Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Chroń się przed eksfiltracją danych, kontrolując, które aplikacje mogą być uruchamiane w Twoim środowisku Dataverse. Zabezpieczenia te zapobiegają nieautoryzowanemu usunięciu poufnych informacji, pomagając firmie zachować ciągłość działania i zgodność z przepisami.
Skonfiguruj, które aplikacje są dozwolone lub blokowane w danym środowisku. Uniemożliwia to złośliwym użytkownikom używanie niezatwierdzonych aplikacji do eksportowania poufnych danych.
Jak działa kontrola dostępu do aplikacji?
Kontrola dostępu aplikacji odbywa się w warstwie uwierzytelniania Dataverse. Dowiedz się więcej w temacie Uwierzytelnianie w usługach Power Platform. Uwierzytelnianie Dataverse sprawdza identyfikator aplikacji klienckiej w tokenie użytkownika na podstawie listy dozwolonych i blokowanych aplikacji skonfigurowanych dla środowiska. Uwierzytelnianie udziela lub odmawia aplikacji użytkownika dostępu do środowiska.
Użytkownicy mogą uwierzytelniać się na cztery sposoby:
Kontekst użytkownika
Użytkownik loguje się do systemu, na przykład Dynamics 365 Sales, przy użyciu swoich poświadczeń.
Kontekst aplikacji z personifikacją użytkownika
Użytkownik loguje się do własnej aplikacji Microsoft. Aplikacja wywołuje Dataverse za pomocą tokenu aplikacji reprezentującego użytkownika. Dowiedz się więcej w artykule Personifikowanie innego użytkownika przy użyciu internetowego interfejsu API.
Własna aplikacja z połączeniem usługa-usługa (kontekst aplikacji)
Własna aplikacja firmy Microsoft wywołuje usługę Dataverse przy użyciu tokenu aplikacji. Te własne aplikacje są zarejestrowane i zapewniają wewnętrzne usługi, takie jak synchronizacja poczty e-mail, które zazwyczaj działają w tle bez interakcji użytkownika.
Aplikacje innych firm zarejestrowane w rejestracji aplikacji Azure Portal
Aplikacja niestandardowa uwierzytelnia się przy użyciu certyfikatu rejestracji aplikacji Azure lub tokenu użytkownika.
Przykłady działania kontroli dostępu aplikacji klienckiej w uwierzytelnianiu kontekstowym użytkownik i aplikacje:
Kontekst użytkownika z tokenem użytkownika
- W przypadku wszystkich żądań tokenów użytkownika sprawdzamy, czy używany identyfikator aplikacji jest częścią list dozwolonych czy zablokowanych.
- Token użytkownika można również uzyskać dla klienta publicznego dla aplikacji własnych i partnerskich.
Notatka
- Nie zalecamy zezwalania na klienta publicznego, chyba że jest to potrzebne tymczasowo.
- Aplikacja 00000007-0000-0000-c000-000000000000 Dataverse jest automatycznie dozwolona we wszystkich środowiskach. Dostępem użytkownika do środowiska Dataverse można zarządzać, przypisując mu odpowiednią licencję użytkownika i/lub przypisując mu rolę zabezpieczeń Dataverse.
Kontekst aplikacji z personifikacją użytkownika
Podszywanie się pod własną aplikację
- W scenariuszach takich jak Power Automate, gdzie token aplikacji typu usługa-usługa jest używany w przypadku personifikacji użytkownika, sprawdzamy, czy identyfikator aplikacji jest dozwolony, czy zablokowany.
- W innych scenariuszach, w których personifikacja użytkownika nie jest używana, obecnie nie są wykonywane żadne weryfikacje tokenów między usługami.
Kontrola dostępu do aplikacji klienckich nie jest stosowana do następujących aplikacji:
Aplikacje własne z wywołaniami typu usługa-usługa (kontekst aplikacji)
Dowiedz się więcej w temacie Często używane Microsoft własne usługi i aplikacje portalu.
Aplikacje partnerskie z wywołaniami między usługami
Aby zablokować te aplikacje, ustaw je jako nieaktywne lub usuń ze środowiska w centrum administracyjnym Power Platform. Dowiedz się więcej: Zarządzanie środowiskami w centrum administracyjnym platformy Power Platform.
Wymagania wstępne
Spełnienie następujących wymagań wstępnych:
Zweryfikuj swoją rolę
Istnieją dwie role administratora usługi powiązane z Power Platform, które można przypisać, aby zapewnić wysoki poziom zarządzania administracyjnego.
- Administrator platformy Power Platform
- Administracja usługi Dynamics 365
Sprawdź, czy Twoje środowisko jest środowiskiem zarządzanym
Środowisko musi być środowiskiem zarządzanym. Dowiedz się więcej: Omówienie środowisk zarządzanych.
Włączanie inspekcji w środowisku
- Zaloguj się do Centrum administracyjnego Power Platform jako administrator systemu.
- W okienku nawigacyjnym wybierz Zarządzanie.
- W okienku Zarządzaj, wybierz Środowiska. Następnie wybierz określone środowisko.
- Wybierz Ustawienia na pasku poleceń.
- Wybierz Ustawienia inspekcji i dzienników>Ustawienia inspekcji.
- W sekcji Inspekcje wybierz opcje Rozpoczęcie inspekcji, Dostęp do dzienników i Czytanie dzienników.
- Wybierz pozycję Zapisz.
Przejrzyj listę aplikacji w środowisku
Istnieje zestaw aplikacji zarejestrowanych wstępnie do działania w środowisku Dataverse. Ta lista aplikacji może się różnić w zależności od środowiska. Te aplikacje są automatycznie ładowane do środowiska.
Notatka
Następujące aplikacje zostały wstępnie autoryzowane do działania w środowisku Dataverse:
- Wszystkie aplikacje Microsoft, które są wstępnie autoryzowane do uzyskiwania tokenów w imieniu. Więcej informacji można znaleźć w Platforma tożsamości Microsoft i OAuth2.0 On-Behalf-Of flow.
- Aplikacje użytkowników. Więcej informacji można znaleźć w Specjalni użytkownicy systemu i aplikacji.
- Wszystkie starsze aplikacje, które mogą dynamicznie uzyskiwać tokeny w imieniu.
- Wszystkie aplikacje z uprawnieniem prvActOnBehalfOfAnotherUser oraz aplikacje używające nagłówków do personifikacji użytkowników. Więcej informacji: Podszywaj się pod innego użytkownika.
Dodawanie aplikacji do listy
Aby dodać aplikację do listy, wykonaj poniższe kroki.
Zaloguj się do centrum administracyjnego Power Platform.
W okienku nawigacyjnym wybierz Zarządzanie.
W okienku Zarządzaj, wybierz Środowiska.
Na stronie Środowiska wybierz nazwę środowiska.
Skopiuj adres URL Środowisko, taki jak
contoso.crm.dynamics.com.Otwórz nową kartę w tej samej przeglądarce (aby pozostać zalogowanym) i dodaj następujący adres URL do paska adresu. Zastąp ciąg
<EnvironmentURL>adresem URL środowiska, a następnie naciśnij Enter.https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039Formularz zawiera listę aplikacji, które są ładowane w danym środowisku.
Wybierz + Nowy.
Na nowym ekranie wprowadź ApplicationId.
W polu Nazwa wprowadź nazwę.
Wybierz pozycję Zapisz.
Usuwanie aplikacji z listy
Aby usunąć aplikację z listy:
Wybierz aplikację.
Wybierz Usuń.
Powtórz tę procedurę dla każdej aplikacji, którą chcesz usunąć.
Notatka
Jeśli usunięto aplikację systemową, która została wstępnie załadowana w środowisku, aplikacja może zostać automatycznie przywrócona przez system. Możesz usunąć tylko te aplikacje, które zostały dodane.
Zezwalanie na aplikacje lub ich blokowanie
Często używane aplikacje, na które możesz zezwolić
Oto kilka często używanych aplikacji, na które można bezpiecznie zezwolić.
| Identyfikator aplikacji | Nazwa aplikacji |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Magazyn plików Microsoft Dynamics |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Usługa Microsoft Dynamics NRD |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service — Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Aplikacja Microsoft Dynamics CRM dla programu Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Analiza usługi Dynamics 365 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Globalna usługa wykrywania Common Data Service |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Usługa Microsoft Flow |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Usługa Azure Synapse Link dla usługi Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Usługa autoryzacji Power Platform PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Usługi Azure SQL Database i Data Warehouse |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA dla CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Łącznik Dynamic 365 Sales Insights dla usługi Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Klient usługi Power Platform Dataflows Common Data Service |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Informacje i zalecenia dotyczące platformy Power Platform Data Plan Prod |
Aplikacje, które możesz chcieć zablokować
Te aplikacje są potężnymi eksporterami danych. Zablokowanie ich zapobiega możliwej eksfiltracji poufnych informacji.
| Identyfikator aplikacji | Nazwa aplikacji |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query dla programu Excel (klient stacjonarny) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Klient programu Microsoft Access |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
Zalecane kroki
- Włącz tryb audytu w środowisku nieprodukcyjnym.
- Przejrzyj dziennik inspekcji dla aplikacji uruchomionych w środowisku, aby uzyskać listę aplikacji, których kontrolą dostępu chcesz zarządzać.
- Powtórz kroki 1–2 w środowisku produkcyjnym.
- Potwierdź listę aplikacji, którym chcesz zezwolić na uruchamianie w środowisku.
Tryby kontroli dostępu do aplikacji
Dostępne są cztery różne tryby:
Włącz tryb inspekcji
Zalecamy włączenie trybu inspekcji na co najmniej tydzień, aby uzyskać listę aplikacji uruchomionych przez użytkowników w środowisku.
Korzystając z tej listy dzienników kontrolnych, możesz określić, na które aplikacje chcesz zezwolić, a które zablokować.
- Zaloguj się do centrum administracyjnego Power Platform.
- W okienku nawigacji, wybierz Zabezpieczenia.
- W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
- na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji
- Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
- Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
- Wybierz opcję AuditMode z listy rozwijanej Kontrola dostępu.
- Wybierz aplikację Dataverse, a następnie wybierz opcję Zezwalaj znajdującą się nad siatką.
- Wybierz pozycję Zapisz.
- Lista środowisk zostanie ponownie wyświetlona. Powtórz tę procedurę dla każdego środowiska, w którym chcesz włączyć inspekcję. Zamknij panel po zakończeniu włączania trybu audytu dla swoich środowisk.
Notatka
Zastosowanie trybu inspekcji może potrwać do godziny po zaktualizowaniu ustawień konfiguracji.
W trybie inspekcji należy wybrać co najmniej jedną aplikację, aby zezwolić na dostęp. Jednak kontrola dostępu do aplikacji nie jest wymuszana w trybie inspekcji. Otrzymasz listę aplikacji uzyskujących dostęp do środowiska, niezależnie od tego, czy dostęp jest dozwolony, czy nie.
Ustawienia inspekcji dla środowiska, w tym opcja Dostęp do dziennika, muszą być dozwolone.
Odzyskaj swoją listę dzienników audytu
Zaloguj się do Centrum administracyjnego Power Platform jako administrator systemu.
W okienku nawigacyjnym wybierz Zarządzanie.
W okienku Zarządzaj, wybierz Środowiska. Następnie wybierz środowisko, w którym włączono audyt.
Wybierz Ustawienia.
Wybierz Ustawienia inspekcji i dzienników>Widok podsumowania inspekcji.
Wybierz opcję Włącz/wyłącz filtry, aby przejrzeć listę możliwości listy rozwijanej nagłówków.
Wybierz strzałkę listy rozwijanej obok nagłówka Zdarzenie, a następnie znajdź i wybierz pozycję ApplicationBasedAccessDenied i ApplicationBasedAccessAllowed.
Zaznacz OK.
Zostaną wyświetlone odfiltrowane inspekcje.
Włącz tryb aktywny
Zacznij blokować aplikacje, które są zablokowane i zezwalaj tylko na zatwierdzone aplikacje. Możesz wybrać aplikacje, które mają mieć dostęp dozwolony lub zablokowany.
Zaloguj się do centrum administracyjnego Power Platform.
W okienku nawigacji, wybierz Zabezpieczenia.
W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.
Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
Wybierz Włączenie z listy rozwijanej Kontrola dostępu.
Wybierz aplikację Dataverse, a następnie wybierz jedną z tych opcji znajdujących się nad siatką:
- Zezwalaj, aby zezwolić na dostęp do aplikacji.
- Zablokuj, aby odmówić dostęp do aplikacji.
Wybierz pozycję Zapisz.
Lista środowisk zostanie ponownie wyświetlona. Powtórz procedurę dla każdego środowiska, w którym chcesz rozpocząć blokowanie zablokowanych aplikacji i zezwolić na zatwierdzone aplikacje. Po zakończeniu zamknij panel.
Notatka
Zastosowanie trybu włączonego może potrwać do godziny po zaktualizowaniu ustawień konfiguracji.
Włączenie trybu ról
Zacznij blokować aplikacje, które są zablokowane i zezwalaj tylko na zatwierdzone aplikacje. W przypadku aplikacji, które mają zezwolony dostęp, można przypisać role zabezpieczeń, aby ograniczyć liczbę osób, które mogą uruchamiać te aplikacje w środowisku. Tylko użytkownicy przypisani do wybranej roli zabezpieczeń mogą uruchamiać aplikacje.
- Zaloguj się do centrum administracyjnego Power Platform.
- W okienku nawigacji, wybierz Zabezpieczenia.
- W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
- Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.
- Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
- Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
- Wybierz Włączenie dla ról z listy rozwijanej Kontrola dostępu.
- Po wybraniu aplikacji wybierz opcję Zarządzaj rolami zabezpieczeń znajdującą się nad siatką.
- Wybierz jedną lub więcej żądanych ról zabezpieczeń.
- Wybierz pozycję Zapisz.
- Zostanie wyświetlone okno z prośbą o potwierdzenie wybranych ról. Wybierz pozycję Zapisz.
- Lista aplikacji zostanie ponownie wyświetlona. Wybierz pozycję Zapisz.
- Lista środowisk zostanie ponownie wyświetlona. Powtórz tę procedurę dla każdego środowiska, w którym chcesz przypisać role zabezpieczeń. Po zakończeniu zamknij panel.
Notatka
Włączenie trybu ról może potrwać do godziny po zaktualizowaniu ustawień konfiguracji.
Wyłączanie funkcji kontroli dostępu do aplikacji
Wyłącz funkcję kontroli dostępu do aplikacji, aby usunąć ograniczenia dotyczące aplikacji działających w środowisku.
- Zaloguj się do centrum administracyjnego Power Platform.
- W okienku nawigacji, wybierz Zabezpieczenia.
- W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
- Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.
- Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
- Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
- Wybierz Wyłączenie z listy rozwijanej Kontrola dostępu.
- Wybierz pozycję Zapisz.
- Lista środowisk zostanie ponownie wyświetlona. Powtórz procedurę dla każdego środowiska, w którym chcesz wyłączyć tę funkcję. Po zakończeniu zamknij panel.
Notatka
Jeśli ustawisz niektóre aplikacje jako Dozwolone lub Zablokowane, nie musisz usuwać tego ustawienia, gdy funkcja kontroli dostępu do aplikacji jest wyłączona na Wyłączona. W tym środowisku nie ma ograniczeń aplikacji.
Błąd: aplikacja odrzuciła użytkownika
Użytkownicy otrzymują następujący komunikat o błędzie, jeśli spróbują uruchomić niedozwoloną aplikację:
Dostęp do interfejsu API Dataverse jest ograniczony dla tego identyfikatora aplikacji.
Często używane własne usługi firmy Microsoft i aplikacje portalu
Poniższe aplikacje są Microsoft usługami własnymi. Ta lista aplikacji może się różnić w zależności od typów posiadanego środowiska i zainstalowanych rozwiązań. Te aplikacje są automatycznie dozwolone we wszystkich środowiskach, w których istnieją. Aby uniemożliwić użytkownikom korzystanie z tych aplikacji, możesz usunąć wymaganą licencję użytkownika lub przypisać mu rolę zabezpieczeń Dataverse. Na przykład, aby można było korzystać z Power Apps Maker Portal, twórca musi być przypisany do roli zabezpieczeń Twórca środowiska, Konfigurator systemu lub Administrator systemu.
| Identyfikator aplikacji | Nazwa aplikacji |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Portal Microsoft Flow DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft Flow Portal GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | Klient Power PlatformAdminCenter |
| 065d9450-1e87-434e-ac2f-69af271549ed | Power PlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | Copilot do zastosowań finansowych |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |