環境で許可されるアプリを制御する (プレビュー)
[この記事はプレリリース ドキュメントであり、変更されることがあります。]
Dataverse 環境内で実行できるアプリを制御することで、データ流出を防ぎます。 これらの保護手段は、機密情報の不正な削除を防ぎ、ビジネスの継続性と規制への準拠を支援します。
環境で許可またはブロックするアプリを構成します。 これにより、悪意のあるユーザーが未承認のアプリを使用して機密データをエクスポートするのを防ぎます。
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、お客様が一足先にアクセスして追加使用条件 の対象で、公式リリースの前に使用できるようになっています。
アプリのアクセス制御はどのように機能しますか?
アプリのアクセス制御は Dataverse 認証レイヤーで実行されます。 詳細については、Power Platform サービスに対する認証 を参照してください。 Dataverse 認証では、ユーザーのトークンに含まれるクライアント アプリ ID を、環境に対して構成された許可およびブロックされたアプリの一覧と照合して検証します。 この認証は、環境へのユーザーのアプリ アクセスを許可または拒否します。
ユーザーは、次の 4 つの方法で認証できます。
ユーザー コンテキスト
ユーザーは、Dynamics 365 Sales などの資格情報を使用してシステムにサインインします。
ユーザー偽装を含むアプリケーション コンテキスト
ユーザーがファーストパーティの Microsoft アプリにサインインします。 アプリは、ユーザーを表すアプリケーション トークンを使用して Dataverse 呼び出しを行います。 詳細情報については、Web API を使用して別のユーザーを偽装するを参照してください。
サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)
ファーストパーティの Microsoft アプリは、そのアプリケーション トークンを使用して Dataverse を呼び出します。 これらのファーストパーティ アプリは登録され、メール同期などの内部サービスを提供します。これらは通常、ユーザーの操作なしでバックグラウンドで実行されます。
Azure ポータルのアプリ登録に登録されているサードパーティ製アプリ
カスタム アプリは、Azure アプリ登録の証明書またはユーザー トークンを使用して認証されます。
クライアント アプリのアクセス制御が ユーザー およびアプリケーション コンテキスト認証でどのように機能するか の例:
ユーザー トークンを含むユーザー コンテキスト
- すべてのユーザー トークン要求について、使用されるアプリケーション ID が許可リストまたはブロックリストに含まれているかどうかを検証します。
- ユーザー トークンは、ファーストパーティ アプリや パートナー アプリのパブリック クライアントに対しても取得できます。
ヒント
- 一時的に必要でない限り、パブリック クライアントを許可することはお勧めしません。
- アプリは 00000007-0000-0000-c000-000000000000 Dataverse すべての環境で自動的に許可されます。 環境へのユーザー アクセスは Dataverse 適切なユーザー ライセンスを割り当てるか、ユーザーにセキュリティ ロールを割り当てることで Dataverse 管理できます。
ユーザー偽装を含むアプリケーション コンテキスト
ファーストパーティ アプリを使用した偽装
- サービス間アプリケーション トークンがユーザーの偽装で使用される Power Automateなどのシナリオでは、アプリケーション ID が許可されているかブロックされているかを確認します。
- ユーザー偽装が使用されていない他のシナリオでは、現在、サービス間トークンの検証は実行されていません。
クライアント アプリのアクセス制御は、次のアプリには適用されません。
サービス間呼び出しを使用するファーストパーティ アプリ (アプリケーション コンテキスト)
詳しくは よく使われる Microsoft ファーストパーティ サービスとポータル アプリ を参照してください。
サービス間呼び出しによるパートナー アプリ
これらのアプリをブロックするには、Power Platform 管理センターで非アクティブにするか、環境から削除します。 Power Platform 管理センターでアプリケーション ユーザーを管理する方法の詳細情報。
前提条件
次の必要条件を完了します。
ロールを確認します
Power Platform関連のサービス管理者ロールには、高水準の管理者管理を提供できるように割り当てることができるロールが 2 つあります。
- Power Platform 管理者
- Dynamics 365 管理者
環境がマネージド環境であることを確認する
環境はすべて、マネージド環境である必要があります。 詳細については、マネージド環境の概要 を参照してください。
環境で監査をオンにする
- システム管理者として、Power Platform 管理センター にサインインします。
- ナビゲーション ペインで、環境 を選択します。 続いて、特定の環境を選択します。
- コマンド バーで、設定 を選択します。
- 監査とログ>監査設定を選択します。
- 監査 セクションで、 監査の開始、 ログアクセス、および ログの読み取り オプションを選択します。
- 保存 を選択します。
環境のアプリケーション リストをレビューする
Dataverse 環境で実行するために事前登録された一連のアプリケーションがあります。 このアプリケーションの一覧は、環境によって異なる場合があります。 これらのアプリは、環境に自動的に読み込まれます。
ヒント
次のアプリは、 Dataverse 環境での実行が事前承認されています。
- On-Behalf-Of トークンの取得が事前に承認されているすべての Microsoft アプリ。 詳細については Microsoft ID プラットフォームと OAuth2.0 On-Behalf-Of フローを参照してください。
- アプリケーション ユーザー アプリ。 詳細については 特別なシステムユーザーとアプリケーションユーザーを参照してください。
- On-Behalf-Of トークンを動的に取得できるすべてのレガシ アプリ。
- prvActOnBehalfOfAnotherUser 特権を持つすべてのアプリと、ヘッダーを使用してユーザーを偽装するアプリ。 詳細については、他のユーザーを偽装する を参照してください。
リストからアプリケーションを追加または削除する
アプリケーションをリストに追加するには:
Power Platform 管理センターから環境を選択し、 環境 URL など
contoso.crm.dynamics.comをコピーします。同じブラウザで新しいタブを開き(ログインしたままにするため)、次のURLをアドレスバーに追加します。
<EnvironmentURL>を環境 URL に置き換えて、 Enter キーを押します。https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039フォームには、環境に読み込まれているアプリケーションの一覧が表示されます。
+新規を選択します。
![URL のリンク先にある [新規] ボタンの場所を示すスクリーンショット。](media/control-client-app-access-to-environment/new-application.png)
新しい画面で、ApplicationId と入力します。
名前を入力します。
保存を選択します。
![ApplicationId フィールドと Name フィールドの位置を示すスクリーンショット。この画像は、[保存] ボタンが配置されている場所も示しています。](media/control-client-app-access-to-environment/new-application-form.png)
リストからアプリケーションを削除するには:
- アプリを選択します。
- 削除を選択します。
ヒント
環境にプリロードされたシステム アプリを削除した場合、アプリはシステムによって自動的に復元されます。 追加したアプリのみを削除することもできます。
アプリを許可またはブロックする
許可する可能性のあるよく使用されるアプリ
ここでは、一般的に使用されるアプリのうち、安全に許可できるものをいくつか紹介します。
| Application ID | アプリケーション名 |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Microsoft Dynamics ファイル記憶域 |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeApps統合 |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Microsoft Dynamics NRD サービス |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service - Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Microsoft Dynamics CRM App for Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Dynamics 365 分析 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Common Data Service グローバル探索サービス |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Microsoft Flow サービス |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Azure Synapse Link for Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | Power Platform 承認サービス PROD |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Azure SQL Database と Data Warehouse |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA for CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Dynamic 365 Sales Insights Connector for Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
ブロックする可能性のあるアプリ
これらのアプリは、データの強力なエクスポーターです。 これらをブロックすることで、機密情報のデータ流出を防ぐことができます。
| Application ID | アプリケーション名 |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query for Excel (デスクトップ クライアント) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Microsoft Access クライアント |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | xRm ToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Power BI |
推奨手順
- 非運用環境で監査モードをオンにします。
- 環境で実行されているアプリの監査ログを確認して、アクセス制御を管理するアプリの一覧を取得します。
- 次に、運用環境で手順 1~2 を繰り返します。
- 環境での実行を許可するアプリの一覧を確認します。
アプリのアクセス制御のモード
次の 4 つのモードがあります。
監査モードをオンにする
少なくとも 1 週間は監査モードをオンにして、ユーザーが環境で実行しているアプリの一覧を取得することをお勧めします。
この監査ログの一覧を使用して、許可またはブロックするアプリを決定できます。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ セクションで Access Control を選択します。
- アクセス制御 セクションで、 アプリのアクセス制御を選択します
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウンリストで AuditMode オプションを選択します。
- Dataverse アプリケーションを選択し、グリッドの上にある 許可 オプションを選択します。
- 保存を選択します。
- 環境の一覧が再度表示されます。 監査を有効にする環境ごとにこの手順を繰り返します。 環境の監査モードを有効にしたら、パネルを閉じます。
ヒント
監査モードは、構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。
監査モードでは、アクセスを許可するアプリケーションを少なくとも 1 つ選択する必要があります。 ただし、監査モードではアプリのアクセス制御は適用されません。 アクセスを許可または拒否されているかどうかに関係なく、環境にアクセスしているアプリの一覧を取得します。
ログ アクセス オプションを含め、環境の監査設定を許可する必要があります。
監査ログの一覧を取得する
システム管理者として、Power Platform 管理センター にサインインします。
環境を選択し、監査を有効にした環境を選択します。
設定 を選択します。
監査とログ>監査概要ビューを選択します。
フィルターを有効/無効にする を選択して、見出しのドロップダウン機能のリストを確認します。
イベント 見出しの近くにあるドロップダウン矢印を選択し、ApplicationBasedAccessDenied および ApplicationBasedAccessAllowed を見つけて選択します。
![[フィルターの有効化/無効化] ボタンと、[ApplicationBasedAccessDenied] および [ApplicationBasedAccessAllowed] チェックボックスが [監査概要ビュー] ページにある場所を示すスクリーンショット。](media/control-client-app-access-to-environment/enable-disable-filters.png)
OK を選択します。
フィルタリングされた監査が表示されます。
![[フィルターの有効化/無効化] ボタンと、[ApplicationBasedAccessDenied] および [ApplicationBasedAccessAllowed] チェックボックスが [監査概要ビュー] ページにある場所を示すスクリーンショット。](media/control-client-app-access-to-environment/enable-disable-filters.png#lightbox)
有効モードをオンにする
ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アプリでアクセスを 許可する または ブロックする よう選択できます。
Power Platform 管理センターにサインインします。
ナビゲーション ウィンドウで、セキュリティ を選択します。
セキュリティ セクションで Access Control を選択します。
アクセス制御 セクションでアプリのアクセス制御 を選択します。
アプリのアクセス制御機能をオンにする環境を選択します。
アプリのアクセス制御を設定 ボタンを選択します。
Access Control ドロップダウン リストで、有効 を選択します。
Dataverse アプリケーションを選択し、グリッドの上にある次のオプションのいずれかを選択します。
- 許可 アプリへのアクセスを許可します。
- ブロック : アプリへのアクセスを拒否します。
保存を選択します。
環境の一覧が再度表示されます。 ブロックするアプリのブロックを開始し、承認されたアプリを許可する環境ごとに手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
有効モードは、構成設定を更新した後、有効になるまでに最大で 1 時間かかる場合があります。
ロールに対して有効なモードをオンにする
ブロックされているアプリのブロックを開始し、承認されたアプリのみを許可します。 アクセスを許可するアプリには、セキュリティ ロールを割り当てて、環境内でそれらのアプリを実行できるユーザーを制限できます。 選択したセキュリティ ロールに割り当てられたユーザーのみがアプリを実行できます。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ セクションで Access Control を選択します。
- アクセス制御 セクションでアプリのアクセス制御 を選択します。
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウン リストで、ロールに対して有効 を選択します。
- アプリを選択したら、グリッドの上にある セキュリティ ロールの管理 オプションを選択します。
- 必要なセキュリティ ロールを 1 つ以上選択します。
- 保存を選択します。
- ウィンドウが表示され、選択したロールを確認するように求められます。 保存を選択します。
- アプリのリストが再表示されます。 保存を選択します。
- 環境の一覧が再度表示されます。 セキュリティ ロールを割り当てる環境ごとにこの手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
ロールの有効化モードは、構成設定を更新した後、有効になるまでに最大 1 時間かかる場合があります。
アプリのアクセス制御機能をオフにする
アプリのアクセス制御機能をオフにして、環境で実行されているアプリの制限を解除します。
- Power Platform 管理センターにサインインします。
- ナビゲーション ウィンドウで、セキュリティ を選択します。
- セキュリティ セクションで Access Control を選択します。
- アクセス制御 セクションでアプリのアクセス制御 を選択します。
- アプリのアクセス制御機能をオンにする環境を選択します。
- アプリのアクセス制御を設定 ボタンを選択します。
- Access Control ドロップダウン リストで、無効 を選択します。
- 保存を選択します。
- 環境の一覧が再度表示されます。 機能をオフにする環境ごとに、この手順を繰り返します。 完了したら、パネルを閉じます。
ヒント
一部のアプリを 許可 または ブロックに設定している場合、アプリのアクセス制御機能が無効になっているときに設定を削除する必要はありません。 この環境では、アプリの制限はありません。
エラー メッセージ: ユーザーアプリ拒否エラー
ユーザーが許可されていないアプリを実行しようとすると、次のエラー メッセージが表示されます。
このアプリケーション ID への Dataverse API アクセスは制限されています。
一般的に使用される Microsoft ファーストパーティサービスとポータルアプリ
次のアプリは Microsoft ファーストパーティ サービスです。 このアプリの一覧は、使用している環境の種類とインストールされているソリューションによって異なる場合があります。 これらのアプリは、存在するすべての環境で自動的に許可されます。 ユーザーがこれらのアプリを使用できないようにするには、必要なユーザー ライセンスを削除するか、セキュリティ ロール Dataverse 割り当てを削除します。 たとえば、 Power Apps maker portalを使用するには、作成者に環境作成者、システム カスタマイザー、またはシステム管理者のいずれかのセキュリティ ロールが割り当てられている必要があります。
| Application ID | アプリケーション名 |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | Microsoft Flow ポータル DoD |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft FlowポータルGCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a522f059-bb65-47c0-8934-7db6e5286414 | Power Virtual Agents - テスト |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | PowerPlatformAdminCenter クライアント |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | Finance Copilot |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |