Controlar que aplicacións están permitidas no seu ambiente

Protéxete contra a exfiltración de datos controlando que aplicacións poden executarse no teu entorno. Dataverse Estas medidas de seguridade impiden a eliminación non autorizada de información confidencial, o que axuda ao teu negocio a manter a continuidade e a cumprir a normativa.

Configura que aplicacións están permitidas ou bloqueadas no teu entorno. Isto impide que usuarios maliciosos empreguen aplicacións non aprobadas para exportar datos confidenciais.

Como funciona o control de acceso ás aplicacións?

O control de acceso ás aplicacións realízase na capa de autenticación. Dataverse Máis información en Autenticación en Power Platform servizos. Dataverse A autenticación valida o ID da aplicación cliente no token do usuario cunha lista de aplicacións permitidas e bloqueadas configuradas para o ambiente. A autenticación concede ou denega o acceso da aplicación do usuario ao ambiente.

Os usuarios poden autenticarse de catro xeitos:

  • Contexto do usuario

    O usuario inicia sesión no sistema, como Dynamics 365 Sales, coas súas credenciais.

  • Contexto da aplicación con suplantación de usuario

    O usuario inicia sesión nunha aplicación de Microsoft de primeira parte. A aplicación fai unha chamada a Dataverse co seu token de aplicación que representa o usuario. Máis información en Suplantar a identidade doutro usuario mediante a API web.

  • Aplicación propia con chamada de servizo a servizo (contexto da aplicación)

    Unha aplicación de Microsoft de primeira parte fai unha chamada a Dataverse usando o seu token de aplicación. Estas aplicacións propias están rexistradas e proporcionan servizos internos, como a sincronización do correo electrónico, que normalmente se executan en segundo plano sen ningunha interacción do usuario.

  • Aplicacións de terceiros rexistradas no rexistro de aplicacións do teu portal de Azure

    A túa aplicación personalizada autentica usando o certificado ou user-token do rexistro da túa aplicación Azure.

Exemplos de como funciona o control de acceso da aplicación cliente na autenticación no contexto do usuario e da aplicación:

  • Contexto de usuario con token de usuario

    • Para todas as solicitudes de tokens de usuario, validamos se o ID da aplicación empregado forma parte das listas de permitidos ou bloqueados.
    • Tamén se pode obter un token de usuario para un cliente público para aplicacións propias e de socios.

    Nota

    • Non recomendamos permitir un cliente público a non ser que sexa necesario temporalmente.
    • A aplicación permítese automaticamente en todos os entornos. 00000007-0000-0000-c000-000000000000 Dataverse O acceso dos usuarios ao entorno pódese xestionar asignando a licenza de usuario axeitada e/ou asignando un rol de seguranza ao usuario. Dataverse Dataverse

  • Contexto da aplicación con suplantación de identidade do usuario

  • Suplantación de identidade mediante unha aplicación propia

    • En escenarios como Power Automate, onde se usa un token de aplicación servizo-a-servizo con suplantación de usuario, comprobamos se o ID da aplicación está permitido ou bloqueado.
    • Para outros escenarios nos que non se usa a suplantación de identidade do usuario, actualmente non se realizan validacións para os tokens de servizo a servizo.

O control de acceso ás aplicacións cliente non se aplica ás seguintes aplicacións:

Requisitos previos

Completa os seguintes requisitos previos:

Verifica o teu rol

Hai dous Power Platform roles de administrador de servizos relacionados que podes asignar para proporcionar un alto nivel de xestión administrativa:

  • Administrador de Power Platform
  • Administración de Dynamics 365

Verificar que o seu ambiente sexa un ambiente xestionado

O seu entorno debe ser un entorno xestionado. Máis información en Visión xeral do entorno xestionado.

Activar a auditoría no ambiente

  1. Inicia sesión no Power Platform centro de administración como administrador do sistema.
  2. No panel de navegación, selecciona Xestionar.
  3. No panel Xestionar , seleccione Entornos. Despois, selecciona o teu entorno específico.
  4. Seleccione Configuración na barra de comandos.
  5. Selecciona Auditoría e rexistros>Configuración de auditoría.
  6. Na sección Auditoría , selecciona as opcións Iniciar auditoría, Acceso ao rexistro e Ler rexistros .
  7. Seleccione Gardar.

Revisar a lista de aplicacións no ambiente

Hai un conxunto de aplicacións que están prerexistradas para executarse nun ambiente. Dataverse Esta lista de aplicacións pode variar entre os diferentes entornos. Estas aplicacións cárganse automaticamente no teu entorno.

Nota

As seguintes aplicacións están preautorizadas para executarse nun Dataverse ambiente:

Engadir aplicacións á lista

Para engadir unha aplicación á lista, siga estes pasos.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. No panel de navegación, selecciona Xestionar.

  3. No panel Xestionar , seleccione Entornos.

  4. Na páxina Entornos , seleccione o nome dun entorno.

  5. Copia o URL do entorno como contoso.crm.dynamics.com.

  6. Abre unha nova lapela no mesmo navegador (para manter a sesión iniciada) e engade o seguinte URL á barra de enderezos. Substitúe <EnvironmentURL> co URL do teu entorno e, a seguir, preme Intro.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    O formulario mostra a lista de aplicacións que están cargadas no teu entorno.

  7. Seleccione + Novo.

  8. Na nova pantalla, introduza un ID da aplicación.

  9. Introduza un Nome.

  10. Seleccione Gardar.

Eliminar aplicacións da lista

Para eliminar unha aplicación da lista:

  1. Seleccione unha aplicación.

  2. Seleccione Eliminar.

  3. Repita este procedemento para cada aplicación que queira eliminar.

    Nota

    Se eliminaches unha aplicación do sistema que estaba precargada no ambiente, o sistema pode restaurala automaticamente. Quizais queiras eliminar só as aplicacións que engadiches.

Permitir ou bloquear aplicacións

Aplicacións de uso frecuente que quizais queiras permitir

Aquí tes algunhas aplicacións de uso común que podes permitir de forma segura.

ID de aplicación Nome da aplicación
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics Almacenamento de arquivos
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 Plano de xestión de clientes de PowerApps, Backend
44a02aaa-7145-4925-9dcd-79e6e1b94eff Integración de aplicacións de Office de Microsoft Dynamics 365
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics Servizo NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa Instalador de dinámica
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics CRM App para Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Servizo de Descubrimento Global
730d33da-0894-409f-a907-c577151719c5 Fluxo-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow Servizo
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 PRESAS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Servizo de autorización PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 Plataforma de aplicacións de Insights
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database e Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA para CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Conector dinámico 365 Sales Insights para Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 Plano de datos de PowerApps, Backend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Conector nativo de Flow-CDSNeightAlemaña
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 EmpregosServizoProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 Produto AiBuilder PAIO-CDS
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Power Platform Fluxos de datos Common Data Service Cliente
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Información e recomendacións Produto do plano de datos
Aplicacións que quizais queiras bloquear

Estas aplicacións son potentes exportadores de datos. Bloquealos impide a posible exfiltración de datos de información confidencial.

ID de aplicación Nome da aplicación
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query for Excel (cliente de escritorio)
d3590ed6-52b3-4102-aeff-aad2292ab01c Cliente Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d Caixa de ferramentas Xrm
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Activa o modo de auditoría no teu entorno non produtivo.
  2. Revisa o rexistro de auditoría das aplicacións que se executan no ambiente para obter a lista de aplicacións cuxo control de acceso queres xestionar.
  3. Repita os pasos 1-2 no seu entorno de produción.
  4. Confirma a lista de aplicacións que queres permitir que se executen no ambiente.

Modos de control de acceso á aplicación

Hai catro modos diferentes:

Activar o modo de auditoría

Recomendámosche que actives o modo de auditoría durante polo menos unha semana para obter a lista das aplicacións que os teus usuarios están a executar nun ambiente.

Usando esta lista de *rexistro de auditoría*, podes determinar que aplicacións queres permitir ou bloquear.

  1. Inicie sesión no Centro de administración de Power Platform.
  2. No panel de navegación, selecciona Seguridade.
  3. No panel Seguridade , selecciona Identidade e acceso.
  4. Na páxina Xestión de identidade e acceso , selecciona Control de acceso ás aplicacións
  5. Selecciona o ambiente onde queres activar a funcionalidade de control de acceso da aplicación.
  6. Selecciona o botón Configurar o control de acceso da aplicación .
  7. Seleccione a opción Modo de auditoría na lista despregable Control de acceso .
  8. Selecciona unha Dataverse aplicación e, a seguir, selecciona a opción Permitir situada enriba da cuadrícula.
  9. Seleccione Gardar.
  10. A lista de ambientes móstrase de novo. Repita o procedemento para cada ambiente onde desexe activar a auditoría. Pecha o panel cando remates de activar o modo de auditoría para os teus entornos.

Nota

O modo de auditoría pode tardar ata unha hora en ter efecto despois de actualizar os axustes de configuración.

No modo de auditoría, debes seleccionar polo menos unha aplicación para permitir o acceso. Non obstante, o control de acceso á aplicación non se aplica no modo de auditoría. Obterás unha lista das aplicacións que acceden ao ambiente, independentemente de se lles permite ou non o acceso.

A configuración de auditoría dun ambiente debe estar permitida, incluída a opción Rexistrar acceso .

Recuperar a lista do rexistro de auditoría

  1. Iniciar sesión no Power Platform Centro de administración como administrador do sistema.

  2. No panel de navegación, selecciona Xestionar.

  3. No panel Xestionar , seleccione Entornos. A continuación, selecciona un ambiente onde activaches a auditoría.

  4. Seleccione Configuración.

  5. Seleccione Auditoría e rexistros>Vista de resumo da auditoría.

  6. Seleccione Activar/Desactivar filtros para revisar unha lista de capacidades do menú despregable de títulos.

  7. Selecciona a frecha despregable que hai preto do título Evento e, a seguir, busca e selecciona ApplicationBasedAccessDenied e ApplicationBasedAccessAllowed.

    Captura de pantalla que mostra onde se atopan o botón Activar/Desactivar filtros e as caixas de verificación ApplicationBasedAccessDenied e ApplicationBasedAccessAllowed na páxina de visualización de resumo de auditoría.

  8. Seleccione Aceptar.

    Aparecen as túas auditorías filtradas.

Activar o modo activado

Comeza a bloquear as aplicacións que estean bloqueadas e permite só as aplicacións aprobadas. Podes seleccionar aplicacións para que teñan acceso Permitido ou Bloqueado .

  1. Inicie sesión no Centro de administración de Power Platform.

  2. No panel de navegación, selecciona Seguridade.

  3. No panel Seguridade , selecciona Identidade e acceso.

  4. Na páxina Xestión de identidade e acceso , selecciona Control de acceso ás aplicacións.

  5. Selecciona o ambiente onde queres activar a funcionalidade de control de acceso da aplicación.

  6. Selecciona o botón Configurar o control de acceso da aplicación .

  7. Seleccione Activado na lista despregable Control de acceso .

  8. Selecciona unha Dataverse aplicación e, a seguir, selecciona unha destas opcións, situadas enriba da grella:

    • Permitir o acceso á aplicación.
    • Bloquear para denegar o acceso á aplicación.

  9. Seleccione Gardar.

  10. A lista de ambientes móstrase de novo. Repita o procedemento para cada ambiente onde queira comezar a bloquear as aplicacións bloqueadas e permitir as aplicacións aprobadas. Pecha o panel cando remates.

    Nota

    O modo activado pode tardar ata unha hora en ter efecto despois de actualizar os axustes de configuración.

Activar para o modo de roles

Comeza a bloquear as aplicacións que estean bloqueadas e permite só as aplicacións aprobadas. Para as aplicacións ás que se lles permite o acceso, pode asignar roles de seguranza para restrinxir quen pode executalas no ambiente. Só os usuarios aos que se lles asignou un rol de seguranza seleccionado poden executar as aplicacións.

  1. Inicie sesión no Centro de administración de Power Platform.
  2. No panel de navegación, selecciona Seguridade.
  3. No panel Seguridade , selecciona Identidade e acceso.
  4. Na páxina Xestión de identidade e acceso , selecciona Control de acceso ás aplicacións.
  5. Selecciona o ambiente onde queres activar a funcionalidade de control de acceso da aplicación.
  6. Selecciona o botón Configurar o control de acceso da aplicación .
  7. Seleccione Activado para roles na lista despregable Control de acceso .
  8. Unha vez seleccionada a aplicación, selecciona a opción Xestionar roles de seguranza situada enriba da cuadrícula.
  9. Seleccione un ou máis roles de seguranza desexados.
  10. Seleccione Gardar.
  11. Aparecerá unha xanela pedíndoche que confirmes os roles que seleccionaches. Seleccione Gardar.
  12. A lista de aplicacións móstrase de novo. Seleccione Gardar.
  13. A lista de ambientes móstrase de novo. Repita o procedemento para cada ambiente no que desexe asignar roles de seguranza. Pecha o panel cando remates.

Nota

O modo activado para roles pode tardar ata unha hora en ter efecto despois de actualizar os axustes de configuración.

Desactivar a función de control de acceso á aplicación

Desactiva a funcionalidade de control de acceso das aplicacións para eliminar as restricións nas aplicacións que se executan nun ambiente.

  1. Inicie sesión no Centro de administración de Power Platform.
  2. No panel de navegación, selecciona Seguridade.
  3. No panel Seguridade , selecciona Identidade e acceso.
  4. Na páxina Xestión de identidade e acceso , selecciona Control de acceso ás aplicacións.
  5. Selecciona o ambiente onde queres activar a funcionalidade de control de acceso da aplicación.
  6. Selecciona o botón Configurar o control de acceso da aplicación .
  7. Seleccione Desactivado na lista despregable Control de acceso .
  8. Seleccione Gardar.
  9. A lista de ambientes móstrase de novo. Repita o procedemento para cada ambiente onde queira desactivar a funcionalidade. Pecha o panel cando remates.

Nota

Se configuras algunhas aplicacións como Permitidas ou Bloqueadas, non necesitas eliminar a configuración cando a función de control de acceso da aplicación estea desactivada e Desactivada. Non hai restricións de aplicacións neste ambiente.

Mensaxe de erro: Erro de usuario denegado pola aplicación

Os usuarios reciben a seguinte mensaxe de erro se tentan executar unha aplicación non permitida:

O acceso á Dataverse API está restrinxido para este ID de aplicación.

Servizos de primeira parte de Microsoft e aplicacións de portais comúnmente usados

As seguintes aplicacións son servizos propios de Microsoft. Esta lista de aplicacións pode variar dependendo dos tipos de ambiente que teñas e das solucións que teñas instaladas. Estas aplicacións permítense automaticamente en todos os entornos onde existen. Para impedir que os teus usuarios usen estas aplicacións, podes eliminar a licenza de usuario requirida ou eliminar a súa asignación de rol de seguranza. Dataverse Por exemplo, para usar o portal Power Apps maker, o teu creador debe ter asignado un rol de seguridade de Creador de Ambiente, Personalizador de Sistema ou Administrador de Sistema.

ID de aplicación Nome da aplicación
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Cliente de PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed Centro de administración de PowerPlatform
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copiloto de Finanzas
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod
300e430c-5476-4a1d-b223-35194efd4e57 Servizo de enrutamento de organización Dataverse
aeb01831-b358-4750-92ce-722e4f3ea7e8 Pregunta e resposta sobre Dataverse
1884bdbf-452a-4a11-9c76-afdbdb1b3768 Busca Dataverse
1a28d27c-cc86-4773-b5EF-10a70a3da179 Melloras na busca de Dataverse

Contido relacionado

  • Last updated on