Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
[Тази статия е предварително издание на документацията и подлежи на промяна.]
Ролевият контрол на достъпа (RBAC) в администраторския център на Microsoft Power Platform е модел за сигурност, създаден да помага на организациите да управляват кой какво може да прави с ресурсите на Power Platform с увереност и гъвкавост. Power Platform RBAC предоставя модерен подход за управление на достъпа, улеснявайки присвояването и прилагането на разрешения за потребители, групи и автоматизация на софтуера.
Важно
- Това е функция за предварителен преглед.
- Функциите на етап преглед не са предназначени за производствена употреба и може да са с ограничени възможности. Тези функции са предмет на допълнителни условия за ползване и са налични преди официалното издание, така че клиентите да могат да получат ранен достъп и да предоставят обратна връзка.
С Power Platform RBAC администраторите могат:
- Уточнете кой има достъп до конкретни ресурси.
- Решете кои действия потребителите могат да извършват като създаване, управление или преглед.
- Задавайте разрешения на различни нива: организация (наемател), групи за среда и отделни среди.
RBAC работи на слоя Power Platform API, представляващ административен контрол върху ресурси, докато Dataverse продължава да предоставя собствен основен RBAC за бизнес данни в среди.
Бележка
В момента RBAC е фокусиран върху разширяване на поддръжката на принципа на услугата и управляваната идентичност в Power Platform API и различните управленски SDK-та. Разрешенията само за четене, както и за четене и запис, разпределени в обхвати, по-ниски от общия наем за потребителското изживяване на администраторския център на Power Platform, са в пътната карта, но все още не са завършени.
Предимства на Power Platform RBAC
- Детайлен достъп: Разпределете роли на ниво наемател, група на среда или среда за прецизен контрол.
- Вградени роли: Използвайте стандартни роли (като Environment Admin и Maker), за да се съобразите с политиките за достъп на вашата организация.
- Гъвкаво разпределение: Ролите могат да се прилагат на широко или тесно ниво, за да отговарят на оперативните нужди.
- Наследяване: Присвояванията в по-висок обхват — например tenant — се наследяват от по-ниски обхвати като групи на среда и среди.
Ключови концепции
Принципи на сигурността
Принципалът по сигурността е субект в Microsoft Entra ID, който може да получи достъп чрез присвояване на роли в RBAC. Подкрепяните принципи на сигурността включват:
- Потребителски принципи: Човешки потребители в Microsoft Entra ID, използващи своя имейл адрес.
- Групи: Групи с поддръжка на сигурност в Microsoft Entra ID, използващи техния групов идентификатор.
- Принципи на услуги/управлявани идентичности: Регистрации на приложения в Microsoft Entra ID, както и системни и потребителски дефинирани управлявани идентичности. Присвоявани с техните съответни Enterprise обектни идентификатори.
Scope
Това е нивото на йерархията, на което се прави присвояването.
- Tenant: Широки права за всички околни групи и среди.
- Група за околната среда: Логично групиране на среди за колективно управление. Разрешенията важат за всички среди в групата.
- Среда: Индивидуално работно пространство за приложения, агенти, данни и автоматизации. Разрешенията се прилагат за всички ресурси в тази конкретна среда.
Назначенията на по-широки нива предоставят наследени разрешения на по-ниски нива, освен ако не бъдат специално отменени.
Присвояване на роля
Присвояването на роли са връзки между принцип за сигурност, вградена дефиниция на ролята и обхват. Примерни задачи включват делегиране на управлението на цяла група от околната среда на друг човек или управлявана идентичност, освобождавайки време за централния ИТ да управлява останалата част от наемателя.
Управление на RBAC в Power Platform
RBAC присвояванията могат да се управляват чрез Power Platform API и SDK. Тези API и SDK предоставят програматични опции за управление на роли, подходящи за автоматизация и интеграция в по-големи организации. За стъпка по стъпка ръководство вижте Урок: Присвояване на роли на главни служители на услуги.
Съхранение на данни и надеждност
Дефинициите и разпределенията на ролите се съхраняват сигурно и централно за вашия наемател и се синхронизират регионално, за да се гарантира надеждно прилагане и глобален достъп.
Дефиниции на роли
Дефинициите на ролите са колекции от разрешения, които описват кои действия са позволени. Определяемите обхвати се определят от всяка вградена роля. Ролите не могат да бъдат персонализирани или модифицирани от клиентите.
Вградени роли на Power Platform
Следните вградени роли са налични за присвояване на потребители, групи и главни служители в Power Platform RBAC:
| Име на роля | Идентификатор на ролята | Разпределяем обхват | Разрешения |
|---|---|---|---|
| Администратор за контрол на достъпа, базиран на роли в Power Platform | 95E94555-018C-447b-8691-BDAC8E12211E | /наематели/{0} | Всички права, които завършват с . Четене, Authorization.RoleAssignments.Write, Authorization.RoleAssignments.Delete |
| Power Platform четец | C886ad2E-27F7-4874-8381-5849B8D8A090 | /наематели/{0} | Всички права, които завършват с . Прочетете |
| Сътрудник на Power Platform | FF954D61-A89A-4FBE-ACE9-01C367B89F87 | /наематели/{0} | Може да управлява и чете всички ресурси, но не може да прави или променя разпределението на роли |
| Собственик на Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51EA | /наематели/{0} | Всички разрешения |
За подробна справка относно разрешения, роли и интеграция, вижте Reference API на Power Platform. За да научите как да разпределяте тези роли програмно, вижте Урок: Присвояване на роли на принципалите на услугите.