Controlar que aplicações são permitidas no seu ambiente (pré-visualização)
[Este artigo é uma documentação de pré-lançamento e está sujeito a alterações.]
Proteja-se contra a transferência de dados não autorizada ao controlar que aplicações podem ser executadas no seu ambiente do Dataverse. Estas proteções impedem a remoção não autorizada de informações confidenciais, ajudando a sua empresa a manter a continuidade e a cumprir as regulamentações.
Configure que aplicações são permitidas ou bloqueadas no seu ambiente. Isto impede que os utilizadores mal-intencionados usem aplicações não aprovadas para exportar dados confidenciais.
Importante
- Esta é uma funcionalidade de pré-visualização.
- As caraterísticas de pré-visualização não se destinam a utilização em produção e podem ter funcionalidade restrita. Estas caraterísticas estão sujeitas aos termos de utilização suplementares disponíveis antes do lançamento oficial, para que os clientes possam ter acesso antecipadamente e enviar comentários.
Como funciona o controlo de acesso da aplicação?
O controlo de acesso da aplicação é efetuado na camada de autenticação do Dataverse. Mais informações em Autenticação nos serviços do Power Platform. A autenticação do Dataverse valida o ID da aplicação cliente no token do utilizador em relação a uma lista de aplicações permitidas e bloqueadas configuradas para o ambiente. A autenticação concede ou nega o acesso da aplicação do utilizador ao ambiente.
Os utilizadores podem autenticar-se de quatro maneiras:
Contexto de utilizador
O utilizador inicia sessão no sistema, como o Dynamics 365 Sales, com as suas credenciais.
Contexto da aplicação com representação do utilizador
O utilizador inicia sessão numa aplicação proprietária da Microsoft. A aplicação faz uma chamada para o Dataverse com o respetivo token de aplicação que representa o utilizador. Saiba mais em Representar outro utilizador usando a API Web.
Aplicação proprietária com chamada de serviço a serviço (contexto da aplicação)
Uma aplicação proprietária da Microsoft faz uma chamada para o Dataverse usando o respetivo token de aplicação. Estas aplicações proprietárias são registadas e fornecem serviços internos, como a sincronização de e-mail, que normalmente são executadas em fundo sem qualquer interação do utilizador.
Aplicações de terceiros registadas no registo da aplicação do seu portal do Azure
A sua aplicação personalizada é autenticada com o certificado ou token de utilizador do registo da aplicação Azure.
Exemplos de como o controlo de acesso da aplicação cliente funciona na autenticação de contexto de utilizador e de aplicação:
Contexto de utilizador com token de utilizador
- Para todos os pedidos de token de utilizador, validamos se o ID da aplicação usado faz parte de listas permitidas ou bloqueadas.
- Também é possível obter um token de utilizador para um cliente público para aplicativos parceiras e proprietárias.
Nota
- Não recomendamos que permita um cliente público, a menos que seja temporariamente necessário.
- A aplicação Dataverse 00000007-0000-0000-c000-000000000000 é automaticamente permitida em todos os ambientes. O acesso de utilizador ao ambiente do Dataverse pode ser gerido com a atribuição da licença de utilizador apropriada e/ou atribuição de um direito de acesso do Dataverse ao utilizador.
Contexto da aplicação com representação do utilizador
Representação através de uma aplicação proprietária
- Em cenários como o Power Automate, em que um token de aplicação de serviço a serviço é usado com representação de utilizador, verificamos se o ID da aplicação é permitida ou bloqueada.
- Para outros cenários em que a representação do utilizador não é usada, nenhuma validação é executada atualmente para tokens de serviço a serviço.
O controlo de acesso à aplicação cliente não é aplicado às seguintes aplicações:
Aplicações proprietárias com chamadas de serviço a serviço (contexto da aplicação)
Mais informações em Serviços proprietários e aplicações do portal da Microsoft utilizados com frequência.
Associar aplicações com chamadas de serviço a serviço
Para bloquear estas aplicações, torne-as inativas ou elimine-as do ambiente no centro de administração do Power Platform. Mais informações em Gerir utilizadores de aplicações no centro de administração do Power Platform.
Pré-requisitos
Satisfaça os pré-requisitos que se seguem:
Verificar a função
Existem duas funções de administração de serviços relacionadas com o Power Platform que pode atribuir para fornecer um alto nível de gestão de administração:
- Administrador do Power Platform
- Administração do Dynamics 365
Verifique se o seu ambiente é um Ambiente Gerido
O seu ambiente tem de ser um Ambiente Gerido. Mais informações em Descrição geral do Ambiente Gerido.
Ativar a auditoria no ambiente
- Inicie sessão no Centro de administração do Power Platform como administrador de sistema.
- No painel de navegação, selecione Gerir.
- No painel Gerir, selecione Ambientes. Em seguida, selecione o seu ambiente específico.
- Selecione Definições na barra de comando.
- Selecione Auditoria e registos>Definições de auditoria.
- Na secção Auditoria, selecione as opções Iniciar auditoria, Registar acesso e Ler.
- Selecione Guardar.
Rever a lista de aplicações no ambiente
Há um conjunto de aplicações que são pré-registrados para execução num ambiente do Dataverse. Esta lista de aplicações pode ser diferente entre ambientes diferentes. Estas aplicações são carregadas automaticamente no seu ambiente.
Nota
As seguintes aplicações estão pré-autorizadas para serem executadas num ambiente do Dataverse:
- Todas as aplicações da Microsoft pré-autorizadas a adquirir tokens On-Behalf-Of. Mais informações em Plataforma de identidade da Microsoft e fluxo On-Behalf-Of da OAuth2.0.
- Aplicações de utilizadores da aplicação. Obtenha mais informações em Utilizadores de sistema especiais e de aplicação.
- Todas as aplicações legadas que podem adquirir tokens On-Behalf-Of dinamicamente.
- Todas as aplicações com o privilégio prvActOnBehalfOfAnotherUser e aqueles que usam cabeçalhos para representar utilizadores. Mais informações em Representar outro utilizador.
Adicionar aplicações à lista
Para adicionar uma aplicação à lista concluindo os passos a seguir.
Inicie sessão no centro de administração do Power Platform.
No painel de navegação, selecione Gerir.
No painel Gerir, selecione Ambientes.
Na página Ambientes, selecione o nome do ambiente.
Copiar o URL do Ambiente, como
contoso.crm.dynamics.com.Abra um novo separador no mesmo browser (para se manter com sessão iniciada) e adicione o URL a seguir à barra de endereço. Substitua
<EnvironmentURL>pelo URL do seu ambiente e prima Enter.https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039O formulário mostra a lista de aplicações que são carregadas no seu ambiente.
Selecione + Novo.
No ecrã novo, introduza um ApplicationId.
Introduza um Nome.
Selecione Guardar.
Remover aplicações da lista
Para remover uma aplicação da lista:
Selecione uma aplicação.
Selecione Eliminar.
Repita este procedimento para cada aplicação que pretende remover.
Nota
Se removeu uma aplicação do sistema que foi pré-carregado no ambiente, a aplicação pode ser restaurada automaticamente pelo sistema. Poderá querer eliminar apenas as aplicações que adicionou.
Permitir ou bloquear aplicações
Aplicações mais utilizadas que poderá querer permitir
Eis algumas aplicações usadas com frequência que é seguro permitir.
| Application ID | Nome da aplicação |
|---|---|
| 07ce06e6-4ae9-4466-bca4-2984fa04d057 | Armazenamento de Ficheiros do Microsoft Dynamics |
| 1884bdbf-452a-4a11-9c76-afdbdb1b3768 | RelevanceSearch |
| 3570e63c-5acf-4f3f-9f15-a49faa5120d3 | PowerAppsCustomerManagementPlaneBackend |
| 44a02aaa-7145-4925-9dcd-79e6e1b94eff | MicrosoftDynamics365OfficeAppsIntegration |
| 4ade18ba-d41e-45d6-a563-97c67fc0be15 | Serviço NRD do Microsoft Dynamics |
| 546068c3-99b1-4890-8e93-c8aeadcfe56a | Common Data Service — Azure Data Lake Storage |
| 5bdbebb2-509f-458e-b56e-d0b934dfdafa | DynamicsInstaller |
| 60216f25-dbae-452b-83ae-6224158ce95e | Aplicação Microsoft Dynamics CRM para Outlook |
| 61d02d70-ab6c-4569-be48-787ea2cda65d | Análise do Dynamics 365 |
| 6eb29b24-9d89-4f26-bf2f-9a84ed2499b8 | Serviço de Deteção Global do Common Data Service |
| 730d33da-0894-409f-a907-c577151719c5 | Flow-RP |
| 7df0a125-d3be-4c96-aa54-591f83ff541c | Serviço do Microsoft Flow |
| 7f15f9d9-cad0-44f1-bbba-d36650e07765 | Azure Synapse Link for Dataverse |
| 84e37c07-7362-4d9f-b4b1-09be02be0195 | DAMS PROD CL |
| 8d605dfc-1a04-4da6-9be2-8426724af3f3 | PROD do Serviço de Autorização do Power Platform |
| 978b42f5-e03a-4695-b8df-454959d032c8 | BAP |
| 99ff962b-6252-4b98-8478-0c65a3ea1925 | InsightsAppsPlatform |
| a94f9c62-97fe-4d19-b06d-472bed8d2bcf | Base de Dados SQL do Azure e Azure SQL Data Warehouse |
| aeb01831-b358-4750-92ce-722e4f3ea7e8 | BizQA para CDS |
| b5faaec4-04c9-45e6-990a-093ed6d02c94 | Conector do Dynamics 365 Sales Insights para Power Automate |
| b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9 | PowerAppsDataPlaneBackend |
| be5f0473-6b57-40f8-b0a9-b3054b41b99e | IBuilder_StructuredML_Prod_CDS |
| c6a9976b-9beb-43b8-9aea-52a55ba8e39b | Flow-CDSNativeConnectorGermany |
| c92229fa-e4e7-47fc-81a8-01386459c021 | CDSUserManagement |
| e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3 | JobsServiceProd |
| ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2 | AiBuilder PAIO-CDS Prod |
Aplicações que talvez queira bloquear
Estas aplicações são poderosos exportadores de dados. Bloqueá-las evita a possível transferência de dados de informações confidenciais.
| Application ID | Nome da aplicação |
|---|---|
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Microsoft Power Query para Excel (cliente de ambiente de trabalho) |
| d3590ed6-52b3-4102-aeff-aad2292ab01c | Cliente do Microsoft Access |
| 51f81489-12ee-4a9e-aaae-a2591f45987d | xRm ToolBox |
| 2ad88395-b77d-4561-9441-d0e40824f9bc | PowerShell |
| a672d62c-fc7b-4e81-a576-e60dc46e951d | Power BI |
Passos recomendados
- Ative o modo de auditoria no seu ambiente de não produção.
- Reveja o registo de auditoria das aplicações que estão em execução no ambiente para obter a lista de aplicações cujo controlo de acesso pretende gerir.
- Repita os passos 1 e 2 no seu ambiente de produção.
- Confirme a lista de aplicações que pretende permitir que sejam executadas no ambiente.
Configurar o controlo de acesso a aplicações
Existem quatro modos diferentes:
- Ativar o modo de auditoria
- Ativar o modo de ativado
- Ativar o modo de ativado para funções
- Desativar o acesso de aplicações
Ativar o modo de auditoria
Recomendamos que ative o modo de auditoria, durante, pelo menos, uma semana, para obter a lista de aplicações que os utilizadores estão a executar num ambiente.
Com esta lista de registos de auditoria, pode determinar que aplicações pretende permitir ou bloquear.
- Inicie sessão no centro de administração do Power Platform.
- No painel de navegação esquerdo, selecione Segurança.
- No painel Segurança, selecione Identidade e acesso.
- Na página Gestão de casos e acesso, selecione Controlo de acesso de aplicações
- Selecione o ambiente onde pretende ativar a caraterística de controlo de acesso a aplicações.
- Selecione o botão Configurar o controlo de acesso a aplicações.
- Selecione a opção AuditMode na lista pendente Controlo de acesso.
- Selecione uma aplicação do Dataverse e, em seguida, selecione a opção Permitir localizada acima da grelha.
- Selecione Guardar.
- A lista de ambientes é apresentada novamente. Repita o procedimento para cada ambiente em que pretende ativar a auditoria. Feche o painel quando terminar de ativar o modo de auditoria para os seus ambientes.
Nota
O modo de auditoria pode levar até uma hora para entrar em vigor, depois de atualizar as definições de configuração.
No modo de auditoria, tem de selecionar, pelo menos, uma aplicação para permitir o acesso. No entanto, o controlo de acesso a aplicações não é imposto no modo de auditoria. Obtém uma lista de aplicações que acedem ao ambiente, independentemente de o acesso lhes ser permitido ou negado.
As definições de auditoria para um ambiente têm de ser permitidas, incluindo a opção Acesso ao registo.
Obter a lista de registos de auditoria
Inicie sessão no Centro de administração do Power Platform como administrador de sistema.
No painel de navegação, selecione Gerir.
No painel Gerir, selecione Ambientes. Em seguida, selecione um ambiente onde ativou a auditoria.
Selecione Definições.
Selecione Auditoria e registos>Vista de resumo de auditoria.
Selecione Ativar/Desativar Filtros para rever uma lista de capacidades pendentes de títulos.
Selecione a seta pendente junto do título Evento e, em seguida, localize e selecione ApplicationBasedAccessDenied e ApplicationBasedAccessAllowed.
Selecione OK.
Aparecem as auditorias filtradas.
Ativar o modo de ativado
Comece a bloquear as aplicações que estão bloqueadas e permita apenas aplicações aprovadas. Pode selecionar aplicações para que o acesso seja Permitido ou Bloqueado.
Inicie sessão no centro de administração do Power Platform.
No painel de navegação esquerdo, selecione Segurança.
No painel Segurança, selecione Identidade e acesso.
Na página Gestão de casos e acesso, selecione Controlo de acesso de aplicações.
Selecione o ambiente onde pretende ativar a caraterística de controlo de acesso a aplicações.
Selecione o botão Configurar o controlo de acesso a aplicações.
Selecione Ativado, na lista pendente Controlo de acesso.
Selecione uma aplicação do Dataverse e, em seguida, selecione uma destas opções, localizadas acima da grelha:
- Permitir para permitir acesso à aplicação.
- Bloquear para negar o acesso à aplicação.
Selecione Guardar.
A lista de ambientes é apresentada novamente. Repita o procedimento para cada ambiente em que pretende começar a bloquear aplicações bloqueadas e permitir aplicações aprovadas. Feche o painel quando terminar.
Nota
O modo ativado pode levar até uma hora para entrar em vigor, depois de atualizar as definições de configuração.
Ativar o modo de ativado para funções
Comece a bloquear as aplicações que estão bloqueadas e permita apenas aplicações aprovadas. Para aplicações cujo acesso é permitido, pode atribuir direitos de acesso para restringir quem pode executar essas aplicações no ambiente. Apenas os utilizadores atribuídos com um direito de acesso selecionado podem executar as aplicações.
- Inicie sessão no centro de administração do Power Platform.
- No painel de navegação esquerdo, selecione Segurança.
- No painel Segurança, selecione Identidade e acesso.
- Na página Gestão de casos e acesso, selecione Controlo de acesso de aplicações.
- Selecione o ambiente onde pretende ativar a caraterística de controlo de acesso a aplicações.
- Selecione o botão Configurar o controlo de acesso a aplicações.
- Selecione Ativado para funções, na lista pendente Controlo de acesso.
- Depois de a sua aplicação ser selecionada, selecione a opção Gerir direitos de acesso localizada acima da grelha.
- Selecione um ou mais direitos de acesso pretendidos.
- Selecione Guardar.
- Aparece uma janela a pedir-lhe para confirmar as funções que selecionou. Selecione Guardar.
- A lista de aplicações é apresentada novamente. Selecione Guardar.
- A lista de ambientes é apresentada novamente. Repita o procedimento para cada ambiente em que pretende atribuir direitos de acesso. Feche o painel quando terminar.
Nota
O modo ativado para funções pode levar até uma hora para entrar em vigor, depois de atualizar as definições de configuração.
Desativar a caraterística de controlo de acesso a aplicações
Desative a caraterística de controlo de acesso a aplicações para remover restrições em aplicações em execução num ambiente.
- Inicie sessão no centro de administração do Power Platform.
- No painel de navegação esquerdo, selecione Segurança.
- No painel Segurança, selecione Identidade e acesso.
- Na página Gestão de casos e acesso, selecione Controlo de acesso de aplicações.
- Selecione o ambiente onde pretende ativar a caraterística de controlo de acesso a aplicações.
- Selecione o botão Configurar o controlo de acesso a aplicações.
- Selecione Desativado, na lista pendente Controlo de acesso.
- Selecione Guardar.
- A lista de ambientes é apresentada novamente. Repita o procedimento para cada ambiente em que pretende desativar a caraterística. Feche o painel quando terminar.
Nota
Se definir algumas aplicações como Permitidas ou Bloqueadas, não terá de remover a definição quando a caraterística de controlo de acesso a aplicações estiver desativada como Desativado. Não existem restrições de aplicação neste ambiente.
Mensagem de erro: Erro de utilizador negado pela aplicação
Os utilizadores recebem a seguinte mensagem de erro se tentarem executar uma aplicação não permitida:
O acesso à API do Dataverse é restrito para este ID de aplicação.
Serviços proprietários e aplicações do portal da Microsoft utilizados com frequência
As seguintes aplicações são serviços proprietários da Microsoft. Esta lista de aplicações pode ser diferente, dependendo dos tipos de ambiente que tem e das soluções instaladas. Estas aplicações são automaticamente permitidas em todos os ambientes onde existem. Para impedir que os utilizadores utilizem estas aplicações, pode remover a licença de utilizador necessária ou remover a respetiva atribuição de direito de acesso do Dataverse. Por exemplo, para usar o Power Apps maker portal, o seu criador tem de receber uma função de Criador de Ambientes, Personalizador de Sistemas ou Administrador de Sistema.
| Application ID | Nome da aplicação |
|---|---|
| 00000007-0000-0000-c000-000000000000 | Dataverse |
| 75eb2b80-011a-4693-9a47-7971c853603c | make.powerpages.microsoft.com |
| 945d3a88-db20-40bd-a9e3-8f2383a17c88 | make.powerpages.microsoft.com |
| 929cb005-cba1-40c4-a962-ef441029cb6c | make.powerpages.microsoft.us |
| f9a5ac11-cab3-45f0-9d0f-83463ba2e34c | make.test.powerpages.microsoft.com |
| a6d2002e-7db6-4da0-94e8-73765fdbc7fb | DoD do Portal do Microsoft Flow |
| 9856e8dd-37b6-4749-a54b-8f6503ea93b7 | Microsoft FlowPortalGCC High |
| fac5b0fe-9b16-4ae3-b20b-324ec3f033d3 | make.apps.appsplatform.us |
| 5d21c8e8-6d68-4b62-a3a5-bc1900513fad | make.high.powerapps.us |
| feb2c8aa-4f70-4881-abec-521141627b04 | make.gov.powerapps.us |
| a522f059-bb65-47c0-8934-7db6e5286414 | Power Virtual Agents — Teste |
| a8f7a65c-f5ba-4859-b2d6-df772c264e9d | make.powerapps.com |
| 719640cd-0337-4b0c-8e6a-431271371fab | make.test.powerapps.com |
| 60f38cf4-a0bf-4fdf-b0b5-14d3131bc031 | make.test.powerapps.com |
| c84a0f23-a0f8-4e8e-918b-57db620d110a | Cliente PowerPlatformAdminCenter |
| 065d9450-1e87-434e-ac2f-69af271549ed | PowerPlatformAdminCenter |
| 61ccfc51-60d1-470a-9dca-f78fcf640d23 | MicrosoftServiceCopilot-Prod |
| 8c1a9936-578e-4d13-9bd9-9afe53ef7de8 | Copilot de Finanças |
| a59cef1e-2e32-4703-8dab-810d9807efeb | ccibots |
| 96ff4394-9197-43aa-b393-6a41652e21f8 | ccibotsprod |