Del via

Kontroller hvilke apper som er tillatt i miljøet ditt (forhåndsversjon)

  • Artikkel

[Denne artikkelen inneholder dokumentasjon for forhåndsversjonen og kan bli endret.]

Beskytt mot dataeksfiltrering ved å styre hvilke apper som kan kjøre i Dataverse-miljøet. Disse sikkerhetstiltakene forhindrer uautorisert fjerning av sensitiv informasjon, og hjelper virksomheten din med å opprettholde kontinuitet og overholde forskrifter.

Konfigurer hvilke apper som er tillatt eller blokkert i miljøet. Dette forhindrer ondsinnede brukere i å bruke ikke-godkjente apper til å eksportere sensitive data.

Viktig!

  • Dette er forhåndsversjonsfunksjon.
  • Forhåndsversjonsfunksjonene er ikke ment for produksjonsbruk og kan ha begrenset funksjonalitet. Disse funksjonene er underlagt tilleggsvilkår for bruk og er tilgjengelige før en offisielle utgivelse, slik at kunder kan få tidlig tilgang og gi tilbakemeldinger.

Hvordan fungerer apptilgangskontroll?

Apptilgangskontroll utføres på Dataverse godkjenningslaget. Finn ut mer i Autentisering til Power Platform tjenester. Dataverse Godkjenning validerer klientapp-ID-en i brukerens token mot en liste over tillatte og blokkerte apper som er konfigurert for miljøet. Godkjenningen gir eller nekter brukerens app tilgang til miljøet.

Brukere kan godkjenne på fire måter:

  • Brukerkontekst

    Brukeren logger på systemet, for eksempel Dynamics 365 Sales, med legitimasjonen sin.

  • Programkontekst med brukerrepresentasjon

    Brukeren logger på en førsteparts Microsoft app. Appen foretar et kall til Dataverse med applikasjonstokenet som representerer brukeren. Få mer informasjon i Representer en annen bruker ved hjelp av nett-API-en.

  • Førstepartsapp med service-til-tjeneste-anrop (programkontekst)

    En førsteparts Microsoft-app foretar et oppkall til Dataverse ved hjelp av programtokenet. Disse førstepartsappene er registrert og tilbyr interne tjenester, for eksempel e-postsynkronisering, som vanligvis kjører i bakgrunnen uten brukermedvirkning.

  • Tredjepartsapper som er registrert i Azure-portalens appregistrering

    Den egendefinerte appen godkjennes ved hjelp av sertifikatet eller brukertokenet for Azure-appregistrering.

Eksempler på hvordan tilgangskontroll for klientapper fungerer ved godkjenning i konteksten forbruker og program:

  • Brukerkontekst med brukertoken

    • For alle forespørsler om brukertoken validerer vi om program-ID-en som brukes, er en del av tillatte eller blokkerte lister.
    • Et brukertoken kan også skaffes for en offentlig klient for førsteparts- og partnerapper.

    Notat

    • Vi anbefaler ikke at du tillater en offentlig klient med mindre den trengs midlertidig.
    • Appen 00000007-0000-0000-c000-000000000000 Dataverse tillates automatisk i alle miljøer. Brukertilgang til Dataverse miljøet kan administreres enten ved å tilordne riktig brukerlisens og/eller tilordne en Dataverse sikkerhetsrolle til brukeren.

  • Programkontekst med brukerrepresentasjon

  • Representasjon ved hjelp av en førstepartsapp

    • I scenarioer som Power Automate, der et tjeneste-til-tjeneste-programtoken brukes med brukerrepresentasjon, kontrollerer vi om program-ID-en er tillatt eller blokkert.
    • Når det gjelder andre scenarioer der brukerrepresentasjon ikke brukes, blir det for øyeblikket ikke utført valideringer for tjeneste-til-tjeneste-tokener.

Tilgangskontroll for klientapper brukes ikke på følgende apper:

Forutsetning

Oppfyll følgende forutsetninger:

Bekreft rollen din

Det finnes to tjenesteadministratorroller som er relatert til Power Platform som du kan tilordne for å gi administratoradministrasjon på høyt nivå:

  • Power Platform-administrasjon
  • Administrator for Dynamics 365

Kontroller at miljøet er et administrert miljø

Miljøet må være et administrert miljø. Finn ut mer i Oversikt over administrert miljø

Aktiver sporing av endringer i miljøet

  1. Logg deg på administrasjonssenteret for Power Platform som systemadministrator.
  2. Velg Miljøer i venstre navigasjonsrute. Velg deretter ditt spesifikke miljø.
  3. Velg Innstillinger på kommandolinjen.
  4. Velg Sporing av endringer og logger>Innstillinger for sporing av endringer.
  5. Velg alternativene Start sporing av endringer, Loggfør tilgang og Les logger i delen Sporing av endringer.
  6. Velg Lagre.

Se gjennom programlisten i miljøet

Det finnes et sett med programmer som er forhåndsregistrert for å kjøre i et Dataverse miljø. Denne listen over programmer kan være forskjellig mellom forskjellige miljøer. Disse appene lastes automatisk inn i miljøet ditt.

Notat

Følgende apper er forhåndsgodkjent for kjøring i et Dataverse miljø:

Legg til eller fjern programmer fra listen

Slik legger du til et program i listen:

  1. Velg et miljø fra administrasjonssenteret for Power Platform, og kopier URL-adressen for miljø, for eksempel contoso.crm.dynamics.com.

  2. Åpne en ny fane i samme nettleser (for å forbli pålogget) og legg til følgende URL i adressefeltet. Erstatt <EnvironmentURL> med URL-adressen for miljøet, og trykk deretter ENTER.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Skjemaet viser listen over programmer som lastes inn i miljøet.

  3. Velg + Nytt.

    Skjermbilde som viser plasseringen av Ny-knappen på URL-målet.

  4. På den nye skjermen skriver du inn en ApplicationId.

  5. Angi et navn.

  6. Velg Lagre.

    Skjermbilde som viser plasseringen av feltene Program-ID og Navn. Bildet viser også hvor Lagre-knappen er plassert.

Slik fjerner du et program fra listen:

  1. Velg en app.
  2. Velg Slett.

Notat

Hvis du fjernet en systemapp som var forhåndslastet i miljøet, kan appen gjenopprettes automatisk av systemet. Du vil kanskje slette bare appene du har lagt til.

Tillat eller blokker apper

Vanlige apper du kanskje vil tillate

Her er noen ofte brukte apper som er trygge å tillate.

Application ID Programnavn
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics-fillagring
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegrasjon
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics NRD Service
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service – Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics CRM App for Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Global Discovery Service
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow-tjeneste
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform Authorization Service PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database og Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA for CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Dynamic 365 Sales Insights-kobling for Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
Apper du kanskje vil blokkere

Disse appene er kraftige eksportører av data. Blokkering av dem forhindrer mulig dataeksfiltrering av sensitiv informasjon.

Application ID Programnavn
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query for Excel (skrivebordsklient)
d3590ed6-52b3-4102-aeff-aad2292ab01c Microsoft Access-klient
51f81489-12ee-4a9e-aaae-a2591f45987d xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d Power BI
  1. Aktiver overvåkingsmodus i ikke-produksjonsmiljøet.
  2. Se gjennom overvåkingsloggen for appene som kjører i miljøet, for å få listen over apper du vil administrere tilgangskontroll for.
  3. Gjenta trinn 1–2 i produksjonsmiljøet.
  4. Bekreft listen over apper du vil tillate å kjøre i miljøet.

Moduser for apptilgangskontroll

Det er fire forskjellige moduser:

Aktiver Spor endringer-modus

Vi anbefaler at du aktiverer overvåkingsmodus i minst én uke for å hente listen over apper som brukerne kjører i et miljø.

Ved hjelp av denne listen for revisjonslogg kan du bestemme hvilke apper du vil tillate eller blokkere.

  1. Logg på Power Platform-administrasjonssenteret.
  2. I navigasjonsruten velger du Sikkerhet.
  3. Velg Tilgangskontroller i Sikkerhet-delen.
  4. Velg Apptilgangskontroll i delen Tilgangskontroller
  5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
  6. Velg knappen Konfigurer apptilgangskontroll .
  7. Velg alternativet AuditMode i rullegardinlisten Tilgangskontroll.
  8. Velg et Dataverse program, og velg deretter alternativet Tillat som ligger over rutenettet.
  9. Velg Lagre.
  10. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil aktivere sporing av endringer. Lukk panelet når du er ferdig med å aktivere revisjonsmodus for miljøene.

Notat

Det kan ta opptil en time før modus for sporing av endringer trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

I modus for sporing av endringer må du velge minst ett program for å tillate tilgang. Apptilgangskontroll håndheves imidlertid ikke i revisjonsmodus. Du får en liste over apper som har tilgang til miljøet, uavhengig av om de gis eller nektes tilgang.

Innstillingene for sporing av endringer for et miljø må være tillatt, inkludert alternativet Loggtilgang .

Hent listen over overvåkingslogg

  1. Logg deg på Power Platform-administrasjonssenteret som en systemadministrator.

  2. Velg Miljøer, og velg deretter et miljø der du aktiverte sporing av endringer.

  3. Velg Innstillinger.

  4. Velg Sporing av endringer og logger>Vis sammendrag av sporing av endringer.

  5. Velg Aktiver/deaktiver filtre for å se gjennom en liste over rullegardinfunksjoner for overskrifter.

  6. Velg rullegardinpilen nær overskriften Hendelse, og finn og velg deretter ApplicationBasedAccessDenied og ApplicationBasedAccessAllowed.

    Skjermbilde som viser hvor knappene Aktiver/deaktiver filtre og avmerkingsboksene ApplicationBasedAccessDenied og ApplicationBasedAccessAllowed er plassert på siden Visning av sammendrag av sporing av endringer.

  7. Velg OK.

    De filtrerte revisjonene vises.

Aktiver aktivert modus

Begynn å blokkere apper som er blokkert, og tillat bare godkjente apper. Du kan velge apper som har tillatt eller blokkert tilgang.

  1. Logg på Power Platform-administrasjonssenteret.

  2. I navigasjonsruten velger du Sikkerhet.

  3. Velg Tilgangskontroller i delen Sikkerhet .

  4. Velg Apptilgangskontroll i delen Tilgangskontroller .

  5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.

  6. Velg knappen Konfigurer apptilgangskontroll .

  7. Velg Aktivert i rullegardinlisten Tilgangskontroll.

  8. Velg et Dataverse-program, og velg deretter ett av disse alternativene, som vises ovenfor rutenettet:

    • Tillat å gi tilgang til appen.
    • Blokker for å nekte tilgang til appen.

  9. Velg Lagre.

  10. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil begynne å blokkere apper som er blokkert, og tillate godkjente apper. Lukk panelet når du er ferdig.

    Notat

    Det kan ta opptil en time før aktivert modus trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

Aktiver modusen aktivert for roller

Begynn å blokkere apper som er blokkert, og tillat bare godkjente apper. For apper som har tilgang, kan du tildele sikkerhetsroller for å begrense hvem som kan kjøre disse appene i miljøet. Bare brukere som er tildelt den valgte sikkerhetsrollen, kan kjøre appene.

  1. Logg på Power Platform-administrasjonssenteret.
  2. I navigasjonsruten velger du Sikkerhet.
  3. Velg Tilgangskontroller i delen Sikkerhet .
  4. Velg Apptilgangskontroll i delen Tilgangskontroller .
  5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
  6. Velg knappen Konfigurer apptilgangskontroll .
  7. Velg Aktivert for roller i rullegardinlisten Tilgangskontroll .
  8. Når appen er valgt, velger du alternativet Administrer sikkerhetsroller over rutenettet.
  9. Velg én eller flere ønskede sikkerhetsroller.
  10. Velg Lagre.
  11. Det vises et vindu der du blir bedt om å bekrefte rollene du valgte. Velg Lagre.
  12. Listen over apper vises på nytt. Velg Lagre.
  13. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil tilordne sikkerhetsroller. Lukk panelet når du er ferdig.

Notat

Det kan ta opptil en time før den aktiverte modusen for roller trer i kraft etter at du har oppdatert konfigurasjonsinnstillingene.

Deaktiver funksjonen for apptilgangskontroll

Deaktiver funksjonen for apptilgangskontroll for å fjerne begrensninger for apper som kjører i et miljø.

  1. Logg på Power Platform-administrasjonssenteret.
  2. I navigasjonsruten velger du Sikkerhet.
  3. Velg Tilgangskontroller i delen Sikkerhet .
  4. Velg Apptilgangskontroll i delen Tilgangskontroller .
  5. Velg miljøet der du vil aktivere funksjonen for apptilgangskontroll.
  6. Velg knappen Konfigurer apptilgangskontroll .
  7. Velg Deaktivert i rullegardinlisten Tilgangskontroll.
  8. Velg Lagre.
  9. Miljølisten vises på nytt. Gjenta prosedyren for hvert miljø der du vil deaktivere funksjonen. Lukk panelet når du er ferdig.

Notat

Hvis du angir Tillatt eller Blokkert for enkelte apper, trenger du ikke å fjerne innstillingen når funksjonen for apptilgangskontroll endres til Deaktivert. Det er ingen appbegrensninger i dette miljøet.

Feilmelding: Bruker avvist av app

Brukere får følgende feilmelding hvis de prøver å kjøre en app som ikke er tillatt:

Tilgang til API-en for Dataverse er begrenset for denne program-ID-en.

Ofte brukte førstepartstjenester og -portalapper fra Microsoft

Følgende apper er Microsoft førstepartstjenester. Denne listen over apper kan være forskjellig avhengig av hvilke typer miljø du har og hvilke løsninger som er installert. Disse appene tillates automatisk i alle miljøene der de finnes. Hvis du vil blokkere brukerne fra å bruke disse appene, kan du enten fjerne den nødvendige brukerlisensen eller fjerne Dataverse sikkerhetsrolletilordningen. Hvis du for eksempel vil bruke oppretterportalen Power Apps , må oppretteren være tilordnet enten sikkerhetsrollen Miljøoppretter, Systemtilpasser eller Systemansvarlig.

Application ID Programnavn
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft FlowPortalGCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414 Power Virtual Agents – test
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a PowerPlatformAdminCenter-klient
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Copilot for økonomi
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 Ccibotsprod

Program-ID-er for ofte brukte Microsoft-programmer