Sicherheitsrollen und Berechtigungen
Notiz
Wenn Sie den Modus Nur einheitliche Oberfläche verwenden aktiviert haben, bevor Sie die Verfahren in diesem Artikel verwenden, gehen Sie wie folgt vor:
- Wählen Sie auf der Navigationsleiste Einstellungen (
) aus. - Wählen Sie Erweiterte Einstellungen aus.
Zum Steuern des Datenzugriffs müssen Sie eine Organisationsstruktur einrichten, die sowohl vertrauliche Daten schützt als auch eine Zusammenarbeit ermöglicht. Richten Sie dazu Unternehmenseinheiten, Sicherheitsrollen und Feldsicherheitsprofile ein.
Tipp
Sehen Sie sich das folgende Video an: So richten Sie Sicherheitsrollen in Dynamics 365 for Customer Engagement ein.
Sicherheitsrollen
Eine Sicherheitsrolle definiert, wie die verschiedenen Benutzer, z. B. Vertriebsmitarbeiter, auf die verschiedenen Datensatztypen zugreifen können. Zum Steuern des Datenzugriffs können Sie die vorhandenen Sicherheitsrollen ändern, neue Sicherheitsrollen erstellen, oder Sie können ändern, welche Sicherheitsrollen den einzelnen Benutzern zugewiesen sind. Jeder Benutzer kann über mehrere Sicherheitsrollen verfügen.
Sicherheitsrollenrechte sind kumulativ: Wenn Benutzer über mehr als eine Sicherheitsrolle verfügen, erhält der Benutzer alle Rechte jeder Rolle.
Jede Sicherheitsrolle umfasst Rechte auf Datensatzebene und aufgabenbasierte Rechte.
Rechte auf Datensatzebene definieren, welche Aufgaben ein Benutzer, der über Zugriff auf den Datensatz verfügt, ausführen kann, z. B. Lesen, Erstellen, Löschen, Schreiben, Zuweisen, Freigeben, Anfügen und Anfügen an. Hinzufügen bedeutet, einem Datensatz einen anderen Datensatz anzufügen, z. B. eine Aktivität oder einen Hinweis. Anfügen an bedeutet, an einen Datensatz angefügt werden. Mehr erfahren: Berechtigungen auf Datensatzebene.
Aufgabenbasierte Rechte, unten im Formular, geben Benutzern Rechte, bestimmte Aufgaben auszuführen, z. B. Veröffentlichen von Artikeln.
Die farbigen Kreise auf der Sicherheitsrollen-Einstellungsseite definieren die Zugriffsebene für dieses Recht. Zugriffsebenen bestimmen, wie tief oder hoch in der Hierarchie der Unternehmenseinheit der Organisation der Benutzer die angegebenen Berechtigungen ausführen kann. In der folgenden Tabelle sind die Zugriffsebenen in der App aufgeführt, beginnend mit der Ebene, mit der Benutzer den meisten Zugriff erhalten.
| Schaltfläche | Beschreibung |
|---|---|
 |
Global. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf alle Datensätze in der Organisation, unabhängig von der Hierarchieebene der Konzernmandanten, zu der die Instanz oder der Benutzer gehört. Benutzer mit globalem Zugriff haben automatisch auch Deep-, Local- und Basic-Zugriff. Da diese Zugriffsebene den Zugriff auf Informationen in der gesamten Organisation ermöglicht, sollte sie auf den Datensicherheitsplan der Organisation beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die eine Autorität in der Organisation besitzen. Die Anwendung bezieht sich auf diese Zugriffsebene als Organisation. |
 |
Tief. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers und auf alle Konzernmandanten, die dem Konzernmandanten des Benutzers untergeordnet sind. Benutzer mit Deep-Zugriff haben automatisch auch Local- und Basic-Zugriff. Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten und in untergeordneten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die in den Konzernmandanten Autorität besitzen. Die Anwendung bezieht sich auf diese Zugriffsebene als Übergeordnet: Untergeordnete Konzernmandanten. |
 |
Lokal. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers. Benutzer mit Local-Zugriff haben automatisch auch Basic-Zugriff. Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die Autorität im Konzernmandanten besitzen. Die Anwendung bezieht sich auf diese Zugriffsebene als Konzernmandant. |
 |
Basic. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze, die dem Benutzer gehören, und auf Objekte, die für den Benutzer freigegeben sind, sowie auf Objekte, die für ein Team freigegeben sind, dem der Benutzer angehört. Dies ist die typische Zugriffsebene für Vertriebs- und Servicemitarbeiter. Die Anwendung bezieht sich auf diese Zugriffsebene als Benutzer. |
 |
Keine: Kein Zugriff ist erlaubt. |
Wichtig
Um sicherzustellen, dass Benutzer auf alle Bereiche der Webanwendung, wie etwa die Entitätsformulare, die Navigationsleiste oder Befehlsleiste, zugreifen können, müssen alle Sicherheitsrollen in der Organisation die Lesen-Berechtigung auf der Web Resource-Entität enthalten sein. Beispiel: Ohne Leseberechtigungen kann ein Benutze kein neues Formular öffnen, das eine Webressource enthält; stattdessen wird eine Fehlermeldung wie die folgende angezeigt: "Fehlende prvReadWebResource-Berechtigung.” Weitere Information finden Sie unter Erstellen oder Bearbeiten einer Sicherheitsrolle
Berechtigungen auf Datensatzebene
PowerApps und Customer Engagement (on-premises) verwenden acht verschiedene Rechte auf Datensatzebene, die die Zugriffsebene für einen Benutzer auf einen bestimmten Datensatz oder Datensatztyp bestimmen.
| Privilege | Beschreibung |
|---|---|
| Erstellen | Erforderlich, um einen neuen Datensatz zu erstellen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Lesen | Erforderlich, um einen Datensatz zu öffnen, um den Inhalt anzuzeigen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Schreiben | Erforderlich zum Ändern eines Datensatzes. Welche Datensätze geändert werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Löschen | Erforderlich zum endgültigen Entfernen eines Datensatzes. Welche Datensätze gelöscht werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Anfügen | Erforderlich, um den aktuellen Datensatz einem anderen Datensatz zuzuordnen Beispielsweise kann ein Hinweis einer Verkaufschance angefügt werden, wenn der Benutzer für den Hinweis das Recht „Anfügen“ besitzt. Welche Datensätze angefügt werden können, hängt von der Zugriffsebene der Berechtigung ab, die in Ihrer Sicherheitsrolle definiert ist. Bei n:n-Beziehungen müssen Sie über die Berechtigung „Anhängen“ für beide Entitäten verfügen, die zugeordnet oder getrennt sind. |
| Anfügen an | Erforderlich, um einen Datensatzes zum aktuellen Datensatz zuzuordnen Wenn ein Benutzer beispielsweise die Berechtigung „Anfügen an“ für eine Verkaufschance besitzt, kann er einer Verkaufschance einen Hinweis beifügen. Welche Datensätze an etwas angefügt werden können, hängt von der Zugriffsebene der Berechtigung ab, die in Ihrer Sicherheitsrolle definiert ist. |
| Zuweisen | Erforderlich, um den Besitz eines Datensatzes an einen anderen Benutzer zu übertragen. Welche Datensätze zugewiesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
| Teilen | Erforderlich, um einem anderen Benutzer den Zugriff auf einen Datensatz zu gewähren und dabei die eigenen Zugriffsrechte beizubehalten. Welche Datensätze freigegeben werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab. |
Überschreiben von Sicherheitsrollen
Der Besitzer eines Datensatzes oder ein Benutzer mit dem Recht Freigeben für einen Datensatz kann einen Datensatz für andere Benutzer oder Teams freigeben. Durch die Freigabe können die Rechte Lesen, Schreiben, Löschen, Anfügen, Zuweisen und Freigeben für bestimmte Datensätze hinzugefügt werden.
Teams werden hauptsächlich für die Freigabe von Datensätzen verwendet, auf die die Mitglieder des Teams normalerweise keinen Zugriff hätten. Weitere Informationen: Verwalten von Sicherheit, Benutzern und Teams
Der Zugriff auf einen bestimmten Datensatz kann nicht entfernt werden. Sämtliche Änderungen an einem Sicherheitsrollenrecht werden auf alle Datensätze dieses Datensatztyps angewendet.
Siehe auch
Sicherheitskonzepte für Microsoft Dynamics 365 for Customer Engagement
Verwalten von Sicherheit, Benutzern und Teams
Erstellen oder Bearbeiten einer Sicherheitsrolle