Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обеспечьте защиту от кражи данных, контролируя, какие приложения могут работать в вашей среде Dataverse. Эти меры защиты предотвращают несанкционированное удаление конфиденциальной информации, помогая вашему бизнесу поддерживать непрерывность работы и соответствовать нормативным требованиям.
Укажите, какие приложения разрешены или заблокированы в вашей среде. Это не позволяет злоумышленникам использовать несанкционированные приложения для экспорта конфиденциальных данных.
Как работает управление доступом к приложениям?
Контроль доступа к приложениям осуществляется на уровне аутентификации Dataverse. Дополнительные сведения см. в статье Проверка подлинности в службах Power Platform. Проверка подлинности Dataverse проверяет ИД клиентского приложения в токене пользователя по списку разрешенных и заблокированных приложений, настроенному для среды. Проверка подлинности либо предоставляет, либо запрещает приложению пользователя доступ к среде.
Пользователи могут пройти проверку подлинности четырьмя способами:
Контекст пользователя
Пользователь входит в систему, например Dynamics 365 Sales, со своими учетными данными.
Контекст приложения с олицетворением пользователя
Пользователь входит в разработанное Microsoft приложение. Приложение выполняет вызов к Dataverse с токеном приложения, представляющим пользователя. Дополнительные сведения см. в разделе Олицетворение другого пользователя с помощью веб-API.
Собственное приложение с вызовом службы между службами (контекст приложения)
Собственное приложение Microsoft выполняет вызов Dataverse с помощью токена приложения. Эти собственные приложения зарегистрированы и предоставляют внутренние службы, такие как синхронизация электронной почты, которые обычно работают в фоновом режиме без какого-либо взаимодействия с пользователем.
Сторонние приложения, зарегистрированные в регистрации приложений на портале Azure
Пользовательское приложение проходит проверку подлинности с помощью сертификата регистрации приложения Azure или токена пользователя.
Примеры того, как работает управление доступом к клиентским приложениям при проверке подлинности в контексте пользователя и приложения:
Контекст пользователя с токеном пользователя
- Для всех запросов маркеров пользователей мы проверяем, входит ли используемый идентификатор приложения в списки разрешенных или заблокированных.
- Токен пользователя также можно получить для общедоступного клиента для собственных и партнерских приложений.
Заметка
- Мы не рекомендуем разрешать использование общедоступного клиента, если в этом нет временной необходимости.
- Приложение Dataverse 00000007-0000-0000-c000-000000000000 автоматически разрешается во всех средах. Доступом пользователей к среде Dataverse можно управлять путем назначения соответствующей пользовательской лицензии и/или назначения роли безопасности Dataverse пользователю.
Контекст приложения с олицетворением пользователя
Олицетворение с помощью собственного приложения
- В таких случаях, как Power Automate, когда токен приложения между службами используется с олицетворением пользователя, мы проверяем, разрешен или заблокирован идентификатор приложения.
- В других сценариях, где олицетворение пользователей не используется, в настоящее время проверки маркеров между службами не выполняются.
Управление доступом к клиентским приложениям не применяется к следующим приложениям:
Собственные приложения с вызовами между службами (контекст приложения)
Подробнее см. в разделе Часто используемые собственные службы и портальные приложения Microsoft.
Приложения-партнеры с вызовами из службы в службу
Чтобы заблокировать эти приложения, сделайте их неактивными или удалите из среды в центре администрирования Power Platform. Дополнительные сведения см. в Управляйте пользователями приложения в центре администрирования Power Platform.
Необходимые компоненты
Выполните следующие предварительные условия:
Проверьте свою роль
Есть две роли администратора службы, связанные с Power Platform, которые вы можете назначить для обеспечения высокого уровня административного управления:
- Администрирование Power Platform
- Администратор Dynamics 365
Проверьте, что ваша среда является управляемой
Ваша среда должна быть управляемой. Подробнее см. в разделе Обзор управляемых сред.
Включение аудита в среде
- Войдите в центр администрирования Power Platform как системный администратор.
- В области навигации выберите Управление.
- На панели Управление выберите Среды. Затем выберите конкретную среду.
- На панели команд выберите Параметры.
- Выберите Аудит и журналы>Параметры аудита.
- В разделе Аудит выберите параметры Начать аудит, Доступ к журналам и Чтение журналов.
- Выберите Сохранить.
Проверка списка приложений в среде
Существует набор приложений, которые предварительно зарегистрированы для запуска в среде Dataverse. Этот список приложений может отличаться в разных средах. Эти приложения автоматически загружаются в вашу среду.
Заметка
Следующие приложения предварительно авторизованы для запуска в среде Dataverse:
- Все приложения Microsoft, которые предварительно авторизованы для получения токенов On-Behalf-Of. Подробнее см. в разделе Платформа удостоверений Microsoft и поток OAuth2.0 On-Behalf-Of.
- Приложения пользователей приложений. Подробнее см. в разделе Специальные пользователи системы и пользователи приложений.
- Все устаревшие приложения, которые могут динамически получать маркеры On-Behalf-Of.
- Все приложения с привилегией prvActOnBehalfOfAnotherUser, а также приложения, использующие заголовки для олицетворения пользователей. Подробнее см. в разделе Олицетворение другого пользователя.
Добавление приложений в список
Чтобы добавить приложение в список, выполните следующие действия.
Войдите в центр администрирования Power Platform.
В области навигации выберите Управление.
На панели Управление выберите Среды.
На странице Среды выберите имя среды.
Скопируйте URL-адрес среды, например
contoso.crm.dynamics.com.Откройте новую вкладку в том же браузере (чтобы оставаться в системе) и добавьте следующий URL-адрес в адресную строку. Замените
<EnvironmentURL>URL-адресом среды и нажмите клавишу ВВОД.https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039В форме отображается список приложений, загруженных в среду.
Выберите + Создать.
На новом экране введите ApplicationId.
Введите Имя.
Выберите Сохранить.
Удаление приложений из списка
Чтобы удалить приложение из списка:
Выберите приложение.
Выберите Удалить.
Повторите эту процедуру для каждого приложения, которое требуется удалить.
Заметка
Если вы удалили системное приложение, которое было предварительно загружено в среду, оно может быть автоматически восстановлено системой. Возможно, вы захотите удалить только те приложения, которые вы добавили.
Разрешение или блокировка приложений
Часто используемые приложения, которые вы можете разрешить
Вот некоторые часто используемые приложения, которые можно безопасно разрешить.
| Идентификатор приложения | Имя приложения |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Файловое хранилище Microsoft Dynamics |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Служба NRD Microsoft Dynamics |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service — Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Приложение Microsoft Dynamics CRM для Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Аналитика Dynamics 365 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Глобальная служба обнаружения Common Data Service |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Служба Microsoft Flow |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Azure Synapse Link для Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Служба авторизации Power Platform PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | База данных SQL и хранилище данных Azure |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA для CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Соединитель Dynamic 365 Sales Insights для Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Рабочая |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Клиент Common Data Service потоков данных Power Platform |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Плоскость данных аналитики и рекомендаций Power Platform, рабочая |
Приложения, который вы можете захотеть заблокировать
Эти приложения являются мощными экспортерами данных. Их блокировка предотвращает возможную кражу конфиденциальной информации.
| Идентификатор приложения | Имя приложения |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query для Excel (клиент для рабочего стола) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Клиент Microsoft Access |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
Рекомендуемые действия
- Включите режим аудита в нерабочей среде.
- Просмотрите журнал аудита приложений, работающих в среде, чтобы получить список приложений, контролем доступа к которым вы хотите управлять.
- Повторите шаги 1–2 в рабочей среде.
- Подтвердите список приложений, которым вы хотите разрешить запуск в среде.
Режимы управления доступом к приложениям
Есть четыре различных режима:
- Режим включения аудита
- Режим включения разрешенных
- Режим включения разрешенных для ролей
- Отключить доступ к приложениям
Режим включения аудита
Рекомендуется включить режим аудита хотя бы на одну неделю, чтобы получить список приложений, запущенных пользователями в среде.
Используя этот список журналов аудита, вы можете определить, какие приложения вы хотите разрешить или заблокировать.
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Безопасность.
- В области Безопасность выберите Идентификация и доступ.
- На странице Управление идентификацией и доступом выберите Управление доступом к приложениям
- Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
- Выберите кнопку Настроить управление доступом к приложениям.
- Выберите параметр AuditMode в раскрывающемся списке Управление доступом.
- Выберите приложение Dataverse, а затем выберите параметр Разрешить, расположенный над сеткой.
- Выберите Сохранить.
- Снова отобразится список сред. Повторите процедуру для каждой среды, в которой требуется включить аудит. Закройте панель, когда закончите включать режим аудита для своих сред.
Заметка
Вступление в силу режима аудита может занять до часа после обновления параметров конфигурации.
В режиме аудита необходимо выбрать хотя бы одно приложение, чтобы разрешить доступ. Однако управление доступом к приложениям не применяется в режиме аудита. Вы получите список приложений, обращающихся к среде, независимо от того, разрешен или запрещен доступ.
Параметры аудита для среды должны быть разрешены, в том числе параметр доступа к журналу.
Получение списка журналов аудита
Войдите в центр администрирования Power Platform как системный администратор.
В области навигации выберите Управление.
На панели Управление выберите Среды. Затем выберите среду, в которой включен аудит.
Выберите Параметры.
Выберите Аудит и журналы>Сводное представление аудита.
Выберите Включить/Отключить фильтры, чтобы просмотреть список раскрывающихся списков заголовков.
Щелкните стрелку раскрывающегося списка рядом с заголовком события, затем найдите и выберите ApplicationBasedAccessDenied и ApplicationBasedAccessAllowed.
Выберите ОК.
Отфильтрованные аудиты отобразятся.
Режим включения разрешенных
Начинает блокировать заблокированные приложения и разрешает только одобренные приложения. Вы можете выбрать приложения, к которым доступ Разрешен или Заблокирован.
Войдите в центр администрирования Power Platform.
В области навигации выберите Безопасность.
В области Безопасность выберите Идентификация и доступ.
На странице Управление идентификацией и доступом выберите Управление доступом к приложениям.
Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
Выберите кнопку Настроить управление доступом к приложениям.
Выберите Включено в раскрывающемся списке Управление доступом.
Выберите приложение Dataverse, а затем выберите один из параметров, расположенный над сеткой:
- Разрешить, чтобы разрешить доступ к приложению.
- Заблокировать, чтобы запретить доступ к приложению.
Выберите Сохранить.
Снова отобразится список сред. Повторите процедуру для каждой среды, в которой вы хотите начать блокировку приложений и разрешить одобренные приложения. Закройте панель, когда все будет готово.
Заметка
Для вступления в силу включенного режима может потребоваться до часа после обновления параметров конфигурации.
Режим включения разрешенных для ролей
Начинает блокировать заблокированные приложения и разрешает только одобренные приложения. Приложениям, которым разрешен доступ, можно назначить роли безопасности, чтобы ограничить круг пользователей, которые могут запускать эти приложения в среде. Запускать приложения могут только пользователи, которым назначена выбранная роль безопасности.
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Безопасность.
- В области Безопасность выберите Идентификация и доступ.
- На странице Управление идентификацией и доступом выберите Управление доступом к приложениям.
- Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
- Выберите кнопку Настроить управление доступом к приложениям.
- Выберите Включено для ролей в раскрывающемся списке Управление доступом.
- Выбрав приложение, выберите параметр Управление ролями безопасности, расположенный над сеткой.
- Выберите одну или несколько требуемых ролей безопасности.
- Выберите Сохранить.
- Появится окно, в котором вам будет предложено подтвердить выбранные роли. Выберите Сохранить.
- Снова отображается список приложений. Выберите Сохранить.
- Снова отобразится список сред. Повторите процедуру для каждой среды, в которой требуется назначить роли безопасности. Закройте панель, когда все будет готово.
Заметка
Режим включен для ролей вступит в силу через час после обновления параметров конфигурации.
Отключение функции управления доступом к приложениям
Отключите функцию управления доступом к приложениям, чтобы снять ограничения для приложений, работающих в среде.
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Безопасность.
- В области Безопасность выберите Идентификация и доступ.
- На странице Управление идентификацией и доступом выберите Управление доступом к приложениям.
- Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
- Выберите кнопку Настроить управление доступом к приложениям.
- Выберите Отключено в раскрывающемся списке Управление доступом.
- Выберите Сохранить.
- Снова отобразится список сред. Повторите процедуру для каждой среды, в которой вы хотите отключить эту функцию. Закройте панель, когда все будет готово.
Заметка
Если для некоторых приложений установлено значение Разрешено или Заблокировано, вам не нужно удалять этот параметр, если функция управления доступом к приложениям отключена на Отключено. В этой среде нет ограничений для приложений.
Сообщение об ошибке: Ошибка отказа пользователя в приложении
Пользователи получают следующее сообщение об ошибке, если они пытаются запустить приложение, которое не разрешено:
Доступ к API Dataverse ограничен для этого ИД приложения.
Часто используемые собственные службы и портальные приложения Microsoft
Следующие приложения являются Microsoft собственными службами. Этот список приложений может отличаться в зависимости от того, какие типы среды у вас есть и какие решения установлены. Эти приложения автоматически разрешаются во всех средах, где они существуют. Чтобы запретить пользователям использовать эти приложения, можно либо удалить необходимую лицензию пользователя, либо удалить для них назначения ролей безопасности Dataverse. Например, чтобы использовать Power Apps Maker Portal, создателю должна быть назначена роль безопасности "Создатель ресурсов среды", "Настройщик системы" или "Системный администратор".
| Идентификатор приложения | Имя приложения |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Портал Microsoft Flow DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Портал Microsoft Flow GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | Клиент PowerPlatformAdminCenter |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | Copilot для финансов |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |