Configurar la seguretat de l'usuari en un entorn
Microsoft Dataverse utilitza un model de seguretat basat en funcions per controlar l'accés a una base de dades i els seus recursos en un entorn. Utilitzeu les funcions de seguretat per configurar l'accés a tots els recursos d'un entorn o a aplicacions i dades específiques de l'entorn. Una combinació de nivells d'accés i permisos en una funció de seguretat determina quines aplicacions i dades poden veure els usuaris i com poden interactuar amb aquestes aplicacions i dades.
Un entorn no pot tenir cap base de dades o una Dataverse base de dades. Les funcions de seguretat s'assignen de manera diferent per als entorns que no tenen base de dades Dataverse i els entorns que tenen una base de Dataverse dades.
Obteniu més informació sobre els entorns a Power Platform.
Funcions de seguretat predefinides
Els entorns inclouen funcions de seguretat predefinides que reflecteixen les tasques habituals dels usuaris. Les funcions de seguretat predefinides segueixen la pràctica recomanada de seguretat de "accés mínim obligatori": proporcionar el menor accés a les dades empresarials mínimes que un usuari necessita per utilitzar una aplicació. Aquestes funcions de seguretat es poden assignar a un usuari, un equip de propietari i un equip de grup. Les funcions de seguretat predefinides disponibles en un entorn depenen del tipus d'entorn i de les aplicacions que hi hàgiu instal·lat.
Un altre conjunt de funcions de seguretat s'assigna als usuaris de l'aplicació. Els nostres serveis instal·len aquestes funcions de seguretat i no es poden actualitzar.
Entorns sense una base de dades Dataverse
Les funcions Creador de l'entorn i Administrador de l'entorn són les úniques funcions predefinides per als entorns sense bases de dades del Dataverse. Aquestes funcions es descriuen a la taula següent.
| Funció de seguretat | Descripció |
|---|---|
| Administració de l'entorn | La funció d'administrador de l'entorn pot dur a terme totes les accions administratives en un entorn, com ara:
|
| Creador de l'entorn | Pot crear recursos nous associats a un entorn, incloses aplicacions, connexions, API personalitzades i fluxos usant Microsoft Power Automate. Tanmateix, aquesta funció no té privilegis per accedir a les dades d'un entorn. Els creadors d'entorns també poden distribuir les aplicacions que creen en un entorn a altres usuaris de la vostra organització. Poden compartir l'aplicació amb usuaris individuals, grups de seguretat o tots els usuaris de l'organització. |
Entorns amb base de dades Dataverse
Si l'entorn té una Dataverse base de dades, s'ha d'assignar a un usuari la funció d'administrador del sistema en lloc de la funció d'administrador de l'entorn per tenir privilegis d'administrador complets.
Els usuaris que creen aplicacions que es connecten a la base de dades i necessiten crear o actualitzar entitats i funcions de seguretat han de tenir la funció personalitzador del sistema a més de la funció de creador de l'entorn. La funció de creador de l'entorn no té privilegis sobre les dades de l'entorn.
A la taula següent es descriuen les funcions de seguretat predefinides en un entorn que té una base de Dataverse dades. No podeu editar aquestes funcions.
| Funció de seguretat | Descripció |
|---|---|
| Obridor d'aplicacions | Té privilegis mínims per a tasques comunes. Aquesta funció s'utilitza principalment com a plantilla per crear una funció de seguretat personalitzada per a aplicacions basades en models. No té cap privilegi per a les taules empresarials principals, com ara Compte, Contacte i Activitat. Tanmateix, té accés de lectura a nivell d'organització a les taules del sistema, com ara Process, per donar suport a la lectura de fluxos de treball subministrats pel sistema. Tingueu en compte que aquesta funció de seguretat s'utilitza quan es crea unafunció de seguretat personalitzada nova. |
| Usuari bàsic | Només per a entitats de fàbrica, poden executar una aplicació a l'entorn i realitzar tasques comunes als registres de la seva propietat. Té privilegis per a les taules empresarials principals, com ara Compte, Contacte i Activitat. Nota: La Common Data Service funció de seguretat d'usuari s'ha canviat el nom a Usuari bàsic. Només es va canviar el nom; Els privilegis d'usuari i l'assignació de funcions són els mateixos. Si teniu una solució amb la funció de seguretat d'usuari Common Data Service , heu d'actualitzar la solució abans de tornar-la a importar. En cas contrari, podeu tornar a canviar el nom de la funció de seguretat a Usuari quan importeu la solució. |
| Delegat | Permet que el codi suplanti o s'executicom a un altre usuari. Normalment utilitza amb una altra funció de seguretat per permetre l'accés als registres. |
| Administrador del Dynamics 365 | L'Administrador del Dynamics 365 és una funció d'administració de serveis del Microsoft Power Platform. Els usuaris d'aquesta funció poden fer funcions d'administrador després Microsoft Power Platform d'elevar-se automàticament a la funció d'administrador del sistema. |
| Creador de l'entorn | Pot crear recursos nous associats a un entorn, incloses aplicacions, connexions, API personalitzades i fluxos usant Microsoft Power Automate. Tanmateix, aquesta funció no té cap privilegi per accedir a les dades d'un entorn. Els creadors d'entorns també poden distribuir les aplicacions que creen en un entorn a altres usuaris de la vostra organització. Poden compartir l'aplicació amb usuaris individuals, grups de seguretat o tots els usuaris de l'organització. |
| Administrador global de l' | L'administrador global és una Microsoft 365 funció d'administrador. Una persona que compra la subscripció empresarial de Microsoft és un administrador global i té control il·limitat sobre els productes de la subscripció i accés a la majoria de dades. Els usuaris d'aquesta funció s'han d'elevar automàticament a la funció d'administrador del sistema. |
| Lector global | La funció de lector global encara no s'admet al Power Platform centre d'administració. |
| Col·laborador de l'Office | Té permís de lectura a les taules en què s'ha compartit un registre amb l'organització. No té accés a cap altre registre de taula principal i personalitzada. Aquesta funció s'assigna a l'equip de propietaris de Col·laboradors de l'Office i no a un usuari individual. |
| Administrador del Power Platform | Power Platform administrador és una funció d'administrador Microsoft Power Platform de serveis. Els usuaris d'aquesta funció poden fer funcions d'administrador després Microsoft Power Platform d'elevar-se automàticament a la funció d'administrador del sistema. |
| Servei suprimit | Té permís de supressió complet per a totes les entitats, incloses les entitats personalitzades. Aquesta funció l'utilitza principalment el servei i requereix suprimir registres de totes les entitats. Aquesta funció no es pot assignar a un usuari o equip. |
| Lector de serveis | Té permís de lectura complet per a totes les entitats, incloses les entitats personalitzades. Aquesta funció és utilitzada principalment pel servei i requereix la lectura de totes les entitats. Aquesta funció no es pot assignar a un usuari o equip. |
| Redactor de servei | Té permís complet de creació, lectura i escriptura per a totes les entitats, incloses les entitats personalitzades. Aquesta funció l'utilitza principalment el servei i requereix crear i actualitzar registres. Aquesta funció no es pot assignar a un usuari o equip. |
| Usuari de suport | Té permís de lectura complet per a la configuració de personalització i gestió empresarial, que permet al personal de suport tècnic resoldre problemes de configuració de l'entorn. Aquesta funció no té accés als registres principals. Aquesta funció no es pot assignar a un usuari o equip. |
| Administrador del sistema | Té permís complet per personalitzar o administrar l'entorn, inclosa la creació, modificació i assignació de funcions de seguretat. Podeu visualitzar totes les dades de l'entorn. |
| Personalitzador del sistema | Té permís complet per personalitzar l'entorn. Pot veure totes les dades de la taula personalitzada a l'entorn. Tanmateix, els usuaris amb aquesta funció només poden veure els registres que creen a les taules Compte, Contacte, Activitat. |
| Propietari de l'aplicació del lloc web | Un usuari propietari del registre de l'aplicació del lloc web al portal de l'Azure . |
| Propietari del lloc web | L'usuari que ha creat el Power Pages lloc web. Aquesta funció s'administra i no es pot canviar. |
A més de les funcions de seguretat predefinides que Dataverse es descriuen, és possible que hi hagi altres funcions de seguretat disponibles al vostre entorn en funció dels Power Platform components quePower Apps Power Automate Microsoft Copilot Studio tingueu. La taula següent proporciona enllaços a més informació.
| Component del Power Platform | Informació |
|---|---|
| Power Apps | Funcions de seguretat predefinides per a entorns amb una base de dades del Dataverse |
| Power Automate | Seguretat i privacitat |
| Power Pages | Funcions necessàries per a l'administració del lloc web |
| Microsoft Copilot Studio | Assignar funcions de seguretat d'entorn |
Dataverse for Teams entorns
Obteniu més informació sobre les funcions de seguretat predefinides en Dataverse for Teams entorns.
