Zuweisen einer Sicherheitsrolle zu einem Benutzer
Beachten Sie die folgenden Informationen zu Sicherheitsrollen:
- Sicherheitsrollen steuern den Zugriff eines Benutzers auf Daten durch einen Satz von Zugriffsebenen und Berechtigungen. Die Kombination von Zugriffsebenen und Berechtigungen, die in einer bestimmten Sicherheitsrolle enthalten sind, begrenzt die Möglichkeit des Benutzers zur Anzeige von Daten und die Interaktionen des Benutzers mit den Daten.
- Dataverse legen Sie eine Standardmenge an Sicherheitsrollen fest. Falls für Ihre Organisation erforderlich, können Sie neue Sicherheitsrollen erstellen, indem Sie eine der Standardsicherheitsrollen bearbeiten und diese dann mit einem neuen Namen speichern. Siehe Vordefinierte Sicherheitsrollen.
- Sie können mehrere Sicherheitsrollen einem Benutzer zuweisen. Die Auswirkungen mehrerer Sicherheitsrollen sind kumulativ; d.h., der der Benutzer hat die Berechtigungen aus allen ihm zugewiesenen Sicherheitsrollen.
- Sicherheitsrollen sind Unternehmenseinheiten zugeordnet. Wenn Sie Unternehmenseinheiten erstellt haben, sind nur die der Unternehmenseinheit zugeordneten Sicherheitsrollen für die Benutzer in der Unternehmenseinheit verfügbar. Sie können diese Funktion verwenden, um den Datenzugriff auf Daten begrenzen, die im Besitz der Unternehmenseinheit sind.
- Wenn Den Besitz von Datensätzen über alle Geschäftsbereiche hinweg erlauben aktiviert ist, können Sie Ihren Benutzern Sicherheitsrollen aus verschiedenen Geschäftsbereichen zuweisen, unabhängig davon, zu welchem Geschäftsbereich die Benutzer gehören.
- Um einem Benutzer Sicherheitsrollen zuzuweisen, müssen Sie über die entsprechenden Berechtigungen verfügen (Mindestberechtigungen sind Lesen und Zuweisen in der Tabelle Sicherheitsrolle). Um eine Erhöhung der Sicherheitsrollenberechtigungen zu verhindern, kann die Person, die die Sicherheitsrolle zuweist, keine andere Person mit einer Sicherheitsrolle zuweisen, die mehr Berechtigungen hat als die zuweisende Person. Ein CSR-Managender kann beispielsweise einem anderen Benutzenden keine Systemadministratorrolle zuweisen. Diese Berechtigungsvalidierung umfasst die Überprüfung jeder Berechtigung, die die zuweisende Person auf der Berechtigungstiefenebene und der Unternehmenseinheit hat. Sie können beispielsweise einem anderen Benutzenden keine Sicherheitsrolle aus einer anderen Unternehmenseinheit zuweisen, wenn Ihnen keine Sicherheitsrolle mit der entsprechenden Berechtigungsstufe von dieser Unternehmenseinheit zugewiesen wurde.
Anmerkung
Standardmäßig verfügt die Sicherheitsrolle „Systemadministrator“ über alle erforderlichen Berechtigungen, um jedem Benutzenden Sicherheitsrollen zuzuweisen, einschließlich der Berechtigung, die Sicherheitsrolle „Systemadministrator“ zuzuweisen. Wenn Sie Nicht-Systemadministrierenden das Zuweisen von Sicherheitsrollen gestatten müssen, sollten Sie die Erstellung eines benutzerdefinierten Sicherheitsrolle mit allen unter Einen Administrierenden erstellen und Erweiterung der Sicherheitsrollenrechte verhindern aufgeführten Berechtigungen in Erwägung ziehen. Weisen Sie dem Nicht-Systemadministrierenden die benutzerdefinierten Sicherheitsrolle und alle Sicherheitsrollen zu, die der Nicht-Systemadministrierende anderen Benutzenden zuweisen kann. Diese Sicherheitsrollenanforderung ist auch erforderlich, wenn Sie Nicht-Systemadministrierenden erlauben, Teammitglieder in Besitzerteams zu verwalten.
Weitere Informationen zum Unterschied zwischen Microsoft Onlinedienste-Administrator-Rollen und Sicherheitsrollen finden Sie unter Benutzern Zugriff gewähren.
Tipp
Sehen Sie sich das folgende Video an: Zuweisen von Sicherheitsrollen im Power Platform Admin-Center.
Befolgen Sie diese Schritte, um eine Sicherheitsrolle zuzuweisen.
Melden Sie sich im Power Platform Admin-Center als Systemadministrator an.
Wählen Sie Umgebungen und dann eine Umgebung aus der Liste aus.
Wählen Sie Einstellungen aus.
Wählen Sie Benutzer + Berechtigungen, und wählen Sie dann Benutzer.
Wählen Sie auf der Seite Benutzer einen Benutzer aus und wählen Sie dann Sicherheitsrollen verwalten.
Wählen Sie Sicherheitsrollen aus oder heben Sie die Auswahl auf. Wenn Sie fertig sind, wählen Sie Speichern. Nach dem Speichern werden alle ausgewählten Rollen zu den aktuell zugewiesenen Rollen für den Benutzer. Nicht ausgewählte Rollen werden nicht zugewiesen.
Wenn Sie Datensatzbesitz über Unternehmenseinheiten hinweg zulassen aktiviert haben, können Sie Sicherheitsrollen aus verschiedenen Unternehmenseinheiten auswählen.
Wichtig
Sie müssen jedem Benutzer mindestens eine Sicherheitsrolle entweder direkt oder indirekt als Mitglied eines Gruppenteams zuweisen. Der Dienst gewährt Benutzern, die nicht über mindestens eine Sicherheitsrolle verfügen, keinen Zugriff.
Anmerkung
Das oben angezeigte Panel zeigt und verwaltet nur direkte Rollenzuweisungen für den Benutzer. Unter „Gruppenteams verwalten“ wird erläutert, wie Sie als Mitglied eines Gruppenteams zugewiesene Rollen anzeigen und verwalten.
Benutzereinstellungsrechte für Datensatzbesitz in allen Unternehmenseinheiten
Wenn Sie Datensatzbesitz in allen Unternehmenseinheiten zulassen aktiviert haben, können Ihre Benutzer auf Daten in anderen Unternehmenseinheiten zugreifen, indem ihnen eine Sicherheitsrolle aus den jeweiligen Unternehmenseinheiten direkt zugewiesen wird. Der Benutzer benötigt außerdem ein Sicherheitsrolle, die von der Unternehmenseinheit des Benutzers mit Berechtigungen aus den folgenden Tabellen zugewiesen wird, um die Einstellungen der Benutzeroberfläche zu aktualisieren:
- Benutzereinstellungen für die Aktionskarte
- Gespeicherte Ansicht
- Benutzerdiagramm
- Benutzerdashboard
- Benutzerentitäts-Instanzendaten
- UI-Einstellungen für Benutzerentität
- Benutzeranwendungsmetadaten
Um Benutzern in einer Umgebung mit null oder einer Microsoft Dataverse-Datenbank eine Sicherheitsrolle zuzuweisen, lesen Sie bitte Benutzersicherheit für Ressourcen in einer Umgebung konfigurieren.
(Optional) Eine Administratorrolle zuweisen
Sie können Teilen Microsoft Onlinedienste Umgebung-Verwaltungsaufgaben auf mehrere Personen aufteilen, indem Sie Microsoft Onlinedienste-Umgebung Administrator-Rollen den Benutzern zuweisen, die Sie Auswählen zum Ausfüllen der einzelnen Rollen benötigen. Ausführliche Informationen zu Microsoft Onlinedienste-Administrator-Rollen finden Sie unter Administratorrollen zuweisen.
Anmerkung
Microsoft Die Rollen Umgebung Administrator für Onlinedienste sind nur für die Verwaltung von Aspekten des Onlinedienstabonnements gültig. Diese Rollen wirken sich auf keine Berechtigungen innerhalb des Service aus.
Automatische Rollenzuweisung
Wenn Benutzende zu Dataverse hinzugefügt werden, werden ihnen basierend auf den folgenden Kriterien automatisch Rollen zugewiesen:
Benutzenden mit einer gültigen Lizenz werden automatisch entsprechende zugeordnete Rollen zugewiesen. Das Entfernen der entsprechenden Lizenz führt zur automatischen Entfernung der Rolle. Die lizenzbasierte Standardrollenverwaltung gilt nicht für Benutzende in diesen Umgebungen: Dataverse for Teams, Testversion und Entwickender.
Beim Umgebungstyp „Standard“ werden die Rollen Basic-Benutzender und Umgebungserstellender automatisch allen in Dataverse hinzugefügten Benutzenden zugewiesen.
In der mit Finanzen und Betrieb verknüpften Umgebung mit einer Dataverse-Datenbank wird die Basic User-Sicherheitsolle für Finanzen und Betrieb automatisch allen aktiven Benutzern in Dataverse zugewiesen.
Anmerkung
Zuvor wurde Microsoft Entra ID-Administratoren, einschließlich Power Platform Administratoren und Dynamics 365-Dienstadministratoren, in Dataverse automatisch die Systemrolle Administrator zugewiesen. Dies ist nicht mehr der Fall. Wenn einem Administrator jedoch zuvor eine Rolle in Dataverse zugewiesen wurde, wird beim Entfernen der Rollen Power Platform Administrator und Dynamics 365-Dienstadministrator nicht automatisch seine Systemrolle Administrator in Dataverse entfernt. Derzeit gibt es keine Möglichkeit festzustellen, ob die Rolle automatisch vom System oder manuell von einem Administrator zugewiesen wurde. Daher empfehlen wir Administratoren, die Systemrolle Administrator manuell zu entfernen, nachdem die Microsoft Entra Rolle entfernt wurde.
Zuordnung von Lizenzen zu Rollen
Falls in Ihrer Umgebung definiert, werden Benutzern automatisch bestimmte Rollen zugewiesen, wenn Benutzer zu Dataverse hinzugefügt werden, und zwar auf der Grundlage der Lizenz, die den Benutzern zugewiesen wurde. Sie können die Zuordnung von Lizenzen zu Rollen in einer Umgebung einsehen, indem Sie im Admin-Center von Power Platform zur Seite Lizenz-Rollen-Zuordnung navigieren.
Gehen Sie zu Umgebungen> [wählen Sie eine Umgebung] >Einstellungen>Benutzer>Berechtigungen Lizenz-Rollen-Zuordnung.