Partajați prin

Controlează ce aplicații sunt permise în mediul tău

Protejați-vă împotriva exfiltrării datelor controlând ce aplicații pot rula în mediul dvs. Dataverse Aceste măsuri de siguranță previn eliminarea neautorizată a informațiilor sensibile, ajutând afacerea dumneavoastră să mențină continuitatea și să respecte reglementările.

Configurați ce aplicații sunt permise sau blocate în mediul dvs. Acest lucru împiedică utilizatorii rău intenționați să utilizeze aplicații neaprobate pentru a exporta date sensibile.

Cum funcționează controlul accesului la aplicații?

Controlul accesului la aplicații se efectuează la nivelul Dataverse de autentificare. Aflați mai multe în secțiunea *Autentificare la* servicii . Power Platform Dataverse Autentificarea validează ID-ul aplicației client din token-ul utilizatorului în raport cu o listă de aplicații permise și blocate configurate pentru mediu. Autentificarea fie acordă, fie refuză accesul aplicației utilizatorului la mediu.

Utilizatorii se pot autentifica în patru moduri:

  • Contextul utilizatorului

    Utilizatorul se conectează la sistem, cum ar fi Dynamics 365 Sales, cu acreditările sale.

  • Contextul aplicației cu uzurparea identității utilizatorului

    Utilizatorul se conectează la o aplicație Microsoft proprie. Aplicația efectuează un apel către Dataverse cu token-ul său de aplicație care reprezintă utilizatorul. Aflați mai multe în Dați-vă drept utilizatori folosind API-ul Web.

  • Aplicație proprie cu apel de la serviciu la serviciu (contextul aplicației)

    O aplicație Microsoft proprie efectuează un apel către Dataverse folosind token-ul aplicației sale. Aceste aplicații proprie sunt înregistrate și oferă servicii interne, cum ar fi sincronizarea e-mailurilor, care de obicei rulează în fundal fără nicio interacțiune din partea utilizatorului.

  • Aplicații terțe înregistrate în înregistrarea aplicațiilor portalului Azure

    Aplicația personalizată se autentifică utilizând certificatul sau token-ul de utilizator al înregistrării aplicației Azure.

Exemple despre cum funcționează controlul accesului la aplicațiile client în contextul autentificării în contextul utilizatorului și al aplicației :

  • Contextul utilizatorului cu tokenul utilizatorului

    • Pentru toate solicitările de tokenuri ale utilizatorilor, validăm dacă ID-ul aplicației utilizat face parte din listele permise sau blocate.
    • Un token de utilizator poate fi obținut și pentru un client public pentru aplicații first-party și partener.

    Notă

    • Nu recomandăm permiterea unui client public decât dacă este nevoie temporar.
    • Aplicația este permisă automat în toate mediile. 00000007-0000-0000-c000-000000000000 Dataverse Accesul utilizatorilor la mediu poate fi gestionat fie prin atribuirea licenței de utilizator corespunzătoare și/sau prin atribuirea unui rol de securitate utilizatorului. Dataverse Dataverse

  • Contextul aplicației cu *personificarea utilizatorului* ...

  • Identificarea folosind o aplicație proprie

    • În scenarii precum Power Automate, unde se utilizează un token de aplicație serviciu-la-serviciu cu uzurparea identității utilizatorului, verificăm dacă ID-ul aplicației este permis sau blocat.
    • Pentru alte scenarii în care nu se utilizează uzurparea identității utilizatorului, în prezent nu se efectuează validări pentru token-urile serviciu-la-serviciu.

Controlul accesului la aplicațiile client nu se aplică următoarelor aplicații:

Cerințe preliminare

Completați următoarele condiții preliminare:

Verificați-vă rolul

Există două roluri de administrator de servicii conexe pe care le puteți atribui pentru a oferi un nivel ridicat de gestionare administrativă: Power Platform

  • Admin Power Platform
  • Administrare Dynamics 365

Verificați dacă mediul dvs. este un Mediu Gestionat

Mediul dumneavoastră trebuie să fie un Mediu Gestionat. Aflați mai multe în *Prezentarea generală a mediului gestionat* .

Activați auditarea în mediu

  1. Conectați-vă la Power Platform centrul de administrare ca administrator de sistem.
  2. În panoul de navigare, selectați Gestionare.
  3. În panoul Gestionare , selectați Medii. Apoi selectați mediul specific.
  4. Selectați Setări în bara de comenzi.
  5. Selectați Audit și jurnale>Setări audit.
  6. În secțiunea Auditare , selectați opțiunile Începere auditare, Acces la jurnal și Citire jurnal .
  7. Selectați Salvați.

Revizuiți lista de aplicații din mediu

Există un set de aplicații preînregistrate pentru a rula într-un mediu Dataverse . Această listă de aplicații poate diferi în funcție de mediu. Aceste aplicații sunt încărcate automat în mediul dvs.

Notă

Următoarele aplicații sunt preautorizate să ruleze într-un mediu Dataverse :

Adăugați aplicații la listă

Pentru a adăuga o aplicație la listă, parcurgeți următorii pași.

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. În panoul de navigare, selectați Gestionare.

  3. În panoul Gestionare , selectați Medii.

  4. În pagina Medii , selectați numele unui mediu.

  5. Copiați URL-ul mediului cum ar fi contoso.crm.dynamics.com.

  6. Deschideți o filă nouă în același browser (pentru a rămâne conectat) și adăugați următoarea adresă URL în bara de adrese. Înlocuiți <EnvironmentURL> cu adresa URL a mediului dvs., apoi apăsați Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Formularul afișează lista aplicațiilor încărcate în mediul dumneavoastră.

  7. Selectați + Nou.

  8. Pe ecranul nou, introduceți un ApplicationId.

  9. Introduceți un Nume.

  10. Selectați Salvați.

Eliminați aplicațiile din listă

Pentru a elimina o aplicație din listă:

  1. Selectați o aplicație.

  2. Selectați Ștergeți.

  3. Repetați această procedură pentru fiecare aplicație pe care doriți să o eliminați.

    Notă

    Dacă ați eliminat o aplicație de sistem care era preîncărcată în mediu, aplicația poate fi restaurată automat de sistem. Poate doriți să ștergeți doar aplicațiile pe care le-ați adăugat.

Permiteți sau blocați aplicațiile

Aplicații utilizate frecvent pe care ați putea dori să le permiteți

Iată câteva aplicații utilizate în mod obișnuit pe care le puteți permite în siguranță.

ID aplicație Nume aplicație
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics Stocare fișiere
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 Plan de gestionare a clienților PowerApps, Backend
44a02aaa-7145-4925-9dcd-79e6e1b94eff Integrare MicrosoftDynamics365OfficeApps
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics Serviciul NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa Instalator dinamic
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics Aplicație CRM pentru Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Serviciu Global Discovery
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow Serviciu
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 BARAJE PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Serviciu de autorizare PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 Platformă de aplicații Insights
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Bază de date Azure SQL și depozit de date
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA pentru CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Conector Dynamic 365 Sales Insights pentru Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermania
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 Locuri de muncăServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 Produs AiBuilder PAIO-CDS
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Power Platform Fluxuri de date Common Data Service Client
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Informații și recomandări Produs din planul de date
Aplicații pe care ați putea dori să le blocați

Aceste aplicații sunt exportatori puternici de date. Blocarea lor previne posibila exfiltrare de informații sensibile.

ID aplicație Nume aplicație
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query pentru Excel (client desktop)
d3590ed6-52b3-4102-aeff-aad2292ab01c Clientul Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Activați modul de audit în mediul dvs. non-productiv.
  2. Examinați jurnalul de audit pentru aplicațiile care rulează în mediu pentru a obține lista aplicațiilor al căror control al accesului doriți să îl gestionați.
  3. Repetați pașii 1-2 în mediul de producție.
  4. Confirmați lista de aplicații pe care doriți să le permiteți să ruleze în mediu.

Moduri de control al accesului la aplicații

Există patru moduri diferite:

Activați modul de audit

Vă recomandăm să activați modul de audit timp de cel puțin o săptămână pentru a obține lista aplicațiilor pe care utilizatorii le rulează într-un mediu.

Folosind această listă de jurnal de audit, puteți determina ce aplicații doriți să permiteți sau să blocați.

  1. Conectați-vă la Centrul de administrare Power Platform.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Identitate și acces.
  4. În pagina Gestionarea identității și a accesului , selectați Controlul accesului la aplicații
  5. Selectați mediul în care doriți să activați funcția de control al accesului la aplicație.
  6. Selectați butonul Configurați controlul accesului la aplicație .
  7. Selectați opțiunea AuditMode din lista derulantă Control acces .
  8. Selectați o aplicație, apoi selectați opțiunea Permite situată deasupra grilei. Dataverse
  9. Selectați Salvați.
  10. Lista de medii este afișată din nou. Repetați procedura pentru fiecare mediu în care doriți să activați auditarea. Închideți panoul când ați terminat de activat modul de audit pentru mediile dvs.

Notă

Modul de auditare poate dura până la o oră pentru a intra în vigoare, după ce actualizați setările de configurare.

În modul audit, trebuie să selectați cel puțin o aplicație pentru a permite accesul. Totuși, controlul accesului la aplicații nu este aplicat în modul de audit. Primești o listă de aplicații care accesează mediul, indiferent dacă au sau nu acces permis.

Setările de audit pentru un mediu trebuie să fie permise, inclusiv opțiunea *Acces la jurnal*.

Recuperați lista jurnalelor de audit

  1. Conectați-vă la Power Platform Centrul de administrare ca administrator de sistem.

  2. În panoul de navigare, selectați Gestionare.

  3. În panoul Gestionare , selectați Medii. Apoi selectați un mediu în care ați activat auditarea.

  4. Selectați Setări.

  5. Selectați Auditare și jurnale>Vizualizare rezumat audit.

  6. Selectați Activare/Dezactivare filtre pentru a consulta o listă de funcții din meniul derulant al titlurilor.

  7. Selectați săgeata derulantă de lângă titlul *Eveniment*, apoi găsiți și selectați *ApplicationBasedAccessDenied* și *ApplicationBasedAccessAllowed*.

    Captură de ecran care arată unde se află butonul Activare/Dezactivare filtre și casetele de selectare ApplicationBasedAccessDenied și ApplicationBasedAccessAllowed pe pagina de vizualizare Rezumat audit.

  8. Selectați OK.

    Apar auditurile filtrate.

Activează modul activat

Începeți să blocați aplicațiile blocate și permiteți doar aplicațiile aprobate. Puteți selecta aplicații pentru a le avea fie acces *Permis*, fie acces *Blocat*.

  1. Conectați-vă la Centrul de administrare Power Platform.

  2. În panoul de navigare, selectați Securitate.

  3. În panoul Securitate , selectați Identitate și acces.

  4. În pagina Gestionarea identității și a accesului , selectați Controlul accesului la aplicații.

  5. Selectați mediul în care doriți să activați funcția de control al accesului la aplicație.

  6. Selectați butonul Configurați controlul accesului la aplicație .

  7. Selectați Activat din lista derulantă Control acces .

  8. Selectați o aplicație, apoi selectați una dintre aceste opțiuni, situate deasupra grilei: Dataverse

    • Permite să permită accesul la aplicație.
    • Blocați pentru a refuza accesul la aplicație.

  9. Selectați Salvați.

  10. Lista de medii este afișată din nou. Repetați procedura pentru fiecare mediu în care doriți să începeți blocarea aplicațiilor blocate și să permiteți aplicațiile aprobate. Închide panoul când ai terminat.

    Notă

    Modul activat poate dura până la o oră pentru a intra în vigoare, după ce actualizați setările de configurare.

Activează modul roluri

Începeți să blocați aplicațiile blocate și permiteți doar aplicațiile aprobate. Pentru aplicațiile cărora li se permite accesul, puteți atribui roluri de securitate pentru a restricționa cine poate rula acele aplicații în mediu. Doar utilizatorii cărora li se atribuie un rol de securitate selectat pot rula aplicațiile.

  1. Conectați-vă la Centrul de administrare Power Platform.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Identitate și acces.
  4. În pagina Gestionarea identității și a accesului , selectați Controlul accesului la aplicații.
  5. Selectați mediul în care doriți să activați funcția de control al accesului la aplicație.
  6. Selectați butonul Configurați controlul accesului la aplicație .
  7. Selectați Activat pentru roluri din lista derulantă Control acces .
  8. După ce aplicația este selectată, selectați opțiunea *Gestionați rolurile de securitate* situată deasupra grilei.
  9. Selectați unul sau mai multe roluri de securitate dorite.
  10. Selectați Salvați.
  11. Apare o fereastră care vă cere să confirmați rolurile selectate. Selectați Salvați.
  12. Lista de aplicații este afișată din nou. Selectați Salvați.
  13. Lista de medii este afișată din nou. Repetați procedura pentru fiecare mediu în care doriți să atribuiți roluri de securitate. Închide panoul când ai terminat.

Notă

Modul activat pentru roluri poate dura până la o oră pentru a intra în vigoare, după ce actualizați setările de configurare.

Dezactivați funcția de control al accesului la aplicație

Dezactivați funcția de control al accesului la aplicații pentru a elimina restricțiile asupra aplicațiilor care rulează într-un mediu.

  1. Conectați-vă la Centrul de administrare Power Platform.
  2. În panoul de navigare, selectați Securitate.
  3. În panoul Securitate , selectați Identitate și acces.
  4. În pagina Gestionarea identității și a accesului , selectați Controlul accesului la aplicații.
  5. Selectați mediul în care doriți să activați funcția de control al accesului la aplicație.
  6. Selectați butonul Configurați controlul accesului la aplicație .
  7. Selectați Dezactivat din lista derulantă Control acces .
  8. Selectați Salvați.
  9. Lista de medii este afișată din nou. Repetați procedura pentru fiecare mediu în care doriți să dezactivați funcția. Închide panoul când ai terminat.

Notă

Dacă setați unele aplicații la Permise sau Blocate, nu este nevoie să eliminați setarea atunci când funcția de control al accesului la aplicații este dezactivată la Dezactivată. Nu există restricții privind aplicațiile în acest mediu.

Mesaj de eroare: Eroare utilizator respinsă aplicația

Utilizatorii primesc următorul mesaj de eroare dacă încearcă să ruleze o aplicație nepermisă:

Accesul la API este restricționat pentru acest ID de aplicație. Dataverse

Servicii și aplicații portal Microsoft first-party utilizate în mod obișnuit

Următoarele aplicații sunt servicii Microsoft first-party. Această listă de aplicații poate fi diferită în funcție de tipurile de mediu pe care le aveți și de soluțiile instalate. Aceste aplicații sunt permise automat în toate mediile în care există. Pentru a împiedica utilizatorii să utilizeze aceste aplicații, puteți fie să eliminați licența de utilizator necesară, fie să eliminați atribuirea rolului de securitate. Dataverse De exemplu, pentru a utiliza portalul creatorilor, creatorul trebuie să aibă atribuit fie un rol de securitate Creator de mediu, fie un utilizator de particularizare a sistemului, fie un administrator de sistem. Power Apps

ID aplicație Nume aplicație
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portalul Departamentului Apărării
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC Ridicat
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Clientul PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed Centrul de administrare PowerPlatform
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilotul financiar
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Conținut asociat

  • Last updated on