Dataverse 環境内で実行できるアプリを制御することで、データ流出を防ぎます。 これらの保護手段は、機密情報の不正な削除を防ぎ、ビジネスの継続性と規制への準拠を支援します。
環境で許可またはブロックするアプリを構成します。 これにより、悪意のあるユーザーが未承認のアプリを使用して機密データをエクスポートすることができなくなります。
アプリのアクセス制御はどのように機能しますか?
アプリのアクセス制御は Dataverse の認証レイヤーで実行されます。 詳細については、Power Platform サービスに対する認証を参照してください。 Dataverse 認証は、ユーザーのトークン内のクライアントアプリ ID を、環境向けに設定された許可済みとブロック済みアプリのリストと照合して検証します。 この認証は、環境へのユーザーのアプリ アクセスを許可または拒否します。
ユーザーは、次の 4 つの方法で認証できます:
ユーザー コンテキスト
ユーザーは、資格情報を使用して、Dynamics 365 Salesなどのシステムにサインインします。
ユーザー偽装を含むアプリケーション コンテキスト
ユーザーがファースト パーティの Microsoft アプリにサインインします。 アプリは、ユーザーを表すアプリケーションのトークンを使用して Dataverse に呼び出しを行います。 詳細情報については、Web API を使用して別のユーザーを偽装するを参照してください。
サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)
ファーストパーティの Microsoft アプリは、そのアプリケーション トークンを使用して Dataverse を呼び出します。 これらのファーストパーティ アプリは登録され、メール同期などの内部サービスを提供します。これらは通常、ユーザーの操作なしでバックグラウンドで実行されます。
Azure ポータルのアプリ登録に登録されているサード パーティ製アプリ
カスタム アプリは、Azure アプリ登録の証明書またはユーザー トークンを使用して認証します。
クライアント アプリのアクセス制御が ユーザー およびアプリケーション コンテキスト認証でどのように機能するか の例:
ユーザー トークンを含むユーザー コンテキスト
- すべてのユーザー トークン要求について、使用されるアプリケーション ID が許可リストまたはブロックリストに含まれているかどうかを検証します。
- ユーザー トークンは、ファーストパーティ アプリや パートナー アプリのパブリック クライアントに対しても取得できます。
ヒント
- 一時的に必要でない限り、パブリック クライアントを許可することはお勧めしません。
- 00000007-0000-0000-c000-000000000000 Dataverse アプリは、すべての環境で自動的に許可されます。 ユーザーによる Dataverse 環境へのアクセスは、適切なユーザー ライセンスの割り当て、またはユーザーへの Dataverse セキュリティ ロールの割り当てのいずれかによって管理できます。
ユーザーの偽装を含むアプリケーション コンテキスト
ファーストパーティのアプリを使用した偽装
- ユーザーの偽装でサービス間アプリケーション トークンが使用されるPower Automateなどのシナリオでは、アプリケーション ID が許可またはブロックされているかどうかを確認します。
- ユーザーのなりすましが使用されないその他のシナリオでは、サービス間トークンに対しては現在、有効性の確認は行なわれません。
以下のアプリには、クライアント アプリのアクセス制御は適用されません。
サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)
詳細については、よく使われる Microsoft ファーストパーティ サービスとポータル アプリ を参照してください。
サービス間呼び出しによるパートナー アプリ
これらのアプリをブロックするには、Power Platform 管理センターで非アクティブにするか、環境から削除します。 詳細については、Power Platform 管理センターでアプリケーション ユーザーを管理する方法を参照してください。
前提条件
次の必要条件を完了します。
ロールを確認します
Power Platform に関連するサービス管理者ロールは 2 種類あり、高度な管理機能を提供するために割り当てることができます:
- Power Platform 管理者
- Dynamics 365管理者
環境がマネージド環境であることを確認する
環境はすべて、マネージド環境である必要があります。 詳細については、マネージド環境の概要 を参照してください。
環境で監査をオンにする
- システム管理者として、Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、[管理] を選択 します。
- 管理ウィンドウで環境を選択します。 続いて、特定の環境を選択します。
- コマンド バーで、設定 を選択します。
- 監査とログ>監査設定を選択します。
- 監査 セクションで、監査の開始、ログアクセス、ログの読み取り オプションを選択します。
- 保存を選びます。
環境のアプリケーション リストをレビューする
Dataverse 環境で実行するために事前登録された一連のアプリケーションがあります。 このアプリケーションの一覧は、環境によって異なる場合があります。 これらのアプリは、環境に自動的に読み込まれます。
ヒント
次のアプリは、Dataverse 環境での実行が事前承認されています:
- 「On-Behalf-Of (代理を務めるユーザー)」 トークンの取得が事前に承認されているすべての Microsoft アプリ。 詳細については、Microsoft ID プラットフォームと OAuth2.0 On-Behalf-Of フローを参照してください。
- アプリケーション ユーザー アプリ。 詳細については、特別なシステムユーザーとアプリケーション ユーザーを参照してください。
- On-Behalf-Of トークンを動的に取得できるすべてのレガシ アプリ。
- prvActOnBehalfOfAnotherUser 特権を持つすべてのアプリと、ヘッダーを使用してユーザーを偽装するアプリ。 詳細については、他のユーザーを偽装する を参照してください。
アプリケーションをリストに追加します
アプリケーションをリストに追加するには、次の手順を実行します。
Power Platform 管理センターにサインインします。
ナビゲーション ウィンドウで、[管理] を選択 します。
管理ウィンドウで環境を選択します。
環境ページで、環境名を選択します。
などの
contoso.crm.dynamics.comをコピーします。同じブラウザで新しいタブを開き (ログインしたままにするため)、次の URL をアドレス バーに追加します。
