控制哪些應用程式可在 Dataverse 環境中執行以防止資料外流。 這些保護措施可防止未經授權刪除敏感訊息,幫助您的業務保持連續性並遵守法規。
設定您的環境中允許或封鎖哪些應用程式。 這可以防止惡意使用者使用未經核准的應用程式匯出敏感資料。
應用程式存取控制如何運作?
應用程式存取控制是在 Dataverse 驗證層執行。 如需詳細資訊,請參閱對 Power Platform 服務進行驗證。 Dataverse 驗證根據環境設定的允許和封鎖應用程式清單來驗證使用者權杖中的用戶端應用程式識別碼。 驗證會授予或拒絕使用者的應用程式對環境的存取權限。
使用者可以透過四種方式進行驗證:
使用者內容
使用者使用其憑證登入系統,例如 Dynamics 365 Sales。
具有使用者模擬的應用程式內容
使用者登入第一方 Microsoft 應用程式。 應用程式使用表示使用者的應用程式權杖來呼叫 Dataverse。 在使用 Web API 模擬其他使用者中深入了解。
使用服務對服務呼叫的第一方應用程式 (應用程式內容)
第一方 Microsoft 應用程式使用其應用程式權杖呼叫 Dataverse。 這些第一方應用程式已註冊並提供內部服務,例如電子郵件同步,這些服務通常在背景執行,無需任何使用者互動。
在 Azure 入口網站的應用程式註冊中註冊的第三方應用程式
您的自訂應用程式使用 Azure 應用程式註冊的憑證或使用者權杖進行驗證。
用戶端應用程式存取控制如何在使用者和應用程式上下文驗證中運作的範例:
包含使用者權杖的使用者內容
- 對於所有使用者權杖請求,我們驗證所使用的應用程式識別碼是否屬於允許清單或封鎖清單的一部分。
- 也可以為第一方和合作夥伴應用程式的公共用戶端取得使用者權杖。
注意
- 除非暫時需要,否則我們不建議允許公共用戶端。
- 00000007-0000-0000-c000-000000000000 自動允許在所有環境中使用 Dataverse 應用程式。 Dataverse 環境的使用者存取可透過指派適當的使用者授權和/或指派 Dataverse 資訊安全角色給使用者來進行管理。
包含使用者模擬的應用程式內容
使用第一方應用程式進行模擬
- 在服務對服務應用程式權杖與使用者模擬搭配使用的 Power Automate 等案例中,我們會檢查應用程式識別碼是獲得允許還是遭到封鎖。
- 對於不使用使用者模擬的其他情境,目前不會對服務到服務權杖執行任何驗證。
用戶端應用程式存取控制不適用於以下應用程式:
使用服務對服務呼叫的第一方應用程式 (應用程式內容)
如需進一步了解,請參閱常用的 Microsoft 第一方服務和入口網站應用程式。
使用服務對服務呼叫的合作夥伴應用程式
若要封鎖這些應用程式,請將其置於非使用中狀態或從 Power Platform 系統管理中心的環境中刪除。 如需詳細資訊,請參閱在 Power Platform 系統管理中心中管理應用程式使用者。
先決條件
完成以下必要條件:
驗證您的角色
您可以指派兩個 Power Platform 相關服務管理員角色來提供高階管理員管理:
- Power Platform 管理員
- Dynamics 365 管理員
驗證您的環境是否為受控環境
您的環境必須是受控環境。 如需進一步了解,請參閱受控環境概觀。
開啟環境稽核
- 以系統管理員身分登入 Power Platform 系統管理中心。
- 在導覽窗格中,選擇管理。
- 在管理窗格中,選擇環境。 然後選擇您的特定環境。
- 選取命令列中的設定。
- 選取稽核和記錄>稽核設定。
- 在稽核區段中,選擇開始稽核、記錄存取和讀取記錄選項。
- 選取儲存。
查看環境中的應用程式清單
有一組預先註冊的應用程式可在 Dataverse 環境中執行。 此應用程式清單在不同環境之間可能有所不同。 這些應用程式會自動載入到您的環境中。
注意
下列應用程式已獲預先授權,可在 Dataverse 環境中執行:
- 預先授權取得代表權杖的所有 Microsoft 應用程式。 如需進一步了解,請參閱 Microsoft 身分平台和 OAuth2.0 代理者流程。
- 應用程式使用者應用程式。 如需進一步了解,請參閱特殊系統使用者和應用程式使用者。
- 所有可以動態取得代理者權杖的舊版應用程式。
- 所有具有 prvActOnBehalfOfAnotherUser 權限的應用程式,以及使用標頭模擬使用者的應用程式。 如需進一步了解,請參閱模擬其他使用者。
將應用程式新增至清單
透過完成以下步驟將應用程式新增至清單。
在導覽窗格中,選擇管理。
在管理窗格中,選擇環境。
在環境頁面中,選擇環境的名稱。
複製環境 URL,例如
contoso.crm.dynamics.com。在同一瀏覽器中開啟一個新分頁 (以保持登入狀態) 並將以下 URL 新增至網址列。 將
<EnvironmentURL>替換為您的環境 URL,然後按 Enter 鍵。https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039該表單會顯示您的環境中載入的應用程式清單。
選取 + 新增。
在新畫面上,輸入 ApplicationId。
輸入名稱。
選取儲存。
從清單中刪除應用程式
若要從清單中刪除應用程式:
選取一個應用程式。
選取刪除。
對每個想要刪除的應用程式重複此過程。
注意
如果您刪除了環境中預先載入的系統應用程式,系統可以自動還原該應用程式。 您可能只想刪除已新增的應用程式。
允許或封鎖應用程式
您可能想要允許的常用應用程式
以下是一些可以安全允許的常用應用程式。
| 應用程式識別碼 | 應用程式名稱 |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Microsoft Dynamics 檔案儲存體 |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Microsoft Dynamics NRD 服務 |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service - Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Microsoft Dynamics CRM App for Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Dynamics 365 分析工具 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Common Data Service 全域探索服務 |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Microsoft Flow 服務 |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Dataverse 的 Azure Synapse Link |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Power Platform 授權服務產品 |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Azure SQL 資料庫與資料倉儲 |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | 適用於 CDS 的 BizQA |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | 適用於 Power Automate 的 Dynamic 365 Sales Insights 連接器 |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS 產品 |
| 99335b6b-7d9d-4216-8dee-883b26e0ccf7 | Power Platform 資料流程 Common Data Service 用戶端 |
| 0c906d81-7073-46b5-a95c-3726fca3e3a3 | Power Platform 見解與建議資料平面產品 |
您可能想要封鎖的應用程式
這些應用程式是強大的資料匯出器。 封鎖它們可以防止敏感資訊的資料外洩。
| 應用程式識別碼 | 應用程式名稱 |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | 適用於 Excel 的 Microsoft Power Query (桌面用戶端) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Microsoft Access 用戶端 |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | XrmToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| 00000009-0000-0000-c000-000000000000 | Power BI |
推薦步驟
- 在非生產環境中開啟稽核模式。
- 查看環境中執行的應用程式的稽核記錄,以取得要管理其存取控制的應用程式的清單。
- 在生產環境中重複步驟 1-2。
- 確認您想要允許在環境中執行的應用程式清單。
應用程式存取控制方式
有四種不同的模式:
開啟稽核模式
我們建議您開啟稽核模式至少一周,以取得使用者在環境中執行的應用程式清單。
使用此稽核記錄清單,您可以確定要允許或封鎖哪些應用程式。
- 登入 Power Platform 系統管理中心。
- 在導覽窗格中,選擇安全性。
- 在安全性窗格中,選擇身分識別與存取權。
- 在身分和存取管理頁面中,選擇應用程式存取控制
- 選擇您要開啟應用程式存取控制功能的環境。
- 選擇設定應用程式存取控制按鈕。
- 在存取控制下拉式清單中選擇 AuditMode 選項。
- 選取 Dataverse 應用程式,然後選取位於網格上方的允許選項。
- 選取儲存。
