Управление приложениями, разрешенными в вашей среде (предварительная версия)

[Данная статья посвящена предварительному выпуску и может быть изменена.]

Обеспечьте защиту от кражи данных, контролируя, какие приложения могут работать в вашей среде Dataverse. Эти меры защиты предотвращают несанкционированное удаление конфиденциальной информации, помогая вашему бизнесу поддерживать непрерывность работы и соответствовать нормативным требованиям.

Укажите, какие приложения разрешены или заблокированы в вашей среде. Это не позволяет злоумышленникам использовать несанкционированные приложения для экспорта конфиденциальных данных.

Внимание!

• Это предварительная версия функции.
• Предварительные версии функций не предназначены для использования в производственной среде, а их функциональность может быть ограничена. Для этих функций действуют дополнительные условия использования и они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.

Как работает управление доступом к приложениям?

Контроль доступа к приложениям осуществляется на уровне аутентификации Dataverse. Дополнительные сведения см. в статье Проверка подлинности в службах Power Platform. Проверка подлинности Dataverse проверяет идентификатор клиентского приложения в маркере пользователя по списку разрешенных и заблокированных приложений, настроенному для среды. Проверка подлинности либо предоставляет, либо запрещает приложению пользователя доступ к среде.

Пользователи могут пройти проверку подлинности четырьмя способами:

• Контекст пользователя

  Пользователь входит в систему, например Dynamics 365 Sales, со своими учетными данными.

• Контекст приложения с олицетворением пользователя

  Пользователь входит в разработанное Microsoft приложение. Приложение выполняет вызов к Dataverse с маркером приложения, представляющим пользователя. Дополнительные сведения см. в разделе Олицетворение другого пользователя с помощью веб-API.

• Собственное приложение с вызовом службы между службами (контекст приложения)

  Собственное приложение Microsoft выполняет вызов Dataverse с помощью маркера приложения. Эти собственные приложения зарегистрированы и предоставляют внутренние службы, такие как синхронизация электронной почты, которые обычно работают в фоновом режиме без какого-либо взаимодействия с пользователем.

• Сторонние приложения, зарегистрированные в регистрации приложений на портале Azure

  Пользовательское приложение проходит проверку подлинности с помощью сертификата регистрации приложения Azure или токена пользователя.

Примеры того, как работает управление доступом к клиентским приложениям при проверке подлинности в контексте пользователя и приложения:

• Контекст пользователя с токеном пользователя

  • Для всех запросов маркеров пользователей мы проверяем, входит ли используемый идентификатор приложения в списки разрешенных или заблокированных.
  • Токен пользователя также можно получить для общедоступного клиента для собственных и партнерских приложений.

  Заметка

  • Мы не рекомендуем разрешать использование общедоступного клиента, если в этом нет временной необходимости.
  • Приложение Dataverse 00000007-0000-0000-c000-000000000000 автоматически разрешается во всех средах. Доступом пользователей к среде Dataverse можно управлять путем назначения соответствующей пользовательской лицензии и/или назначения роли безопасности Dataverse пользователю.

• Контекст приложения с олицетворением пользователя

• Олицетворение с помощью собственного приложения

  • В таких случаях, как Power Automate, когда маркер приложения между службами используется с олицетворением пользователя, мы проверяем, разрешен или заблокирован идентификатор приложения.
  • В других сценариях, где олицетворение пользователей не используется, в настоящее время проверки маркеров между службами не выполняются.

Управление доступом к клиентским приложениям не применяется к следующим приложениям:

• Собственные приложения с вызовами между службами (контекст приложения)

  Подробнее см. в разделе Часто используемые собственные службы и портальные приложения Microsoft.

• Приложения-партнеры с вызовами из службы в службу

  Чтобы заблокировать эти приложения, сделайте их неактивными или удалите из среды в центре администрирования Power Platform. Подробнее см. в разделе Управление пользователями приложений в Центре администрирования Power Platform.

Предварительные требования

Выполните следующие предварительные условия:

Проверьте свою роль

Есть две роли администратора службы, связанные с Power Platform, которые вы можете назначить для обеспечения высокого уровня административного управления:

• Администратор Power Platform
• Администратор Dynamics 365

Проверьте, что ваша среда является управляемой

Ваша среда должна быть управляемой. Подробнее см. в разделе Обзор управляемых сред.

Включение аудита в среде

1. Войдите в центр администрирования Power Platform как системный администратор.
2. В области переходов выберите Среды. Затем выберите конкретную среду.
3. На панели команд выберите Параметры.
4. Выберите Аудит и журналы>Параметры аудита.
5. В разделе Аудит выберите параметры Начать аудит, Доступ к журналам и Чтение журналов.
6. Выберите Сохранить.

Проверка списка приложений в среде

Существует набор приложений, которые предварительно зарегистрированы для запуска в среде Dataverse. Этот список приложений может отличаться в разных средах. Эти приложения автоматически загружаются в вашу среду.

Заметка

Следующие приложения предварительно авторизованы для запуска в среде Dataverse:

• Все приложения Microsoft, которые предварительно авторизованы для получения токенов On-Behalf-Of. Подробнее см. в разделе Платформа удостоверений Microsoft и поток OAuth2.0 On-Behalf-Of.
• Приложения пользователей приложений. Подробнее см. в разделе Специальные пользователи системы и пользователи приложений.
• Все устаревшие приложения, которые могут динамически получать маркеры On-Behalf-Of.
• Все приложения с привилегией prvActOnBehalfOfAnotherUser, а также приложения, использующие заголовки для олицетворения пользователей. Подробнее см. в разделе Олицетворение другого пользователя.

Добавление приложений в список и удаление их из списка

Чтобы добавить приложение в список:

1. В Центре администрирования Power Platform выберите среду и скопируйте URL-адрес среды, например contoso.crm.dynamics.com.

2. Откройте новую вкладку в том же браузере (чтобы оставаться в системе) и добавьте следующий URL-адрес в адресную строку. Замените <EnvironmentURL> URL-адресом среды и нажмите клавишу ВВОД.

   https:/<EnvironmentURL>/main.aspx?forceUCI=1&pagetype=entitylist&etn=application&viewid=76302387-6f41-48e5-8eaf-4e74c1971020&viewType=1039
   

   В форме отображается список приложений, загруженных в среду.

3. Выберите + Создать.

   

4. На новом экране введите ApplicationId.

5. Введите Имя.

6. Выберите Сохранить.

   

Чтобы удалить приложение из списка:

1. Выберите приложение.
2. Выберите Удалить.

Заметка

Если вы удалили системное приложение, которое было предварительно загружено в среду, оно может быть автоматически восстановлено системой. Возможно, вы захотите удалить только те приложения, которые вы добавили.

Разрешение или блокировка приложений

Часто используемые приложения, которые вы можете разрешить

Вот некоторые часто используемые приложения, которые можно безопасно разрешить.

Application ID	Имя приложения
07ce06e6-4ae9-4466-bca4-2984fa04d057	Файловое хранилище Microsoft Dynamics
1884bdbf-452a-4a11-9c76-afdbdb1b3768	RelevanceSearch
3570e63c-5acf-4f3f-9f15-a49faa5120d3	PowerAppsCustomerManagementPlaneBackend
44a02aaa-7145-4925-9dcd-79e6e1b94eff	MicrosoftDynamics365OfficeAppsIntegration
4ade18ba-d41e-45d6-a563-97c67fc0be15	Служба Microsoft Dynamics NRD
546068c3-99b1-4890-8e93-c8aeadcfe56a	Common Data Service - Azure Data Lake Storage
5bdbebb2-509f-458e-b56e-d0b934dfdafa	DynamicsInstaller
60216f25-dbae-452b-83ae-6224158ce95e	Microsoft Dynamics CRM App for Outlook
61d02d70-ab6c-4569-be48-787ea2cda65d	Аналитика Dynamics 365
6eb29b24-9d89-4f26-bf2f-9a84ed2499b8	Глобальная служба обнаружения Common Data Service
730d33da-0894-409f-a907-c577151719c5	Flow-RP
7df0a125-d3be-4c96-aa54-591f83ff541c	Служба Microsoft Flow
7f15f9d9-cad0-44f1-bbba-d36650e07765	Azure Synapse Link for Dataverse
84e37c07-7362-4d9f-b4b1-09be02be0195	DAMS PROD CL
8d605dfc-1a04-4da6-9be2-8426724af3f3	Служба авторизации Power Platform РАБОЧАЯ
978b42f5-e03a-4695-b8df-454959d032c8	BAP
99ff962b-6252-4b98-8478-0c65a3ea1925	InsightsAppsPlatform
a94f9c62-97fe-4d19-b06d-472bed8d2bcf	База данных SQL и хранилище данных Azure
aeb01831-b358-4750-92ce-722e4f3ea7e8	BizQA для CDS
b5faaec4-04c9-45e6-990a-093ed6d02c94	Соединитель Dynamic 365 Sales Insights для Power Automate
b6fb6bd6-f0fb-4a60-beb1-4e50afd0eaa9	PowerAppsDataPlaneBackend
be5f0473-6b57-40f8-b0a9-b3054b41b99e	IBuilder_StructuredML_Prod_CDS
c6a9976b-9beb-43b8-9aea-52a55ba8e39b	Flow-CDSNativeConnectorGermany
c92229fa-e4e7-47fc-81a8-01386459c021	CDSUserManagement
e548fb5c-c385-41a6-a31d-6dbc2f0ca8a3	JobsServiceProd
ef32e2a3-262a-44e5-a270-4dfb7b6d0bb2	AiBuilder PAIO-CDS Рабочая

Приложения, который вы можете захотеть заблокировать

Эти приложения являются мощными экспортерами данных. Их блокировка предотвращает возможную кражу конфиденциальной информации.

Application ID	Имя приложения
a672d62c-fc7b-4e81-a576-e60dc46e951d	Microsoft Power Query для Excel (десктопный клиент)
d3590ed6-52b3-4102-aeff-aad2292ab01c	Клиент Microsoft Access
51f81489-12ee-4a9e-aaae-a2591f45987d	xRm ToolBox
2ad88395-b77d-4561-9441-d0e40824f9bc	PowerShell
a672d62c-fc7b-4e81-a576-e60dc46e951d	Power BI

Рекомендуемые действия

1. Включите режим аудита в непроизводственной среде.
2. Просмотрите журнал аудита приложений, работающих в среде, чтобы получить список приложений, контролем доступа к которым вы хотите управлять.
3. Повторите шаги 1–2 в рабочей среде.
4. Подтвердите список приложений, которым вы хотите разрешить запуск в среде.

Режимы управления доступом к приложениям

Есть четыре различных режима:

• Режим включения аудита
• Режим включения разрешенных
• Режим включения разрешенных для ролей
• Отключить доступ к приложениям

Режим включения аудита

Рекомендуется включить режим аудита хотя бы на одну неделю, чтобы получить список приложений, запущенных пользователями в среде.

Используя этот список журналов аудита, вы можете определить, какие приложения вы хотите разрешить или заблокировать.

1. Войдите в в центр администрирования Power Platform.
2. В области навигации выберите Безопасность.
3. В разделе Безопасность выберите Управление доступом.
4. В разделе Управление доступом выберите Управление доступом к приложениям
5. Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
6. Выберите кнопку Настроить управление доступом к приложениям.
7. Выберите параметр AuditMode в раскрывающемся списке Управление доступом.
8. Выберите приложение Dataverse, а затем выберите параметр Разрешить, расположенный над сеткой.
9. Выберите Сохранить.
10. Снова отобразится список сред. Повторите процедуру для каждой среды, в которой требуется включить аудит. Закройте панель, когда закончите включать режим аудита для своих сред.

Заметка

Вступление в силу режима аудита может занять до часа после обновления параметров конфигурации.

В режиме аудита необходимо выбрать хотя бы одно приложение, чтобы разрешить доступ. Однако управление доступом к приложениям не применяется в режиме аудита. Вы получите список приложений, обращающихся к среде, независимо от того, разрешен или запрещен доступ.

Параметры аудита для среды должны быть разрешены, в том числе параметр доступа к журналу.

Получение списка журналов аудита

1. Войдите в центр администрирования Power Platform как системный администратор.

2. Выберите Среды, а затем выберите среду, в которой был включен аудит.

3. Выберите Параметры.

4. Выберите Аудит и журналы>Сводное представление аудита.

5. Выберите Включить/Отключить фильтры, чтобы просмотреть список раскрывающихся списков заголовков.

6. Щелкните стрелку раскрывающегося списка рядом с заголовком события, затем найдите и выберите ApplicationBasedAccessDenied и ApplicationBasedAccessAllowed.

   

7. Выберите OK.

   Отфильтрованные аудиты отобразятся.

Режим включения разрешенных

Начинает блокировать заблокированные приложения и разрешает только одобренные приложения. Вы можете выбрать приложения, к которым доступ Разрешен или Заблокирован.

1. Войдите в в центр администрирования Power Platform.

2. В области навигации выберите Безопасность.

3. Выберите Управление доступом в разделе Безопасность.

4. Выберите Управление доступом к приложениям разделе Управление доступом.

5. Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.

6. Выберите кнопку Настроить управление доступом к приложениям.

7. Выберите Включено в раскрывающемся списке Управление доступом.

8. Выберите приложение Dataverse, затем выберите один из следующих параметров, расположенных над сеткой:

   • Разрешить, чтобы разрешить доступ к приложению.
   • Заблокировать, чтобы запретить доступ к приложению.

9. Выберите Сохранить.

10. Снова отобразится список сред. Повторите процедуру для каждой среды, в которой вы хотите начать блокировку приложений и разрешить одобренные приложения. Закройте панель, когда все будет готово.

    Заметка

    Для вступления в силу включенного режима может потребоваться до часа после обновления параметров конфигурации.

Режим включения разрешенных для ролей

Начинает блокировать заблокированные приложения и разрешает только одобренные приложения. Приложениям, которым разрешен доступ, можно назначить роли безопасности, чтобы ограничить круг пользователей, которые могут запускать эти приложения в среде. Запускать приложения могут только пользователи, которым назначена выбранная роль безопасности.

1. Войдите в в центр администрирования Power Platform.
2. В области навигации выберите Безопасность.
3. Выберите Управление доступом в разделе Безопасность.
4. Выберите Управление доступом к приложениям разделе Управление доступом.
5. Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
6. Выберите кнопку Настроить управление доступом к приложениям.
7. Выберите Включено для ролей в раскрывающемся списке Управление доступом.
8. Выбрав приложение, выберите параметр Управление ролями безопасности, расположенный над сеткой.
9. Выберите одну или несколько требуемых ролей безопасности.
10. Выберите Сохранить.
11. Появится окно, в котором вам будет предложено подтвердить выбранные роли. Выберите Сохранить.
12. Снова отображается список приложений. Выберите Сохранить.
13. Снова отобразится список сред. Повторите процедуру для каждой среды, в которой требуется назначить роли безопасности. Закройте панель, когда все будет готово.

Заметка

Режим включен для ролей вступит в силу через час после обновления параметров конфигурации.

