas käitavad.

Selle auditilogi loendi abil saate määrata, milliseid rakendusi soovite lubada või blokeerida.

1. Logige sisse Power Platformi halduskeskusesse.
2. Valige navigeerimispaanil Turvalisus .
3. Valige paanil Turvalisus Identiteet ja juurdepääs.
4. Valige lehel Identiteedi- ja juurdepääsuhaldus Rakenduse juurdepääsu reguleerimine
5. Valige keskkond, kus soovite rakenduse juurdepääsu reguleerimise funktsiooni sisse lülitada.
6. Valige nupp Seadista rakenduse juurdepääsukontroll .
7. Valige ripploendist Juurdepääsu kontroll suvand AuditMode .
8. Valige Dataverse rakendus ja seejärel valige ruudustiku kohal asuv suvand Luba .
9. Valige käsk Salvesta.
10. Keskkondade loend kuvatakse uuesti. Korrake protseduuri iga keskkonna puhul, kus soovite auditeerimise sisse lülitada. Sulgege paneel, kui olete oma keskkondade auditirežiimi sisselülitamise lõpetanud.

Märkus.

Auditirežiimi jõustumiseks võib pärast konfiguratsioonisätete värskendamist kuluda kuni tund.

Auditirežiimis peate juurdepääsu lubamiseks valima vähemalt ühe rakenduse. Siiski ei jõustata rakenduse juurdepääsu reguleerimist auditirežiimis. Saate loendi rakendustest, mis pääsevad keskkonda juurde, olenemata sellest, kas neile on juurdepääs lubatud või keelatud.

Keskkonna auditisätted peavad olema lubatud, sealhulgas suvand Juurdepääs logile .

Auditilogi loendi toomine

1. logige Power Platform halduskeskusesse sisse süsteemiadministraatorina.

2. Valige navigeerimispaanil Halda .

3. Valige paanil Haldamine Keskkonnad . Seejärel valige keskkond, kus olete auditeerimise sisse lülitanud.

4. Tehke valik Sätted.

5. Valige Audit ja logid>Auditi kokkuvõttevaade.

6. Valige Luba/keela filtrid , et vaadata üle pealkirja rippmenüü võimaluste loend.

7. Valige pealkirja Sündmus lähedal olev rippmenüü nool, seejärel otsige üles ja valige ApplicationBasedAccessDenied ja ApplicationBasedAccessAllowed .

   

8. Valige OK.

   Kuvatakse teie filtreeritud auditid.

Lubatud režiimi sisselülitamine

Alustage blokeeritud rakenduste blokeerimist ja lubage ainult kinnitatud rakendused. Saate valida rakendused, millel on juurdepääs lubatud või blokeeritud .

1. Logige sisse Power Platformi halduskeskusesse.

2. Valige navigeerimispaanil Turvalisus .

3. Valige paanil Turvalisus Identiteet ja juurdepääs.

4. Valige lehel Identiteedi- ja juurdepääsuhaldus Rakenduse juurdepääsu reguleerimine.

5. Valige keskkond, kus soovite rakenduse juurdepääsu reguleerimise funktsiooni sisse lülitada.

6. Valige nupp Seadista rakenduse juurdepääsukontroll .

7. Valige ripploendist Juurdepääsu reguleerimine Lubatud.

8. Valige Dataverse rakendus ja seejärel valige ruudustiku kohal üks järgmistest valikutest.

   • Luba, et lubada juurdepääs rakendusele.
   • Blokeeri, et keelata juurdepääs rakendusele.

9. Valige käsk Salvesta.

10. Keskkondade loend kuvatakse uuesti. Korrake protseduuri iga keskkonna puhul, kus soovite blokeeritud rakendusi blokeerima hakata ja kinnitatud rakendusi lubama. Kui olete lõpetanud, sulgege paneel.

    Märkus.

    Lubatud režiimi jõustumiseks võib pärast konfiguratsioonisätete värskendamist kuluda kuni tund.

Rollide režiimi jaoks lubatud sisselülitamine

Alustage blokeeritud rakenduste blokeerimist ja lubage ainult kinnitatud rakendused. Rakendustele, millel on juurdepääs, saate määrata turberollid, et piirata, kes saavad neid rakendusi keskkonnas käitada. Rakendusi saavad käivitada ainult valitud turberolliga kasutajad.

1. Logige sisse Power Platformi halduskeskusesse.
2. Valige navigeerimispaanil Turvalisus .
3. Valige paanil Turvalisus Identiteet ja juurdepääs.
4. Valige lehel Identiteedi- ja juurdepääsuhaldus Rakenduse juurdepääsu reguleerimine.
5. Valige keskkond, kus soovite rakenduse juurdepääsu reguleerimise funktsiooni sisse lülitada.
6. Valige nupp Seadista rakenduse juurdepääsukontroll .
7. Valige ripploendis Juurdepääsu reguleerimine rollide jaoks Lubatud .
8. Kui teie rakendus on valitud, valige ruudustiku kohal asuv suvand Turberollide haldamine.
9. Valige üks või mitu soovitud turberolli.
10. Valige käsk Salvesta.
11. Ilmub aken, kus palutakse teil valitud rollid kinnitada. Valige käsk Salvesta.
12. Rakenduste loend kuvatakse uuesti. Valige käsk Salvesta.
13. Keskkondade loend kuvatakse uuesti. Korrake protseduuri iga keskkonna puhul, kuhu soovite turberolle määrata. Kui olete lõpetanud, sulgege paneel.

Märkus.

Rollide jaoks lubatud režiimi jõustumiseks võib pärast konfiguratsioonisätete värskendamist kuluda kuni tund.

Rakenduse juurdepääsu reguleerimise funktsiooni väljalülitamine

Lülitage rakenduse juurdepääsu reguleerimise funktsioon välja, et eemaldada keskkonnas töötavate rakenduste piirangud.

1. Logige sisse Power Platformi halduskeskusesse.
2. Valige navigeerimispaanil Turvalisus .
3. Valige paanil Turvalisus Identiteet ja juurdepääs.
4. Valige lehel Identiteedi- ja juurdepääsuhaldus Rakenduse juurdepääsu reguleerimine.
5. Valige keskkond, kus soovite rakenduse juurdepääsu reguleerimise funktsiooni sisse lülitada.
6. Valige nupp Seadista rakenduse juurdepääsukontroll .
7. Valige ripploendist Juurdepääsu reguleerimine Keelatud.
8. Valige käsk Salvesta.
9. Keskkondade loend kuvatakse uuesti. Korrake toimingut iga keskkonna puhul, kus soovite funktsiooni välja lülitada. Kui olete lõpetanud, sulgege paneel.

Märkus.

Kui määrate mõne rakenduse väärtuseks Lubatud või Blokeeritud, ei pea te sätet eemaldama, kui rakenduse juurdepääsu reguleerimise funktsioon on välja lülitatud olekusse Keelatud. Selles keskkonnas pole rakendusepiiranguid.

Tõrketeade: rakenduse keelatud kasutaja tõrge

Kasutajad saavad järgmise tõrketeate, kui nad proovivad käivitada rakendust, mis pole lubatud.

Juurdepääs Dataverse API-le on selle rakenduse ID jaoks piiratud.

Sageli kasutatavad Microsofti esimese osapoole teenused ja portaalirakendused

Järgmised rakendused on Microsofti esimese osapoole teenused. See rakenduste loend võib erineda sõltuvalt sellest, millist tüüpi keskkond teil on ja millised lahendused on installitud. Need rakendused on automaatselt lubatud kõigis keskkondades, kus need eksisteerivad. Kasutajatel nende rakenduste kasutamise blokeerimiseks saate eemaldada vajaliku kasutajalitsentsi või eemaldada nende Dataverse turberolli määramise. Näiteks tegijaportaali Power Apps kasutamisekspeab teie tegijale olema määratud kas keskkonna tegija, süsteemikohandaja või süsteemiadministraatori turberoll.

Rakenduse ID	Rakenduse nimi
00000007-0000-0000-c000-000000000000	Dataverse
75eb2b80-011a-4693-9a47-7971c853603c	make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88	make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c	make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c	make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb	Microsoft Flow Portaal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7	Microsoft Flow Portaal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3	make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad	make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04	make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d	make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab	make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031	make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a	PowerPlatformAdminCenteru klient
065d9450-1e87-434e-ac2f-69af271549ed	PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23	MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8	Rahanduse kaaspiloot
a59cef1e-2e32-4703-8dab-810d9807efeb	CCIBOTS
96ff4394-9197-43aa-b393-6a41652e21f8	CCIBOTSPROD

Seotud sisu

• Sageli kasutatavad Microsofti esimese osapoole teenused ja portaalirakendused
• Sageli kasutatavate Microsofti rakenduste rakenduse ID-d