Compartir a través de

Controlar qué aplicaciones están permitidas en su entorno (versión preliminar)

  • Artículo

[Este artículo es documentación preliminar y está sujeto a modificaciones].

Protéjase contra la filtración de datos controlando qué aplicaciones se pueden ejecutar en su entorno de Dataverse. Estas medidas de seguridad evitan la eliminación no autorizada de información confidencial, lo que ayuda a su empresa a mantener la continuidad y cumplir con las regulaciones.

Configure qué aplicaciones están permitidas o bloqueadas en su entorno. Esto evita que los usuarios malintencionados usen aplicaciones no aprobadas para exportar datos confidenciales.

Importante

  • Esta es una característica en versión preliminar.
  • Las características en vista previa no se han diseñado para un uso de producción y pueden tener una funcionalidad restringida. Estas características están sujetas a condiciones de uso adicionales y están disponibles antes del lanzamiento oficial para que los clientes puedan tener un acceso anticipado y proporcionar comentarios.

¿Cómo funciona el control de acceso a las aplicaciones?

El control de acceso a las aplicaciones se realiza en la capa de autenticación de Dataverse. Obtenga más información en Autenticación a servicios de Power Platform. La autenticación de Dataverse valida el id. de aplicación cliente en el token del usuario con una lista de aplicaciones permitidas y bloqueadas configuradas para el entorno. La autenticación concede o deniega el acceso de la aplicación del usuario al entorno.

Los usuarios pueden autenticarse de cuatro maneras:

  • Contexto de usuario

    El usuario inicia sesión en el sistema, como Dynamics 365 Sales, con sus credenciales.

  • Contexto de aplicación con suplantación de usuario

    El usuario inicia sesión en una aplicación Microsoft propia. La aplicación realiza una llamada a Dataverse con su token de aplicación que representa al usuario. Más información en Suplantar a otro usuario utilizando la API web.

  • Aplicación propia con llamada de servicio a servicio (contexto de la aplicación)

    Una aplicación de Microsoft propia realiza una llamada a Dataverse con su token de aplicación. Estas aplicaciones propias están registradas y proporcionan servicios internos, como la sincronización de correo electrónico, que normalmente se ejecutan en segundo plano sin ninguna interacción del usuario.

  • Aplicaciones de terceros registradas en el registro de aplicaciones de su portal Azure

    La aplicación personalizada se autentica mediante el certificado o token de usuario del registro de la aplicación Azure.

Ejemplos de cómo funciona el control de acceso de la aplicación cliente en la autenticación de contexto de usuario y aplicación:

  • Contexto de usuario con token de usuario

    • Para todas las solicitudes de tokens de usuario, validamos si el identificador de la aplicación utilizado forma parte de las listas permitidas o bloqueadas.
    • También se puede obtener un token de usuario para un cliente público para aplicaciones propias y asociadas.

    Nota

    • No se recomienda permitir un cliente público a menos que sea necesario temporalmente.
    • La aplicación Dataverse de 00000007-0000-0000-c000-000000000000 se permite automáticamente en todos los entornos. El acceso del usuario al entorno de Dataverse se puede administrar mediante la asignación de la licencia de usuario adecuada o la asignación de un rol de seguridad de Dataverse al usuario.

  • Contexto de aplicación con suplantación de usuario

  • Suplantación de identidad mediante una aplicación propia

    • En escenarios como Power Automate, en los que se usa un símbolo (token) de aplicación de servicio a servicio con la suplantación de usuario, comprobamos si el identificador de aplicación está permitido o bloqueado.
    • Para otros escenarios en los que no se usa la suplantación de usuario, actualmente no se realizan validaciones para los tokens de servicio a servicio.

El control de acceso de las aplicaciones cliente no se aplica a las siguientes aplicaciones:

Requisitos previos

Complete los siguientes requisitos previos:

Comprobar su rol

Hay dos roles de administrador de servicios relacionados con Power Platform que puede asignar para proporcionar un alto nivel de administración de administradores:

  • Administrador de Power Platform
  • Administrador de Dynamics 365

Compruebe que su entorno es un entorno administrado

Su entorno debe ser un entorno administrado. Obtenga más información en Información general sobre entornos administrados.

Activar la auditoría en el entorno

  1. Inicie sesión en el Centro de administración de Power Platform como administrador del sistema.
  2. En el panel de navegación, seleccione Entorno. Luego, seleccione su entorno específico.
  3. Seleccione Configuración en la barra de comandos.
  4. Seleccione Auditoria y registros>Configuración de auditoría.
  5. En la sección Auditoría, seleccione las opciones Iniciar auditoría, Acceso a registros y Leer registros.
  6. Seleccione Guardar.

Revisar la lista de aplicaciones en el entorno

Hay un conjunto de aplicaciones que se registran previamente para ejecutarse en un entorno de Dataverse. Esta lista de aplicaciones puede ser diferente entre diferentes entornos. Estas aplicaciones se cargan automáticamente en su entorno.

Nota

Las siguientes aplicaciones están preautorizadas para ejecutarse en un entorno de Dataverse:

Agregar o quitar aplicaciones de la lista

Para agregar una aplicación a la lista:

  1. En el centro de administración de Power Platform, seleccione un entorno y copie la URL del entorno, como contoso.crm.dynamics.com.

  2. Abra una nueva pestaña en el mismo navegador (para permanecer conectado) y agregue la siguiente URL a la barra de direcciones. Reemplace <EnvironmentURL> por la URL de su entorno y, a continuación, presione Entrar.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    El formulario muestra la lista de aplicaciones que están cargadas en su entorno.

  3. Seleccione + Nuevo.

    Captura de pantalla que muestra la ubicación del botón Nuevo en la URL de destino.

  4. En la nueva pantalla, especifique un ApplicationId.

  5. Escriba un Nombre.

  6. Seleccione Guardar.

    Captura de pantalla que muestra la ubicación de los campos ApplicationId y Nombre. La imagen también muestra dónde se encuentra el botón Guardar.

Para eliminar una aplicación de la lista:

  1. Seleccione una aplicación.
  2. Seleccione Eliminar.

Nota

Si eliminó una aplicación del sistema que estaba precargada en el entorno, el sistema puede restaurar automáticamente la aplicación. Es posible que desee eliminar solo las aplicaciones que ha agregado.

Permitir o bloquear aplicaciones

Aplicaciones de uso común que quizás quiera permitir

Estas son algunas de las aplicaciones más utilizadas que es seguro permitir.

Id. de aplicación Nombre de la aplicación
07ce06e6-4ae9-4466-bca4-2984fa04d057 Almacenamiento de archivos de Microsoft Dynamics
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft DynamicsServicio de NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service: Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics CRM App for Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Análisis de Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Servicio de detección global de Common Data Service
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Servicio Microsoft Flow
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Servicio de autorización PROD de Power Platform
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database y Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA para CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Conector Dynamic 365 Sales Insights para Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
Aplicaciones que quizás quiera bloquear

Estas aplicaciones son potentes exportadoras de datos. Bloquearlas evita una posible exfiltración de datos de información sensible.

Id. de aplicación Nombre de la aplicación
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query para Excel (cliente de escritorio)
d3590ed6-52b3-4102-aeff-aad2292ab01c Cliente de Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d Power BI
  1. Active el modo auditoría en su entorno de no producción.
  2. Revise el registro de auditoría de las aplicaciones que se ejecutan en el entorno para obtener la lista de aplicaciones cuyo control de acceso desea administrar.
  3. Repita los pasos 1 y 2 en su entorno de producción.
  4. Confirme la lista de aplicaciones que desea permitir para ejecutar en el entorno.

Modos de control de acceso a aplicaciones

Hay cuatro modos diferentes:

Activar el modo de auditoría

Le recomendamos que active el modo auditoría, durante al menos una semana, para obtener la lista de aplicaciones que sus usuarios están ejecutando en un entorno.

Con esta lista de registros de auditoría, puede determinar qué aplicaciones desea permitir o bloquear.

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Seguridad.
  3. En la sección Seguridad, seleccione Controles de acceso.
  4. En la sección Controles de acceso, seleccione Control de accesos a aplicaciones.
  5. Seleccione el entorno en el que desea activar la característica de control de acceso a la aplicación.
  6. Seleccione el botón Configurar el control de accesos a aplicaciones.
  7. Seleccione la opción AuditMode en la lista desplegable Control de acceso.
  8. Seleccione una aplicación Dataverse y, a continuación, seleccione la opción Permitir situada encima de la cuadrícula.
  9. Seleccione Guardar.
  10. La lista de entornos se muestra de nuevo. Repita el procedimiento para cada entorno en el que desee activar la auditoría. Cierre el panel cuando haya terminado de activar el modo auditoría para sus entornos.

Nota

El modo de auditoría puede tardar hasta una hora en surtir efecto después de actualizar los ajustes de configuración.

En el modo de auditoría, debe seleccionar al menos una aplicación a la que permitir el acceso. Sin embargo, el control de acceso a las aplicaciones no se aplica en modo de auditoría. Obtiene una lista de aplicaciones que acceden al entorno, independientemente de que se les permita o deniegue el acceso.

Debe permitirse la configuración de auditoría para un entorno, incluida la opción de Registrar acceso.

Recuperar la lista de registros de auditoría

  1. Inicie sesión en el centro de administración de Power Platform como administrador del sistema.

  2. Seleccione Entornos y, a continuación, seleccione un entorno en el que haya activado la auditoría.

  3. Seleccione Configuración.

  4. Seleccione Auditoria y registros>Vista de resumen de auditoría.

  5. Seleccione Habilitar/deshabilitar filtros para revisar una lista de capacidades desplegables de encabezados.

  6. Seleccione la flecha desplegable cerca del encabezado Evento y, a continuación, busque y seleccione ApplicationBasedAccessDenied y ApplicationBasedAccessAllowed.

    Captura de pantalla que muestra dónde se encuentran las casillas Habilitar/Deshabilitar filtros y ApplicationBasedAccessDenied y ApplicationBasedAccessAllowed en la página Vista de resumen de auditoría.

  7. Seleccione Aceptar.

    Aparecerán las auditorías filtradas.

Activar el modo habilitado

Continúe bloqueando las aplicaciones que están bloqueadas y permita solo las aplicaciones aprobadas. Puede seleccionar aplicaciones para tener acceso permitido o bloqueado.

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. En el panel de navegación, seleccione Seguridad.

  3. Seleccione Controles de acceso en la sección Seguridad.

  4. Seleccione Control de accesos a aplicaciones en la sección Controles de acceso.

  5. Seleccione el entorno en el que desea activar la característica de control de acceso a la aplicación.

  6. Seleccione el botón Configurar el control de accesos a aplicaciones.

  7. Seleccione Habilitado en la lista desplegable Control de acceso.

  8. Seleccione una aplicación Dataverse y, a continuación, seleccione una de estas opciones, que se encuentran encima de la cuadrícula:

    • Permitir para permitir el acceso a la aplicación.
    • Bloquear para denegar el acceso a la aplicación.

  9. Seleccione Guardar.

  10. La lista de entornos se muestra de nuevo. Repita el procedimiento para cada entorno en el que desee comenzar a bloquear aplicaciones no aprobadas y permitir aplicaciones aprobadas. Cierre el panel cuando haya terminado.

    Nota

    El modo habilitado puede tardar hasta una hora en surtir efecto después de actualizar los ajustes de configuración.

Activar el modo habilitado para el modo de roles

Continúe bloqueando las aplicaciones que están bloqueadas y permita solo las aplicaciones aprobadas. Para las aplicaciones con acceso permitido, puede asignar roles de seguridad para restringir quién puede ejecutar esas aplicaciones en el entorno. Solo los usuarios asignados a un rol de seguridad seleccionado pueden ejecutar las aplicaciones.

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Seguridad.
  3. Seleccione Controles de acceso en la sección Seguridad.
  4. Seleccione Control de accesos a aplicaciones en la sección Controles de acceso.
  5. Seleccione el entorno en el que desea activar la característica de control de acceso a la aplicación.
  6. Seleccione el botón Configurar el control de accesos a aplicaciones.
  7. Seleccione Habilitado para roles en la lista desplegable Control de acceso.
  8. Una vez seleccionada la aplicación, seleccione la opción Administrar roles de seguridad ubicada encima de la cuadrícula.
  9. Seleccione uno o varios roles de seguridad que desee.
  10. Seleccione Guardar.
  11. Aparecerá una ventana en la que se le pedirá que confirme los roles que ha seleccionado. Seleccione Guardar.
  12. Aparece de nuevo la lista de aplicaciones. Seleccione Guardar.
  13. La lista de entornos se muestra de nuevo. Repita el procedimiento para cada entorno en el que desee asignar roles de seguridad. Cierre el panel cuando haya terminado.

Nota

El modo habilitado para roles puede tardar hasta una hora en surtir efecto después de actualizar los ajustes de configuración.

Desactivar la función de control de acceso a aplicaciones

Desactive la función de control de acceso a aplicaciones para eliminar las restricciones en las aplicaciones que se ejecutan en un entorno.

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Seguridad.
  3. Seleccione Controles de acceso en la sección Seguridad.
  4. Seleccione Control de accesos a aplicaciones en la sección Controles de acceso.
  5. Seleccione el entorno en el que desea activar la característica de control de acceso a la aplicación.
  6. Seleccione el botón Configurar el control de accesos a aplicaciones.
  7. Seleccione Deshabilitado en la lista desplegable Control de acceso.
  8. Seleccione Guardar.
  9. La lista de entornos se muestra de nuevo. Repita el procedimiento para cada entorno en el que desee desactivar la característica. Cierre el panel cuando haya terminado.

Nota

Si configura algunas aplicaciones como Permitido o Bloqueado, no es necesario que elimine la configuración cuando la característica de control de acceso a aplicaciones esté desactivada como Deshabilitada. No hay restricciones de aplicaciones en este entorno.

Mensaje de error: error de usuario de aplicación denegada

Los usuarios reciben el siguiente mensaje de error si intentan ejecutar una aplicación no permitida:

El acceso a la API de Dataverse está restringido para este identificador de aplicación.

Aplicaciones de portal y servicios propios de Microsoft de uso común

Las siguientes aplicaciones son servicios propios de Microsoft. Esta lista de aplicaciones puede ser diferente según los tipos de entorno que tenga y las soluciones que estén instaladas. Estas aplicaciones se permiten automáticamente en todos los entornos en los que existen. Para impedir que los usuarios usen estas aplicaciones, puede quitar la licencia de usuario requerida o quitar su asignación de roles de seguridad de Dataverse. Por ejemplo, para usar el portal de creadores de Power Apps, su creador debe tener asignado un rol de seguridad de Creador de entorno, Personalizador del sistema o Administrador del sistema.

Id. de aplicación Nombre de la aplicación
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft FlowPortalGCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414 Power Virtual Agents: Prueba
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a Cliente de PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilot para finanzas
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Id. de aplicación de aplicaciones Microsoft de uso común