通过控制哪些应用可以在您的 Dataverse 环境中运行来防止数据外泄。 这些保护措施可防止未经授权删除敏感信息,帮助您的企业保持连续性并遵守法规。
配置您的环境中允许或阻止哪些应用。 这样可以防止恶意用户使用未经批准的应用导出敏感数据。
应用访问控制如何工作?
应用访问控制在 Dataverse 身份验证层执行。 有关详细信息,请参阅对 Power Platform 服务进行身份验证。 Dataverse 身份验证根据为环境配置的允许和阻止应用列表验证用户令牌中的客户端应用 ID。 身份验证授予或拒绝用户的应用对环境的访问权限。
用户可以通过四种方式进行身份验证:
用户上下文
用户使用其凭据登录系统(如 Dynamics 365 Sales)。
具有用户模拟的应用程序上下文
用户登录到第一方 Microsoft 应用。 应用使用其表示用户的应用程序令牌进行 Dataverse 调用。 在使用 Web API 模拟另一个用户中了解更多信息。
具有服务到服务调用的第一方应用(应用程序上下文)
第一方 Microsoft 应用使用应用程序令牌进行 Dataverse 调用。 这些第一方应用已注册并提供内部服务,例如电子邮件同步,这些服务通常在后台运行,无需任何用户交互。
在 Azure 门户的应用注册中注册的第三方应用
自定义应用使用 Azure 应用注册的证书或用户令牌进行身份验证。
客户端应用程序访问控制如何在用户和应用程序上下文身份验证中发挥作用的示例:
包含用户令牌的用户上下文
- 对于所有用户令牌请求,我们都会验证所使用的应用程序 ID 是否属于允许或阻止列表。
- 还可以为第一方应用和合作伙伴应用的公共客户端获取用户令牌。
备注
- 除非临时需要,否则不建议允许公共客户端。
- 00000007-0000-0000-c000-000000000000 Dataverse 应用在所有环境中都会被自动允许。 用户访问 Dataverse 环境可通过分配适当的用户许可证和/或为用户分配 Dataverse 安全角色进行管理。
具有用户模拟的应用程序上下文
使用第一方应用进行模拟
- 在将服务到服务应用程序令牌用于用户模拟等 Power Automate 场景中,我们会检查是允许还是阻止应用程序 ID。
- 对于未使用用户模拟的其他方案,当前不会对服务到服务令牌执行任何验证。
客户端应用访问控制不应用于以下应用:
具有服务到服务调用的第一方应用(应用程序上下文)
在常用 Microsoft 第一方服务和门户应用中了解详细信息。
使用服务到服务调用的合作伙伴应用
要阻止这些应用,可在 Power Platform 管理中心将其设置为停用或从环境中将其删除。 更多信息请参阅在 Power Platform 管理中心管理应用程序用户。
必备条件
完成以下先决条件:
验证您的角色
可分配两种与 Power Platform 有关的服务管理员角色来提供高级别管理员管理:
- Power Platform 管理员
- Dynamics 365 管理员
验证您的环境是否为托管环境
您的环境必须是托管环境。 了解托管环境概述中的更多信息。
打开环境中的审计
- 以系统管理员身份登录 Power Platform 管理中心。
- 在导航窗格中,选择管理。
- 在管理窗格中,选择环境。 然后选择特定环境。
- 在命令栏中选择设置。
- 选择审核和日志>审核设置。
- 在审计部分,选择开始审计、日志访问和读取日志选项。
- 选择保存。
查看环境中的应用程序列表
有一组应用程序已预先注册,可在 Dataverse 环境中运行。 此应用程序列表在不同环境之间可能不同。 这些应用会自动加载到您的环境中。
备注
以下应用已预先授权,可在 Dataverse 环境中运行:
- 所有经预先授权可获取 On-Behalf-Of 令牌的 Microsoft 应用程序。 了解更多信息,请参阅 Microsoft 身份平台和 OAuth2.0 On-Behalf-Of 流。
- 应用程序用户应用程序。 有关详细信息,请参阅特殊系统用户和应用程序用户。
- 可以动态获取 On-Behalf-Of 令牌的所有旧版应用。
- 具有 prvActOnBehalfOfAnotherUser 权限的所有应用以及使用标头模拟用户的应用。 了解更多模拟另一个用户。
在列表中添加应用程序
完成以下步骤将应用程序添加到列表中。
在导航窗格中,选择管理。
在管理窗格中,选择环境。
在环境页面中,选择环境名称。
复制环境 URL,如
contoso.crm.dynamics.com。在同一浏览器中打开一个新选项卡(以保持登录状态),并将以下 URL 添加到地址栏。 替换
<EnvironmentURL>为您的环境 URL,然后按 Enter。https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039该窗体显示环境中加载的应用程序列表。
选择 + 新建。
在新屏幕上,输入 ApplicationId。
输入名称。
选择保存。
从列表中删除应用程序
要从列表中删除应用程序,请执行以下操作
选择应用。
选择删除。
对每个要删除的应用程序重复此步骤。
备注
如果您删除了环境中预加载的系统应用,则系统可以自动还原该应用。 您可能只想删除已添加的应用。
允许或阻止应用
您可能希望允许的常用应用
以下是一些可以安全使用的常用应用程序。
| 应用程序 ID | 应用程序名称 |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Microsoft Dynamics 文件存储 |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Microsoft Dynamics NRD 服务 |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service - Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Microsoft Dynamics CRM App for Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Dynamics 365 分析 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Common Data Service 全球发现服务 |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Microsoft Flow 服务 |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | 适用于 Dataverse 的 Azure Synapse Link |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Power Platform 授权服务 PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Azure SQL 数据库和数据仓库 |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | 适用于 CDS 的 BizQA |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | 用于 Power Automate 的 Dynamic 365 Sales Insights 连接器 |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Power Platform 数据流 Common Data Service 客户端 |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Power Platform 见解与建议数据平面生产 |
您可能想要阻止的应用
这些应用程序是功能强大的数据导出器。 阻止它们可以防止敏感信息的数据泄露。
| 应用程序 ID | 应用程序名称 |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query for Excel(桌面客户端) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Microsoft Access 客户端 |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
建议步骤
- 在非生产环境中打开审核模式。
- 查看环境中运行的应用的审核日志,以获取要管理其访问控制的应用列表。
- 在生产环境中重复步骤 1-2。
- 确认要允许在环境中运行的应用程序列表。
应用访问控制模式
有四种不同的模式:
开启审核模式
我们建议您打开审核模式至少一周,以获取用户在环境中运行的应用列表。
使用此审核日志列表,可以确定要允许或阻止哪些应用。
- 登录 Power Platform 管理中心。
- 在导航窗格中,选择安全性。
- 在安全性窗格,选择身份和访问。
- 在身份和访问管理页面中,选择应用程序访问控制
- 选择要打开应用访问控制功能的环境。
- 选择设置应用程序访问控制按钮。
- 在访问控制下拉列表中选择 AuditMode 选项。
- 选择一个 Dataverse 应用程序,然后选择网格上方的允许选项。
- 选择保存。
- 环境列表将再次显示。 对要启用审核的每个环境重复该过程。 为环境开启审核模式后,关闭面板。
备注
更新配置设置后,审核模式最多可能需要一个小时才能生效。
在审核模式下,必须至少选择一个应用程序以允许访问。 但是,在审核模式下不会强制执行应用访问控制。 您将获得访问环境的应用列表,无论这些应用是被允许还是被拒绝访问。
必须允许环境的审核设置,包括日志访问选项。
检索审核日志列表
以系统管理员身份登录 Power Platform 管理中心。
在导航窗格中,选择管理。
在管理窗格中,选择环境。 然后,选择启用审核的环境。
选择设置。
选择审核和日志>审核摘要视图。
选择启用/禁用过滤器,查看标题下拉功能列表。
选择事件标题附近的下拉箭头,然后查找并选择 ApplicationBasedAccessDenied 和 ApplicationBasedAccessAllowed。
选择确定。
此时将显示筛选出的审核。
开启启用模式
开始阻止已阻止的应用程序,只允许已批准的应用程序。 您可以选择具有允许或阻止访问权限的应用。
在导航窗格中,选择安全性。
在安全性窗格,选择身份和访问。
在身份和访问管理页面中,选择应用程序访问控制。
选择要打开应用访问控制功能的环境。
选择设置应用程序访问控制按钮。
在访问控制下拉列表中选择已启用。
选择一个 Dataverse 应用程序,然后选择网格上方的选项之一:
- 允许将允许访问应用。
- 阻止将拒绝访问应用。
选择保存。
环境列表将再次显示。 对要开始阻止被阻止的应用并允许已批准的应用的每个环境重复该过程。 完成后关闭面板。
备注
更新配置设置后,启用模式最多可能需要一个小时才能生效。
打开已启用角色模式
开始阻止已阻止的应用程序,只允许已批准的应用程序。 对于允许访问的应用,可以分配安全角色来限制谁可以在环境中运行这些应用。 只有分配了选定安全角色的用户才能运行应用。
- 登录 Power Platform 管理中心。
- 在导航窗格中,选择安全性。
- 在安全性窗格,选择身份和访问。
- 在身份和访问管理页面中,选择应用程序访问控制。
- 选择要打开应用访问控制功能的环境。
- 选择设置应用程序访问控制按钮。
- 在访问控制下拉列表中选择为角色启用。
- 选择应用后,选择网格上方的管理安全角色选项。
- 选择一个或多个所需的安全角色。
- 选择保存。
- 此时将显示一个窗口,要求您确认所选的角色。 选择保存。
- 再次显示应用程序列表。 选择保存。
- 环境列表将再次显示。 对要分配安全角色的每个环境重复该过程。 完成后关闭面板。
备注
更新配置设置后,启用角色模式最多可能需要一个小时才能生效。
关闭应用访问控制功能
关闭应用程序访问控制功能以删除对环境中运行的应用程序的限制。
- 登录 Power Platform 管理中心。
- 在导航窗格中,选择安全性。
- 在安全性窗格,选择身份和访问。
- 在身份和访问管理页面中,选择应用程序访问控制。
- 选择要打开应用访问控制功能的环境。
- 选择设置应用程序访问控制按钮。
- 在访问控制下拉列表中选择已禁用。
- 选择保存。
- 环境列表将再次显示。 对要关闭该功能的每个环境重复该过程。 完成后关闭面板。
备注
如果将某些应用设置为允许或阻止,则当应用访问控制功能关闭为已禁用时,无需删除该设置。 此环境中没有应用限制。
错误信息:应用程序拒绝用户错误
如果用户尝试运行不允许的应用,则会收到以下错误消息:
此应用程序 ID 限制对 Dataverse API 的访问。
常用 Microsoft 第一方服务和门户应用
以下应用是 Microsoft 第一方服务。 此应用列表可能会有所不同,具体取决于您拥有的环境类型和安装的解决方案。 这些应用在它们存在的所有环境中都会自动被允许。 若要阻止用户使用这些应用,可以删除所需的用户许可证或删除其 Dataverse 安全角色分配。 例如,若要使用 Power Apps maker portal,必须向制作者分配环境创建者、系统定制员或系统管理员安全角色。
| 应用程序 ID | 应用程序名称 |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Microsoft Flow 门户 DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft Flow 门户 GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | PowerPlatformAdminCenter 客户端 |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | 财经 Copilot |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |