Zdieľať cez

Ovládajte, ktoré aplikácie sú povolené vo vašom prostredí

Chráňte sa pred únikom údajov kontrolou aplikácií, ktoré sa môžu spúšťať vo vašom prostredí. Dataverse Tieto ochranné opatrenia zabraňujú neoprávnenému odstráneniu citlivých informácií, čím pomáhajú vášmu podnikaniu udržiavať kontinuitu a dodržiavať predpisy.

Nakonfigurujte, ktoré aplikácie sú vo vašom prostredí povolené alebo blokované. Toto zabraňuje používateľom so zlými úmyslami používať neschválené aplikácie na export citlivých údajov.

Ako funguje riadenie prístupu k aplikáciám?

Riadenie prístupu aplikácií sa vykonáva na autentifikačnej vrstve. Dataverse Viac informácií nájdete v časti Autentifikácia v službách . Power Platform Dataverse Autentifikácia overuje ID klientskej aplikácie v tokene používateľa oproti zoznamu povolených a blokovaných aplikácií nakonfigurovaných pre dané prostredie. Autentifikácia buď udeľuje, alebo zamieta prístup aplikácie používateľa k prostrediu.

Používatelia sa môžu autentifikovať štyrmi spôsobmi:

  • Kontext používateľa

    Používateľ sa prihlási do systému, napríklad do Dynamics 365 Sales, pomocou svojich poverení.

  • Kontext aplikácie s imitáciou používateľa

    Používateľ sa prihlási do aplikácie od spoločnosti Microsoft prvej strany. Aplikácia volá funkciu Dataverse s jej aplikačným tokenom reprezentujúcim používateľa. Viac informácií nájdete v časti Vydávanie sa za iného používateľa pomocou webového rozhrania API.

  • Aplikácia prvej strany s volaním medzi službami (kontext aplikácie)

    Aplikácia od spoločnosti Microsoft od prvej strany volá funkciu Dataverse pomocou svojho aplikačného tokenu. Tieto aplikácie prvej strany sú registrované a poskytujú interné služby, ako napríklad synchronizáciu e-mailov, ktoré zvyčajne bežia na pozadí bez akejkoľvek interakcie s používateľom.

  • Aplikácie tretích strán registrované v registrácii aplikácií vášho portálu Azure

    Vaša vlastná aplikácia sa overuje pomocou certifikátu alebo používateľského tokenu vašej registrácie aplikácie Azure.

Príklady fungovania riadenia prístupu klientskych aplikácií v kontexte overovania používateľa a aplikácie:

  • Kontext používateľa s tokenom používateľa

    • Pri všetkých žiadostiach o token používateľa overujeme, či je použité ID aplikácie súčasťou zoznamu povolených alebo blokovaných.
    • Používateľský token je možné získať aj pre verejného klienta pre aplikácie prvej strany a partnerské aplikácie. ...

    Poznámka

    • Neodporúčame povoliť verejného klienta, pokiaľ to nie je dočasne potrebné.
    • Aplikácia je automaticky povolená vo všetkých prostrediach. 00000007-0000-0000-c000-000000000000 Dataverse Prístup používateľov k prostrediu je možné spravovať buď priradením príslušnej používateľskej licencie a/alebo priradením bezpečnostnej roly používateľovi. Dataverse Dataverse

  • Kontext aplikácie s zosobnením používateľa

  • Zosobnenie pomocou aplikácie prvej strany

    • V scenároch ako Power Automate, kde sa používa token aplikácie typu služba-služba s imitáciou používateľa, kontrolujeme, či je ID aplikácie povolené alebo blokované.
    • V iných scenároch, kde sa nepoužíva zosobnenie používateľa, sa momentálne nevykonávajú žiadne overenia pre tokeny medzi službami.

Riadenie prístupu klientskych aplikácií sa nevzťahuje na nasledujúce aplikácie:

Požiadavky

Splňte nasledujúce predpoklady:

Overte svoju rolu

Existujú dve súvisiace roly správcu služieb, ktoré môžete priradiť na zabezpečenie vysokej úrovne správy: Power Platform

  • Správca Power Platform
  • Spravovanie systému Dynamics 365

Overte, či je vaše prostredie spravované prostredie

Vaše prostredie musí byť spravované prostredie. Viac informácií nájdete v prehľade spravovaného prostredia.

