Grundlegendes zu Benutzersicherheitsrollen und Sicherheitsrollenstandards
Rollen sind Berechtigungsgruppen, die Sie einem Benutzer zuweisen können. Sicherheitsrollen gewähren ihnen Zugriff und stellen verschiedene Fähigkeiten und Funktionen bereit, z. B. Lesen, Schreiben, Löschen oder Bearbeiten von Zeilen in einer Tabelle innerhalb einer Umgebung. Sicherheitsrollen sind detailliert und können einer oder mehreren Tabellen in einer Umgebung zugewiesen werden. Rollen können zudem bestimmte Aktionen steuern, z. B. das Erstellen benutzerdefinierter Tabellen oder Optionssätze. Zusätzlich werden Benutzern eine Sicherheitsrolle oder mehrere zugeordnet. Indem ein Benutzer einer Rolle zugeordnet wird, erhält er Zugriff auf Daten und Funktionen innerhalb dieser Rolle.
Benutzersicherheitsrollen sind entweder:
standardisiert und werden mit jeder Instanz von Microsoft Dataverse erstellt; oder
benutzerdefiniert und von einem Administrator erstellt.
In dieser Lerneinheit werden beide Arten von Sicherheitsrollen erläutert.
Standardisierte Benutzersicherheitsrollen
Sobald Sie über eine Datenbank in der Umgebung verfügen und Sie einen Benutzer zu einer Umgebung in Dataverse hinzufügen, werden Ihrem Benutzer automatisch folgende Rollen zugewiesen:
App-Öffner
Basic-Benutzer
Umgebungsersteller
Systemanpasser
Systemadministrator
Für Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle zuweisen. Dies ist erforderlich, da die Umgebungserstellerrolle keine Berechtigungen für die Umgebungsdaten besitzt.
Mit einer Datenbank in der Umgebung kann die Systemadministratorrolle verwendet werden, um dieselben Funktionen wie der Umgebungsadministrator auszuführen. Einem Benutzer muss jedoch die Systemadministratorrolle anstelle der Umgebungsadministratorrolle zugewiesen werden, damit er vollständige Administratorrechte erhält.
Die Liste der zuweisbaren Rollen wird weiter oben in diesem Modul beschrieben.
Denken Sie daran, dass eine Sicherheitsrolle grundlegend eine Sammlung einer Tabelle und einer Aufgabe ist, basierend auf Berechtigungen und ihrer Zugriffsebene.
Tabellenberechtigungen
Dataverse unterstützt die separaten Berechtigungen auf Datensatzebene. Mit diesen Berechtigungen können Sie festlegen, wie ein Benutzer mit Daten für eine Tabelle interagiert.
Die verfügbaren Tabellenberechtigungen sind:
Erstellen – Erforderlich, um einen neuen Datensatz zu erstellen.
Lesen – Erforderlich, um eine Zeile zu öffnen und dessen Inhalt anzuzeigen.
Schreiben – Erforderlich, um Änderungen an Datensätzen durchzuführen.
Löschen – Erforderlich, um einen Datensatz dauerhaft zu löschen.
Anhängen – Erforderlich, um den aktuellen Datensatz mit einem anderen Datensatz zu verknüpfen; wenn ein Benutzer z. B. das Recht hat, einen Hinweis anzuhängen, kann er einer Verkaufschance einen Hinweis hinzufügen. Bei n:n-Beziehungen müssen Sie über die Berechtigung „Anhängen“ für beide Tabellen verfügen, die zugeordnet oder getrennt sind.
Anhängen an – Erforderlich, um einen Datensatz mit dem aktuellen Datensatz zu verknüpfen; wenn Benutzer z. B. das Recht „Anhängen an“ für eine Verkaufschance haben, können sie der Verkaufschance einen Hinweis hinzufügen.
Zuweisen – Erforderlich, um Zeilenbesitz an einen anderen Benutzer zu übertragen.
Freigeben – Erforderlich, um einem anderen Benutzer Zugriff auf einen Datensatz zu gewähren und gleichzeitig Ihren eigenen Zugriff zu behalten.
Hinweis
Tabellen, die im Besitz der Organisation sind, verfügen nicht über die Berechtigungen „Zuweisen“ oder „Freigeben“.
Zugriffsebenen
Für jedes Privileg gibt es eine festgelegte Zugriffsebene. Zugriffsebenen bestimmen, wie tief in der Hierarchie des Konzernmandanten der Organisation der Benutzer die Berechtigungen ausführen kann.
| Ebene | Beschreibung |
|---|---|
| Keine | Kein Zugriff ist erlaubt. |
| Benutzer | Benutzer können auf Datensätze, die Sie besitzen, sowie Objekte, die mit der Organisation geteilt werden, Objekte, die mit ihnen geteilt werden, und Objekte, die mit einem Team, dem sie angehört haben, geteilt werden, zugreifen. Dies ist die typische Zugriffsebene für Endbenutzer. |
| Konzernmandant | Benutzer können auf Datensätze in ihrem Konzernmandanten zugreifen. Benutzer mit Konzernmandantzugriff verfügen automatisch über Benutzerzugriff. Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die Autorität im Konzernmandanten besitzen. |
| Übergeordnet: Untergeordneter Konzernmandant | Benutzer können auf Datensätze in ihrem Konzernmandanten und allen ihr untergeordneten Konzernmandanten zugreifen. Benutzer mit diesem Zugriff haben automatisch Konzernmandanten‑ und Benutzerzugriff. Da diese Ebene den Zugriff auf Informationen im gesamten Konzernmandanten und in untergeordneten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die Autorität im Konzernmandanten besitzen. |
| Organisation | Benutzer können auf alle Datensätze in der Organisation zugreifen, unabhängig von der hierarchischen Ebene des Konzernmandanten, zu dem sie gehören. Benutzer mit Organisationszugriff verfügen automatisch auch über alle anderen Zugriffstypen. Da diese Ebene den Zugriff auf Informationen in der gesamten Organisation ermöglicht, sollte sie auf den Datensicherheitsplan der Organisation beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die eine Autorität in der Organisation besitzen. |
Hinweis
Tabellen, die im Besitz der Organisation sind, verwenden nur die Zugriffsebenen „Keine“ oder „Organisation“.
Im folgenden Screenshot werden die Berechtigungen und Zugriffsebenen für Tabellen im Power Platform Admin Center angezeigt.
Berechtigungseinstellungen
Mithilfe von vordefinierten Berechtigungsgruppen können auch Tabellenberechtigungen konfiguriert werden. Sie können Berechtigungseinstellungsgruppen anhand der folgenden Tabelle zuweisen:
| Berechtigungseinstellung | Informationen |
|---|---|
| Kein Zugriff | Kein Benutzer hat Zugriff auf die Tabelle. |
| Vollzugriff | Benutzer können alle Datensätze in der Tabelle anzeigen und bearbeiten. |
| Zusammenarbeiten | Benutzer können alle Datensätze anzeigen, aber nur eigene bearbeiten. |
| Privat | Benutzer können nur eigene Datensätze anzeigen und bearbeiten. |
| Referenzen | Benutzer können nur Datensätze anzeigen, nicht jedoch bearbeiten. |
| Benutzerdefiniert | Gibt an, dass die Berechtigungseinstellungen vom Standardwert geändert wurden. |
Sie können die folgenden Schritte ausführen, um die Berechtigungen für eine Tabelle anzupassen:
Wählen Sie eine Tabelle aus, und klicken Sie dann auf der Befehlsleiste auf die Option Berechtigungseinstellungen oder auf Weitere Aktionen (…) >Berechtigungseinstellungen.
Wählen Sie die Einstellung aus.
Wählen Sie „Speichern“ aus.
Datenschutzbezogene Berechtigungen
Bei tabellenbasierten Berechtigungen umfasst eine Sicherheitsrolle mehrere Datenschutzbezogene Berechtigungen, die den Zugriff auf Funktionen steuern, darunter:
- In Excel exportieren
Für datenschutzbezogene Berechtigungen werden nur die Zugriffsebenen „Keine“ oder „Organisation“ verwendet.
Sonstige Berechtigungen
Bei tabellenbasierten Berechtigungen umfasst eine Sicherheitsrolle mehrere sonstige Berechtigungen, die den Zugriff auf Funktionen oder Verwaltungsoptionen steuern, darunter:
Massenbearbeitung
Zusammenführen
Anpassungen exportieren
Anpassungen importieren
Überwachungsverlauf anzeigen
Die meisten sonstigen Berechtigungen verwenden nur die Zugriffsebenen „Keine“ oder „Organisation“, es gibt jedoch einige sonstige Berechtigungen, bei denen alle Zugriffsstufen eingerichtet werden können.
In der nächsten Lerneinheit untersuchen wir das Erstellen einer benutzerdefinierten Rolle.