Kongsi melalui

Kawal apl yang dibenarkan dalam persekitaran anda

Lindungi daripada penyusupan data dengan mengawal apl yang boleh dijalankan dalam persekitaran anda Dataverse . Perlindungan ini menghalang pengalihan keluar maklumat sensitif tanpa kebenaran, membantu perniagaan anda mengekalkan kesinambungan dan mematuhi peraturan.

Konfigurasikan apl yang dibenarkan atau disekat dalam persekitaran anda. Ini menghalang pengguna berniat jahat daripada menggunakan apl yang tidak diluluskan untuk mengeksport data sensitif.

Bagaimanakah kawalan akses apl berfungsi?

Kawalan akses apl dilakukan pada Dataverse lapisan pengesahan. Ketahui lebih lanjut dalam Mengesahkan kepada Power Platform perkhidmatan. Dataverse pengesahan mengesahkan ID aplikasi klien dalam token pengguna terhadap senarai aplikasi yang dibenarkan dan disekat yang dikonfigurasikan untuk persekitaran. Pengesahan sama ada memberikan atau menafikan akses apl pengguna kepada persekitaran.

Pengguna boleh mengesahkan dalam empat cara:

  • Konteks pengguna

    Pengguna mendaftar masuk ke sistem, seperti Dynamics 365 Sales, dengan kelayakan mereka.

  • Konteks aplikasi dengan penyamaran pengguna

    Pengguna log masuk ke apl Microsoft pihak pertama. Apl membuat panggilan dengan Dataverse token aplikasinya yang mewakili pengguna. Ketahui lebih lanjut dalam Menyamar sebagai pengguna lain menggunakan API Web.

  • Apl pihak pertama dengan panggilan perkhidmatan-ke-perkhidmatan (konteks aplikasi)

    Apl Microsoft pihak pertama membuat panggilan untuk Dataverse menggunakan token aplikasinya. Apl pihak pertama ini didaftarkan dan menyediakan perkhidmatan dalaman, seperti penyegerakan e-mel, yang biasanya dijalankan di latar belakang tanpa sebarang interaksi pengguna.

  • Apl pihak ketiga yang didaftarkan dalam pendaftaran aplikasi portal Microsoft Azure anda

    Apl tersuai anda mengesahkan menggunakan sijil atau token pengguna pendaftaran aplikasi Azure anda.

Contoh cara kawalan capaian apl klien berfungsi dalam pengesahan konteks pengguna dan aplikasi :

  • Konteks pengguna dengan token pengguna

    • Untuk semua permintaan token pengguna, kami mengesahkan sama ada ID aplikasi yang digunakan adalah sebahagian daripada senarai yang dibenarkan atau disekat.
    • Token pengguna juga boleh diperolehi untuk klien awam untuk apl pihak pertama danrakan kongsi.

    Nota

    • Kami tidak mengesyorkan membenarkan pelanggan awam melainkan ia diperlukan buat sementara waktu.
    • Apl ini 00000007-0000-0000-c000-000000000000 Dataverse dibenarkan secara automatik dalam semua persekitaran. Akses pengguna kepada Dataverse persekitaran boleh diuruskan dengan sama ada memberikan lesen pengguna yang sesuai dan/atau memberikan Dataverse peranan keselamatan kepada pengguna.

  • Konteks aplikasi dengan penyamaran pengguna

  • Penyamaran menggunakan apl pihak pertama

    • Dalam senario seperti Power Automate, di mana token aplikasi perkhidmatan-ke-perkhidmatan digunakan dengan penyamaran pengguna, kami menyemak sama ada ID aplikasi dibenarkan atau disekat.
    • Untuk senario lain di mana penyamaran pengguna tidak digunakan, tiada pengesahan dilakukan pada masa ini untuk token perkhidmatan-ke-perkhidmatan.

Kawalan capaian apl klien tidak digunakan pada apl berikut:

Prasyarat

Lengkapkan prasyarat berikut:

Sahkan peranan anda

Terdapat dua Power Platform peranan pentadbir perkhidmatan berkaitan yang boleh anda tetapkan untuk menyediakan tahap pengurusan pentadbir yang tinggi:

  • Pentadbir Power Platform
  • Pentadbir Dynamics 365

Sahkan bahawa persekitaran anda ialah Persekitaran Terurus

Persekitaran anda mestilah Persekitaran Terurus. Ketahui lebih lanjut dalam gambaran keseluruhan Persekitaran Terurus.

