Bagikan melalui

Mengontrol aplikasi mana yang diizinkan di lingkungan Anda

Lindungi dari eksfiltrasi data dengan mengontrol aplikasi mana yang dapat berjalan di lingkungan Dataverse Anda. Perlindungan ini mencegah penghapusan informasi sensitif yang tidak sah, membantu bisnis Anda menjaga kelangsungan dan mematuhi peraturan.

Konfigurasikan aplikasi mana yang diizinkan atau diblokir di lingkungan Anda. Hal ini mencegah pengguna jahat menggunakan aplikasi yang tidak disetujui untuk mengekspor data sensitif.

Bagaimana cara kerja kontrol akses aplikasi?

Kontrol akses aplikasi dilakukan di lapisan autentikasi Dataverse. Pelajari lebih lanjut di Mengautentikasi layanan Power Platform. Autentikasi Dataverse memvalidasi ID aplikasi klien dalam token pengguna terhadap daftar aplikasi yang diizinkan dan diblokir yang dikonfigurasi untuk lingkungan. Autentikasi memberikan atau menolak akses aplikasi pengguna ke lingkungan.

Pengguna dapat mengautentikasi dengan empat cara:

  • Konteks pengguna

    Pengguna masuk ke sistem, seperti Dynamics 365 Sales, dengan kredensial mereka.

  • Konteks aplikasi dengan penyamaran pengguna

    Pengguna masuk ke aplikasi Microsoft pihak pertama. Aplikasi melakukan panggilan ke Dataverse dengan token aplikasinya yang mewakili pengguna. Pelajari lebih lanjut di Menyamar sebagai pengguna lain menggunakan Web API.

  • Aplikasi pihak pertama dengan panggilan layanan ke layanan (konteks aplikasi)

    Aplikasi Microsoft pihak pertama melakukan panggilan untuk Dataverse menggunakan token aplikasinya. Aplikasi pihak pertama ini terdaftar dan menyediakan layanan internal, seperti sinkronisasi email, yang biasanya berjalan di latar belakang tanpa interaksi pengguna.

  • Aplikasi pihak ketiga yang terdaftar dalam pendaftaran aplikasi portal Azure Anda

    Aplikasi kustom Anda mengautentikasi menggunakan sertifikat atau token pengguna pendaftaran aplikasi Azure Anda.

Contoh cara kerja kontrol akses aplikasi klien dalam autentikasi konteks pengguna dan aplikasi:

  • Konteks pengguna dengan token pengguna

    • Untuk semua permintaan token pengguna, kami memvalidasi apakah ID aplikasi yang digunakan adalah bagian dari daftar yang diizinkan atau diblokir.
    • Token pengguna juga dapat diperoleh untuk klien publik untuk aplikasi pihak pertama dan mitra.

    Catatan

    • Kami tidak menyarankan untuk mengizinkan klien publik kecuali diperlukan untuk sementara.
    • Aplikasi Dataverse 00000007-0000-0000-c000-000000000000 secara otomatis diizinkan di semua lingkungan. Akses pengguna ke lingkungan Dataverse dapat dikelola dengan menetapkan lisensi pengguna yang sesuai dan/atau menetapkan peran keamanan Dataverse kepada pengguna.

  • Konteks aplikasi dengan penyamaran pengguna

  • Penyamaran menggunakan aplikasi pihak pertama

    • Dalam skenario seperti Power Automate, di mana token aplikasi layanan ke layanan digunakan dengan penyamaran pengguna, kami memeriksa apakah ID aplikasi diizinkan atau diblokir.
    • Untuk skenario lain di mana penyamaran pengguna tidak digunakan, saat ini tidak ada validasi yang dilakukan untuk token layanan ke layanan.

Kontrol akses aplikasi klien tidak diterapkan ke aplikasi berikut:

Prasyarat

Selesaikan prasyarat berikut:

Memverifikasi peran Anda

Ada dua peran admin layanan terkait Power Platform yang dapat Anda tetapkan untuk menyediakan manajemen admin tingkat tinggi:

  • Admin Power Platform
  • Admin Dynamics 365

Verifikasi bahwa lingkungan Anda adalah Lingkungan Terkelola

Lingkungan Anda harus berupa Lingkungan Terkelola. Pelajari lebih lanjut di Ikhtisar Lingkungan Terkelola.

Aktifkan pengauditan di lingkungan

  1. Masuk ke Pusat Admin Power Platform sebagai administrator sistem.
  2. Di panel navigasi, pilih Kelola.
  3. Di panel Kelola, pilih Lingkungan. Kemudian pilih lingkungan spesifik Anda.
  4. Pilih Pengaturan di bilah perintah.
  5. Pilih Audit dan log>Pengaturan audit.
  6. Di bagian Pengauditan, pilih opsi Mulai mengaudit, Akses log, dan Baca log.
  7. Pilih Simpan.

Tinjau daftar aplikasi di lingkungan

Ada sekumpulan aplikasi yang telah didaftarkan sebelumnya untuk berjalan di lingkungan Dataverse. Daftar aplikasi ini mungkin berbeda antara berbagai lingkungan. Aplikasi ini secara otomatis dimuat ke lingkungan Anda.

Catatan

Aplikasi berikut telah diizinkan sebelumnya untuk berjalan di lingkungan Dataverse:

Tambahkan aplikasi ke daftar

Untuk menambahkan aplikasi ke daftar dengan menyelesaikan langkah-langkah berikut.

  1. Masuk ke pusat admin Power Platform.

  2. Di panel navigasi, pilih Kelola.

  3. Di panel Kelola, pilih Lingkungan.

  4. Di halaman Lingkungan, pilih nama lingkungan.

  5. Salin URL Lingkungan seperti contoso.crm.dynamics.com.

  6. Buka tab baru di browser yang sama (untuk tetap masuk) dan tambahkan URL berikut ke bilah alamat. Ganti <EnvironmentURL> dengan URL lingkungan Anda, lalu tekan Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Formulir menampilkan daftar aplikasi yang dimuat di lingkungan Anda.

  7. Pilih + baru.

  8. Di layar baru, masukkan ApplicationId.

  9. Masukkan Nama.

  10. Pilih Simpan.

Hapus aplikasi dari daftar

Untuk menghapus aplikasi dari daftar:

  1. Pilih aplikasi.

  2. Pilih Hapus.

  3. Ulangi prosedur ini untuk setiap aplikasi yang ingin Anda hapus.

    Catatan

    Jika Anda menghapus aplikasi sistem yang telah dimuat sebelumnya di lingkungan, aplikasi tersebut dapat secara otomatis dipulihkan oleh sistem. Anda mungkin ingin menghapus hanya aplikasi yang telah Anda tambahkan.

Mengizinkan atau memblokir aplikasi

Aplikasi yang umum digunakan yang mungkin ingin Anda izinkan

Berikut ini beberapa aplikasi yang umum digunakan yang aman untuk diizinkan.

ID Aplikasi Nama aplikasi
07ce06e6-4ae9-4466-bca4-2984fa04d057 Penyimpanan File Microsoft Dynamics
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Layanan NRD Microsoft Dynamics
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Aplikasi Microsoft Dynamics CRM untuk Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Analitik Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Layanan Penemuan Global Common Data Service
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Layanan Microsoft Flow
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link untuk Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Layanan Otorisasi PROD Power Platform
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database dan Gudang Data
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA untuk CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Dynamic 365 Sales Insights Connector untuk Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Klien Common Data Service Aliran Data Power Platform
0c906d81-7073-46b5-a95c-3726fca3e3a3 Data Plane Prod Wawasan dan Rekomendasi Power Platform
Aplikasi yang mungkin ingin Anda blokir

Aplikasi ini merupakan pengekspor data yang kuat. Memblokirnya mencegah kemungkinan eksfiltrasi data informasi sensitif.

ID Aplikasi Nama aplikasi
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query untuk Excel (klien desktop)
d3590ed6-52b3-4102-aeff-aad2292ab01c Klien Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Aktifkan mode audit di lingkungan nonproduksi Anda.
  2. Tinjau log audit untuk aplikasi yang berjalan di lingkungan untuk mendapatkan daftar aplikasi yang kontrol aksesnya ingin Anda kelola.
  3. Ulangi langkah 1-2 di lingkungan produksi Anda.
  4. Konfirmasikan daftar aplikasi yang ingin Anda izinkan berjalan di lingkungan.

Mode kontrol akses aplikasi

Ada empat mode berbeda:

Mengaktifkan mode audit

Sebaiknya aktifkan mode audit, setidaknya selama satu minggu, untuk mendapatkan daftar aplikasi yang dijalankan pengguna Anda di lingkungan.

Menggunakan daftar log audit ini, Anda dapat menentukan aplikasi mana yang ingin diizinkan atau diblokir.

  1. Masuk ke pusat admin Power Platform.
  2. Di panel navigasi, pilih Keamanan.
  3. Di panel Keamanan, pilih Identitas dan akses.
  4. Di halaman Manajemen identitas dan akses, pilih Kontrol akses aplikasi
  5. Pilih lingkungan tempat Anda ingin mengaktifkan fitur kontrol akses aplikasi.
  6. Pilih tombol Siapkan kontrol akses aplikasi.
  7. Pilih opsi AuditMode di daftar tarik-turun Kontrol akses.
  8. Pilih aplikasi Dataverse, lalu pilih opsi Izinkan yang terletak di atas kisi.
  9. Pilih Simpan.
  10. Daftar lingkungan ditampilkan lagi. Ulangi prosedur untuk setiap lingkungan tempat Anda ingin mengaktifkan audit. Tutup panel setelah Anda selesai mengaktifkan mode audit untuk lingkungan Anda.

Catatan

Mode audit mungkin memerlukan waktu hingga satu jam untuk diterapkan, setelah Anda memperbarui pengaturan konfigurasi.

Dalam mode audit, Anda harus memilih setidaknya satu aplikasi untuk mengizinkan akses. Namun, kontrol akses aplikasi tidak diterapkan dalam mode audit. Anda mendapatkan daftar aplikasi yang mengakses lingkungan, baik diizinkan atau ditolak aksesnya.

Pengaturan audit untuk lingkungan harus diizinkan, termasuk opsi Akses log.

Mengambil daftar log audit

  1. Masuk ke Pusat Admin Power Platform sebagai administrator sistem.

  2. Di panel navigasi, pilih Kelola.

  3. Di panel Kelola, pilih Lingkungan. Kemudian pilih lingkungan tempat Anda mengaktifkan audit.

  4. Pilih pengaturan.

  5. Pilih Audit dan log>Tampilan ringkasan audit.

  6. Pilih Aktifkan/Nonaktifkan Filter untuk meninjau daftar kemampuan tarik-turun header.

  7. Pilih panah tarik-turun di dekat header Aktivitas, lalu temukan dan pilih ApplicationBasedAccessDenied dan ApplicationBasedAccessAllowed.

    Cuplikan layar menampilkan tempat tombol Aktifkan/Nonaktifkan Filter dan kotak centang ApplicationBasedAccessDenied dan ApplicationBasedAccessAllowed terletak di halaman tampilan ringkasan audit.

  8. Pilih OK.

    Audit yang difilter muncul.

Mengaktifkan mode yang diaktifkan

Mulai memblokir aplikasi yang diblokir dan hanya mengizinkan aplikasi yang disetujui. Anda dapat memilih aplikasi untuk Mengizinkan atau Memblokir akses.

  1. Masuk ke pusat admin Power Platform.

  2. Di panel navigasi, pilih Keamanan.

  3. Di panel Keamanan, pilih Identitas dan akses.

  4. Di halaman Manajemen identitas dan akses, pilih Kontrol akses aplikasi

  5. Pilih lingkungan tempat Anda ingin mengaktifkan fitur kontrol akses aplikasi.

  6. Pilih tombol Siapkan kontrol akses aplikasi.

  7. Pilih Diaktifkan di daftar tarik-turun Kontrol akses.

  8. Pilih aplikasi Dataverse, lalu pilih salah satu opsi ini, yang terletak di atas kisi:

    • Izinkan untuk mengizinkan akses ke aplikasi.
    • Blokir untuk menolak akses ke aplikasi.

  9. Pilih Simpan.

  10. Daftar lingkungan ditampilkan lagi. Ulangi prosedur untuk setiap lingkungan tempat Anda ingin mulai memblokir aplikasi yang diblokir dan mengizinkan aplikasi yang disetujui. Tutup panel setelah selesai.

    Catatan

    Mode diaktifkan mungkin memerlukan waktu hingga satu jam untuk diterapkan, setelah Anda memperbarui pengaturan konfigurasi.

Mengaktifkan untuk mode peran

Mulai memblokir aplikasi yang diblokir dan hanya mengizinkan aplikasi yang disetujui. Untuk aplikasi yang mengizinkan akses, Anda dapat menetapkan peran keamanan untuk membatasi siapa yang dapat menjalankan aplikasi tersebut di lingkungan. Hanya pengguna yang ditetapkan dengan peran keamanan yang dipilih yang dapat menjalankan aplikasi.

  1. Masuk ke pusat admin Power Platform.
  2. Di panel navigasi, pilih Keamanan.
  3. Di panel Keamanan, pilih Identitas dan akses.
  4. Di halaman Manajemen identitas dan akses, pilih Kontrol akses aplikasi
  5. Pilih lingkungan tempat Anda ingin mengaktifkan fitur kontrol akses aplikasi.
  6. Pilih tombol Siapkan kontrol akses aplikasi.
  7. Pilih Diaktifkan untuk peran di daftar tarik-turun Kontrol akses.
  8. Setelah aplikasi Anda dipilih, pilih opsi Kelola peran keamanan yang terletak di atas kisi.
  9. Pilih satu atau beberapa peran keamanan yang diinginkan.
  10. Pilih Simpan.
  11. Sebuah jendela muncul, meminta Anda untuk mengonfirmasi peran yang Anda pilih. Pilih Simpan.
  12. Daftar aplikasi ditampilkan lagi. Pilih Simpan.
  13. Daftar lingkungan ditampilkan lagi. Ulangi prosedur untuk setiap lingkungan tempat Anda ingin menetapkan peran keamanan. Tutup panel setelah selesai.

Catatan

Mode Diaktifkan untuk peran memerlukan waktu hingga satu jam untuk diterapkan, setelah Anda memperbarui pengaturan konfigurasi.

Menonaktifkan fitur kontrol akses aplikasi

Nonaktifkan fitur kontrol akses aplikasi untuk menghapus pembatasan pada aplikasi yang berjalan di lingkungan.

  1. Masuk ke pusat admin Power Platform.
  2. Di panel navigasi, pilih Keamanan.
  3. Di panel Keamanan, pilih Identitas dan akses.
  4. Di halaman Manajemen identitas dan akses, pilih Kontrol akses aplikasi
  5. Pilih lingkungan tempat Anda ingin mengaktifkan fitur kontrol akses aplikasi.
  6. Pilih tombol Siapkan kontrol akses aplikasi.
  7. Pilih Dinonaktifkan di daftar tarik-turun Kontrol akses.
  8. Pilih Simpan.
  9. Daftar lingkungan ditampilkan lagi. Ulangi prosedur untuk setiap lingkungan tempat Anda ingin menonaktifkan fitur. Tutup panel setelah selesai.

Catatan

Jika Anda mengatur beberapa aplikasi ke Diizinkan atau Diblokir, Anda tidak perlu menghapus pengaturan saat fitur kontrol akses aplikasi dinonaktifkan ke Dinonaktifkan. Tidak ada batasan aplikasi di lingkungan ini.

Pesan kesalahan: Kesalahan pengguna aplikasi ditolak

Pengguna menerima pesan kesalahan berikut jika mereka mencoba menjalankan aplikasi yang tidak diizinkan:

Akses ke API Dataverse dibatasi untuk ID aplikasi ini.

Layanan pihak pertama dan aplikasi portal Microsoft yang umum digunakan

Aplikasi berikut adalah layanan pihak pertama Microsoft. Daftar aplikasi ini dapat berbeda tergantung pada jenis lingkungan yang Anda miliki dan solusi apa yang diinstal. Aplikasi ini secara otomatis diizinkan di semua lingkungan tempat mereka berada. Untuk memblokir pengguna menggunakan aplikasi ini, Anda dapat menghapus lisensi pengguna yang diperlukan atau menghapus penetapan peran keamanan Dataverse mereka. Misalnya, untuk menggunakan Power Apps maker portal, pembuat Anda harus ditetapkan peran keamanan Environment Maker, Penyesuai Sistem, atau Administrator Sistem.

ID Aplikasi Nama aplikasi
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Portal DoD Microsoft Flow
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Portal GCC High Microsoft Flow
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Klien PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilot Keuangan
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Konten terkait

  • Last updated on