Отключение функции управления доступом к приложениям

Отключите функцию управления доступом к приложениям, чтобы снять ограничения для приложений, работающих в среде.

1. Войдите в в центр администрирования Power Platform.
2. В области навигации выберите Безопасность.
3. Выберите Управление доступом в разделе Безопасность.
4. Выберите Управление доступом к приложениям разделе Управление доступом.
5. Выберите среду, в которой вы хотите включить функцию управления доступом к приложениям.
6. Выберите кнопку Настроить управление доступом к приложениям.
7. Выберите Отключено в раскрывающемся списке Управление доступом.
8. Выберите Сохранить.
9. Снова отобразится список сред. Повторите процедуру для каждой среды, в которой вы хотите отключить эту функцию. Закройте панель, когда все будет готово.

Заметка

Если для некоторых приложений установлено значение Разрешено или Заблокировано, вам не нужно удалять этот параметр, если функция управления доступом к приложениям отключена на Отключено. В этой среде нет ограничений для приложений.

Сообщение об ошибке: Ошибка отказа пользователя в приложении

Пользователи получают следующее сообщение об ошибке, если они пытаются запустить приложение, которое не разрешено:

Доступ к API-интерфейсу Dataverse ограничен для этого идентификатора приложения.

Часто используемые собственные службы и портальные приложения Microsoft

Следующие приложения являются Microsoft собственными службами. Этот список приложений может отличаться в зависимости от того, какие типы среды у вас есть и какие решения установлены. Эти приложения автоматически разрешаются во всех средах, где они существуют. Чтобы запретить пользователям использовать эти приложения, можно либо удалить необходимую лицензию пользователя, либо удалить для них назначения ролей безопасности Dataverse. Например, чтобы использовать портал создателя Power Apps Maker Portal, создателю должна быть назначена роль безопасности "Создатель среды", "Настройщик системы" или "Системный администратор".

Application ID	Имя приложения
00000007-0000-0000-c000-000000000000	Dataverse
75eb2b80-011a-4693-9a47-7971c853603c	make.powerpages.microsoft.com
945d3a88-db20-40bd-a9e3-8f2383a17c88	make.powerpages.microsoft.com
929cb005-cba1-40c4-a962-ef441029cb6c	make.powerpages.microsoft.us
f9a5ac11-cab3-45f0-9d0f-83463ba2e34c	make.test.powerpages.microsoft.com
a6d2002e-7db6-4da0-94e8-73765fdbc7fb	Портал Microsoft Flow МО США
9856e8dd-37b6-4749-a54b-8f6503ea93b7	Microsoft FlowПорталGCC High
fac5b0fe-9b16-4ae3-b20b-324ec3f033d3	make.apps.appsplatform.us
5d21c8e8-6d68-4b62-a3a5-bc1900513fad	make.high.powerapps.us
feb2c8aa-4f70-4881-abec-521141627b04	make.gov.powerapps.us
a522f059-bb65-47c0-8934-7db6e5286414	Power Virtual Agents - Тест
a8f7a65c-f5ba-4859-b2d6-df772c264e9d	make.powerapps.com
719640cd-0337-4b0c-8e6a-431271371fab	make.test.powerapps.com
60f38cf4-a0bf-4fdf-b0b5-14d3131bc031	make.test.powerapps.com
c84a0f23-a0f8-4e8e-918b-57db620d110a	Клиент PowerPlatformAdminCenter
065d9450-1e87-434e-ac2f-69af271549ed	PowerPlatformAdminCenter
61ccfc51-60d1-470a-9dca-f78fcf640d23	MicrosoftServiceCopilot-Prod
8c1a9936-578e-4d13-9bd9-9afe53ef7de8	Copilot для финансов
a59cef1e-2e32-4703-8dab-810d9807efeb	ccibots
96ff4394-9197-43aa-b393-6a41652e21f8	ccibotsprod

Дополнительные сведения

Идентификаторы часто используемых приложений Microsoft