Kontrolowanie, które aplikacje są dozwolone w środowisku

Chroń się przed eksfiltracją danych, kontrolując, które aplikacje mogą być uruchamiane w Twoim środowisku Dataverse. Zabezpieczenia te zapobiegają nieautoryzowanemu usunięciu poufnych informacji, pomagając firmie zachować ciągłość działania i zgodność z przepisami.

Skonfiguruj, które aplikacje są dozwolone lub blokowane w danym środowisku. Uniemożliwia to złośliwym użytkownikom używanie niezatwierdzonych aplikacji do eksportowania poufnych danych.

Jak działa kontrola dostępu do aplikacji?

Kontrola dostępu aplikacji odbywa się w warstwie uwierzytelniania Dataverse. Dowiedz się więcej w temacie Uwierzytelnianie w usługach Power Platform. Uwierzytelnianie Dataverse sprawdza identyfikator aplikacji klienckiej w tokenie użytkownika na podstawie listy dozwolonych i blokowanych aplikacji skonfigurowanych dla środowiska. Uwierzytelnianie udziela lub odmawia aplikacji użytkownika dostępu do środowiska.

Użytkownicy mogą uwierzytelniać się na cztery sposoby:

• Kontekst użytkownika

  Użytkownik loguje się do systemu, na przykład Dynamics 365 Sales, przy użyciu swoich poświadczeń.

• Kontekst aplikacji z personifikacją użytkownika

  Użytkownik loguje się do własnej aplikacji Microsoft. Aplikacja wywołuje Dataverse za pomocą tokenu aplikacji reprezentującego użytkownika. Dowiedz się więcej w artykule Personifikowanie innego użytkownika przy użyciu internetowego interfejsu API.

• Własna aplikacja z połączeniem usługa-usługa (kontekst aplikacji)

  Własna aplikacja firmy Microsoft wywołuje usługę Dataverse przy użyciu tokenu aplikacji. Te własne aplikacje są zarejestrowane i zapewniają wewnętrzne usługi, takie jak synchronizacja poczty e-mail, które zazwyczaj działają w tle bez interakcji użytkownika.

• Aplikacje innych firm zarejestrowane w rejestracji aplikacji Azure Portal

  Aplikacja niestandardowa uwierzytelnia się przy użyciu certyfikatu rejestracji aplikacji Azure lub tokenu użytkownika.

Przykłady działania kontroli dostępu aplikacji klienckiej w uwierzytelnianiu kontekstowym użytkownik i aplikacje:

• Kontekst użytkownika z tokenem użytkownika

  • W przypadku wszystkich żądań tokenów użytkownika sprawdzamy, czy używany identyfikator aplikacji jest częścią list dozwolonych czy zablokowanych.
  • Token użytkownika można również uzyskać dla klienta publicznego dla aplikacji własnych i partnerskich.

  Notatka

  • Nie zalecamy zezwalania na klienta publicznego, chyba że jest to potrzebne tymczasowo.
  • Aplikacja 00000007-0000-0000-c000-000000000000 Dataverse jest automatycznie dozwolona we wszystkich środowiskach. Dostępem użytkownika do środowiska Dataverse można zarządzać, przypisując mu odpowiednią licencję użytkownika i/lub przypisując mu rolę zabezpieczeń Dataverse.

• Kontekst aplikacji z personifikacją użytkownika

• Podszywanie się pod własną aplikację

  • W scenariuszach takich jak Power Automate, gdzie token aplikacji typu usługa-usługa jest używany w przypadku personifikacji użytkownika, sprawdzamy, czy identyfikator aplikacji jest dozwolony, czy zablokowany.
  • W innych scenariuszach, w których personifikacja użytkownika nie jest używana, obecnie nie są wykonywane żadne weryfikacje tokenów między usługami.

Kontrola dostępu do aplikacji klienckich nie jest stosowana do następujących aplikacji:

• Aplikacje własne z wywołaniami typu usługa-usługa (kontekst aplikacji)

  Dowiedz się więcej w temacie Często używane Microsoft własne usługi i aplikacje portalu.