- 再次顯示環境清單。 對要開啟稽核的每個環境重複此程序。 為您的環境開啟稽核模式後,關閉面板。
注意
更新設定設定後,稽核模式可能需要長達一小時才能生效。
在稽核模式下,您必須至少選擇一個應用程式以允許存取。 但是,在稽核模式下不會強制執行應用程式存取控制。 您將獲得存取環境的應用程式清單,無論它們是否被允許或拒絕存取。
必須允許環境的稽核設定,包括記錄存取選項。
擷取您的稽核記錄清單
以系統管理員身分登入 Power Platform 系統管理中心。
在導覽窗格中,選擇管理。
在管理窗格中,選擇環境。 然後選擇一個您開啟稽核的環境。
選取設定。
選取稽核和記錄>稽核摘要檢視表。
選擇啟用/停用篩選器以查看標題下拉功能的清單。
選擇事件標題附近的下拉箭頭,然後尋找,然後選擇 ApplicationBasedAccessDenied 和 ApplicationBasedAccessAllowed。
選取確定。
將顯示您篩選的稽核。
開啟啟用模式
開始阻止已封鎖的應用程式,並僅允許核准的應用程式。 您可以選擇允許或封鎖存取的應用程式。
在導覽窗格中,選擇安全性。
在安全性窗格中,選擇身分識別與存取權。
在身分和存取管理頁面中,選擇應用程式存取控制。
選擇您要開啟應用程式存取控制功能的環境。
選擇設定應用程式存取控制按鈕。
在存取控制下拉式清單中選擇啟用。
選取 Dataverse 應用程式,然後選取下列其中一個位於網格上方的選項:
- 允許,用於允許存取該應用程式。
- 封鎖,用於拒絕存取該應用程式。
選取儲存。
再次顯示環境清單。 對於要開始封鎖已封鎖的應用程式並允許核准的應用程式的每個環境,請重複此過程。 完成後關閉面板。
注意
更新設定設定後,啟用模式可能需要長達一小時才能生效。
啟用角色模式
開始阻止已封鎖的應用程式,並僅允許核准的應用程式。 對於允許存取的應用程式,您可以指派資訊安全角色來限制誰可以在環境中執行這些應用程式。 只有分配有選定資訊安全角色的使用者才能執行應用程式。
- 登入 Power Platform 系統管理中心。
- 在導覽窗格中,選擇安全性。
- 在安全性窗格中,選擇身分識別與存取權。
- 在身分和存取管理頁面中,選擇應用程式存取控制。
- 選擇您要開啟應用程式存取控制功能的環境。
- 選擇設定應用程式存取控制按鈕。
- 在存取控制下拉式清單中,為角色選擇啟用。
- 選擇您的應用程式後,選擇位於網格上方的管理資訊安全角色選項。
- 選擇一個或多個所需的資訊安全角色。
- 選取儲存。
- 將出現一個視窗,要求您確認所選的角色。 選取儲存。
- 再次顯示應用程式清單。 選取儲存。
- 再次顯示環境清單。 對要指派資訊安全角色的每個環境重複此程序。 完成後關閉面板。
注意
更新設定設定後,啟用的角色模式可能需要長達一小時才能生效。
關閉應用程式存取控制功能
關閉應用程式存取控制功能以消除對環境中執行的應用程式的限制。
- 登入 Power Platform 系統管理中心。
- 在導覽窗格中,選擇安全性。
- 在安全性窗格中,選擇身分識別與存取權。
- 在身分和存取管理頁面中,選擇應用程式存取控制。
- 選擇您要開啟應用程式存取控制功能的環境。
- 選擇設定應用程式存取控制按鈕。
- 在存取控制下拉式清單中選擇停用。
- 選取儲存。
- 再次顯示環境清單。 對要關閉該功能的每個環境重複此程序。 完成後關閉面板。
注意
如果您將某些應用程式設定為允許或封鎖,則當應用程式存取控制功能關閉為停用時,無需刪除該設定。 此環境中沒有應用程式限制。
錯誤訊息:應用程式拒絕使用者錯誤
如果使用者嘗試執行不允許的應用程式,則會收到以下錯誤訊息:
對 Dataverse API 的存取受此應用程式識別碼限制。
常用的 Microsoft 第一方服務與入口網站應用
以下應用程式是 Microsoft 第一方服務。 此應用程式清單可能會有所不同,具體取決於您擁有的環境類型以及安裝的解決方案。 這些應用程式在其存在的所有環境中都會自動被允許。 若要封鎖使用者,使其無法使用這些應用程式,您可以移除所需的使用者授權,或移除其 Dataverse 資訊安全角色指派。 例如,若要使用 Power Apps Maker Portal,必須為製作者指派環境建立者、系統自訂者或系統管理員資訊安全角色。
| 應用程式識別碼 | 應用程式名稱 |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Microsoft Flow 入口網站 DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft Flow 入口網站 GCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | PowerPlatformAdminCenter 用戶端 |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | 財務 Copilot |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |