사용자 환경에서 허용되는 앱 제어(프리뷰)

아티클
12/31/2024

[이 문서는 시험판 설명서이므로 변경될 수 있습니다.]

사용자 Dataverse 환경에서 실행할 수 있는 앱을 제어하여 데이터 반출을 방지합니다. 이러한 보호 장치는 민감한 정보의 무단 제거를 방지하여 비즈니스가 연속성을 유지하고 규정을 준수하는 데 도움이 됩니다.

사용자 환경에서 허용되거나 차단되는 앱을 구성합니다. 이렇게 하면 악의적인 사용자가 승인되지 않은 앱을 사용하여 중요한 데이터를 내보내는 것을 방지할 수 있습니다.

중요

이는 프리뷰 기능입니다.
프리뷰 기능은 프로덕션용으로 만들어진 것이 아니므로 기능이 제한될 수 있습니다. 이러한 기능에는 추가 사용 약관이 적용되며, 고객이 조기에 액세스하고 피드백을 제공할 수 있도록 공식 출시 전에 제공됩니다.

앱 액세스 제어는 어떻게 작동하나요?

앱 접근 제어는 인증 계층에서 Dataverse 수행됩니다. 서비스 인증 에서 Power Platform 자세히 알아보세요. Dataverse 인증은 환경에 대해 구성된 허용 및 차단된 앱 목록에 대해 사용자 토큰의 클라이언트 앱 ID의 유효성을 검사합니다. 인증은 환경에 대한 사용자의 앱 액세스 권한을 부여하거나 거부합니다.

사용자는 다음 네 가지 방법으로 인증할 수 있습니다.

사용자 컨텍스트

사용자는 자신의 자격 증명을 사용하여 시스템에 로그인합니다(예: Dynamics 365 Sales).
사용자 가장이 있는 응용 프로그램 컨텍스트

사용자가 자사 Microsoft 앱에 로그인합니다. 앱은 사용자를 나타내는 애플리케이션 토큰을 사용하여 Dataverse를 호출합니다. 웹 API를 사용하여 다른 사용자 가장에서 자세히 알아보세요.
서비스 간 호출을 사용하는 자사 앱(응용 프로그램 컨텍스트)

자사 Microsoft 앱은 애플리케이션 토큰을 사용하여 Dataverse를 호출합니다. 이러한 자사 앱은 등록되어 있으며 일반적으로 사용자 상호 작용 없이 백그라운드에서 실행되는 이메일 동기화와 같은 내부 서비스를 제공합니다.
Azure 포털의 앱 등록에 등록된 타사 앱

사용자 지정 앱은 Azure 앱 등록의 인증서 또는 사용자 토큰을 사용하여 인증합니다.

사용자 및 애플리케이션 컨텍스트 인증에서 클라이언트 앱 액세스 제어가 작동하는 방식의 예:

사용자 토큰이 있는 사용자 컨텍스트
- 모든 사용자 토큰 요청에 대해 사용된 애플리케이션 ID가 허용 또는 차단 목록의 일부인지 확인합니다.
- 사용자 토큰은 자사 및 파트너 앱의 공용 클라이언트에 대해서도 가져올 수 있습니다.
참고
- 일시적으로 필요한 경우가 아니면 공용 클라이언트를 허용하지 않는 것이 좋습니다.
- 00000007-0000-0000-c000-000000000000 Dataverse 앱은 모든 환경에서 자동으로 허용됩니다. Dataverse 환경에 대한 사용자 액세스는 적절한 사용자 라이선스를 할당하거나 사용자에게 Dataverse 보안 역할을 할당하여 관리할 수 있습니다.
사용자 가장이 있는 응용 프로그램 컨텍스트
퍼스트 파티 앱을 사용한 가장
- 서비스 간 응용 프로그램 토큰이 사용자 가장과 함께 사용되는 경우와 같은 Power Automate 시나리오에서는 응용 프로그램 ID가 허용되는지 또는 차단되는지 확인합니다.
- 사용자 가장이 사용되지 않는 다른 시나리오의 경우 현재 서비스 간 토큰에 대한 유효성 검사가 수행되지 않습니다.

클라이언트 앱 액세스 제어는 다음 앱에 적용되지 않습니다.

서비스 간 호출이 있는 자사 앱(애플리케이션 컨텍스트)

일반적으로 사용되는 Microsoft 퍼스트 파티 서비스 및 포털 앱에서 자세히알아보세요.
서비스 간 호출이 있는 파트너 앱

이러한 앱을 차단하려면 비활성화하거나 Power Platform 관리 센터의 환경에서 삭제하십시오. Power Platform 관리 센터에서 애플리케이션 사용자 관리에서 자세히 알아보세요.

사전 요구 사항

다음 사전 요구 사항을 완료합니다.

역할 확인

높은 수준의 관리자 관리를 제공하기 위해 할당할 수 있는 두 개의 Power Platform 관련 서비스 관리자 역할이 있습니다.

Power Platform 관리자
Dynamics 365 관리자

환경이 관리형 환경인지 확인

환경은 관리형 환경이어야 합니다. 관리형 환경 개요에서 자세히 알아보세요.

환경에 대한 감사 켜기

Power Platform 관리 센터에 시스템 관리자로 로그인합니다.
탐색 창에서 환경을 선택합니다. 그런 다음 특정 환경을 선택합니다.
명령 모음에서 설정을 선택합니다.
감사 및 로그>감사 설정을 선택합니다.
Auditing( 감사) 섹션에서 Start auditing (감사 시작), Log access(로그 액세스 ) 및 Read logs(로그 읽기) 옵션을 선택합니다.
저장을 선택합니다.

환경에서 애플리케이션 목록 검토

환경에서 실행되도록 미리 등록된 애플리케이션 집합이 Dataverse 있습니다. 이 응용 프로그램 목록은 환경마다 다를 수 있습니다. 이러한 앱은 사용자 환경에 자동으로 로드됩니다.

참고

다음 앱은 Dataverse 환경에서 실행할 수 있도록 미리 권한이 부여되어 있습니다.

On-Behalf-Of 토큰을 획득할 수 있는 사전 권한이 있는 모든 Microsoft 앱. Microsoft ID 플랫폼 및 OAuth2.0 On-Behalf-Of 흐름 에서 자세히 알아보세요.
애플리케이션 사용자 앱. 특수 시스템 사용자 및 애플리케이션 사용자 에서자세히 알아보세요.
On-Behalf-Of 토큰을 동적으로 획득할 수 있는 모든 레거시 앱.
prvActOnBehalfOfAnotherUser 권한이 있는 모든 앱 및 헤더를 사용하여 사용자를 가장하는 앱 다른 사용자로 가장에서 자세히 알아보세요

목록에서 애플리케이션 추가 또는 제거

목록에 애플리케이션을 추가하려면:

Power Platform 관리 센터에서 환경을 선택하고 다음과 같은 환경 URL 을 contoso.crm.dynamics.com복사합니다.
동일한 브라우저에서 새 탭을 열고(로그인 상태를 유지하려면) 주소 표시줄에 다음 URL을 추가합니다. <EnvironmentURL>을 해당 환경 URL로 바꾸고 Enter 키를 누릅니다.
```
https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
```
이 양식에는 사용자 환경에 로드된 응용 프로그램 목록이 표시됩니다.
+ 새로 만들기를 선택합니다.
새 화면에서 ApplicationId를 입력합니다.
이름을 입력합니다.
저장을 선택합니다.

목록에서 애플리케이션을 제거하려면:

앱을 선택합니다.
삭제를 선택합니다.

참고

환경에 미리 로드된 시스템 앱을 제거한 경우 시스템에서 앱을 자동으로 복원할 수 있습니다. 추가한 앱만 삭제하고 싶을 수 있습니다.

앱 허용 또는 차단

허용할 수 있는 일반적으로 사용되는 앱

다음은 허용해도 안전하며 일반적으로 사용되는 몇 가지 앱입니다.

Application ID	애플리케이션 이름
07ce06e6-4ae9-4466-bca4-2984fa04d057	Microsoft Dynamics 파일 스토리지
1884bdbf-452a-4a11-9c76-afdbdb1b3768	RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3	PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff	MicrosoftDynamics365OfficeApps통합
4ade18ba-d41e-45d6-a563-97c67fc0be15	Microsoft Dynamics NRD 서비스
546068c3-99b1-4890-8e93-c8aeadcfe56a	Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa	DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e	Outlook용 Microsoft Dynamics CRM 앱
61d02d70-ab6c-4569-be48-787ea2cda65d	Dynamics 365 분석
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8	Common Data Service Global Discovery 서비스
730d33da-0894-409f-a907-c577151719c5	Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c	Microsoft Flow 서비스
7f15f9d9-cad0-44f1-bbba-d36650e07765	Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195	DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3	Power Platform 권한 부여 서비스 PROD
978b42f5-e03a-4695-b8df-454959d032c8	BAP
99ff962b-6252-4b98-8478-0c65a3ea1925	InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf	Azure SQL Database 및 Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8	CDS용 BizQA
b5faaec4-04c9-45e6-990a-093ed6d02c94	Power Automate용 Dynamic 365 Sales Insights 커넥터
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9	PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e	IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b	Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021	CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3	JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2	AiBuilder PAIO-CDS Prod

차단하려 할 수 있는 앱

이러한 앱은 강력한 데이터 내보내기 도구입니다. 이를 차단하면 중요한 정보의 데이터 유출 가능성을 방지할 수 있습니다.

Application ID	애플리케이션 이름
a672d62c-fc7b-4e81-a576-e60dc46e951d	Microsoft Power Query for Excel(데스크톱 클라이언트)
d3590ed6-52b3-4102-aeff-aad2292ab01c	Microsoft Access 클라이언트
51f81489-12ee-4a9e-aaae-a2591f45987d	xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc	PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d	Power BI

권장되는 단계

비프로덕션 환경에서 감사 모드를 켭니다.
환경에서 실행 중인 앱에 대한 감사 로그를 검토하여 액세스 제어를 관리하려는 앱 목록을 가져옵니다.
프로덕션 환경에서 1-2단계를 반복합니다.
환경에서 실행할 수 있도록 허용할 앱 목록을 확인합니다.

앱 접근 제어 모드

네 가지 모드가 있습니다.

감사 모드 켜기
지원 모드 켜기
역할 지원 모드 켜기
앱 액세스 끄기

감사 모드 켜기

최소 1주일 동안 감사 모드를 켜서 사용자가 환경에서 실행 중인 앱 목록을 가져오는 것이 좋습니다.

이 감사 로그 목록을 사용하여 허용하거나 차단할 앱을 결정할 수 있습니다.

Power Platform 관리 센터에 로그인합니다.
탐색 창에서 보안을 선택합니다.
보안 섹션에서 액세스 제어를 선택합니다.
액세스 제어 섹션에서 앱 액세스 제어를 선택합니다
앱 접근 제어 기능을 켤 환경을 선택해 주십시오.
앱 액세스 제어 설정 버튼을 선택합니다.
액세스 제어 드롭다운 목록에서 AuditMode 옵션을 선택합니다.
Dataverse 응용 프로그램을 선택한 다음 그리드 위에 있는 허용 옵션을 선택합니다 .
저장을 선택합니다.
환경 목록이 다시 표시됩니다. 감사를 설정하려는 각 환경에 대해 이 절차를 반복합니다. 환경에 대한 감사 모드 켜기를 완료하면 패널을 닫습니다.

참고

감사 모드는 구성 설정을 업데이트한 후 적용되는 데 최대 한 시간이 걸릴 수 있습니다.

감사 모드에서는 액세스를 허용할 응용 프로그램을 하나 이상 선택해야 합니다. 그러나 앱 액세스 제어는 감사 모드에서 적용되지 않습니다. 액세스 허용 또는 거부 여부에 관계없이 환경에 액세스하는 앱 목록이 표시됩니다.

로그 액세스 옵션을 포함하여 환경에 대한 감사 설정을 허용해야 합니다.

감사 로그 목록 검색

Power Platform 관리 센터에 시스템 관리자로 로그인합니다.
환경을 선택한 다음, 감사를 켠 환경을 선택합니다.
설정을 선택합니다.
감사 및 로그>감사 요약 보기를 선택합니다.
필터 사용/사용 안 함을 선택하여 제목 드롭다운 기능 목록을 검토합니다.
이벤트 제목 근처의 드롭다운 화살표를 선택한 다음, ApplicationBasedAccessDenied 및 ApplicationBasedAccessAllowed를 찾아 선택합니다.
확인을 선택합니다.

필터링된 감사가 나타납니다.

지원 모드 켜기

차단된 앱 차단을 시작하고 승인된 앱만 허용합니다. 앱을 선택하여 허용된 또는 차단된 액세스 권한을 설정할 수 있습니다.

Power Platform 관리 센터에 로그인합니다.
탐색 창에서 보안을 선택합니다.
보안 섹션에서 액세스 제어를 선택합니다.
Access controls(액세스 제어 ) 섹션에서 App access control(앱 액세스 제어 )을 선택합니다 .
앱 접근 제어 기능을 켤 환경을 선택해 주십시오.
앱 액세스 제어 설정 버튼을 선택합니다.
액세스 제어 드롭다운 목록에서 활성화됨을 선택합니다.
Dataverse 응용 프로그램을 선택한 다음, 그리드 위에 있는 다음 옵션 중 하나를 선택합니다.
- 허용을 선택하여 앱에 대한 액세스를 허용합니다.
- 차단 - 앱에 대한 액세스를 거부합니다.
저장을 선택합니다.
환경 목록이 다시 표시됩니다. 차단된 앱을 차단하고 승인된 앱을 허용하려는 각 환경에 대해 절차를 반복합니다. 완료되면 패널을 닫습니다.

참고

사용 모드는 구성 설정을 업데이트한 후 적용되는 데 최대 한 시간이 걸릴 수 있습니다.

역할 지원 모드 켜기

차단된 앱 차단을 시작하고 승인된 앱만 허용합니다. 액세스가 허용된 앱의 경우 보안 역할을 할당하여 환경에서 해당 앱을 실행할 수 있는 사용자를 제한할 수 있습니다. 선택한 보안 역할이 할당된 사용자만 앱을 실행할 수 있습니다.

Power Platform 관리 센터에 로그인합니다.
탐색 창에서 보안을 선택합니다.
보안 섹션에서 액세스 제어를 선택합니다.
Access controls(액세스 제어 ) 섹션에서 App access control(앱 액세스 제어 )을 선택합니다 .
앱 접근 제어 기능을 켤 환경을 선택해 주십시오.
앱 액세스 제어 설정 버튼을 선택합니다.
액세스 제어 드롭다운 목록에서 역할 활성화됨을 선택합니다.
앱이 선택되면 표 위에 있는 보안 역할 관리 옵션을 선택합니다 .
원하는 보안 역할을 하나 이상 선택합니다.
저장을 선택합니다.
선택한 역할을 확인하라는 창이 나타납니다. 저장을 선택합니다.
앱 목록이 다시 표시됩니다. 저장을 선택합니다.
환경 목록이 다시 표시됩니다. 보안 역할을 할당하려는 각 환경에 대해 이 절차를 반복합니다. 완료되면 패널을 닫습니다.

참고

역할에 대해 사용 모드는 구성 설정을 업데이트한 후 적용되는 데 최대 한 시간이 걸릴 수 있습니다.

앱 접근 제어 기능 끄기

앱 액세스 제어 기능을 해제하여 환경에서 실행 중인 앱에 대한 제한을 제거합니다.

Power Platform 관리 센터에 로그인합니다.
탐색 창에서 보안을 선택합니다.
보안 섹션에서 액세스 제어를 선택합니다.
Access controls(액세스 제어 ) 섹션에서 App access control(앱 액세스 제어 )을 선택합니다 .
앱 접근 제어 기능을 켤 환경을 선택해 주십시오.
앱 액세스 제어 설정 버튼을 선택합니다.
액세스 제어 드롭다운 목록에서 비활성화됨을 선택합니다.
저장을 선택합니다.
환경 목록이 다시 표시됩니다. 기능을 끄려는 각 환경에 대해 이 절차를 반복합니다. 완료되면 패널을 닫습니다.

참고

일부 앱을 허용됨 또는 차단됨으로 설정한 경우 앱 액세스 제어 기능이 비활성화으로 꺼져 있을 때는 설정을 제거할 필요가 없습니다. 이 환경에는 앱 제한이 없습니다.

오류 메시지: 앱 거부 사용자 오류

사용자가 허용되지 않는 앱을 실행하려고 하면 다음과 같은 오류 메시지가 표시됩니다.

API에 대한 Dataverse 액세스는 이 애플리케이션 ID에 대해 제한됩니다.

일반적으로 사용되는 Microsoft 자사 서비스 및 포털 앱

다음 앱은 Microsoft 퍼스트 파티 서비스입니다. 이 앱 목록은 사용 중인 환경 유형과 설치된 솔루션에 따라 다를 수 있습니다. 이러한 앱은 존재하는 모든 환경에서 자동으로 허용됩니다. 사용자가 이러한 앱을 사용하지 못하도록 차단하려면 필요한 사용자 라이선스를 제거하거나 보안 역할 할당을 Dataverse 제거할 수 있습니다. 예를 들어, Power Apps Maker Portal을 사용하려면 제작자에 환경 제작자, 시스템 사용자 지정자 또는 시스템 관리자 보안 역할이 지정되어야 합니다.

Application ID	애플리케이션 이름
00000007-0000-0000-c000-000000000000	Dataverse
75eb2b80-011a-4693-9a47-7971c853603c	make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88	make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c	make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c	make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb	Microsoft Flow 포털 DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7	Microsoft Flow포털GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3	make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad	make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04	make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414	Power Virtual Agents - 테스트
a8f7a65c-f5ba-4859-b2d6-df772c264e9d	make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab	make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031	make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a	PowerPlatformAdminCenter 클라이언트
065d9450-1e87-434e-ac2f-69af271549ed	PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23	MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8	금융 Copilot
a59cef1e-2e32-4703-8dab-810d9807efeb	ccibots
96ff4394-9197-43aa-b393-6a41652e21f8	ccibotsprod

일반적으로 사용되는 Microsoft 응용 프로그램의 응용 프로그램 ID

다음을 통해 공유

사용자 환경에서 허용되는 앱 제어(프리뷰)

앱 액세스 제어는 어떻게 작동하나요?