Zapnúť auditovanie v prostredí

  1. Prihláste sa do centra spravovania ako správca systému. Power Platform
  2. V navigačnej table vyberte položku Spravovať.
  3. V table Spravovať vyberte možnosť Prostredia. Potom si vyberte svoje konkrétne prostredie.
  4. Na paneli príkazov vyberte položku Nastavenia .
  5. Vyberte položku Audit a protokoly>Nastavenia auditu.
  6. V sekcii Auditovanie vyberte možnosti Spustiť auditovanie, Prístup k protokolom a Čítať protokoly .
  7. Vyberte položku Uložiť.

Skontrolujte zoznam aplikácií v prostredí

Existuje sada aplikácií, ktoré sú predregistrované na spustenie v prostredí. Dataverse Tento zoznam aplikácií sa môže v rôznych prostrediach líšiť. Tieto aplikácie sa automaticky načítajú do vášho prostredia.

Poznámka

Nasledujúce aplikácie sú predbežne autorizované na spustenie v prostredí: Dataverse

Pridajte aplikácie do zoznamu

Ak chcete pridať aplikáciu do zoznamu, postupujte podľa nasledujúcich krokov.

  1. Prihláste sa do centra spravovania Power Platform.

  2. V navigačnej table vyberte položku Spravovať.

  3. V table Spravovať vyberte možnosť Prostredia.

  4. Na stránke Prostredia vyberte názov prostredia.

  5. Skopírujte URL adresu prostredia, napríklad .contoso.crm.dynamics.com

  6. Otvorte novú kartu v tom istom prehliadači (aby ste zostali prihlásení) a do adresného riadku pridajte nasledujúcu URL adresu. Nahraďte <EnvironmentURL> URL adresou vášho prostredia a potom stlačte Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Formulár zobrazuje zoznam aplikácií, ktoré sú načítané vo vašom prostredí.

  7. Vyberte + Nové.

  8. Na novej obrazovke zadajte ApplicationId.

  9. Zadajte Názov.

  10. Vyberte položku Uložiť.

Odstránenie aplikácií zo zoznamu

Ak chcete odstrániť aplikáciu zo zoznamu:

  1. Vyberte aplikáciu.

  2. Vyberte Odstrániť.

  3. Tento postup zopakujte pre každú aplikáciu, ktorú chcete odstrániť.

    Poznámka

    Ak ste odstránili systémovú aplikáciu, ktorá bola predinštalovaná v prostredí, systém ju môže automaticky obnoviť. Možno budete chcieť odstrániť iba aplikácie, ktoré ste pridali.

Povoliť alebo blokovať aplikácie

Bežne používané aplikácie, ktoré by ste mohli chcieť povoliť

Tu je niekoľko bežne používaných aplikácií, ktoré je bezpečné povoliť.

ID aplikácie Názov aplikácie
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics Ukladanie súborov
1884bdbf-452a-4a11-9c76-afdbdb1b3768 Vyhľadávanie podľa relevancie
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsSpráva zákazníkovBackend roviny
44a02aaa-7145-4925-9dcd-79e6e1b94eff Integrácia aplikácií MicrosoftDynamics365Office
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics Služba NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics CRM aplikácia pre Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Analýza Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Globálna vyhľadávacia služba
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow Služba
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 PRIEHRADY PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Autorizačná služba PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 Platforma aplikácií Insights
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Databáza a dátový sklad Azure SQL
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA pre CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Konektor Dynamic 365 Sales Insights pre Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 Backend PowerAppsDataPlane
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 Pracovné ponukyServisProdukcia
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 Produkt AiBuilder PAIO-CDS
99335b6b-7d9d-4216-8dee-883b26e0ccf7 Power Platform Klient tokov údajov Common Data Service
0c906d81-7073-46b5-a95c-3726fca3e3a3 Power Platform Prehľady a odporúčania pre dátovú rovinu Prod
Aplikácie, ktoré by ste možno chceli zablokovať

Tieto aplikácie sú výkonnými exportérmi údajov. Ich blokovanie zabraňuje možnému úniku citlivých informácií.

ID aplikácie Názov aplikácie
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query for Excel (klient pre počítače)
d3590ed6-52b3-4102-aeff-aad2292ab01c Klient Microsoft Accessu
51f81489-12ee-4a9e-aaae-a2591f45987d XrmToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
00000009-0000-0000-c000-000000000000 Power BI
  1. Zapnite režim auditu vo vašom neprodukčnom prostredí.
  2. Skontrolujte protokol auditu aplikácií spustených v prostredí a zistite zoznam aplikácií, ktorých riadenie prístupu chcete spravovať.
  3. Zopakujte kroky 1 – 2 vo vašom produkčnom prostredí.
  4. Potvrďte zoznam aplikácií, ktorým chcete povoliť spustenie v prostredí.

Režimy riadenia prístupu k aplikáciám

Existujú štyri rôzne režimy:

Zapnúť režim auditu

Odporúčame vám zapnúť režim auditu aspoň na jeden týždeň, aby ste získali zoznam aplikácií, ktoré vaši používatelia spúšťajú v danom prostredí.

Pomocou tohto zoznamu záznamov auditu môžete určiť, ktoré aplikácie chcete povoliť alebo blokovať.

  1. Prihláste sa do centra spravovania Power Platform.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte možnosť Identita a prístup.
  4. Na stránke Správa identity a prístupu vyberte možnosť Riadenie prístupu aplikácií
  5. Vyberte prostredie, v ktorom chcete zapnúť funkciu riadenia prístupu aplikácií.
  6. Vyberte tlačidlo Nastaviť riadenie prístupu aplikácií .
  7. V rozbaľovacom zozname Riadenie prístupu vyberte možnosť Režim auditu .
  8. Vyberte aplikáciu a potom vyberte možnosť Povoliť nad mriežkou. Dataverse
  9. Vyberte položku Uložiť.
  10. Zoznam prostredí sa znova zobrazí. Postup zopakujte pre každé prostredie, v ktorom chcete zapnúť auditovanie. Po zapnutí režimu auditu pre vaše prostredia zatvorte panel.

Poznámka

Po aktualizácii nastavení konfigurácie sa môže režim auditu prejaviť až hodinu.

V režime auditu musíte vybrať aspoň jednu aplikáciu, ktorej chcete povoliť prístup. Riadenie prístupu aplikácií sa však v režime auditu nevynucuje. Zobrazí sa zoznam aplikácií, ktoré pristupujú k prostrediu bez ohľadu na to, či majú povolený alebo zamietnutý prístup.

Nastavenia auditu pre prostredie musia byť povolené vrátane možnosti prístupu k protokolom.

Získanie zoznamu protokolov auditu

  1. Prihláste sa do Power Platform centra správy ako správca systému.

  2. V navigačnej table vyberte položku Spravovať.

  3. V table Spravovať vyberte možnosť Prostredia. Potom vyberte prostredie, v ktorom ste zapli auditovanie.

  4. Vyberte Nastavenia.

  5. Vyberte položku Audit a protokoly>Zobrazenie súhrnu auditu.

  6. Vyberte možnosť Povoliť/Zakázať filtre a zobrazí sa vám zoznam možností rozbaľovacieho zoznamu nadpisov.

  7. Vyberte rozbaľovaciu šípku v blízkosti nadpisu Udalosť a potom vyhľadajte a vyberte ApplicationBasedAccessDenied a ApplicationBasedAccessAllowed.

    Snímka obrazovky, ktorá zobrazuje, kde sa na stránke súhrnného zobrazenia auditu nachádza tlačidlo Povoliť/Zakázať filtre a začiarkavacie políčka ApplicationBasedAccessDenied a ApplicationBasedAccessAllowed.

  8. Vyberte položku OK.

    Zobrazia sa vaše filtrované audity.

Zapnúť povolený režim

Začnite blokovať aplikácie, ktoré sú zablokované, a povoľte iba schválené aplikácie. Môžete vybrať aplikácie, ktorým chcete povoliť alebo zablokovať prístup.

  1. Prihláste sa do centra spravovania Power Platform.

  2. V navigačnej table vyberte položku Zabezpečenie.

  3. V table Zabezpečenie vyberte možnosť Identita a prístup.

  4. Na stránke Správa identity a prístupu vyberte možnosť Riadenie prístupu aplikácií.

  5. Vyberte prostredie, v ktorom chcete zapnúť funkciu riadenia prístupu aplikácií.

  6. Vyberte tlačidlo Nastaviť riadenie prístupu aplikácií .

  7. V rozbaľovacom zozname Riadenie prístupu vyberte možnosť Povolené .

  8. Vyberte aplikáciu a potom vyberte jednu z týchto možností, ktoré sa nachádzajú nad mriežkou: Dataverse

    • Povoliť aby ste povolili prístup k aplikácii.
    • Blokovať aby ste zamietli prístup k aplikácii.

  9. Vyberte položku Uložiť.

  10. Zoznam prostredí sa znova zobrazí. Postup zopakujte pre každé prostredie, v ktorom chcete začať blokovať blokované aplikácie a povoliť schválené aplikácie. Po dokončení zatvorte panel.

    Poznámka

    Po aktualizácii nastavení konfigurácie sa môže aktivácia povoleného režimu prejaviť až o hodinu.

Zapnúť režim povolených rolí

Začnite blokovať aplikácie, ktoré sú zablokované, a povoľte iba schválené aplikácie. Pre aplikácie, ktoré majú povolený prístup, môžete priradiť bezpečnostné roly, aby ste obmedzili, kto môže tieto aplikácie v prostredí spúšťať. Aplikácie môžu spúšťať iba používatelia s priradenou vybranou bezpečnostnou rolou.

  1. Prihláste sa do centra spravovania Power Platform.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte možnosť Identita a prístup.
  4. Na stránke Správa identity a prístupu vyberte možnosť Riadenie prístupu aplikácií.
  5. Vyberte prostredie, v ktorom chcete zapnúť funkciu riadenia prístupu aplikácií.
  6. Vyberte tlačidlo Nastaviť riadenie prístupu aplikácií .
  7. V rozbaľovacom zozname Riadenie prístupu vyberte možnosť Povolené pre roly .
  8. Po výbere aplikácie vyberte možnosť Spravovať bezpečnostné roly umiestnenú nad mriežkou.
  9. Vyberte jednu alebo viacero požadovaných bezpečnostných rolí.
  10. Vyberte položku Uložiť.
  11. Zobrazí sa okno s výzvou na potvrdenie vybraných rolí. Vyberte položku Uložiť.
  12. Zoznam aplikácií sa znova zobrazí. Vyberte položku Uložiť.
  13. Zoznam prostredí sa znova zobrazí. Postup zopakujte pre každé prostredie, v ktorom chcete priradiť bezpečnostné roly. Po dokončení zatvorte panel.

Poznámka

Po aktualizácii nastavení konfigurácie sa môže aktivácia režimu povoleného pre roly prejaviť až o hodinu.

Vypnite funkciu riadenia prístupu k aplikáciám

Vypnutím funkcie riadenia prístupu aplikácií odstránite obmedzenia pre aplikácie spustené v danom prostredí.

  1. Prihláste sa do centra spravovania Power Platform.
  2. V navigačnej table vyberte položku Zabezpečenie.
  3. V table Zabezpečenie vyberte možnosť Identita a prístup.
  4. Na stránke Správa identity a prístupu vyberte možnosť Riadenie prístupu aplikácií.
  5. Vyberte prostredie, v ktorom chcete zapnúť funkciu riadenia prístupu aplikácií.
  6. Vyberte tlačidlo Nastaviť riadenie prístupu aplikácií .
  7. V rozbaľovacom zozname Riadenie prístupu vyberte možnosť Zakázané .
  8. Vyberte položku Uložiť.
  9. Zoznam prostredí sa znova zobrazí. Postup zopakujte pre každé prostredie, v ktorom chcete funkciu vypnúť. Po dokončení zatvorte panel.

Poznámka

Ak niektoré aplikácie nastavíte na Povolené alebo Blokované, nemusíte toto nastavenie odstraňovať, keď je funkcia riadenia prístupu aplikácií vypnutá na Zakázané. V tomto prostredí neexistujú žiadne obmedzenia aplikácií.

Chybové hlásenie: Aplikácia bola zamietnutá – chyba používateľa

Používatelia dostanú nasledujúce chybové hlásenie, ak sa pokúsia spustiť nepovolenú aplikáciu:

Prístup k rozhraniu API je pre toto ID aplikácie obmedzený. Dataverse

Bežne používané služby a portálové aplikácie od spoločnosti Microsoft

Nasledujúce aplikácie sú služby prvej strany od spoločnosti Microsoft. Tento zoznam aplikácií sa môže líšiť v závislosti od typu prostredia, ktoré máte, a od nainštalovaných riešení. Tieto aplikácie sú automaticky povolené vo všetkých prostrediach, kde existujú. Ak chcete používateľom zablokovať používanie týchto aplikácií, môžete buď odstrániť požadovanú používateľskú licenciu, alebo odstrániť ich priradenie bezpečnostnej roly. Dataverse Napríklad, ak chcete používať portál tvorcu Power Apps , váš tvorca musí mať priradenú bezpečnostnú rolu Tvorca prostredia, Prispôsobovač systému alebo Správca systému.

ID aplikácie Názov aplikácie
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portál Ministerstva obrany USA
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portál GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Klient PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed Centrum administrácie PowerPlatform
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Financie Copilot
a59cef1e-2e32-4703-8dab-810d9807efeb cciboty
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Súvisiaci obsah

  • Last updated on