Roles de seguranza e privilexios
Para controlar quen pode acceder a datos e recursos restrinxidos ou confidenciais e o que poden facer con eles, asigne os usuarios a funcións de seguranza. Este artigo ofrece unha visión xeral dos roles de seguranza e os seus privilexios asociados.
Podes asignar funcións de seguranza mediante a interfaz de usuario nova e moderna ou a IU antiga.
Roles de seguranza e a nova e moderna IU
Os roles de seguranza definen como acceden os diferentes usuarios a distintos tipos de rexistros. Para controlar o acceso aos datos e aos recursos, pode crear ou modificar roles de seguranza e cambiar os roles de seguranza asignados aos seus usuarios.
Un usuario pode ter varios roles de seguranza. Os privilexios rol de seguranza son acumulativos. Os usuarios teñen os privilexios dispoñibles en cada rol que se lles asignou.
Consulta unha lista de funcións de seguranza nun ambiente
Inicie sesión no Power Platform centro de administración, seleccione Entornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración>Usuarios + Permisos>Roles de seguranza.
Define os privilexios e as propiedades dun rol de seguranza
Despois de crear un rol de seguranza ou mentres estás editando un, establece o Opción de herdanza de privilexios do membro :
Só privilexios de equipo: un usuario ten estes privilexios como membro dun equipo. Os membros do equipo que non teñen privilexios de usuario propios poden crear rexistros co equipo como propietario. Poden acceder aos rexistros que posúe o equipo se se lles concede o nivel de acceso Usuario para os privilexios de creación e lectura.
Nivel de acceso directo de usuario (básico) e privilexios de equipo: un usuario recibe estes privilexios directamente cando se lle asigna o rol de seguranza. Os usuarios poden crear rexistros con eles mesmos como propietarios. Poden acceder aos rexistros que crearon ou posuíron cando se lles deu o nivel de acceso Usuario para os privilexios de creación e lectura. Esta configuración é a predeterminada para os novos roles de seguranza.
A continuación, configure os privilexios asociados co rol de seguranza.
Un rol de seguranza consta de privilexios de nivel de rexistro e privilexios baseados en tarefas dos seguintes tres tipos:
Táboas: Os privilexios de táboa definen que tarefas pode realizar un usuario con acceso a un rexistro de táboa, como Ler, Crear, Eliminar, Escribir, Asignar, Compartir, Engadir e Engadir a. Anexar significa engadir outro rexistro, como unha nota ou unha actividade, a un rexistro. Anexar a significa estar engadido a un rexistro. Establecer privilexios da táboa.
Privilexios varios: Estes privilexios baseados en tarefas dan permiso ao usuario para realizar tarefas específicas e varias (non rexistradas), como publicar artigos ou activar regras comerciais. Obtén máis información sobre privilexios varios.
Privilexios relacionados coa privacidade: estes privilexios dan permiso ao usuario para realizar tarefas que impliquen datos integrados, descargados ou exportados fóra de Dataverse, como exportar datos a Microsoft Excel ou imprimir. Obtén máis información sobre os privilexios relacionados coa privacidade.
Cada conxunto de tipos de privilexios ten a súa propia pestana. Para cada pestana, pode filtrar a vista por todos os privilexios, privilexios asignados ou privilexios sen asignar para o rol de seguranza seleccionado.
Privilexios de táboa
A guía Táboas enlista as Dataverse táboas do contorno. A seguinte táboa describe os atributos que se mostran no editor rol de seguranza cando a opción Vista de cuadrícula compacta está desactivada.
| Propiedade | Descripción |
|---|---|
| Table | O nome da Dataverse táboa |
| Nome | O nome lóxico da Dataverse táboa; útil para os desenvolvedores |
| Propiedade do rexistro | Se os rexistros son propiedade da organización ou da unidade de negocio ou poden ser propiedade dun usuario ou equipo |
| Configuración de permisos | Que conxunto predefinido de permisos está a usar a táboa ou permisos personalizados |
As táboas agrúpanse nas seguintes categorías:
- Xestión empresarial
- Fluxos do proceso de negocio
- Rexistros centrais
- Táboas personalizadas
- Personalización
- Táboas que faltan
- Vendas
- Service
- Xestión de servizos
Para atopar rapidamente unha táboa ou privilexio específicos, introduza o seu nome na caixa de busca situada na esquina superior dereita da páxina e, a continuación, seleccione a icona da lupa ou prema Intro. Para borrar a busca, selecciona a icona X .
