Sdílet prostřednictvím


Konfigurace zabezpečení uživatele v prostředí

Microsoft Dataverse používá model zabezpečení založený na rolích k řízení přístupu k databázi a jejím prostředkům v prostředí. Použijte role zabezpečení ke konfiguraci přístupu ke všem zdrojům v prostředí nebo ke konkrétním aplikacím a datům v prostředí. Kombinace oprávnění a úrovní přístupu v zabezpečení určují, které aplikace a data mohou uživatelé zobrazit a jak mohou interagovat s těmito aplikacemi a daty.

Prostředí nemusí mít žádnou nebo může mít jednu databázi Dataverse. Role zabezpečení se přiřazují jinak pro a prostředí bez databáze Dataverse a prostředí, která databázi Dataverse mají.

Zjistěte více o prostředích v Power Platform.

Předdefinované role zabezpečení

Prostředí zahrnují předdefinované role zabezpečení, které odrážejí běžné uživatelské úkoly. Předdefinované role zabezpečení se řídí osvědčeným bezpečnostním postupem „minimálního požadovaného přístupu“: poskytují minimální přístup k minimálním obchodním datům, které uživatel potřebuje k používání aplikace. Tyto role zabezpečení lze přiřadit uživateli, týmu vlastníků a týmu skupiny. Předdefinované role zabezpečení, které jsou v prostředí k dispozici, závisí na typu prostředí a aplikacích, které jste v něm nainstalovali.

Je přiřazena další sada rolí zabezpečení pro uživatele aplikace. Tyto role zabezpečení jsou instalovány našimi službami a nelze je aktualizovat.

Prostředí bez databáze Dataverse

Jediné předdefinované role pro prostředí bez databáze Dataverse jsou Tvůrce prostředí a Správce prostředí. Tyto role jsou popsány v následující tabulce.

Role zabezpečení Description
Správce prostředí Role Správce prostředí může provádět všechny akce správy prostředí, včetně:
  • Přidání nebo odebrání uživatele z role správce nebo tvůrce prostředí.
  • Zřiďte databázi Dataverse pro dané prostředí. Jakmile je databáze poskytnuta, přiřaďte roli Úpravce systému správci prostředí, aby jim poskytl přístup k datům prostředí.
  • Zobrazení a správa všech zdrojů vytvořených v prostředí.
  • Vytvořte zásady ochrany před únikem informací.
Tvůrce prostředí Může vytvořit nové zdroje přidružené k prostředí včetně aplikací, připojení, vlastních rozhraní API a toků pomocí Microsoft Power Automate. Tato role však nemá žádná oprávnění pro přístup k datům v prostředí.

Tvůrci prostředí mohou také distribuovat aplikace, které v prostředí sestaví, ostatním uživatelům ve vaší organizaci. Mohou sdílet aplikaci s jednotlivými uživateli, skupinami zabezpečení nebo se všemi uživateli v organizaci.

Prostředí s databází Dataverse

Pokud má prostředí databázi Dataverse, musí být uživateli přidělena role správce systému namísto role správce prostředí, aby měl všechna oprávnění správce.

Uživatelé, kteří vytvářejí aplikace, které se připojují k databázi a potřebují vytvářet nebo aktualizovat entity a role zabezpečení, musí kromě role Tvůrce prostředí mít i roli Úpravce systému. Role Tvůrce prostředí nemá oprávnění k datům prostředí.

Následující tabulka popisuje předdefinované role zabezpečení v prostředí, které má databázi Dataverse. Tuto role nelze upravit.

Role zabezpečení Description
Spouštěč aplikace minimální oprávnění pro běžné úlohy. Tato role se primárně používá jako šablona k vytvoření vlastního role zabezpečení pro modelem řízené aplikace. Nemá žádná oprávnění k hlavním obchodním tabulkám, jako je Účet, Kontakt a Aktivita. Na úrovni Organizace má však oprávnění ke čtení systémových tabulek, jako je Proces, aby bylo možné číst pracovní postupy poskytované systémem. Všimněte si, že tato role zabezpečení se používá, když je vytvořena nová vlastní role zabezpečení.
Základní uživatel Pouze pro dodávané entity může spustit aplikaci v prostředí a provádět běžné úlohy pro záznamy, které vlastní. Má oprávnění k hlavním obchodním tabulkám, jako je Účet, Kontakt a Aktivita.

Poznámka: Common Data Service Uživatel role zabezpečení byl přejmenován na Základní uživatel. Změnilo se pouze jméno; uživatelská oprávnění a přiřazení rolí jsou stejné. Pokud máte řešení s rolí zabezpečení Common Data Service Uživatel, měli byste řešení aktualizovat, než jej znovu importujete. Jinak byste mohli při importu řešení nechtěně změnit název role zabezpečení zpět na Uživatel.
Delegovat Umožňuje kódu zosobnit nebo spustit jako jiný uživatel. Obvykle se používá s jinou rolí zabezpečení umožňující přístup k záznamům.
Správce Dynamics 365 Správce Dynamics 365 je Microsoft Power Platform role správce služby. Uživatelé s touto rolí mohou vykonávat funkce správy v Microsoft Power Platform poté, co se sami povýší na roli správce systému.
Tvůrce prostředí Může vytvořit nové zdroje přidružené k prostředí včetně aplikací, připojení, vlastních rozhraní API a toků pomocí Microsoft Power Automate. Tato role však nemá žádná oprávnění pro přístup k datům v rámci prostředí.

Tvůrci prostředí mohou také distribuovat aplikace, které v prostředí sestaví, ostatním uživatelům ve vaší organizaci. Mohou sdílet aplikaci s jednotlivými uživateli, skupinami zabezpečení nebo se všemi uživateli v organizaci.
Globální správce Globální správce je role Microsoft 365 administrátora. Osoba, která si zakoupí firemní předplatné Microsoft , je globálním správcem a má neomezenou kontrolu nad produkty v předplatném a přístup k většině dat. Uživatelé této role se musí sami povýšit na roli správce systému.
Globální čtenář Role Globální čtenář není zatím v centru pro správu Power Platform podporována.
Spolupracovník Office Má oprávnění ke čtení k tabulkám, ve kterých byl záznam sdílen s organizací. Nemá přístup k žádným dalším základním a uživatelským tabulkovým záznamům. Tato role je přiřazena týmu vlastníků Spolupracovníci Office, nikoli jednotlivému uživateli.
Správce Power Platform Power Platform správce je Microsoft Power Platform role správce služby. Uživatelé s touto rolí mohou vykonávat funkce správy v Microsoft Power Platform poté, co se sami povýší na roli správce systému.
Odstraněna služba Má plné oprávnění k odstranění všech entit, včetně vlastních. Tato role se primárně používá službou a vyžaduje mazání záznamů ve všech entitách. Tuto roli nelze přiřadit uživateli ani týmu.
Čtenář servisních článků Má plné oprávnění ke čtení všech entit, včetně vlastních. Tuto roli primárně používá služba, která vyžaduje čtení všech entit. Tuto roli nelze přiřadit uživateli ani týmu.
Autor servisních článků Má plné oprávnění k vytváření, čtení a zápisu pro všechny entity, včetně vlastních entit. Tuto roli primárně používá služba, která vyžaduje vytváření a aktualizaci záznamů. Tuto roli nelze přiřadit uživateli ani týmu.
Uživatel podpory Má plné oprávnění ke čtení k přizpůsobení a nastavení správy podniku, což umožňuje pracovníkům podpory řešit problémy s konfigurací prostředí. Tato role nemá přístup k základním záznamům. Tuto roli nelze přiřadit uživateli ani týmu.
Správce systému Má úplné oprávnění provést vlastní nastavení nebo správu prostředí, včetně vytváření, úprav a přiřazování rolí zabezpečení. Může zobrazovat všechna data v prostředí.
Úpravce systému Má úplné oprávnění k úpravě prostředí. Může zobrazovat všechna vlastní data tabulky v prostředí. Uživatelé s touto rolí však mohou zobrazovat pouze záznamy, které vytvoří v tabulkách Obchodní vztah, Kontakt a Aktivita.
Vlastník aplikace webu Uživatel, který vlastní registraci aplikace webu v Azure Portal
Vlastník webu Uživatel, který vytvořil web Power Pages. Tato role je spravována a nelze ji změnit.

Kromě předdefinovaných rolí zabezpečení popsaných pro Dataverse mohou být ve vašem prostředí k dispozici další role zabezpečení v závislosti na Power Platform komponentách — Power Apps, Power Automate, Microsoft Copilot Studio—máte. Následující tabulka obsahuje odkazy na další informace.

Komponenta Power Platform Informační
Power Apps Předdefinované role zabezpečení pro prostředí s Dataverse databází
Power Automate Bezpečnost a soukromí
Power Pages Role potřebné pro správu webu
Microsoft Copilot Studio Přiřaďte role zabezpečení prostředí

Prostředí Dataverse for Teams

Přečtěte si další informace o předdefinovaných rolích zabezpečení v Dataverse for Teams prostředích.

Role zabezpečení specifické pro aplikaci

Pokud ve svém prostředí nasadíte aplikace Dynamics 365, přidají se další role zabezpečení. Následující tabulka obsahuje odkazy na další informace.

Aplikace Dynamics 365 Dokumentace k roli zabezpečení
Dynamics 365 Sales Předdefinované role zabezpečení pro Sales
Dynamics 365 Marketing Role zabezpečení přidané aplikací Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service role + definice
Dynamics 365 Customer Service Role v Omnikanál pro Customer Service
Dynamics 365 Customer Insights Role Customer Insights
Správce profilů aplikací Role a oprávnění spojená se správcem profilu aplikace
Dynamics 365 Finance Bezpečnostní role ve veřejném sektoru
Finanční a provozní aplikace Bezpečnostní role v Microsoft Power Platform

Souhrn zdrojů dostupných pro předdefinované role zabezpečení

Následující tabulka popisuje, které zdroje mohou být vytvořeny jednotlivými rolemi zabezpečení.

Resource Tvůrce prostředí Správce prostředí Úpravce systému Správce systému
Aplikace plátna X X X X
Cloudový tok X (bez podpory řešení) X X X
Konektor X (bez podpory řešení) X X X
Připojení* X X X X
Brána dat - X - X
Tok dat X X X X
Tabulky Dataverse - - X X
Modelem řízená aplikace X - X X
Rámec řešení X - X X
Desktopový tok** - - X X
AI Builder - - X X

*Připojení jsou použita v aplikacích plátna a Power Automate.

**Uživatelé Dataverse for Teams nemají ve výchozím nastavení přístup k desktopovým tokům. Musíte upgradovat své prostředí na plnou verzi Dataverse a získat licenční plány desktopových toků za účelem použití těchto toků.

Přiřaďte role zabezpečení uživatelům v prostředí bez databáze Dataverse

U prostředí bez Dataverse databáze může uživatel, který má v daném prostředí roli Správce prostředí, přiřadit role zabezpečení jednotlivým uživatelům nebo skupinám z Microsoft Entra ID.

  1. Přihlaste se k centru pro správu Power Platform.

  2. Vyberte Prostředí> [vyberte prostředí].

  3. Na dlaždici Přístup vyberte Zobrazit vše pro Správce prostředí nebo Tvůrce prostředí, chcete-li přidat nebo odebrat lidi pro každou roli.

    Snímek obrazovky s výběrem role zabezpečení v centru pro správu Power Platform.

  4. Vyberte Přidat osoby a poté zadejte jméno nebo e-mailovou adresu jednoho nebo více uživatelů nebo skupin z Microsoft Entra ID.

  5. Vyberte Přidat.

Přiřaďte role zabezpečení uživatelům v prostředí bez databáze Dataverse

Role zabezpečení lze kromě jednotlivých uživatelů přiřadit týmům vlastníků a týmům skupin Microsoft Entra. Před přiřazením role uživateli ověřte, zda je obchodní vztah uživatele přidán a je povolen v prostředí.

Obecně může být role zabezpečení přiřazena pouze uživatelům, jejichž obchodní vztahy jsou v prostředí povoleny. Pokud ale potřebujete přiřadit roli zabezpečení uživatelským účtům, které jsou v prostředí zakázány, zapněte allowRoleAssignmentOnDisabledUsers v OrgDBOrgSettings.

  1. Přihlaste se k centru pro správu Power Platform.

  2. Vyberte Prostředí> [vyberte prostředí].

  3. V dlaždici Přístup vyberte Zobrazit vše v části Role zabezpečení.

    Snímek obrazovky s možností zobrazení všech rolí zabezpečení v centru pro správu Power Platform.

  4. Ujistěte se, že je v seznamu vybrána správná organizační jednotka, a pak vyberte roli ze seznamu rolí v prostředí.

  5. Vyberte Přidat osoby a poté zadejte jméno nebo e-mailovou adresu jednoho nebo více uživatelů nebo skupin z Microsoft Entra ID.

  6. Vyberte Přidat.

Vytváření, úprava nebo kopírování rolí zabezpečení pomocí nového, moderního uživatelského rozhraní

Můžete snadno vytvářet, upravovat nebo kopírovat roli zabezpečení a přizpůsobovat ji tak, aby vyhovovala vašim potřebám.

  1. Přejděte na Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení.

  3. Rozbalte Uživatelé a oprávnění.

  4. Vyberte Role zabezpečení.

  5. Proveďte příslušný úkol:

Vytvoření role zabezpečení

  1. Zvolte Nová role na panelu příkazů.

  2. V poli Název role zadejte popisný název nové role.

  3. V poli Obchodní jednotka vyberte obchodní jednotku, ke které role patří.

  4. Vyberte, zda mají roli zdědit členové týmu.

    Pokud je toto nastavení povoleno a role je přiřazena týmu, všichni členové týmu zdědí všechna oprávnění spojená s rolí.

  5. Zvolte Uložit.

  6. Definujte oprávnění a vlastnosti role zabezpečení.

Upravení role zabezpečení

Buď vyberte název role nebo vyberte řádek a poté vyberte Upravit. Poté definujte oprávnění a vlastnosti role zabezpečení.

Některé předdefinované role zabezpečení nelze upravit. Pokud se pokusíte upravit tyto role, tlačítka Uložit a Uložit a Zavřít nebudou dostupná.

Kopírování role zabezpečení

Vyberte role zabezpečení a poté vyberte Kopírovat. Dejte roli nový název. Podle potřeby upravte role zabezpečení .

Zkopírují se pouze oprávnění, nikoli přiřazení členové a týmy.

Audit rolí zabezpečení

Auditujte role zabezpečení , abyste lépe porozuměli změnám zabezpečení ve vašem Power Platform prostředí.

Vytvoření nebo konfigurace vlastní role zabezpečení

Pokud vaše aplikace používá vlastní entitu, musí být její oprávnění před jejím použitím výslovně udělena v roli zabezpečení. Tato oprávnění můžete buď přidat do existující role zabezpečení nebo vytvořit vlastní roli zabezpečení.

Každá role zabezpečení musí obsahovat minimální sadu oprávnění. Přečtěte si další informace o rolích a oprávněních zabezpečení.

Tip

Prostředí může uchovávat záznamy, které může používat více aplikací. Možná budete potřebovat více rolí zabezpečení, které udělují různá oprávnění. Příklad:

  • Někteří uživatelé (typ Editoři) můžou potřebovat jenom číst, aktualizovat a připojovat další záznamy. Jejich role zabezpečení proto bude mít oprávnění Číst, Zapsat a Připojit.
  • Ostatní uživatelé mohou potřebovat všechna oprávnění, která mají Editoři, plus schopnost vytvářet, připojovat, mazat a sdílet. Role zabezpečení těchto uživatelů proto bude obsahovat oprávnění Vytvořit, Číst, Zapisovat, Připojit, Odstranit, Přiřadit, Připojit k a Sdílet.

Vytvoření vlastní role zabezpečení s minimálními oprávněními ke spuštění aplikace

  1. Přihlaste se do Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení>Uživatelé + oprávnění>Role zabezpečení.

  3. Vyberte roli Spouštěč aplikacea poté vyberte Kopírovat.

  4. Zadejte název nového vlastní role a pak vyberte Kopírovat.

  5. V seznamu rolí zabezpečení vyberte novou roli a poté vyberte Další akce () >Upravit.

  6. V editoru rolí vyberte kartu Vlastní entity.

  7. Najděte vlastní tabulku v seznamu a vyberte oprávnění Číst, Zápis a Přidávat.

  8. Zvolte Uložit a zavřít.

Vytvoření vlastní role zabezpečení od začátku

  1. Přihlaste se do Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení>Uživatelé + oprávnění>Role zabezpečení.

  3. Vyberte Nová role.

  4. Na kartě Podrobnosti zadejte název nové role.

  5. Na ostatních kartách vyhledejte svou entitu a poté vyberte akce a rozsah jejich provádění.

  6. Vyberte kartu a vyhledejte svoji entitu. Například vyberte kartu Vlastní entity pro nastavení oprávnění pro vlastní entitu.

  7. Vyberte oprávnění Čtení, Zápis, Připojit.

  8. Zvolte Uložit a zavřít.

Minimální oprávnění pro spuštění aplikace

Když vytvoříte vlastní roli zabezpečení, musíte do ní zahrnout sadu minimálních oprávnění, aby uživatel mohl spustit aplikaci. Další informace o požadovaných minimálních oprávněních.

Viz také

Udělit uživatelům přístup
Řízení přístupu uživatelů k prostředím: bezpečnostní skupiny a licence
Jak se určuje přístup k záznamu