Delen via

Bepaal welke apps in uw omgeving zijn toegestaan (preview)

  • Artikel

[Dit artikel maakt deel uit van de voorlopige documentatie en kan nog veranderen.]

Bescherm uzelf tegen gegevensexfiltratie door te controleren welke apps in uw Dataverse-omgeving kunnen worden uitgevoerd. Deze beveiligingen voorkomen dat gevoelige informatie onbevoegd wordt verwijderd, waardoor uw bedrijf de continuïteit kan waarborgen en aan de regelgeving kan voldoen.

Configureer welke apps in uw omgeving zijn toegestaan of geblokkeerd. Hiermee wordt voorkomen dat kwaadwillende gebruikers niet-goedgekeurde apps gebruiken om gevoelige gegevens te exporteren.

Belangrijk

  • Dit is een preview-functie.
  • Preview-functies zijn niet bedoeld voor productiegebruik en bieden mogelijk beperkte functionaliteit. Voor deze functies gelden aanvullende gebruiksvoorwaarden. Bovendien zijn ze beschikbaar vóór een officiële release zodat klanten vroeg toegang kunnen krijgen en feedback kunnen geven.

Hoe werkt app-toegangscontrole?

App-toegangscontrole wordt uitgevoerd op de Dataverse-verificatielaag. Meer informatie vindt u in Authenticeren bij Power Platform services. Dataverse-verificatie valideert de client-app-id in het token van de gebruiker aan de hand van een lijst met toegestane en geblokkeerde apps die voor de omgeving zijn geconfigureerd. De verificatie verleent of weigert de toegang van de app van de gebruiker tot de omgeving.

Gebruikers kunnen zich op vier manieren verifiëren:

  • Gebruikerscontext

    Gebruikers melden zich aan bij het systeem, bijvoorbeeld Dynamics 365 Sales, met hun inloggegevens.

  • Toepassingscontext met imitatie van gebruiker

    De gebruiker meldt zich aan bij een eigen Microsoft-app. De app roept Dataverse aan met het toepassingstoken waarmee de gebruiker wordt vertegenwoordigd. Meer informatie vindt u in Een andere gebruiker imiteren met behulp van de web-API.

  • Eigen app met aanroep tussen services (toepassingscontext)

    Een eigen Microsoft-app roept Dataverse aan met het bijbehorende toepassingstoken. Deze eigen apps zijn geregistreerd en bieden interne services, zoals e-mailsynchronisatie, die doorgaans op de achtergrond worden uitgevoerd zonder enige interactie van de gebruiker.

  • Apps van derden geregistreerd in de app-registratie van uw Azure-portal

    Uw aangepaste app wordt geverifieerd met behulp van het certificaat of de gebruikerstoken van uw Azure-app-registratie.

Voorbeelden van hoe toegangscontrole voor client-apps werkt bij de verificatie van de gebruikers- en applicatiecontext:

  • Gebruikerscontext met gebruikerstoken

    • Voor alle gebruikerstokenaanvragen controleren we of de gebruikte toepassings-id op de toegestane of geblokkeerde lijsten staat.
    • Een gebruikerstoken kan ook worden verkregen voor een openbare client voor eigen apps en partnerapps.

    Notitie

    • Wij raden af om een openbare client toe te staan, tenzij dit tijdelijk nodig is.
    • De 00000007-0000-0000-c000-000000000000 Dataverse-app wordt automatisch toegestaan in alle omgevingen. De toegang van gebruikers tot de Dataverse-omgeving kan worden beheerd door de juiste gebruikerslicentie toe te wijzen en/of een Dataverse beveiligingsrol toe te wijzen aan de gebruiker.

  • Toepassingscontext met imitatie van gebruiker

  • Imitatie met behulp van een first party-app

    • In scenario's zoals Power Automate, waarbij een service-to-service-toepassingstoken wordt gebruikt met imitatie van de gebruiker, controleren we of de toepassings-id is toegestaan of geblokkeerd.
    • Voor andere scenario's waarbij geen gebruik wordt gemaakt van imitatie van gebruikers, worden er momenteel geen validaties uitgevoerd voor servicetokens.

Toegangsbeheer voor client-apps wordt niet toegepast op de volgende apps:

Voorwaarden

Voldoe aan de volgende vereisten:

U rol verifiëren

Er zijn er twee gerelateerde Power Platform-servicebeheerrollen die u kunt toewijzen om een hoog beheerniveau te bieden:

  • Power Platform-beheer
  • Dynamics 365-beheerder

Controleer of uw omgeving een beheerde omgeving is

Uw omgeving moet een beheerde omgeving zijn. Meer informatie is te vinden in Overzicht van beheerde omgeving.

Controle inschakelen in de omgeving

  1. Meld u als systeembeheerder aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beheren.
  3. Selecteer in het deelvenster BeherenOmgevingen. Selecteer vervolgens uw specifieke omgeving.
  4. Selecteer Instellingen op de opdrachtbalk.
  5. Selecteer Controle en logboeken>Controle-instellingen.
  6. Selecteer in de sectie Controle de opties Controle starten, Toegang tot logboek en Logboeken lezen.
  7. Selecteer Opslaan.

De lijst met toepassingen in de omgeving controleren

Er is een set toepassingen die vooraf zijn geregistreerd om in een Dataverse-omgeving te worden uitgevoerd. Deze lijst met toepassingen kan per omgeving verschillen. Deze apps worden automatisch in uw omgeving geladen.

Notitie

De volgende apps zijn vooraf geautoriseerd om in een Dataverse-omgeving te worden uitgevoerd:

Toepassingen toevoegen aan de lijst

Om een applicatie aan de lijst toe te voegen, volgt u de volgende stappen.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer in het navigatiedeelvenster de optie Beheren.

  3. Selecteer in het deelvenster BeherenOmgevingen.

  4. Selecteer op de pagina Omgevingen de naam van een omgeving.

  5. Kopieer de Omgevings-URL, bijvoorbeeld contoso.crm.dynamics.com.

  6. Open een nieuw tabblad in dezelfde browser (om ingelogd te blijven) en voeg de volgende URL toe aan de adresbalk. Vervang <EnvironmentURL> met de URL van uw omgeving en druk vervolgens op Enter.

    https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039

    Het formulier toont de lijst met toepassingen die in uw omgeving zijn geladen.

  7. Selecteer + Nieuw.

  8. Voer op het nieuwe scherm een ApplicationId in.

  9. Voer bij Naam een naam in.

  10. Selecteer Opslaan.

Toepassingen verwijderen uit de lijst

Een toepassing verwijderen uit de lijst:

  1. Selecteer een app.

  2. Selecteer Verwijderen.

  3. Herhaal deze procedure voor elke app die u wilt verwijderen.

    Notitie

    Als u een systeem-app hebt verwijderd die vooraf in de omgeving is geladen, kan de app automatisch door het systeem worden hersteld. Mogelijk wilt u alleen de apps verwijderen die u zelf hebt toegevoegd.

Apps toestaan of blokkeren

Veelgebruikte apps die u wellicht wilt toestaan

Hier zijn enkele veelgebruikte apps die u veilig kunt toestaan.

Application ID Toepassingsnaam
07ce06e6-4ae9-4466-bca4-2984fa04d057 Microsoft Dynamics-bestandsopslag
1884bdbf-452a-4a11-9c76-afdbdb1b3768 RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3 PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15 Microsoft Dynamics NRD-service
546068c3-99b1-4890-8e93-c8aeadcfe56a Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e Microsoft Dynamics CRM-app voor Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d Dynamics 365 Analytics
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 Common Data Service Global Discovery Service
730d33da-0894-409f-a907-c577151719c5 Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c Microsoft Flow-service
7f15f9d9-cad0-44f1-bbba-d36650e07765 Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195 DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3 Power Platform-autorisatieservice PROD
978b42f5-e03a-4695-b8df-454959d032c8 BAP
99ff962b-6252-4b98-8478-0c65a3ea1925 InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf Azure SQL Database en Data Warehouse
aeb01831-b358-4750-92ce-722e4f3ea7e8 BizQA voor CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94 Dynamic 365 Sales Insights-connector voor Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021 CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 AiBuilder PAIO-CDS Prod
Apps die u mogelijk wilt blokkeren

Deze apps zijn krachtige exporteurs van gegevens. Door deze te blokkeren, voorkomt u mogelijke exfiltratie van gevoelige informatie.

Application ID Toepassingsnaam
a672d62c-fc7b-4e81-a576-e60dc46e951d Microsoft Power Query voor Excel (desktopclient)
d3590ed6-52b3-4102-aeff-aad2292ab01c Microsoft Access-client
51f81489-12ee-4a9e-aaae-a2591f45987d xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d Power BI
  1. Schakel de controlemodus in uw niet-productieomgeving in.
  2. Bekijk het controlelogboek voor de apps die in de omgeving worden uitgevoerd om een lijst te krijgen met de apps waarvan u de toegangscontrole wilt beheren.
  3. Herhaal stap 1 en 2 in uw productieomgeving.
  4. Bevestig de lijst met apps die u in de omgeving wilt laten uitvoeren.

Modi voor app-toegangscontrole

Er zijn vier verschillende modi:

Controlemodus inschakelen

Wij raden u aan de controlemodus minimaal een week lang in te schakelen om een overzicht te krijgen van de apps die uw gebruikers in een omgeving uitvoeren.

Met behulp van deze lijst met auditlogboeken kunt u bepalen welke apps u wilt toestaan of blokkeren.

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.
  3. Selecteer in het deelvenster Beveiliging de optie Identiteit en toegang.
  4. Selecteer op de pagina Identiteits- en toegangsbeheer de optie Toegangscontrole voor apps
  5. Selecteer de omgeving waarin u de functie voor app-toegangscontrole wilt inschakelen.
  6. Selecteer de knop App-toegangscontrole instellen .
  7. Selecteer de optie AuditMode in de vervolgkeuzelijst Toegangscontrole.
  8. Selecteer een Dataverse-toepassing en selecteer vervolgens de optie Toestaan boven het raster.
  9. Selecteer Opslaan.
  10. De omgevingslijst wordt opnieuw weergegeven. Herhaal de procedure voor elke omgeving waarvoor u controle wilt inschakelen. Sluit het paneel wanneer u klaar bent met het inschakelen van de controlemodus voor uw omgevingen.

Notitie

Het kan tot een uur duren voordat de controlemodus van kracht wordt nadat u de configuratie-instellingen hebt bijgewerkt.

In de controlemodus moet u minimaal één toepassing selecteren om toegang toe te staan. In de controlemodus wordt app-toegangscontrole echter niet afgedwongen. U krijgt een lijst met apps die toegang hebben tot de omgeving, ongeacht of ze wel of geen toegang hebben gekregen.

De controle-instellingen voor een omgeving moeten worden toegestaan, inclusief de optie Logboektoegang.

Uw controlelogboeklijst ophalen

  1. Meld u aan bij het Power Platform-beheercentrum als systeembeheerder.

  2. Selecteer in het navigatiedeelvenster de optie Beheren.

  3. Selecteer in het deelvenster BeherenOmgevingen. Selecteer vervolgens een omgeving waarvoor u controle hebt ingeschakeld.

  4. Selecteer Instellingen.

  5. Selecteer Controle en logboeken>Weergave van controleoverzicht.

  6. Selecteer Filters in-/uitschakelen om een lijst met mogelijkheden voor de vervolgkeuzelijst met koppen te bekijken.

  7. Selecteer de vervolgkeuzepijl naast de kop Gebeurtenis en zoek en selecteer vervolgens ApplicationBasedAccessDenied en ApplicationBasedAccessAllowed.

    Schermopname waarop te zien is waar de knop Filters in-/uitschakelen en de selectievakjes ApplicationBasedAccessDenied en ApplicationBasedAccessAllowed zich bevinden op de pagina Weergave van controleoverzicht.

  8. Selecteer OK.

    Uw gefilterde controles worden weergegeven.

Modus Ingeschakeld inschakelen

Start het blokkeren van apps die zijn geblokkeerd en sta alleen goedgekeurde apps toe. U kunt selecteren of de toegang door apps Toegestaan of Geblokkeerd is.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.

  3. Selecteer in het deelvenster Beveiliging de optie Identiteit en toegang.

  4. Selecteer op de pagina Identiteits- en toegangsbeheer de optie Toegangscontrole voor apps.

  5. Selecteer de omgeving waarin u de functie voor app-toegangscontrole wilt inschakelen.

  6. Selecteer de knop App-toegangscontrole instellen .

  7. Selecteer Ingeschakeld in de vervolgkeuzelijst Toegangscontrole.

  8. Selecteer een Dataverse-toepassing en selecteer vervolgens een van de volgende opties, die zich boven het raster bevinden:

    • Toestaan om toegang tot de app toe te staan.
    • Blokkeren om toegang tot de app te weigeren.

  9. Selecteer Opslaan.

  10. De omgevingslijst wordt opnieuw weergegeven. Herhaal de procedure voor elke omgeving waarin u apps wilt blokkeren en goedgekeurde apps wilt toestaan. Sluit het paneel als u klaar bent.

    Notitie

    Het kan tot een uur duren voordat de ingeschakelde modus van kracht wordt nadat u de configuratie-instellingen hebt bijgewerkt.

Modus Ingeschakeld voor rollen inschakelen

Start het blokkeren van apps die zijn geblokkeerd en sta alleen goedgekeurde apps toe. Voor apps die toegang hebben, kunt u beveiligingsrollen toewijzen om te beperken wie deze apps in de omgeving kan uitvoeren. Alleen gebruikers aan wie een geselecteerde beveiligingsrol is toegewezen, kunnen de apps uitvoeren.

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.
  3. Selecteer in het deelvenster Beveiliging de optie Identiteit en toegang.
  4. Selecteer op de pagina Identiteits- en toegangsbeheer de optie Toegangscontrole voor apps.
  5. Selecteer de omgeving waarin u de functie voor app-toegangscontrole wilt inschakelen.
  6. Selecteer de knop App-toegangscontrole instellen .
  7. Selecteer Ingeschakeld voor rollen in de vervolgkeuzelijst Toegangscontrole.
  8. Zodra uw app is geselecteerd, selecteert u de optie Beveiligingsrollen beheren boven het raster.
  9. Selecteer een of meer gewenste beveiligingsrollen.
  10. Selecteer Opslaan.
  11. Er verschijnt een venster waarin u wordt gevraagd de door u geselecteerde rollen te bevestigen. Selecteer Opslaan.
  12. De lijst met apps wordt opnieuw weergegeven. Selecteer Opslaan.
  13. De omgevingslijst wordt opnieuw weergegeven. Herhaal de procedure voor elke omgeving waaraan u beveiligingsrollen wilt toewijzen. Sluit het paneel als u klaar bent.

Notitie

Het kan tot een uur duren voordat de modus 'ingeschakeld voor rollen' van kracht wordt nadat u de configuratie-instellingen hebt bijgewerkt.

De app-functie voor toegangscontrole uitschakelen

Schakel de functie voor app-toegangscontrole uit om beperkingen op te heffen voor apps die in een bepaalde omgeving worden uitgevoerd.

  1. Meld u aan bij het Power Platform-beheercentrum.
  2. Selecteer in het navigatiedeelvenster de optie Beveiliging.
  3. Selecteer in het deelvenster Beveiliging de optie Identiteit en toegang.
  4. Selecteer op de pagina Identiteits- en toegangsbeheer de optie Toegangscontrole voor apps.
  5. Selecteer de omgeving waarin u de functie voor app-toegangscontrole wilt inschakelen.
  6. Selecteer de knop App-toegangscontrole instellen .
  7. Selecteer Uitgeschakeld in de vervolgkeuzelijst Toegangsbeheer.
  8. Selecteer Opslaan.
  9. De omgevingslijst wordt opnieuw weergegeven. Herhaal de procedure voor elke omgeving waarin u de functie wilt uitschakelen. Sluit het paneel als u klaar bent.

Notitie

Als u sommige apps instelt op Toegestaan of Geblokkeerd, hoeft u de instelling niet te verwijderen wanneer de functie voor app-toegangscontrole is ingesteld op Uitgeschakeld. Er zijn geen app-beperkingen in deze omgeving.

Foutmelding: App heeft gebruikersfout afgewezen

Gebruikers ontvangen de volgende foutmelding als ze een app proberen uit te voeren die niet is toegestaan:

Toegang tot de Dataverse-API is beperkt voor deze toepassings-id.

Veelgebruikte Microsoft first-party services en portal-apps

De volgende apps zijn Microsoft first-party services. Deze lijst met apps kan verschillen, afhankelijk van het type omgeving dat u hebt en de oplossingen die zijn geïnstalleerd. Deze apps zijn automatisch toegestaan in alle omgevingen waarin ze bestaan. Als u wilt voorkomen dat uw gebruikers deze apps gebruiken, kunt u de vereiste gebruikerslicentie verwijderen of de Dataverse-beveiligingsroltoewijzing verwijderen. Om bijvoorbeeld de Power Apps Maker Portal te kunnen gebruiken, moet aan uw maker de beveiligingsrol Omgevingsmaker, Systeemaanpasser of Systeembeheerder zijn toegewezen.

Application ID Toepassingsnaam
00000007-0000-0000-c000-000000000000 Dataverse
75eb2b80-011a-4693-9a47-7971c853603c make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88 make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb Microsoft Flow Portal DoD
9856e8dd-37b6-4749-a54b-8f6503ea93b7 Microsoft Flow Portal GCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04 make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414 Power Virtual Agents - Test
a8f7a65c-f5ba-4859-b2d6-df772c264e9d make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a PowerPlatformAdminCenter-client
065d9450-1e87-434e-ac2f-69af271549ed PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23 MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8 Finance Copilot
a59cef1e-2e32-4703-8dab-810d9807efeb ccibots
96ff4394-9197-43aa-b393-6a41652e21f8 ccibotsprod

Gerelateerde inhoud