Hidupkan pengauditan dalam persekitaran

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir sistem.
  2. Dalam anak tetingkap navigasi, pilih Urus.
  3. Dalam anak tetingkap Urus , pilih Persekitaran. Kemudian pilih persekitaran khusus anda.
  4. Pilih Tetapan dalam bar perintah.
  5. Pilih Audit dan log Tetapan> audit.
  6. Dalam bahagian Pengauditan , pilih pilihan Mulakan pengauditan , Akses log danBaca log .
  7. Pilih Simpan.

Semak senarai aplikasi dalam persekitaran

Terdapat satu set aplikasi yang telah dipradaftarkan untuk dijalankan dalam Dataverse persekitaran. Senarai aplikasi ini mungkin berbeza antara persekitaran yang berbeza. Apl ini dimuatkan secara automatik ke dalam persekitaran anda.

Nota

Apl berikut telah diprakebenarankan untuk dijalankan dalam Dataverse persekitaran:

  • Semua apl Microsoft yang diberi prakebenaran untuk memperoleh token Bagi Pihak Dengan. Ketahui lebih lanjut dalam platform identiti Microsoft dan aliran OAuth2.0 Bagi Pihak Dengan.
  • Apl pengguna aplikasi. Ketahui lebih lanjut dalam Pengguna sistem khas dan pengguna aplikasi.
  • Semua apl legasi yang boleh memperoleh token Bagi Pihak Secara dinamik.
  • Semua apl dengan keistimewaan prvActOnBehalfOfAnotherUser dan apl yang menggunakan pengepala untuk menyamar sebagai pengguna. Ketahui lebih lanjut dalam Menyamar sebagai pengguna lain.

Tambah permohonan ke senarai

Untuk menambah permohonan pada senarai dengan melengkapkan langkah berikut.

  1. Daftar masuk ke pusat pentadbiran Power Platform.

  2. Dalam anak tetingkap navigasi, pilih Urus.

  3. Dalam anak tetingkap Urus , pilih Persekitaran.

  4. Dalam halaman Persekitaran , pilih nama persekitaran.

  5. Salin URL Alam Sekitar seperti contoso.crm.dynamics.com.

  6. Buka tab baharu dalam penyemak imbas yang sama (untuk kekal log masuk) dan tambahkan URL berikut pada bar alamat. Gantikan <EnvironmentURL> dengan URL persekitaran anda dan kemudian tekan Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Borang menunjukkan senarai aplikasi yang dimuatkan dalam persekitaran anda.

  7. Pilih +Baharu.

  8. Pada skrin baharu, masukkan ApplicationId.

  9. Masukkan Nama.

  10. Pilih Simpan.

Alih keluar aplikasi daripada senarai

Untuk mengalih keluar permohonan daripada senarai:

  1. Pilih satu aplikasi.

  2. Pilih Padam.

  3. Ulangi prosedur ini untuk setiap apl yang anda mahu alih keluar.

    Nota

    Jika anda mengalih keluar apl sistem yang telah dipramuat dalam persekitaran, apl boleh dipulihkan secara automatik oleh sistem. Anda mungkin mahu memadamkan apl yang telah anda tambahkan sahaja.

Benarkan atau sekat apl

Apl yang biasa digunakan yang mungkin anda mahu benarkan

Berikut ialah beberapa apl yang biasa digunakan yang selamat untuk dibenarkan.

ID Aplikasi Nama aplikasi
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics Penyimpanan Fail
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics Perkhidmatan JPN
546068c3-99b1-4890-8e93-c8aeadcfe56a Perkhidmatan Data Biasa - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics Aplikasi CRM untuk Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Analitis Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Perkhidmatan Penemuan Global
730d33da-0894-409f-a907-c577151719c5 Aliran-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow Perkhidmatan
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 EMPANGAN PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Perkhidmatan Kebenaran PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Pangkalan Data Azure SQL dan Gudang Data
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA untuk CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Penyambung Cerapan Jualan 365 Dinamik untuk Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Power Platform Pelanggan Aliran Common Data Service Data
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Cerapan dan Cadangan Data Plane Prod
Apl yang mungkin anda mahu sekat

Apl ini ialah pengeksport data yang berkuasa. Menyekatnya menghalang kemungkinan penyusupan data maklumat sensitif.

ID Aplikasi Nama aplikasi
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query untuk Excel (klien desktop)
d3590ed6-52b3-4102-aeff-aad2292ab01c Pelanggan Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Hidupkan mod audit dalam persekitaran bukan pengeluaran anda.
  2. Semak log audit untuk aplikasi yang berjalan dalam persekitaran untuk mendapatkan senarai aplikasi yang kawalan aksesnya ingin anda uruskan.
  3. Ulangi langkah 1-2 dalam persekitaran pengeluaran anda.
  4. Sahkan senarai apl yang anda mahu benarkan dijalankan dalam persekitaran.

Mod kawalan akses apl

Terdapat empat mod berbeza:

Hidupkan mod audit

Kami mengesyorkan agar anda menghidupkan mod audit, selama sekurang-kurangnya satu minggu, untuk mendapatkan senarai aplikasi yang dijalankan oleh pengguna anda dalam persekitaran.

Menggunakan senarai log audit ini , anda boleh menentukan apl yang anda mahu benarkan atau sekat.

  1. Daftar masuk ke pusat pentadbiran Power Platform.
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.
  4. Dalam halaman Pengurusan identiti dan capaian , pilih Kawalan capaian apl
  5. Pilih persekitaran tempat anda mahu menghidupkan ciri kawalan akses apl.
  6. Pilih butang Sediakan kawalan akses apl.
  7. Pilih pilihan AuditMode dalam senarai juntai bawah kawalan akses .
  8. Pilih Dataverse aplikasi, kemudian pilih pilihan Benarkan yang terletak di atas grid.
  9. Pilih Simpan.
  10. Senarai persekitaran dipaparkan semula. Ulangi prosedur untuk setiap persekitaran yang anda mahu menghidupkan pengauditan. Tutup panel apabila anda selesai menghidupkan mod audit untuk persekitaran anda.

Nota

Mod audit mungkin mengambil masa sehingga sejam untuk berkuat kuasa, selepas anda mengemas kini seting konfigurasi.

Dalam mod audit, anda mesti memilih sekurang-kurangnya satu aplikasi untuk membenarkan akses. Walau bagaimanapun, kawalan akses apl tidak dikuatkuasakan dalam mod audit. Anda mendapat senarai apl yang mengakses persekitaran sama ada ia dibenarkan atau dinafikan akses.

Seting audit untuk persekitaran mesti dibenarkan, termasuk opsyen Capaian log.

Dapatkan semula senarai log audit anda

  1. Log masuk ke Pusat Power Platform Pentadbiran sebagai pentadbir sistem.

  2. Dalam anak tetingkap navigasi, pilih Urus.

  3. Dalam anak tetingkap Urus , pilih Persekitaran. Kemudian pilih persekitaran tempat anda menghidupkan pengauditan.

  4. Pilih Tetapan.

  5. Pilih Audit dan log>Paparan ringkasan audit.

  6. Pilih Dayakan/Lumpuhkan Penapis untuk menyemak senarai keupayaan juntai bawah tajuk.

  7. Pilih anak panah juntai bawah berhampiran tajuk Acara , kemudian cari dan pilih ApplicationBasedAccessDenied dan ApplicationBasedAccessAllowed.

    Tangkapan skrin yang menunjukkan di mana butang Dayakan/Lumpuhkan Penapis dan kotak semak ApplicationBasedAccessDenied dan ApplicationBasedAccessAllowed terletak pada halaman Pandangan ringkasan audit.

  8. Pilih OK.

    Audit anda yang ditapis dipaparkan.

Hidupkan mod didayakan

Mula menyekat apl yang disekat dan hanya membenarkan apl yang diluluskan. Anda boleh memilih apl untuk sama ada mempunyai akses Dibenarkan atau Disekat .

  1. Daftar masuk ke pusat pentadbiran Power Platform.

  2. Dalam anak tetingkap navigasi, pilih Keselamatan.

  3. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.

  4. Dalam halaman Pengurusan identiti dan capaian , pilih Kawalan capaian apl.

  5. Pilih persekitaran tempat anda mahu menghidupkan ciri kawalan akses apl.

  6. Pilih butang Sediakan kawalan akses apl.

  7. Pilih Didayakan dalam senarai juntai bawah kawalan akses .

  8. Pilih Dataverse aplikasi, kemudian pilih salah satu daripada pilihan ini, terletak di atas grid:

    • Benarkan untuk membenarkan akses kepada apl.
    • Sekat untuk menafikan akses kepada apl.

  9. Pilih Simpan.

  10. Senarai persekitaran dipaparkan semula. Ulangi prosedur untuk setiap persekitaran yang anda mahu mula menyekat apl yang disekat dan membenarkan apl yang diluluskan. Tutup panel apabila anda selesai.

    Nota

    Mod didayakan mungkin mengambil masa sehingga sejam untuk berkuat kuasa, selepas anda mengemas kini seting konfigurasi.

Hidupkan didayakan untuk mod peranan

Mula menyekat apl yang disekat dan hanya membenarkan apl yang diluluskan. Untuk apl yang dibenarkan akses, anda boleh memperuntukkan peranan keselamatan untuk menyekat orang yang boleh menjalankan apl tersebut dalam persekitaran. Hanya pengguna yang ditugaskan dengan peranan keselamatan yang dipilih boleh menjalankan apl.

  1. Daftar masuk ke pusat pentadbiran Power Platform.
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.
  4. Dalam halaman Pengurusan identiti dan capaian , pilih Kawalan capaian apl.
  5. Pilih persekitaran tempat anda mahu menghidupkan ciri kawalan akses apl.
  6. Pilih butang Sediakan kawalan akses apl.
  7. Pilih Didayakan untuk peranan dalam senarai juntai bawah kawalan capai .
  8. Setelah apl anda dipilih, pilih pilihan Urus peranan keselamatan yang terletak di atas grid.
  9. Pilih satu atau lebih peranan keselamatan yang dikehendaki.
  10. Pilih Simpan.
  11. Tetingkap muncul, meminta anda mengesahkan peranan yang anda pilih. Pilih Simpan.
  12. Senarai apl dipaparkan semula. Pilih Simpan.
  13. Senarai persekitaran dipaparkan semula. Ulangi prosedur untuk setiap persekitaran yang anda mahu memperuntukkan peranan keselamatan. Tutup panel apabila anda selesai.

Nota

Mod peranan yang didayakan mungkin mengambil masa sehingga sejam untuk berkuat kuasa, selepas anda mengemas kini seting konfigurasi.

Matikan ciri kawalan akses apl

Nyahaktifkan ciri kawalan capaian apl untuk mengalih keluar sekatan pada apl yang berjalan dalam persekitaran.

  1. Daftar masuk ke pusat pentadbiran Power Platform.
  2. Dalam anak tetingkap navigasi, pilih Keselamatan.
  3. Dalam anak tetingkap Keselamatan , pilih Identiti dan akses.
  4. Dalam halaman Pengurusan identiti dan capaian , pilih Kawalan capaian apl.
  5. Pilih persekitaran tempat anda mahu menghidupkan ciri kawalan akses apl.
  6. Pilih butang Sediakan kawalan akses apl.
  7. Pilih Dilumpuhkan dalam senarai juntai bawah kawalan akses .
  8. Pilih Simpan.
  9. Senarai persekitaran dipaparkan semula. Ulangi prosedur untuk setiap persekitaran yang anda mahu mematikan ciri tersebut. Tutup panel apabila anda selesai.

Nota

Jika anda mengesetkan sesetengah app kepada Dibenarkan atau Disekat, anda tidak perlu mengalih keluar tetapan apabila ciri kawalan akses app dimatikan kepada Dilumpuhkan. Tiada sekatan apl dalam persekitaran ini.

Mesej ralat: Ralat pengguna apl ditolak

Pengguna menerima mesej ralat berikut jika mereka cuba menjalankan apl yang tidak dibenarkan:

Akses kepada Dataverse API adalah terhad untuk ID aplikasi ini.

Perkhidmatan pihak pertama Microsoft dan aplikasi portal yang biasa digunakan

Apl berikut ialah perkhidmatan pihak pertama Microsoft. Senarai apl ini boleh berbeza bergantung pada jenis persekitaran yang anda miliki dan penyelesaian yang dipasang. Apl ini dibenarkan secara automatik dalam semua persekitaran di mana ia wujud. Untuk menyekat pengguna anda daripada menggunakan apl ini, anda boleh sama ada mengalih keluar lesen pengguna yang diperlukan atau mengalih keluar tugasan peranan keselamatan mereka Dataverse . Contohnya, untuk menggunakan Power Apps portal pembuat, pembuat anda mesti diberikan sama ada peranan keselamatan Pembuat Persekitaran, Penyesuai Sistem atau Pentadbir Sistem.

ID Aplikasi Nama aplikasi
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC Tinggi
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Klien PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed Pusat Pentadbiran PowerPlatform
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Juruterbang Kewangan
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Kandungan berkaitan

  • Last updated on