Compartilhar via

Controlar quais aplicativos são permitidos em seu ambiente

Proteger-se contra a exfiltração de dados controlando quais aplicativos podem ser executados em seu ambiente do Dataverse. Essas proteções evitam a remoção não autorizada de informações confidenciais, auxiliando sua empresa a manter a continuidade e cumprir as regulamentações.

Configure quais aplicativos estão permitidos ou bloqueados em seu ambiente. Isso impede que usuários mal-intencionados utilizem aplicativos não aprovados para exportar dados confidenciais.

Como funciona o controle de acesso ao aplicativo?

O controle de acesso do aplicativo é executado na camada de autenticação do Dataverse. Saiba mais em Autenticação para serviços do Power Platform. A autenticação do Dataverse valida a ID do aplicativo cliente no token do usuário em relação a uma lista de aplicativos permitidos e bloqueados configurados para o ambiente. A autenticação concede ou nega o acesso do aplicativo do usuário ao ambiente.

Os usuários podem se autenticar de quatro maneiras:

  • Contexto do usuário

    O usuário entra no sistema, como Dynamics 365 Sales, com suas credenciais.

  • Contexto do aplicativo com representação de usuário

    O usuário entra em um aplicativo primário da Microsoft. O aplicativo faz uma chamada com seu token de aplicativo para o Dataverse, representando o usuário. Saiba mais em Representar outro usuário usando a API Web.

  • Aplicativo interno com chamada de serviço para serviço (contexto do aplicativo)

    Um aplicativo Microsoft interno faz uma chamada para o Dataverse usando seu token de aplicativo. Esses aplicativos primários são registrados e fornecem serviços internos, como sincronização de email, que normalmente são executados em segundo plano sem qualquer interação do usuário.

  • Aplicativos de terceiros registrados no registro de aplicativos do portal do Azure

    Seu aplicativo personalizado é autenticado usando o certificado ou token de autenticação de usuário do registro de aplicativo Azure.

Exemplos de como o controle de acesso do aplicativo cliente funciona na autenticação de contexto do usuário e do aplicativo:

  • Contexto do usuário com token de usuário

    • Para todas as solicitações de token de usuário, validamos se o ID do aplicativo usado faz parte de listas permitidas ou bloqueadas.
    • Um token de usuário também pode ser obtido para um cliente público para aplicativos primários e aplicativos parceiros.

    Observação

    • Não recomendamos permitir um cliente público, a menos que seja necessário temporariamente.
    • O aplicativo do Dataverse 00000007-0000-0000-c000-000000000000 é permitido automaticamente em todos os ambientes. O acesso do usuário ao ambiente do Dataverse pode ser gerenciado com a atribuição da licença de usuário apropriada e/ou a atribuição de um direito de acesso do Dataverse ao usuário.

  • Contexto do aplicativo com representação do usuário

  • Representação usando um aplicativo interno

    • Em cenários como do Power Automate, onde um token de aplicativo de serviço a serviço é usado com representação de usuário, verificamos se a ID do aplicativo é permitida ou está bloqueada.
    • Para outros cenários em que a representação de usuário não é usada, nenhuma validação é executada atualmente para tokens de serviço a serviço.

O controle de acesso ao aplicativo cliente não é aplicado aos seguintes aplicativos:

Pré-requisitos

Preencha os seguintes pré-requisitos:

Verificar sua função

Existem duas funções de administrador relativas ao Power Platform que você pode atribuir para fornecer um alto nível de gerenciamento de administração:

  • Administração do Power Platform
  • Administração do Dynamics 365

Verifique se seu ambiente é um Ambiente Gerenciado

Seu ambiente deve ser um Ambiente Gerenciado. Saiba mais em Visão geral do Ambiente Gerenciado.

Ativar a auditoria no ambiente

  1. Entre no Centro de administração do Power Platform como um administrador do sistema.
  2. No painel de navegação, selecione Gerenciar.
  3. No painel Gerenciar, selecione Ambientes. Em seguida, selecione o ambiente específico.
  4. Selecione Configurações na barra de comandos.
  5. Selecione Auditoria e logs>Configurações de auditoria.
  6. Na seção Auditoria, selecione as opções Iniciar auditoria, Acesso ao log e Ler logs.
  7. Selecione Salvar.

Revise a lista de aplicativos no ambiente

Há um conjunto de aplicativos pré-registrados para execução em um ambiente do Dataverse. Essa lista de aplicativos pode ser diferente entre ambientes diferentes. Esses aplicativos são carregados automaticamente em seu ambiente.

Observação

Os seguintes aplicativos estão pré-autorizados a serem executados em um ambiente do Dataverse:

Adicionar aplicativos à lista

Para adicionar um aplicativo à lista concluindo as seguintes etapas.

  1. Entre no Centro de administração do Power Platform.

  2. No painel de navegação, selecione Gerenciar.

  3. No painel Gerenciar, selecione Ambientes.

  4. Na página Ambientes, selecione o nome de um ambiente.

  5. Copie a URL do Ambiente como contoso.crm.dynamics.com.

  6. Abra uma nova guia no mesmo navegador (para permanecer conectado) e adicione a seguinte URL à barra de endereços. Substitua <EnvironmentURL> pela URL do ambiente e pressione Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    O formulário mostra a lista de aplicativos que são carregados em seu ambiente.

  7. Selecione + Novo.

  8. Na nova tela, insira uma ApplicationId.

  9. Insira um Nome.

  10. Selecione Salvar.

Remova os aplicativos da lista

Para remover um aplicativo da lista:

  1. Selecione um aplicativo.

  2. Selecione Excluir.

  3. Repita este procedimento para cada aplicativo que você deseja remover.

    Observação

    Se você removeu um aplicativo do sistema que foi pré-carregado no ambiente, o aplicativo pode ser restaurado automaticamente pelo sistema. Talvez você queira excluir apenas os aplicativos que adicionou.

Permitir ou bloquear aplicativos

Aplicativos mais usados que talvez você queira permitir

Aqui estão alguns aplicativos comumente usados que são seguros para liberar.

ID do aplicativo Nome do aplicativo
07ce06e6-4ae9-4466-bca4-2984fa04d057 Armazenamento de Arquivo do Microsoft Dynamics
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Serviço NRD do Microsoft Dynamics
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Aplicativo Microsoft Dynamics CRM para Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Análise do Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Serviço de Descoberta Global do Common Data Service
730d33da-0894-409f-a907-c577151719c5 Fluxo-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Serviço do Microsoft Flow
7f15f9d9-cad0-44f1-bbba-d36650e07765 Link do Azure Synapse para Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 PROD do Serviço de Autorização do Power Platform
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Banco de Dados SQL do Azure e Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA para CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Conector do Dynamic 365 Sales Insights para Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Fluxos de Dados do Power Platform - Cliente do Common Data Service
0c906d81-7073-46b5-a95c-3726fca3e3a3 Produção do Plano de Dados de Insights e Recomendações do Power Platform
Aplicativos que talvez você queira bloquear

Esses aplicativos são exportadores de dados avançados. Bloqueá-los evita a possível exfiltração de dados de informações confidenciais.

ID do aplicativo Nome do aplicativo
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query para Excel (cliente desktop)
d3590ed6-52b3-4102-aeff-aad2292ab01c Cliente do Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Ative o modo de auditoria em seu ambiente de não produção.
  2. Revise o log de auditoria dos aplicativos em execução no ambiente para obter a lista de aplicativos cujo controle de acesso você deseja gerenciar.
  3. Repita as etapas de 1 a 2 em seu ambiente de produção.
  4. Confirme a lista de aplicativos que você deseja permitir para executar no ambiente.

Modos de controle de acesso ao aplicativo

Existem quatro modos diferentes:

Ativar modo de auditoria

Recomendamos que você ative o modo de auditoria, por pelo menos uma semana, para obter a lista de aplicativos que seus usuários estão executando em um ambiente.

Usando esta lista de log de auditoria, você pode determinar quais aplicativos deseja permitir ou bloquear.

  1. Entre no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Segurança.
  3. No painel Segurança, selecione Identidade e acesso.
  4. Na página Gerenciamento de identidade e acesso, selecione Controle de acesso do aplicativo
  5. Selecione o ambiente onde você deseja ativar o recurso de controle de acesso ao aplicativo.
  6. Selecione o botão Configurar controle de acesso ao aplicativo.
  7. Selecione a opção AuditMode na lista suspensa Controle de acesso.
  8. Selecione um aplicativo DO Dataverse e, em seguida, selecione a opção Permitir localizada acima da grade.
  9. Selecione Salvar.
  10. A lista de ambientes é exibida novamente. Repita o procedimento para cada ambiente em que você deseja ativar a auditoria. Feche o painel quando terminar de ativar o modo de auditoria para seus ambientes.

Observação

O modo de auditoria pode levar até uma hora para entrar em vigor, depois de atualizar as definições de configuração.

No modo de auditoria, você deve selecionar pelo menos um aplicativo para permitir o acesso. No entanto, o controle de acesso ao aplicativo não é imposto no modo de auditoria. Você obtém uma lista de aplicativos que acessam o ambiente, independentemente de terem ou não permissão de acesso.

As configurações de auditoria para um ambiente devem ser permitidas, incluindo a opção de Acesso ao log.

Recuperar sua lista de logs de auditoria

  1. Entre no Centro de administração do Power Platform como um administrador do sistema.

  2. No painel de navegação, selecione Gerenciar.

  3. No painel Gerenciar, selecione Ambientes. Em seguida, selecione um ambiente em que você ativou a auditoria.

  4. Selecione Configurações.

  5. Selecione Auditoria e logs>Exibição de Resumo de Auditoria.

  6. Selecione Habilitar/Desabilitar filtros para revisar uma lista de funcionalidades do menu suspenso do cabeçalho.

  7. Selecione a seta suspensa perto do título Evento e, em seguida, localize e selecione ApplicationBasedAccessDenied e ApplicationBasedAccessAllowed.

    Captura de tela que mostra onde o botão Habilitar/Desabilitar Filtros e as caixas de seleção ApplicationBasedAccessDenied e ApplicationBasedAccessAllowed estão localizados na página Exibição de resumo de auditoria.

  8. Selecione OK.

    Suas auditorias filtradas são exibidas.

Ativar modo habilitado

Comece a bloquear aplicativos que estão bloqueados e permita apenas aplicativos aprovados. Você pode selecionar aplicativos com acesso Permitido ou Bloqueado.

  1. Entre no Centro de administração do Power Platform.

  2. No painel de navegação, selecione Segurança.

  3. No painel Segurança, selecione Identidade e acesso.

  4. Na página Gerenciamento de identidade e acesso, selecione Controle de acesso do aplicativo.

  5. Selecione o ambiente onde você deseja ativar o recurso de controle de acesso ao aplicativo.

  6. Selecione o botão Configurar controle de acesso ao aplicativo.

  7. Selecione Habilitado na lista suspensa Controle de acesso.

  8. Selecione um aplicativo do Dataverse e, em seguida, selecione uma dessas opções, localizadas acima da grade:

    • Permitir o acesso ao aplicativo.
    • Bloquear para negar acesso ao aplicativo.

  9. Selecione Salvar.

  10. A lista de ambientes é exibida novamente. Repita o procedimento para cada ambiente em que você deseja começar a bloquear aplicativos e permitir aplicativos aprovados. Feche o painel quando terminar.

    Observação

    O modo habilitado pode levar até uma hora para entrar em vigor, depois que você atualizar as definições de configuração.

Ativar modo habilitado para funções

Comece a bloquear aplicativos que estão bloqueados e permita apenas aplicativos aprovados. Para aplicativos que têm permissão de acesso, você pode atribuir funções de segurança para restringir quem pode executar esses aplicativos no ambiente. Somente usuários atribuídos a um direito de acesso selecionado podem executar os aplicativos.

  1. Entre no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Segurança.
  3. No painel Segurança, selecione Identidade e acesso.
  4. Na página Gerenciamento de identidade e acesso, selecione Controle de acesso do aplicativo.
  5. Selecione o ambiente onde você deseja ativar o recurso de controle de acesso ao aplicativo.
  6. Selecione o botão Configurar controle de acesso ao aplicativo.
  7. Selecione Habilitado para funções na lista suspensa Controle de acesso.
  8. Depois que seu aplicativo for selecionado, escolha a opção Gerenciar funções de segurança localizada acima da grade.
  9. Selecione um ou mais direitos de acesso desejados.
  10. Selecione Salvar.
  11. Uma janela é exibida, solicitando que você confirme as funções selecionadas. Selecione Salvar.
  12. A lista de aplicativos é exibida novamente. Selecione Salvar.
  13. A lista de ambientes é exibida novamente. Repita o procedimento para cada ambiente em que você deseja atribuir direitos de acesso. Feche o painel quando terminar.

Observação

O modo habilitado para funções pode levar até uma hora para entrar em vigor, depois que você atualizar as definições de configuração.

Desativar o recurso de controle de acesso ao aplicativo

Desative o recurso de controle de acesso ao aplicativo para remover restrições a aplicativos em execução em um ambiente.

  1. Entre no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Segurança.
  3. No painel Segurança, selecione Identidade e acesso.
  4. Na página Gerenciamento de identidade e acesso, selecione Controle de acesso do aplicativo.
  5. Selecione o ambiente onde você deseja ativar o recurso de controle de acesso ao aplicativo.
  6. Selecione o botão Configurar controle de acesso ao aplicativo.
  7. Selecione Desabilitado na lista suspensa Controle de acesso.
  8. Selecione Salvar.
  9. A lista de ambientes é exibida novamente. Repita o procedimento para cada ambiente em que você deseja desativar o recurso. Feche o painel quando terminar.

Observação

Se você definir alguns aplicativos como Permitido ou Bloqueado, não será necessário remover a configuração quando o recurso de controle de acesso ao aplicativo estiver Desabilitado. Não há restrições de aplicativo nesse ambiente.

Mensagem de erro: Erro de usuário de aplicativo negado

Os usuários recebem a seguinte mensagem de erro se tentarem executar um aplicativo não permitido:

O acesso à API do Dataverse é restrito para essa ID de aplicativo.

Serviços primários e aplicativos de portal da Microsoft usados com frequência

Os aplicativos a seguir são serviços primários da Microsoft. Essa lista de aplicativos pode ser diferente dependendo dos tipos de ambiente que você tem e das soluções instaladas. Esses aplicativos são permitidos automaticamente em todos os ambientes onde existem. Para impedir que os usuários usem esses aplicativos, você pode remover a licença de usuário necessária ou remover sua atribuição do direito de acesso do Dataverse. Por exemplo, para usar o Power Apps maker portal, um criador deve ser atribuído a um direito de acesso de Criador de Ambiente, Personalizador de Sistema ou Administrador do Sistema.

ID do aplicativo Nome do aplicativo
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb DoD do Portal do Microsoft Flow
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Cliente PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copiloto Financeiro
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Conteúdo relacionado

  • Last updated on