Kontroller hvilke apper som er tillatt i miljøet

Beskytt mot dataeksfiltrering ved å styre hvilke apper som kan kjøre i Dataverse-miljøet. Disse sikkerhetstiltakene forhindrer uautorisert fjerning av sensitiv informasjon, og hjelper virksomheten din med å opprettholde kontinuitet og etterleve forskrifter.

Konfigurer hvilke apper som er tillatt eller blokkert i miljøet. Dette forhindrer ondsinnede brukere i å bruke ikke-godkjente apper til å eksportere sensitive data.

Hvordan fungerer apptilgangskontroll?

Apptilgangskontroll utføres på Dataverse-autentiseringslaget. Finn ut mer i Autentisering til Power Platform-tjenester. Dataverse-autentisering validerer klientapp-ID-en i brukerens token mot en liste over tillatte og blokkerte apper som er konfigurert for miljøet. Godkjenningen gir eller nekter brukerens app tilgang til miljøet.

Brukere kan godkjenne på fire måter:

• Brukerkontekst

  Brukeren logger seg på systemet, for eksempel Dynamics 365 Sales, med legitimasjonen sin.

• Applikasjonskontekst med brukeridentifikasjon

  Brukeren logger seg på en førsteparts Microsoft app. Appen foretar et kall til Dataverse med applikasjonstokenet som representerer brukeren. Få mer informasjon i Representer en annen bruker ved hjelp av nett-API-en.

• Førstepartsapp med tjeneste-til-tjeneste-kall (applikasjonskontekst)

  En førsteparts Microsoft-app foretar et kall til Dataverse ved hjelp av applikasjonstokenet sitt. Disse førstepartsappene er registrert og tilbyr interne tjenester, for eksempel e-postsynkronisering, som vanligvis kjører i bakgrunnen uten brukermedvirkning.

• Tredjepartsapper registrert i appregistreringen til Azure-portalen din

  Den egendefinerte appen godkjennes ved hjelp av sertifikatet eller brukertokenet for Azure-appregistrering.

Eksempler på hvordan tilgangskontroll for klientapper fungerer ved godkjenning i konteksten forbruker og program:

• Brukerkontekst med brukertoken

  • For alle forespørsler om brukertoken validerer vi om program-ID-en som brukes, er en del av tillatte eller blokkerte lister.
  • Et brukertoken kan også skaffes for en offentlig klient for førsteparts- og partnerapper.

  Notat

  • Vi anbefaler ikke at du tillater en offentlig klient med mindre den trengs midlertidig.
  • 00000007-0000-0000-c000-000000000000 Dataverse-appen er automatisk tillatt i alle miljøer. Brukertilgang til Dataverse-miljøet kan administreres enten ved å tilordne riktig brukerlisens og/eller tilordne en Dataverse-sikkerhetsrolle til brukeren.

• Applikasjonskontekst med brukeretterligning

• Etterligning ved bruk av en førstepartsapp

  • I scenarioer som Power Automate, der et tjeneste-til-tjeneste-applikasjonstoken brukes med brukeridentifikasjon, kontrollerer vi om applikasjons-ID-en er tillatt eller blokkert.
  • Når det gjelder andre scenarioer der brukerrepresentasjon ikke brukes, blir det for øyeblikket ikke utført valideringer for tjeneste-til-tjeneste-tokener.

Tilgangskontroll for klientapper brukes ikke på følgende apper:

• Førstepartsapper med tjeneste-til-tjeneste-kall (applikasjonskontekst)

  Finn ut mer i Ofte brukte førstepartstjenester og -portalapper fra Microsoft.

• Partnerapper med tjeneste-til-tjeneste-kall

  For å blokkere disse appene, gjør dem inaktive eller slett dem fra miljøet i Power Platform-administrasjonssenteret. Finn ut mer i Administrer programbrukere i Power Platform-administrasjonssenteret.

Forhåndskrav

Oppfyll følgende forutsetninger:

Bekreft rollen din

Det finnes to Power Platform-relaterte tjenesteadministratorroller du kan tilordne for å gi et høyt nivå av administratoradministrasjon:

• Power Platform-administrator
• Administrator for Dynamics 365

Kontroller at miljøet er et administrert miljø

Miljøet må være et administrert miljø. Finn ut mer i Oversikt over administrert miljø

Aktiver sporing av endringer i miljøet

1. Logg deg på administrasjonssenteret for Power Platform som systemadministrator.
2. Velg Administrer i navigasjonsruten.
3. I Administrer-ruten, velg Miljøer. Velg deretter ditt spesifikke miljø.
4. Velg Innstillinger på kommandolinjen.
5. Velg Revisjon og logger>Revisjonsinnstillinger.
6. Velg alternativene Start sporing av endringer, Loggfør tilgang og Les logger i delen Sporing av endringer.
7. Velg Lagre.

Se gjennom programlisten i miljøet

Det finnes et sett med applikasjoner som er forhåndsregistrert for å kjøre i et Dataverse-miljø. Denne listen over programmer kan være forskjellig mellom forskjellige miljøer. Disse appene lastes automatisk inn i miljøet ditt.

Obs!

Følgende apper er forhåndsgodkjent til å kjøre i et Dataverse-miljø:

• Alle Microsoft-apper som er forhåndsautorisert til å hente på-vegne-av-tokener. Finn ut mer i Microsoft-identitetsplattform og OAuth2.0 på-vegne-av-flyt.
• Apper for programbrukere. Finn ut mer i Spesielle systembrukere og programbrukere.
• Alle eldre apper som dynamisk kan anskaffe på-vegne-av-tokener.
• Alle apper med rettigheten prvActOnBehalfOfAnotherUser og de som bruker topptekster til å representere brukere. Finn ut mer i Representer en annen bruker.

Legg til programmer i listen

Du kan legge til et program i listen ved å fullføre trinnene nedenfor.

1. Logg deg på administrasjonssenteret for Power Platform.

2. Velg Administrer i navigasjonsruten.

3. I Administrer-ruten, velg Miljøer.

4. Velg navnet på et miljø på Miljøer-siden.

5. Kopier Nettadresse for miljø, for eksempel contoso.crm.dynamics.com.

6. Åpne en ny fane i samme nettleser (for å forbli pålogget) og legg til følgende nettadresse i adressefeltet. Erstatt <EnvironmentURL> med nettadressen for miljøet, og trykk deretter ENTER.

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   Skjemaet viser listen over programmer som lastes inn i miljøet.

7. Velg + Nytt.

8. På den nye skjermen skriver du inn en ApplicationId.

9. Angi et navn.

10. Velg Lagre.

Fjern programmer fra listen

Slik fjerner du et program fra listen:

1. Velg en app.

2. Velg Slett.

3. Gjenta denne prosedyren for hver app du vil fjerne.

   Notat

   Hvis du fjernet en systemapp som var forhåndslastet i miljøet, kan appen gjenopprettes automatisk av systemet. Du vil kanskje slette bare appene du har lagt til.

Tillat eller blokker apper

Vanlige apper du kanskje vil tillate

Her er noen ofte brukte apper som er trygge å tillate.

Application ID	Programnavn
07ce06e6-4ae9-4466-bca4-2984fa04d057	Microsoft Dynamics-fillagring
1884bdbf-452a-4a11-9c76-afdbdb1b3768	RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3	PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff	MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15	Microsoft Dynamics NRD-tjeneste
546068c3-99b1-4890-8e93-c8aeadcfe56a	Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa	DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e	Microsoft Dynamics CRM App for Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d	Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8	Global oppdagelsestjeneste for Common Data Service
730d33da-0894-409f-a907-c577151719c5	Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c	Microsoft Flow-tjeneste
7f15f9d9-cad0-44f1-bbba-d36650e07765	Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195	DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3	Power Platform autorisasjonstjeneste PRODUKSJON
978b42f5-e03a-4695-b8df-454959d032c8	forretningsprogramplattform
99ff962b-6252-4b98-8478-0c65a3ea1925	InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf	Azure SQL Database og Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8	BizQA for CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94	Dynamic 365 Sales Insights Connector for Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9	PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e	IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b	Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021	CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3	JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2	AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7	Power Platform Dataflows Common Data Service Client
0c906d81-7073-46b5-a95c-3726fca3e3a3	Power Platform-innsikt og anbefalinger Dataplanproduksjon

Apper du kanskje vil blokkere

Disse appene er kraftige eksportører av data. Blokkering av dem forhindrer mulig dataeksfiltrering av sensitiv informasjon.

Application ID	Programnavn
a672d62c-fc7b-4e81-a576-e60dc46e951d	Microsoft Power Query for Excel (skrivebordsklient)
d3590ed6-52b3-4102-aeff-aad2292ab01c	Microsoft Access-klient
51f81489-12ee-4a9e-aaae-a2591f45987d	XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc	PowerShell
00000009-0000-0000-c000-000000000000	Power BI

Anbefalte trinn

1. Slå på revisjonsmodus i ditt ikke-produksjonsmiljø.
2. Se gjennom overvåkingsloggen for appene som kjører i miljøet, for å få listen over apper du vil administrere tilgangskontroll for.
3. Gjenta trinn 1–2 i produksjonsmiljøet.
4. Bekreft listen over apper du vil tillate å kjøre i miljøet.

Moduser for apptilgangskontroll

Det er fire forskjellige moduser:

• Slå på revisjonsmodus
• Slå på aktivert-modus
• Slå på aktivert for roller-modus
• Slå av app-tilgang

Aktiver Spor endringer-modus

Vi anbefaler at du aktiverer overvåkingsmodus i minst én uke for å hente listen over apper som brukerne kjører i et miljø.

Ved hjelp av denne listen for revisjonslogg kan du bestemme hvilke apper du vil tillate eller blokkere.

1. Logg deg på administrasjonssenteret for Power Platform.
2. I navigasjonsruten velger du Sikkerhet.
3. I Sikkerhet-ruten velger du Identitet og tilgang.
4. Velg Apptilgangskontroll på siden Administrasjon av identitet og tilgang
5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
6. Velg knappen Konfigurer apptilgangskontroll .
7. Velg alternativet AuditMode i rullegardinlisten Tilgangskontroll.
8. Velg et Dataverse-program, og velg deretter alternativet Tillat som ligger over rutenettet.
9. Velg Lagre.
10. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil aktivere sporing av endringer. Lukk panelet når du er ferdig med å aktivere revisjonsmodus for miljøene.

Notat

Det kan ta opptil en time før modus for sporing av endringer trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

I modus for sporing av endringer må du velge minst ett program for å tillate tilgang. Apptilgangskontroll håndheves imidlertid ikke i revisjonsmodus. Du får en liste over apper som har tilgang til miljøet, uavhengig av om de gis eller nektes tilgang.

Innstillingene for sporing av endringer for et miljø må være tillatt, inkludert alternativet Loggtilgang.

Hent listen over overvåkingslogg

1. Logg inn på Power Platform-administrasjonssenteret som en systemadministrator.

2. Velg Administrer i navigasjonsruten.

3. I Administrer-ruten, velg Miljøer. Velg deretter et miljø der du aktiverte sporing av endringer.

4. Velg Innstillinger.

5. Velg Revisjon og logger>Oversikt over revisjonssammendrag.

6. Velg Aktiver/deaktiver filtre for å se gjennom en liste over rullegardinfunksjoner for overskrifter.

7. Velg rullegardinpilen nær overskriften Hendelse, og finn og velg deretter ApplicationBasedAccessDenied og ApplicationBasedAccessAllowed.

   

8. Velg OK.

   De filtrerte revisjonene vises.

Aktiver aktivert modus

Begynn å blokkere apper som er blokkert, og tillat bare godkjente apper. Du kan velge apper som har tillatt eller blokkert tilgang.

1. Logg deg på administrasjonssenteret for Power Platform.

2. I navigasjonsruten velger du Sikkerhet.

3. I Sikkerhet-ruten velger du Identitet og tilgang.

4. Velg Apptilgangskontroll på siden Administrasjon av identitet og tilgang.

5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.

6. Velg knappen Konfigurer apptilgangskontroll .

7. Velg Aktivert i rullegardinlisten Tilgangskontroll.

8. Velg en Dataverse-applikasjon, og velg deretter ett av disse alternativene, som ligger over rutenettet:

   • Tillat for å tillate tilgang til appen.
   • Blokker å nekte tilgang til appen.

9. Velg Lagre.

10. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil begynne å blokkere apper som er blokkert, og tillate godkjente apper. Lukk panelet når du er ferdig.

    Notat

    Det kan ta opptil en time før aktivert modus trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

Aktiver modusen aktivert for roller

Begynn å blokkere apper som er blokkert, og tillat bare godkjente apper. For apper som har tilgang, kan du tildele sikkerhetsroller for å begrense hvem som kan kjøre disse appene i miljøet. Bare brukere som er tildelt den valgte sikkerhetsrollen, kan kjøre appene.

1. Logg deg på administrasjonssenteret for Power Platform.
2. I navigasjonsruten velger du Sikkerhet.
3. I Sikkerhet-ruten velger du Identitet og tilgang.
4. Velg Apptilgangskontroll på siden Administrasjon av identitet og tilgang.
5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
6. Velg knappen Konfigurer apptilgangskontroll .
7. Velg Aktivert for roller i rullegardinlisten Tilgangskontroll.
8. Når appen er valgt, velger du alternativet Administrer sikkerhetsroller over rutenettet.
9. Velg én eller flere ønskede sikkerhetsroller.
10. Velg Lagre.
11. Det vises et vindu der du blir bedt om å bekrefte rollene du valgte. Velg Lagre.
12. Listen over apper vises på nytt. Velg Lagre.
13. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil tildele sikkerhetsroller. Lukk panelet når du er ferdig.

Notat

Det kan ta opptil en time før den aktiverte modusen for roller trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

Deaktiver funksjonen for apptilgangskontroll

Deaktiver funksjonen for apptilgangskontroll for å fjerne begrensninger for apper som kjører i et miljø.

1. Logg deg på administrasjonssenteret for Power Platform.
2. I navigasjonsruten velger du Sikkerhet.
3. I Sikkerhet-ruten velger du Identitet og tilgang.
4. Velg Apptilgangskontroll på siden Administrasjon av identitet og tilgang.
5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
6. Velg knappen Konfigurer apptilgangskontroll .
7. Velg Deaktivert i rullegardinlisten Tilgangskontroll.
8. Velg Lagre.
9. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil deaktivere funksjonen. Lukk panelet når du er ferdig.

Obs!

Hvis du angir Tillatt eller Blokkert for enkelte apper, trenger du ikke å fjerne innstillingen når funksjonen for apptilgangskontroll endres til Deaktivert. Det er ingen appbegrensninger i dette miljøet.

Feilmelding: Bruker avvist av app

Brukere får følgende feilmelding hvis de prøver å kjøre en app som ikke er tillatt:

Tilgang til Dataverse API er begrenset for denne applikasjons-ID-en.

Ofte brukte førstepartstjenester og -portalapper fra Microsoft

Følgende apper er Microsoft førstepartstjenester. Denne listen over apper kan være forskjellig avhengig av hvilke typer miljø du har og hvilke løsninger som er installert. Disse appene tillates automatisk i alle miljøene der de finnes. For å blokkere brukerne dine fra å bruke disse appene, kan du enten fjerne den nødvendige brukerlisensen eller fjerne tildelingen av Dataverse-sikkerhetsrollen deres. Hvis du for eksempel vil bruke Power Apps-utviklerportalen, må utvikleren din være tilordnet sikkerhetsrollen enten miljøutvikler, systemtilpasser eller systemadministrator.

Application ID	Programnavn
00000007-0000-0000-c000-000000000000	Dataverse
75eb2b80-011a-4693-9a47-7971c853603c	make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88	make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c	make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c	make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb	Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7	Microsoft Flow Portal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3	make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad	make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04	make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d	make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab	make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031	make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a	PowerPlatformAdminCenter-klient
065d9450-1e87-434e-ac2f-69af271549ed	PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23	MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8	Copilot for økonomi
a59cef1e-2e32-4703-8dab-810d9807efeb	ccibots
96ff4394-9197-43aa-b393-6a41652e21f8	ccibotsprod

Relatert innhold

• Vanlig brukte Microsoft-førstepartstjenester og portalapper
• Program-ID-er for vanlige Microsoft-applikasjoner