<EnvironmentURL>を環境 URL に置き換えて、Enter キーを押します。https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039フォームには、環境に読み込まれているアプリケーションの一覧が表示されます。
[+新規] を選択します。
新しい画面で、ApplicationId と入力します。
名前を入力します。
保存を選びます。
リストからアプリケーションを選択する
リストからアプリケーションを削除するには:
アプリを選択します。
を選択して、を削除します。
削除するアプリごとにこの手順を繰り返します。
ヒント
環境にプリ インストールされていたシステム アプリを削除した場合、そのアプリはシステムによって自動的に復元されます。 追加したアプリのみを削除することもできます。
アプリを許可またはブロックする
許可することの多い一般的なアプリ
ここでは、一般的に使用されるアプリのうち、安全に許可できるものをいくつか紹介します。
| アプリケーション識別子 | アプリケーション名 |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Microsoft Dynamics File Storage |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Microsoft Dynamics NRD サービス |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service - Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | microsoft Dynamics CRM App for Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Dynamics 365 Analytics |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Common Data Service グローバル探索サービス |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Microsoft Flow サービス |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Azure Synapse Link for Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS プロダクト 株式会社 |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Power Platform 承認サービス PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Azure SQL DatabaseとData Warehouse |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA for CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Dynamic 365 Sales Insights Connector for Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Power Platform Dataflows Common Data Service クライアント |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Power Platform の分析情報と推奨事項のデータ プレーン プロダクション |
一般的にブロックすることの多いアプリ
これらのアプリは、データの強力なエクスポーターです。 これらをブロックすることで、機密情報のデータ流出を防ぐことができます。
| アプリケーション識別子 | アプリケーション名 |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query for Excel (デスクトップ クライアント) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Microsoft Access クライアント |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
推奨手順
- 非運用環境で監査モードをオンにします。
- 環境で実行されているアプリの監査ログを確認して、アクセス制御を管理するアプリの一覧を取得します。
- 次に、運用環境で手順 1~2 を繰り返します。
- 環境での実行を許可するアプリの一覧を確認します。
アプリのアクセス制御のモード
次の 4 つのモードがあります。
監査モードをオンにする
少なくとも 1 週間は監査モードをオンにして、ユーザーが環境で実行しているアプリの一覧を取得することをお勧めします。
この監査ログの一覧を使用して、許可またはブロックするアプリを決定できます。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ ペインで、ID およびアクセス管理を選択します。
- ID およびアクセス管理 ペインで、アプリのアクセス制御を選択する
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウンリストで AuditMode オプションを選択します。
- Dataverse アプリケーションを選択し、グリッド上の許可オプションを選択します。
- 保存を選びます。
- 環境の一覧が再度表示されます。 監査を有効にする環境ごとにこの手順を繰り返します。 環境の監査モードを有効にしたら、パネルを閉じます。
ヒント
監査モードは構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。
監査モードでは、アクセスを許可するアプリケーションを少なくとも 1 つ選択する必要があります。 ただし、監査モードではアプリのアクセス制御は適用されません。 アクセスを許可または拒否されているかどうかに関係なく、環境にアクセスしているアプリの一覧を取得します。
ログ アクセス オプションを含め、環境の監査設定を許可する必要があります。
監査ログの一覧を取得する
システム管理者として、Power Platform 管理センターにサインインします。
ナビゲーション ウィンドウで、[管理] を選択 します。
管理ウィンドウで環境を選択します。 次に、監査をオンにした環境を選択します。
設定を選択します。
監査とログ>監査概要ビューを選択します。
フィルターを有効/無効にする を選択して、見出しのドロップダウン機能のリストを確認します。
イベント 見出しの近くにあるドロップダウン矢印を選択し、ApplicationBasedAccessDenied および ApplicationBasedAccessAllowed を見つけて選択します。
[OK] を選択.
フィルタリングされた監査が表示されます。
有効モードをオンにする
ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アプリでアクセスを 許可する または ブロックする よう選択できます。
Power Platform 管理センターにサインインします。
ナビゲーション ウィンドウで、セキュリティ を選択します。
セキュリティ ペインで、ID およびアクセス管理を選択します。
ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。
アプリのアクセス制御機能をオンにする環境を選択します。
アプリのアクセス制御を設定 ボタンを選択します。
Access Control ドロップダウン リストで、有効 を選択します。
Dataverse アプリケーションを選択し、グリッドの上部にある以下のオプションのいずれかを選択します:
- 許可では、アプリへのアクセスを許可します。
- ブロックでは、アプリへのアクセスを拒否します。
保存を選びます。
環境の一覧が再度表示されます。 ブロックするアプリのブロックを開始し、承認されたアプリを許可する環境ごとに手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
有効モードは、構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。
ロールに対して有効なモードをオンにする
ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アクセスを許可するアプリには、セキュリティ ロールを割り当てて、環境内でそれらのアプリを実行できるユーザーを制限できます。 選択したセキュリティ ロールに割り当てられたユーザーのみがアプリを実行できます。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ ペインで、ID およびアクセス管理を選択します。
- ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウン リストで、ロールに対して有効 を選択します。
- アプリを選択したら、グリッドの上にある セキュリティ ロールの管理 オプションを選択します。
- 必要なセキュリティ ロールを 1 つ以上選択します。
- 保存を選びます。
- ウィンドウが表示され、選択したロールを確認するように求められます。 保存を選びます。
- アプリのリストが再表示されます。 保存を選びます。
- 環境の一覧が再度表示されます。 セキュリティ ロールを割り当てる環境ごとにこの手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
ロールの有効化モードは、構成設定を更新した後、有効になるまでに最大 1 時間かかる場合があります。
アプリのアクセス制御機能をオフにする
アプリのアクセス制御機能をオフにして、環境で実行されているアプリの制限を解除します。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ ペインで、ID およびアクセス管理を選択します。
- ID およびアクセス管理 ペインで、アプリのアクセス制御を選択します。
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウン リストで、無効 を選択します。
- 保存を選びます。
- 環境の一覧が再度表示されます。 機能をオフにする環境ごとに、この手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
一部のアプリを 許可 または ブロックに設定している場合、アプリのアクセス制御機能が無効になっているときに設定を削除する必要はありません。 この環境では、アプリの制限はありません。
エラー メッセージ: ユーザーアプリ拒否エラー
ユーザーが許可されていないアプリを実行しようとすると、次のエラー メッセージが表示されます:
このアプリケーション ID への Dataverse API アクセスは制限されています。
一般的に使用される Microsoft のファーストパーティ サービスとポータル アプリ
次のアプリは Microsoft ファーストパーティ サービスです。 このアプリの一覧は、使用している環境の種類とインストールされているソリューションによって異なる場合があります。 これらのアプリは、存在するすべての環境で自動的に許可されます。 ユーザーがこれらのアプリを使用できないようにするには、必要なユーザー ライセンスを削除するか、Dataverse セキュリティ ロールの割り当てを削除します。 たとえば、Power Apps maker ポータルを使用するには、作成者に Environment Maker、System Customizer、または System Administrator セキュリティ ロールを割り当てる必要があります。
| アプリケーション識別子 | アプリケーション名 |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Microsoft Flow ポータル DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft Flow ポータル GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | PowerPlatformAdminCenter クライアント |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | ファイナンス コパイロット |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |