Sicherheitsrollen und Berechtigungen

Zum Steuern des Datenzugriffs müssen Sie eine Organisationsstruktur einrichten, die sowohl vertrauliche Daten schützt als auch eine Zusammenarbeit ermöglicht. Richten Sie dazu Unternehmenseinheiten, Sicherheitsrollen und Feldsicherheitsprofile ein.

Sicherheitsrollen

Eine Sicherheitsrolle definiert, wie die verschiedenen Benutzer, z. B. Vertriebsmitarbeiter, auf die verschiedenen Datensatztypen zugreifen können. Zum Steuern des Datenzugriffs können Sie die vorhandenen Sicherheitsrollen ändern, neue Sicherheitsrollen erstellen, oder Sie können ändern, welche Sicherheitsrollen den einzelnen Benutzern zugewiesen sind. Jeder Benutzer kann über mehrere Sicherheitsrollen verfügen. Siehe Vordefinierte Sicherheitsrollen.

Sicherheitsrollenrechte sind kumulativ: Wenn Benutzer über mehr als eine Sicherheitsrolle verfügen, erhält der Benutzer alle Rechte jeder Rolle.

Jede Sicherheitsrolle umfasst Rechte auf Datensatzebene und aufgabenbasierte Rechte.

Rechte auf Datensatzebene definieren, welche Aufgaben ein Benutzer, der über Zugriff auf den Datensatz verfügt, ausführen kann, z. B. Lesen, Erstellen, Löschen, Schreiben, Zuweisen, Freigeben, Anfügen und Anfügen an. Hinzufügen bedeutet, einem Datensatz einen anderen Datensatz anzufügen, z. B. eine Aktivität oder einen Hinweis. Anfügen an bedeutet, an einen Datensatz angefügt werden. Mehr erfahren: Berechtigungen auf Datensatzebene.

Verschiedene Rechte, (auch aufgabenbasierte Berechtigungen) unten im Formular, geben Benutzern Rechte, bestimmte verschiedene Aufgaben auszuführen (nicht Datensatz) z. B. Artikel veröffentlichen oder Geschäftsregeln aktivieren. Mehr erfahren: Verschiedene Berechtigungen.

Die farbigen Kreise auf der Sicherheitsrollen-Einstellungsseite definieren die Zugriffsebene für dieses Recht. Zugriffsebenen bestimmen, wie tief oder hoch in der Hierarchie der Unternehmenseinheit der Organisation der Benutzer die angegebenen Berechtigungen ausführen kann. In der folgenden Tabelle sind die Zugriffsebenen in der App aufgeführt, beginnend mit der Ebene, mit der Benutzer den meisten Zugriff erhalten.

Schaltfläche Beschreibung des Dataflows
Access level global. Global. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf alle Datensätze innerhalb der Organisation, unabhängig davon, welcher hierarchischen Ebene der Unternehmenseinheit die Umgebung oder der Benutzer zugeordnet ist. Benutzer mit Zugriff „Global“ haben automatisch auch den Zugriff „Tief“, „Lokal“ und „Basis“.

Da diese Zugriffsebene den Zugriff auf Informationen in der gesamten Organisation ermöglicht, sollte sie auf den Datensicherheitsplan der Organisation beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die eine Autorität in der Organisation besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Organisation.
Access level deep. Tief. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers und auf alle Konzernmandanten, die dem Konzernmandanten des Benutzers untergeordnet sind.

Benutzer mit Deep-Zugriff haben automatisch auch Local- und Basic-Zugriff.

Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten und in untergeordneten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die in den Konzernmandanten Autorität besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Übergeordnet: Untergeordnete Konzernmandanten.
Access level local. Lokal. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers.

Benutzer mit Local-Zugriff haben automatisch auch Basic-Zugriff.

Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die Autorität im Konzernmandanten besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Konzernmandant.
Access level basic. Basic. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze, die dem Benutzer gehören, und auf Objekte, die für die Organisation freigegeben sind, sowie auf Objekte, die für ein Team freigegeben sind, dem der Benutzer angehört.

Dies ist die typische Zugriffsebene für Vertriebs- und Servicemitarbeiter.

Die Anwendung bezieht sich auf diese Zugriffsebene als Benutzer.
Access level none. Keine: Kein Zugriff ist erlaubt.

Wichtig

Um sicherzustellen, dass Benutzer auf alle Bereiche der Webanwendung, wie etwa die Tabellenformulare, die Navigationsleiste oder Befehlsleiste, zugreifen können, müssen alle Sicherheitsrollen in der Organisation die Lesen-Berechtigung auf der Web Resource-Tabelle enthalten sein. Zum Beispiel: Ohne Leseberechtigungen kann ein Benutze kein neues Formular öffnen, das eine Webressource enthält; stattdessen wird eine Fehlermeldung wie die folgende angezeigt: „Fehlende prvReadWebResource Berechtigung.“ Mehr Informationen: Sicherheitsrollen erstellen oder bearbeiten

Berechtigungen auf Datensatzebene

Apps PowerApps und Apps zur Kundenbindung (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) verwenden acht verschiedene Berechtigungen auf Datensatzebene, die den Zugriff eines Benutzers auf einen bestimmten Datensatz oder Datensatztyp bestimmen.

Privilege Beschreibung
Erstellen Erforderlich, um einen neuen Datensatz zu erstellen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Lesen Erforderlich, um einen Datensatz zu öffnen, um den Inhalt anzuzeigen. Welche Datensätze gelesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Schreiben Erforderlich zum Ändern eines Datensatzes. Welche Datensätze geändert werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Löschen Erforderlich zum endgültigen Entfernen eines Datensatzes. Welche Datensätze gelöscht werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Anfügen Erforderlich, um den aktuellen Datensatz einem anderen Datensatz zuzuordnen Eine Notiz kann z. B. an eine Verkaufschance angefügt werden, wenn der Benutzer über das Recht "Anfügen an" für die Notiz verfügt. Welche Datensätze angefügt werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Bei n:n-Beziehungen müssen Sie über die Berechtigung „Anhängen“ für beide Tabellen verfügen, die zugeordnet oder getrennt sind.
Anfügen an Erforderlich, um einen Datensatzes zum aktuellen Datensatz zuzuordnen Wenn z. B. ein Benutzer die Berechtigung "Anfügen" für eine Verkaufschance hat, kann der Benutzer eine Notiz zu einer Verkaufschance hinzufügen. Welche Datensätze angefügt werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Zuweisen Erforderlich, um den Besitz eines Datensatzes an einen anderen Benutzer zu übertragen. Welche Datensätze zugewiesen werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.
Teilen Erforderlich, um einem anderen Benutzer den Zugriff auf einen Datensatz zu gewähren und dabei die eigenen Zugriffsrechte beizubehalten. Welche Datensätze freigegeben werden können, hängt von der Zugriffsebene der in Ihrer Sicherheitsrolle definierten Berechtigung ab.

Überschreiben von Sicherheitsrollen

Der Besitzer eines Datensatzes oder ein Benutzer mit dem Recht Freigeben für einen Datensatz kann einen Datensatz für andere Benutzer oder Teams freigeben. Durch die Freigabe können die Rechte Lesen, Schreiben, Löschen, Anfügen, Zuweisen und Freigeben für bestimmte Datensätze hinzugefügt werden.

Teams werden hauptsächlich für die Freigabe von Datensätzen verwendet, auf die die Mitglieder des Teams normalerweise keinen Zugriff hätten. Weitere Informationen: Verwalten von Sicherheit, Benutzern und Teams.

Der Zugriff auf einen bestimmten Datensatz kann nicht entfernt werden. Sämtliche Änderungen an einem Sicherheitsrollenrecht werden auf alle Datensätze dieses Datensatztyps angewendet.

Rechtevererbung des Teammitglieds

Benutzer- und Teamrechte

  • Benutzerrechte: Dem Benutzer werden diese Rechte direkt erteilt, wenn dem Benutzer eine Sicherheitsrolle zugewiesen ist. Der Benutzer kann Datensätze erstellen und hat Zugriff auf Datensätze, die vom Benutzer erstellt wurden/dessen Besitzer er war, falls die grundlegende Zugriffsebene zum Erstellen und Lesen angegeben wurde. Dies ist die Standardeinstellung für neue Sicherheitsrollen.
  • Teamrechte: Dem Benutzer werden diese Rechte als Mitglied des Teams gewährt. Teammitglieder, die über keine eigenen Benutzerrechte verfügen, können Datensätze nur mit dem Team als Besitzer erstellen und sie haben Zugriff auf Datensätze, die dem Team gehören, wenn die Basiszugriffsebene für das Erstellen und Lesen gewährt wurde.

Eine Sicherheitsrolle kann festgelegt werden, um einem Teammitglied Benutzerrechte für die direkte Basiszugriffsebene zur Verfügung zu stellen. Ein Teammitglied kann Datensätze erstellen, die sie besitzen, und Datensätze, die das Team als Besitzer haben, wenn die Basiszugriffsebene für das Erstellen gewährt wurde. Wenn die Basiszugriffsebene für das Lesen gewährt wurde, kann das Teammitglied auf Datensätze zugreifen, die sowohl dem Teammitglied als auch dem Team gehören.

Die Rechtevererbungsrolle dieses Mitglieds gilt für Besitzer und Azure Active Directory (Azure AD)-Gruppenteams.

Notiz

Vor der Freigabe der Berechtigungsvererbung durch Teammitglieder im Mai 2019 haben sich die Sicherheitsrollen wie Teamprivilegien verhalten. Sicherheitsrollen, die vor dieser Version erstellt wurden, werden als Teamprivilegien festgelegt und Sicherheitsrollen, die nach dieser Version erstellt wurden, sind standardmäßig auf Benutzerrechte festgelegt.

Erstellen einer Sicherheitsrolle mit Rechtevererbung vom Teammitglied

Voraussetzungen

Diese Einstellungen finden Sie im Power Platform Admin Center unter Umgebungen> [Eine Umgebung auswählen] >Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen.

Stellen Sie sicher, dass Sie die Sicherheitsrolle Systemadministrator oder gleichwertige Berechtigungen haben.

Prüfen Sie Ihre Sicherheitsrolle:

  • Führen Sie die Schritte in Anzeigen des Benutzerprofils aus.
  • Sie habe nicht die erforderlichen Berechtigungen? Wenden Sie sich an den Systemadministrator.
  1. Wählen Sie eine Umgebung aus und wechseln Sie dann zu Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen aus.

  2. Klicken Sie auf der Befehlsleiste auf Neu.

  3. Geben Sie einen Rollennamen ein.

  4. Wählen Sie aus der Dropdownliste Rechtevererbung des Mitglieds aus.

  5. Wählen Sie Direkte Benutzer-Zugriffsebene (Basic) und Teamrechte aus.

  6. Gehen Sie zu den verschiedenen Registerkarten und legen Sie die entsprechenden Rechte für die jeweilige Tabellen fest.

    Zum Ändern der Zugriffsebene für ein Recht wählen Sie das Zugriffsebenen-Symbol aus, bis das gewünschte Symbol angezeigt wird. Welche Zugriffsebenen Sie auswählen können, ist davon abhängig, ob der Datensatztyp im Besitz der Organisation oder im Besitz des Benutzers ist.

Notiz

Sie können diese Rechtevererbungseigenschaft außerdem für alle Standardsicherheitsrollen festlegen, mit Ausnahme der Systemadministratorrolle. Wenn einem Benutzer eine Rechtevererbungs-Sicherheitsrolle zugewiesen wird, werden dem Benutzer alle Rechte direkt gewährt, genau wie eine Sicherheitsrolle ohne Rechtevererbung.

Sie können nur Berechtigungen der Basisebene in der Berechtigungsvererbung des Mitglieds auswählen. Wenn Sie Zugriff auf eine untergeordnete Geschäftseinheit gewähren müssen, müssen Sie das Privileg auf Deep erhöhen. Beispielsweise müssen Sie dem Gruppenteam eine Sicherheitsrolle zuweisen, und Sie möchten, dass die Mitglieder dieser Gruppe an das Konto anhängen können. Sie richten die Sicherheitsrolle mit der Berechtigungsvererbung eines Mitglieds der Basisebene ein und setzen es in der Berechtigung An Konto anhängen auf Deep. Dies liegt daran, dass grundlegende Berechtigungen nur für den Geschäftsbereich des Benutzers gelten.

Siehe auch

Video: Verwalten von Anwendungsbenutzern, Sicherheitsrollen, Teams und Benutzern im Power Platform Admin-Center
Video: Funktion „Zugriff prüfen“