Funcions de seguretat específiques de l'aplicació
Si implementeu aplicacions del Dynamics 365 al vostre entorn, s'afegeixen altres funcions de seguretat. La taula següent proporciona enllaços a més informació.
| Aplicació del Dynamics 365 | Documents de funció de seguretat |
|---|---|
| Dynamics 365 Sales | Funcions de seguretat predefinides per al Vendes |
| Dynamics 365 Marketing | Funcions de seguretat afegides pel Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service Rols + definicions |
| Dynamics 365 Customer Service | Funcions a la Plataforma omnicanal per al Customer Service |
| Dynamics 365 Customer Insights | Funcions del Customer Insights |
| Administrador de perfils d'aplicació | Funcions i privilegis associats amb l'administrador de perfils d'aplicació |
| Dynamics 365 Finance | Funcions de seguretat en el sector públic |
| Aplicacions de finances i operacions | Funcions de seguretat al Microsoft Power Platform |
Resum dels recursos disponibles per a les funcions de seguretat predefinides
A la taula següent es descriuen els recursos que pot crear cada funció de seguretat.
| Recurs | Creador de l'entorn | Administració de l'entorn | Personalitzador del sistema | Administrador del sistema |
|---|---|---|---|---|
| Aplicació de llenç | X | X | X | X |
| Flux de núvol | X (no conscient de la solució) | X | X | X |
| Connector | X (no conscient de la solució) | X | X | X |
| Connexió* | X | X | X | X |
| Passarel·la de dades | - | X | - | X |
| Flux de dades | X | X | X | X |
| Taules del Dataverse | - | - | X | X |
| Aplicació basada en models | X | - | X | X |
| Marc de treball de la solució | X | - | X | X |
| Flux d'escriptori** | - | - | X | X |
| AI Builder | - | - | X | X |
*Les connexions s'utilitzen en aplicacions de llenç i Power Automate.
**Dataverse for Teams Els usuaris no tenen accés als fluxos d'escriptori de manera predeterminada. Heu d'actualitzar el vostre entorn a capacitats completes Dataverse i adquirir plans de llicència de flux d'escriptori per utilitzar fluxos d'escriptori.
Assignar funcions de seguretat als usuaris d'un entorn que no té una base de dades del Dataverse
Per als entorns sense Dataverse base de dades, un usuari que tingui la funció d'administrador de l'entorn a l'entorn pot assignar funcions de seguretat a usuaris o grups individuals des de Microsoft Entra l'ID.
Inicieu la sessió al Centre d'administració del Power Platform.
Seleccioneu Entorns> [seleccioneu un entorn].
A la peça Accés, seleccioneu Mostra-ho tot perquè l'Administrador de l'entorn o el Creador de l'entorn pugui afegir o suprimir usuaris per a qualsevol funció.
Seleccioneu Afegeix persones i especifiqueu el nom o l'adreça electrònica d'un o més usuaris o grups des de l'ID Microsoft Entra .
Seleccioneu Afegeix.
Assignar funcions de seguretat als usuaris d'un entorn que té una base de dades del Dataverse
Les funcions de seguretat es poden assignar a usuaris individuals, equips de propietaris i Microsoft Entra equips de grup. Abans d'assignar una funció a un usuari, verifiqueu que el compte de l'usuari s'ha afegit i està habilitat a l'entorn.
En general, només es pot assignar una funció de seguretat als usuaris els comptes dels quals estiguin habilitats a l'entorn. Per assignar una funció de seguretat a un compte d'usuari inhabilitat a l'entorn, activeu allowRoleAssignmentOnDisabledUsers a OrgDBOrgSettings.
Inicieu la sessió al Centre d'administració del Power Platform.
Seleccioneu Entorns> [seleccioneu un entorn].
A la peça Accés , seleccioneu Mostra-ho tot a Funcions de seguretat.
Assegureu-vos que la unitat de negoci correcta estigui seleccionada a la llista i, a continuació, seleccioneu una funció de la llista de funcions de l'entorn.
Seleccioneu Afegeix persones i especifiqueu el nom o l'adreça electrònica d'un o més usuaris o grups des de l'ID Microsoft Entra .
Seleccioneu Afegeix.
Crear, editar o copiar una funció de seguretat amb la nova i moderna interfície d'usuari
Podeu crear, editar o copiar fàcilment una funció de seguretat i personalitzar-la per adaptar-la a les vostres necessitats.
Aneu al centre Power Platform d'administració, seleccioneu Entorns a la subfinestra de navegació i, a continuació, seleccioneu un entorn.
Seleccioneu Configuració.
Expandiu Usuaris + Permisos.
Seleccioneu Funcions de seguretat.
Completeu la tasca adequada:
Crea una funció de seguretat
Seleccioneu Funció nova a la barra d'ordres.
Al camp Nom de la funció, introduïu un nom per a la funció nova.
Al camp Unitat de negoci, seleccioneu la unitat de negoci a la qual pertany la funció.
Seleccioneu si els membres de l'equip han d'heretar la funció.
Si aquesta configuració està habilitada i la funció s'assigna a un equip, tots els membres de l'equip hereten tots els privilegis associats a la funció.
Seleccioneu Desa.
Definiu els privilegis i les propietats de la funció de seguretat.
Editar una funció de seguretat
Seleccioneu el nom de la funció o seleccioneu la fila i, a continuació, seleccioneu Edita. A continuació, definiu els privilegis i les propietats de la funció de seguretat.
Algunes funcions de seguretat predefinides no es poden editar. Si proveu d'editar aquestes funcions, els botons Desa i Desa + Tanca no estaran disponibles.
Copiar una funció de seguretat
Seleccioneu la funció de seguretat i, a continuació, seleccioneu Copia. Doneu un nom nou a la funció. Editeu la funció de seguretat segons calgui.
Només es copien els privilegis, no els membres i equips assignats.
Funcions de seguretat d'auditoria
Auditeu les funcions de seguretat per entendre millor els canvis fets a la seguretat del vostre Power Platform entorn.
Crear o configurar una funció de seguretat personalitzada
Si l'aplicació utilitza una entitat personalitzada, els seus privilegis s'han de concedir explícitament en una funció de seguretat abans que l'aplicació es pugui utilitzar. Podeu afegir aquests privilegis en una funció de seguretat existent o bé crear un funció de seguretat personalitzada.
Cada funció de seguretat ha d'incloure un conjunt mínim de privilegis. Obteniu més informació sobre les funcions i els privilegis de seguretat.
Propina
L'entorn pot mantenir registres que poden ser utilitzats per diverses aplicacions. És possible que necessiteu diverses funcions de seguretat que atorguin privilegis diferents. Per exemple:
- És possible que alguns usuaris només hagin de llegir, actualitzar i adjuntar altres registres, de manera que la seva funció de seguretat tindrà privilegis de lectura, escriptura i annexió.
- Altres usuaris poden necessitar tots els privilegis que tenen els editors, a més de la possibilitat de crear, afegir, suprimir i compartir. La funció de seguretat d'aquests usuaris tindrà privilegis de creació, lectura, escriptura, annexió, supressió, assignació, annexió a i ús compartit.
Crear una funció de seguretat personalitzada amb privilegis mínims per executar una aplicació
Inicieu la sessió al centre Power Platform d'administració, seleccioneu Entorns a la subfinestra de navegació i, a continuació, seleccioneu un entorn.
Seleccioneu Configuració>Usuaris i permisos>Funcions de seguretat.
Seleccioneu la funció d'obertura d'aplicacions i, a continuació, seleccioneu Copia .
Introduïu el nom de la funció personalitzada i, a continuació, seleccioneu Copia.
A la llista de funcions de seguretat, seleccioneu la funció nova i, a continuació, seleccioneu Més accions (...) >Edita.
A l'editor de funcions, seleccioneu la pestanya Entitats personalitzades.
Cerqueu la taula personalitzada a la llista i seleccioneu els privilegis Lectura, Escriptura i Afegeix .
Seleccioneu Desa i tanca.
Crear una funció de seguretat personalitzada des de zero
Inicieu la sessió al centre Power Platform d'administració, seleccioneu Entorns a la subfinestra de navegació i, a continuació, seleccioneu un entorn.
Seleccioneu Configuració>Usuaris i permisos>Funcions de seguretat.
Seleccioneu Funció nova.
Introduïu el nom de la funció nova a la pestanya Detalls .
A les altres pestanyes, cerqueu l'entitat i, a continuació, seleccioneu les accions i l'abast per dur-les a terme.
Seleccioneu una pestanya i cerqueu l'entitat. Per exemple, seleccioneu la pestanya Entitats personalitzades per definir els permisos d'una entitat personalitzada.
Seleccioneu els privilegis Llegir, Escriure, Annexar.
Seleccioneu Desa i tanca.
Privilegis mínims per executar una aplicació
Quan creeu una funció de seguretat personalitzada, la funció ha de tenir un conjunt de privilegis mínims perquè un usuari executi una aplicació. Obteniu més informació sobre els privilegis mínims necessaris.
Consulteu també
Concedir accés als usuaris
Control d'accés dels usuaris a entorns: grups de seguretat i llicències
Com es determina l'accés a un registre
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de