Só pode editar unha táboa á vez, pero pode copiar a configuración dunha táboa a varias táboas nunha única acción.
Cando configura un rol de seguranza, cómpre determinar os privilexios que debe conceder a cada táboa relacionada coa aplicación.
A seguinte táboa describe os privilexios de táboa que pode conceder nun rol de seguranza. En todos os casos, o rexistro ao que se aplica un privilexio depende do nivel de acceso do permiso definido no rol de seguranza.
| Privilexio | Descripción |
|---|---|
| Crear | Necesario para facer un novo rexistro |
| Lido | Necesario abrir un rexistro para ver o contido |
| Escritura | Necesario para facer cambios nun rexistro |
| SUPR | Necesario para eliminar permanentemente un rexistro |
| Anexar | Necesario para asociar o rexistro actual con outro rexistro; por exemplo, se os usuarios teñen dereitos de anexar nunha nota, poden anexar a nota a unha oportunidade No caso de relacións de varios a moitos, un usuario debe ter privilexios de anexar para as dúas táboas que estean asociadas ou desasociadas. |
| Anexar a | Necesario para asociar un rexistro co rexistro actual; por exemplo, se os usuarios teñen dereitos de anexar a unha oportunidade, poden engadir unha nota á oportunidade |
| Atribuir | Necesario para ceder a propiedade dun rexistro a outro usuario |
| Compartir | Necesario para dar acceso a un rexistro a outro usuario mantendo o teu propio acceso |
Niveis de acceso
Cada privilexio ten un menú que permite definir o seu nivel de acceso. Os niveis de acceso determinan a que profundidade na xerarquía da unidade de negocio o usuario pode realizar o privilexio.
A seguinte táboa describe os niveis de acceso. Para as táboas propiedade da organización, os privilexios varios e os privilexios relacionados coa privacidade só teñen niveis de acceso de Organización ou Ningún.
| Tipo | Descripción |
|---|---|
| Organización | Os usuarios poden acceder a todos os rexistros da organización, independentemente do nivel xerárquico da unidade de negocio ao que pertenzan ou a contorna. Os usuarios con acceso á organización tamén teñen automaticamente todos os demais tipos de acceso. Dado que este nivel dá acceso á información en toda a organización, debería restrinxirse para que coincida co plan de seguridade de datos da organización. Este nivel de acceso resérvase normalmente para xestores con autoridade sobre a organización. |
| Primario: unidade empresarial secundaria | Os usuarios poden acceder aos rexistros da súa unidade de negocio e de todas as unidades de negocio subordinadas a ela. Os usuarios con este acceso teñen automaticamente acceso á unidade de negocio e ao usuario. Dado que este nivel dá acceso á información en toda a unidade de negocio e as unidades de negocio subordinadas, debería restrinxirse para que coincida co plan de seguridade de datos da organización. Este nivel de acceso resérvase normalmente para os xestores con autoridade sobre as unidades empresariais. |
| Unidade empresarial | Os usuarios poden acceder aos rexistros da súa unidade de negocio. Os usuarios con acceso á unidade de negocio teñen acceso de usuario automaticamente. Debido a que este nivel de acceso permite acceder a información en toda a unidade empresarial, debe restrinxirse para que se corresponda co plan de seguranza de datos da organización. Este nivel de acceso resérvase normalmente para xestores con autoridade sobre a unidade empresarial. |
| User | Os usuarios poden acceder aos rexistros que posúen, aos obxectos que se comparten coa organización, aos obxectos que se comparten con eles e aos obxectos que se comparten cun equipo do que forman parte. Este é o nivel de acceso habitual para os representantes do servizo e vendas. |
| Nada | Non se permite o acceso. |
Para cada táboa, seleccione o tipo axeitado para cada privilexio. Selecciona Gardar cando remates.
Copiar permisos da táboa
Establecer os privilexios para cada táboa da túa aplicación pode levar moito tempo e tedioso. Para facelo máis doado, pode copiar os permisos dunha táboa noutra ou máis.
Seleccione unha táboa e, a continuación, seleccione Copiar permisos da táboa
Busca e selecciona a táboa ou táboas nas que queres copiar os permisos.
Lembra que a nova configuración sobrescribe calquera configuración anterior.
Seleccione Gardar.
Vexamos máis de cerca como funcionan os permisos de copia de táboas con privilexios e niveis de acceso.
Para os permisos que existen tanto na táboa de orixe como nas táboas de destino:
Se a profundidade da configuración de permisos de orixe existe no destino, entón a copia ten éxito.
Se a profundidade de configuración de permisos de orixe non existe no destino, a copia falla e móstrase unha mensaxe de erro.
Para permisos que só existen na táboa de orixe ou nas táboas de destino:
Se o permiso existe na orixe pero non no destino, entón ignorarase no destino. A copia dos permisos restantes foi correcta.
Se o permiso non existe na orixe pero si existe no destino, entón a profundidade do permiso mantense no destino. A copia dos permisos restantes foi correcta.
Configuración de permisos
Outra forma de acelerar a configuración dos permisos das táboas é utilizar grupos de permisos predefinidos e asignalos ás táboas.
A seguinte táboa describe os grupos de configuración de permisos que pode asignar.
| Configuración de permisos | Detalles |
|---|---|
| Sen acceso | Ningún usuario pode acceder á táboa. |
| Acceso total | Os usuarios poden ver e editar todos os rexistros da táboa. |
| Colaborar | Os usuarios poden ver todos os rexistros, pero só poden editar os seus. |
| Privado | Os usuarios só poden ver e editar os seus propios rexistros. |
| Referencia | Os usuarios só poden ver rexistros, non editalos. |
| Personalizada | Indica que a configuración dos permisos cambiouse do valor predeterminado. |
Seleccione unha táboa e, a continuación, seleccione Configuración de permisos na barra de comandos ou seleccione Máis accións (…) >Configuración de permisos.
Seleccione a configuración adecuada.
Lembra que a nova configuración sobrescribe calquera configuración anterior.
Seleccione Gardar.
Roles de seguranza e IU herdada
Os roles de seguranza definen como acceden os diferentes usuarios a distintos tipos de rexistros. Para controlar o acceso aos datos e aos recursos, pode crear ou modificar roles de seguranza e cambiar os roles de seguranza asignados aos seus usuarios.
Un usuario pode ter varios roles de seguranza. Os privilexios rol de seguranza son acumulativos. Os usuarios teñen os privilexios dispoñibles en cada rol que se lles asignou.
Consulta unha lista de funcións de seguranza nun ambiente (UI heredada)
Inicie sesión no Power Platform centro de administración, seleccione Entornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración>Usuarios + Permisos>Roles de seguranza.
Define os privilexios e as propiedades dunha rol de seguranza (IU heredada)
Despois de crear un rol de seguranza ou mentres edita un, establece os privilexios asociados a el.
Un rol de seguranza consta de privilexios de nivel de rexistro e privilexios baseados en tarefas.
Os privilexios de nivel de rexistro definen que tarefas pode realizar un usuario con acceso ao rexistro, como Ler, Crear, Eliminar, Escribir, Asignar, Compartir, Engadir e Engadir a. Anexar significa engadir outro rexistro, como unha nota ou unha actividade, a un rexistro. Anexar a significa estar engadido a un rexistro. Obtén máis información sobre os privilexios de nivel de rexistro.
Os privilexios varios, ou privilexios baseados en tarefas, dan permiso ao usuario para realizar tarefas específicas e varias (non rexistradas), como publicar artigos ou activar regras comerciais. Obtén máis información sobre privilexios varios.
Os círculos de cores da páxina de configuración rol de seguranza identifican a nivel de acceso asignado a cada privilexio. Os niveis de acceso determinan a que profundidade na xerarquía da unidade de negocio o usuario pode realizar o privilexio.
A seguinte táboa describe os niveis de acceso.
| Icon | Descripción |
|---|---|
|
Global. Os usuarios poden acceder a todos os rexistros da organización, independentemente do nivel xerárquico da unidade de negocio ao que pertenzan ou a contorna. Os usuarios que teñen acceso global teñen automaticamente acceso profundo, local e básico. Dado que este nivel dá acceso á información en toda a organización, debería restrinxirse para que coincida co plan de seguridade de datos da organización. Este nivel de acceso resérvase normalmente para xestores con autoridade sobre a organización. A aplicación fai referencia a este nivel de acceso como Organización. |
|
Deep. Os usuarios poden acceder aos rexistros da súa unidade de negocio e de todas as unidades de negocio subordinadas a ela. Os usuarios que teñen acceso profundo teñen automaticamente acceso local e básico. Dado que este nivel dá acceso á información en toda a unidade de negocio e as unidades de negocio subordinadas, debería restrinxirse para que coincida co plan de seguridade de datos da organización. Este nivel de acceso resérvase normalmente para os xestores con autoridade sobre as unidades empresariais. A aplicación fai referencia a este nivel de acceso como Primario: unidade empresarial secundaria. |
|
Local. Os usuarios poden acceder aos rexistros da unidade de negocio do usuario. Os usuarios que teñan acceso Local teñen automaticamente acceso básico. Debido a que este nivel de acceso permite acceder a información en toda a unidade empresarial, debe restrinxirse para que se corresponda co plan de seguranza de datos da organización. Este nivel de acceso resérvase normalmente para xestores con autoridade sobre a unidade empresarial. A aplicación fai referencia a este nivel de acceso como Unidade empresarial. |
|
Basic. Os usuarios poden acceder aos rexistros que posúen, aos obxectos que se comparten coa organización, aos obxectos que se comparten con eles e aos obxectos que se comparten cun equipo do que forman parte. Este é o nivel de acceso habitual para os representantes do servizo e vendas. A aplicación fai referencia a este nivel de acceso como Usuario. |
|
Ningún. Non se permite o acceso. |
Importante
Para asegurarse de que os usuarios poidan ver e acceder a todas as áreas da aplicación web, como os formularios de táboas, a barra de navegación e a barra de comandos, todos os roles de seguranza da organización deben incluír o privilexio de lectura no Web Resource táboa. Por exemplo, sen permiso de lectura, un usuario non pode abrir un formulario que conteña un recurso web e ve unha mensaxe de erro como esta: "Falta prvReadWebResource privilexio". Obtén máis información sobre como crear ou editar un rol de seguranza.
Privilexios ao nivel do rexistro
Power Apps e as aplicacións de compromiso do cliente de Dynamics 365 usan privilexios de nivel de rexistro para determinar o nivel de acceso que ten un usuario a un rexistro específico ou tipo de rexistro.
A seguinte táboa describe os privilexios de nivel de rexistro que pode conceder nun rol de seguranza. En todos os casos, o rexistro ao que se aplica un privilexio depende do nivel de acceso do permiso definido no rol de seguranza.
| Privilexio | Descripción |
|---|---|
| Crear | Necesario para facer un novo rexistro |
| Lido | Necesario abrir un rexistro para ver o contido |
| Escritura | Necesario para facer cambios nun rexistro |
| SUPR | Necesario para eliminar permanentemente un rexistro |
| Anexar | Necesario para asociar o rexistro actual con outro rexistro; por exemplo, se os usuarios teñen dereitos de anexar nunha nota, poden anexar a nota a unha oportunidade No caso de relacións de varios a moitos, un usuario debe ter privilexios de anexar para as dúas táboas que estean asociadas ou desasociadas. |
| Anexar a | Necesario para asociar un rexistro co rexistro actual; por exemplo, se os usuarios teñen dereitos de anexar a unha oportunidade, poden engadir unha nota á oportunidade |
| Atribuir | Necesario para ceder a propiedade dun rexistro a outro usuario |
| Compartir* | Necesario para dar acceso a un rexistro a outro usuario mantendo o teu propio acceso |
*O propietario dun rexistro ou unha persoa que teña o privilexio Compartir nun rexistro pode compartilo con outros usuarios ou equipos. Ao compartir, pódense engadir os privilexios de Ler, Escribir, Eliminar, Anexar e Compartir para rexistros específicos. Os equipos úsanse principalmente para compartir rexistros aos que normalmente non poden acceder os membros do equipo. Obtén máis información sobre a seguridade, os usuarios e os equipos.
Non é posible eliminar o acceso a un rexistro en particular. Calquera cambio nun privilexio rol de seguranza aplícase a todos os rexistros dese tipo.
Herdanza do privilexio do membro do equipo
Pode determinar como se herdan os privilexios cando se lles concede a un usuario como membro dun equipo ou directamente, como individuo.
Privilexios de usuario: un usuario recibe estes privilexios directamente cando se lle asigna o rol de seguranza. Os usuarios poden crear rexistros con eles mesmos como propietarios. Poden acceder aos rexistros que crearon ou posuían cando se lles deu o nivel de acceso básico para Crear e Ler. Esta configuración é a predeterminada para os novos roles de seguranza.
Privilexios de equipo: un usuario ten estes privilexios como membro dun equipo. Os membros do equipo que non teñen privilexios de usuario propios poden crear rexistros co equipo como propietario. Poden acceder aos rexistros que posúe o equipo se se lles proporciona un nivel de acceso básico para Crear e Ler.
Nota
Antes do lanzamento da función de herdanza de privilexios dos membros do equipo en maio de 2019, os roles de seguranza comportábanse como privilexios de equipo. Os roles de seguranza creados antes dese lanzamento establécense como Privilexios de equipo e os roles de seguranza creados despois establécense por defecto como Privilexios de usuario.
Pódese configurar rol de seguranza para proporcionar aos membros do equipo privilexios de acceso directo de nivel básico. Cando se atribúe un rol de seguranza de herdanza de privilexio a un usuario, o usuario obtén todos os privilexios directamente, como un rol de seguranza sen herdanza do privilexio. Os membros do equipo poden crear rexistros con eles mesmos como propietarios e rexistrar co equipo como propietario cando se lles proporciona o nivel de acceso básico para Crear. Cando se lles dá o nivel de acceso básico para Read, poden acceder a rexistros que son propiedade tanto deles como do equipo. Este rol de herdanza de privilexios aplícase aos equipos Propietario e Microsoft Entra ID equipos de grupo.
Inicie sesión no Power Platform centro de administración, seleccione Entornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración>Usuarios e permisos>Roles de seguranza.
Seleccione Novo.
Introduza o nome do novo rol de seguranza.
Seleccione a lista Herdanza de privilexios do membro e, a continuación, seleccione Nivel de acceso directo de usuario/básico e privilexios de equipo.
Vaia a cada separador e estableza os privilexios adecuados en cada táboa.
Para cambiar o nivel de acceso dun privilexio, segue seleccionando o símbolo do nivel de acceso ata que vexa o que desexa. Os niveis de acceso dispoñibles dependen de se o tipo de rexistro é propiedade da organización ou propiedade do usuario.
Só pode seleccionar privilexios de nivel básico na herdanza de privilexios do membro. Se precisas proporcionar acceso a unha unidade comercial secundaria, eleva o privilexio a Deep. Por exemplo, cómpre asignar un rol de seguranza ao equipo do grupo e quere que os membros do grupo poidan engadir á conta. Configura o rol de seguranza cunha herdanza de privilexios de membro de nivel básico. Establece o privilexio de Anexar á conta en Deep. Isto débese a que os privilexios básicos só se aplican á unidade de negocio do usuario.
Nota
Desde xullo de 2024, o atributo de herdanza de privilexios do membro do equipo dun rol xa non é unha propiedade xestionada. Cando importas unha solución que teña roles de seguranza, este atributo non se inclúe.