• Aplikacje partnerskie z wywołaniami między usługami

  Aby zablokować te aplikacje, ustaw je jako nieaktywne lub usuń ze środowiska w centrum administracyjnym Power Platform. Dowiedz się więcej: Zarządzanie środowiskami w centrum administracyjnym platformy Power Platform.

Wymagania wstępne

Spełnienie następujących wymagań wstępnych:

Zweryfikuj swoją rolę

Istnieją dwie role administratora usługi powiązane z Power Platform, które można przypisać, aby zapewnić wysoki poziom zarządzania administracyjnego.

• Administrator platformy Power Platform
• Administracja usługi Dynamics 365

Sprawdź, czy Twoje środowisko jest środowiskiem zarządzanym

Środowisko musi być środowiskiem zarządzanym. Dowiedz się więcej: Omówienie środowisk zarządzanych.

Włączanie inspekcji w środowisku

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator systemu.
2. W okienku nawigacyjnym wybierz Zarządzanie.
3. W okienku Zarządzaj, wybierz Środowiska. Następnie wybierz określone środowisko.
4. Wybierz Ustawienia na pasku poleceń.
5. Wybierz Ustawienia inspekcji i dzienników>Ustawienia inspekcji.
6. W sekcji Inspekcje wybierz opcje Rozpoczęcie inspekcji, Dostęp do dzienników i Czytanie dzienników.
7. Wybierz pozycję Zapisz.

Przejrzyj listę aplikacji w środowisku

Istnieje zestaw aplikacji zarejestrowanych wstępnie do działania w środowisku Dataverse. Ta lista aplikacji może się różnić w zależności od środowiska. Te aplikacje są automatycznie ładowane do środowiska.

• Wszystkie aplikacje Microsoft, które są wstępnie autoryzowane do uzyskiwania tokenów w imieniu. Więcej informacji można znaleźć w Platforma tożsamości Microsoft i OAuth2.0 On-Behalf-Of flow.
• Aplikacje użytkowników. Więcej informacji można znaleźć w Specjalni użytkownicy systemu i aplikacji.
• Wszystkie starsze aplikacje, które mogą dynamicznie uzyskiwać tokeny w imieniu.
• Wszystkie aplikacje z uprawnieniem prvActOnBehalfOfAnotherUser oraz aplikacje używające nagłówków do personifikacji użytkowników. Więcej informacji: Podszywaj się pod innego użytkownika.

Dodawanie aplikacji do listy

Aby dodać aplikację do listy, wykonaj poniższe kroki.

1. Zaloguj się do centrum administracyjnego Power Platform.

2. W okienku nawigacyjnym wybierz Zarządzanie.

3. W okienku Zarządzaj, wybierz Środowiska.

4. Na stronie Środowiska wybierz nazwę środowiska.

5. Skopiuj adres URL Środowisko, taki jak contoso.crm.dynamics.com.

6. Otwórz nową kartę w tej samej przeglądarce (aby pozostać zalogowanym) i dodaj następujący adres URL do paska adresu. Zastąp ciąg <EnvironmentURL> adresem URL środowiska, a następnie naciśnij Enter.

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   Formularz zawiera listę aplikacji, które są ładowane w danym środowisku.

7. Wybierz + Nowy.

8. Na nowym ekranie wprowadź ApplicationId.

9. W polu Nazwa wprowadź nazwę.

10. Wybierz pozycję Zapisz.

Usuwanie aplikacji z listy

Aby usunąć aplikację z listy:

1. Wybierz aplikację.

2. Wybierz Usuń.

3. Powtórz tę procedurę dla każdej aplikacji, którą chcesz usunąć.

   Notatka

   Jeśli usunięto aplikację systemową, która została wstępnie załadowana w środowisku, aplikacja może zostać automatycznie przywrócona przez system. Możesz usunąć tylko te aplikacje, które zostały dodane.

Zezwalanie na aplikacje lub ich blokowanie

Często używane aplikacje, na które możesz zezwolić

Oto kilka często używanych aplikacji, na które można bezpiecznie zezwolić.

Aplikacje, które możesz chcieć zablokować

Te aplikacje są potężnymi eksporterami danych. Zablokowanie ich zapobiega możliwej eksfiltracji poufnych informacji.

Zalecane kroki

1. Włącz tryb audytu w środowisku nieprodukcyjnym.
2. Przejrzyj dziennik inspekcji dla aplikacji uruchomionych w środowisku, aby uzyskać listę aplikacji, których kontrolą dostępu chcesz zarządzać.
3. Powtórz kroki 1–2 w środowisku produkcyjnym.
4. Potwierdź listę aplikacji, którym chcesz zezwolić na uruchamianie w środowisku.

Tryby kontroli dostępu do aplikacji

Dostępne są cztery różne tryby:

• Włącz tryb inspekcji
• Włącz tryb aktywny
• Włączenie trybu ról
• Wyłącz dostęp do aplikacji

Włącz tryb inspekcji

Zalecamy włączenie trybu inspekcji na co najmniej tydzień, aby uzyskać listę aplikacji uruchomionych przez użytkowników w środowisku.

Korzystając z tej listy dzienników kontrolnych, możesz określić, na które aplikacje chcesz zezwolić, a które zablokować.

1. Zaloguj się do centrum administracyjnego Power Platform.
2. W okienku nawigacji, wybierz Zabezpieczenia.
3. W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
4. na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji
5. Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
6. Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
7. Wybierz opcję AuditMode z listy rozwijanej Kontrola dostępu.
8. Wybierz aplikację Dataverse, a następnie wybierz opcję Zezwalaj znajdującą się nad siatką.
9. Wybierz pozycję Zapisz.
10. Lista środowisk zostanie ponownie wyświetlona. Powtórz tę procedurę dla każdego środowiska, w którym chcesz włączyć inspekcję. Zamknij panel po zakończeniu włączania trybu audytu dla swoich środowisk.

Ustawienia inspekcji dla środowiska, w tym opcja Dostęp do dziennika, muszą być dozwolone.

Odzyskaj swoją listę dzienników audytu

1. Zaloguj się do Centrum administracyjnego Power Platform jako administrator systemu.

2. W okienku nawigacyjnym wybierz Zarządzanie.

3. W okienku Zarządzaj, wybierz Środowiska. Następnie wybierz środowisko, w którym włączono audyt.

4. Wybierz Ustawienia.

5. Wybierz Ustawienia inspekcji i dzienników>Widok podsumowania inspekcji.

6. Wybierz opcję Włącz/wyłącz filtry, aby przejrzeć listę możliwości listy rozwijanej nagłówków.

7. Wybierz strzałkę listy rozwijanej obok nagłówka Zdarzenie, a następnie znajdź i wybierz pozycję ApplicationBasedAccessDenied i ApplicationBasedAccessAllowed.

   

8. Zaznacz OK.

   Zostaną wyświetlone odfiltrowane inspekcje.

Włącz tryb aktywny

Zacznij blokować aplikacje, które są zablokowane i zezwalaj tylko na zatwierdzone aplikacje. Możesz wybrać aplikacje, które mają mieć dostęp dozwolony lub zablokowany.

1. Zaloguj się do centrum administracyjnego Power Platform.

2. W okienku nawigacji, wybierz Zabezpieczenia.

3. W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.

4. Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.

5. Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.

6. Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.

7. Wybierz Włączenie z listy rozwijanej Kontrola dostępu.

8. Wybierz aplikację Dataverse, a następnie wybierz jedną z tych opcji znajdujących się nad siatką:

   • Zezwalaj, aby zezwolić na dostęp do aplikacji.
   • Zablokuj, aby odmówić dostęp do aplikacji.

9. Wybierz pozycję Zapisz.

10. Lista środowisk zostanie ponownie wyświetlona. Powtórz procedurę dla każdego środowiska, w którym chcesz rozpocząć blokowanie zablokowanych aplikacji i zezwolić na zatwierdzone aplikacje. Po zakończeniu zamknij panel.

    Notatka

    Zastosowanie trybu włączonego może potrwać do godziny po zaktualizowaniu ustawień konfiguracji.

Włączenie trybu ról

Zacznij blokować aplikacje, które są zablokowane i zezwalaj tylko na zatwierdzone aplikacje. W przypadku aplikacji, które mają zezwolony dostęp, można przypisać role zabezpieczeń, aby ograniczyć liczbę osób, które mogą uruchamiać te aplikacje w środowisku. Tylko użytkownicy przypisani do wybranej roli zabezpieczeń mogą uruchamiać aplikacje.

1. Zaloguj się do centrum administracyjnego Power Platform.
2. W okienku nawigacji, wybierz Zabezpieczenia.
3. W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
4. Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.
5. Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
6. Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
7. Wybierz Włączenie dla ról z listy rozwijanej Kontrola dostępu.
8. Po wybraniu aplikacji wybierz opcję Zarządzaj rolami zabezpieczeń znajdującą się nad siatką.
9. Wybierz jedną lub więcej żądanych ról zabezpieczeń.
10. Wybierz pozycję Zapisz.
11. Zostanie wyświetlone okno z prośbą o potwierdzenie wybranych ról. Wybierz pozycję Zapisz.
12. Lista aplikacji zostanie ponownie wyświetlona. Wybierz pozycję Zapisz.
13. Lista środowisk zostanie ponownie wyświetlona. Powtórz tę procedurę dla każdego środowiska, w którym chcesz przypisać role zabezpieczeń. Po zakończeniu zamknij panel.

Wyłączanie funkcji kontroli dostępu do aplikacji

Wyłącz funkcję kontroli dostępu do aplikacji, aby usunąć ograniczenia dotyczące aplikacji działających w środowisku.

1. Zaloguj się do centrum administracyjnego Power Platform.
2. W okienku nawigacji, wybierz Zabezpieczenia.
3. W sekcji Zabezpieczenia wybierz pozycję Tożsamość i dostęp.
4. Na stronie Zarządzanie tożsamościami i dostępem wybierz pozycję Kontrola dostępu do aplikacji.
5. Wybierz środowisko, w którym chcesz włączyć funkcję kontroli dostępu do aplikacji.
6. Wybierz przycisk Ustaw kontrolę dostępu do aplikacji.
7. Wybierz Wyłączenie z listy rozwijanej Kontrola dostępu.
8. Wybierz pozycję Zapisz.
9. Lista środowisk zostanie ponownie wyświetlona. Powtórz procedurę dla każdego środowiska, w którym chcesz wyłączyć tę funkcję. Po zakończeniu zamknij panel.

Błąd: aplikacja odrzuciła użytkownika

Użytkownicy otrzymują następujący komunikat o błędzie, jeśli spróbują uruchomić niedozwoloną aplikację:

Dostęp do interfejsu API Dataverse jest ograniczony dla tego identyfikatora aplikacji.

Często używane własne usługi firmy Microsoft i aplikacje portalu

Poniższe aplikacje są Microsoft usługami własnymi. Ta lista aplikacji może się różnić w zależności od typów posiadanego środowiska i zainstalowanych rozwiązań. Te aplikacje są automatycznie dozwolone we wszystkich środowiskach, w których istnieją. Aby uniemożliwić użytkownikom korzystanie z tych aplikacji, możesz usunąć wymaganą licencję użytkownika lub przypisać mu rolę zabezpieczeń Dataverse. Na przykład, aby można było korzystać z Power Apps Maker Portal, twórca musi być przypisany do roli zabezpieczeń Twórca środowiska, Konfigurator systemu lub Administrator systemu.

Powiązana zawartość

• Często używane własne usługi firmy Microsoft i aplikacje portalu
• Identyfikatory aplikacji powszechnie używanych aplikacji Microsoft