Configurar a seguridade do usuario nun ambiente
Microsoft Dataverse usa un modelo de seguridade baseado en roles para controlar o acceso a unha base de datos e os seus recursos nun ambiente. Use roles de seguranza para configurar o acceso a todos os recursos dun ambiente ou a aplicacións e datos específicos do contorno. Unha combinación de niveis de acceso e permisos nun rol de seguranza determina que aplicacións e datos poden ver os usuarios e como poden interactuar con esas aplicacións e datos.
Un entorno pode ter ningunha ou unha Dataverse base de datos. Asignas roles de seguranza de forma diferente para contornos que non teñen Dataverse base de datos e contornos que teñen un Dataverse base de datos.
Obtén máis información sobre os ambientes en Power Platform.
Roles de seguranza predefinidos
Os ambientes inclúen roles de seguranza predefinidos que reflicten as tarefas comúns dos usuarios. Os roles de seguranza predefinidos seguen a mellor práctica de seguranza de "acceso mínimo necesario": proporciona o menor acceso aos datos empresariais mínimos que necesita un usuario para utilizar unha aplicación. Estes roles de seguranza pódense asignar a un usuario, equipo propietario e equipo do grupo. Os roles de seguranza predefinidos que están dispoñibles nun ambiente dependen do tipo de ambiente e das aplicacións que instalaches nel.
Outro conxunto de roles de seguranza atribúeselles a usuarios da aplicación. Eses roles de seguranza están instalados polos nosos servizos e non se poden actualizar.
Ambientes sen unha base de datos de Dataverse
Creador de ambientes e Administrador de ambientes son os únicos roles predefinidos para ambientes sen ningunha base de datos de Dataverse. Estes roles descríbense na seguinte táboa.
| Rol de seguranza | Descripción |
|---|---|
| Administrador do ambiente | O rol de administrador de ambiente pode realizar todas as accións administrativas nun ambiente, incluíndo:
|
| Creador de ambientes | Pode crear novos recursos asociados a un ambiente, incluíndo aplicacións, conexións, API personalizadas e fluxos mediante Microsoft Power Automate. Non obstante, este rol non ten privilexios para acceder aos datos nun ambiente. Os creadores de ambientes tamén poden distribuír as aplicacións que crean nun ambiente a outros usuarios da túa organización. Poden compartir a aplicación con usuarios individuais, grupos de seguranza ou todos os usuarios da organización. |
Ambientes cunha base de datos de Dataverse
Se o ambiente ten unha Dataverse base de datos, debe asignarse a un usuario o rol de administrador do sistema en lugar do rol de administrador do ambiente para ter privilexios de administrador completos.
Os usuarios que crean aplicacións que se conectan á base de datos e necesitan crear ou actualizar entidades e roles de seguranza deben ter o rol de Personalizador do sistema ademais do rol de Creador de ambiente. O rol de Creador de ambientes non ten privilexios sobre os datos do contorno.
Na seguinte táboa descríbense os roles de seguranza predefinidos nun ambiente que ten unha Dataverse base de datos. Non podes editar estes roles.
| Rol de seguranza | Descripción |
|---|---|
| Abridor de aplicacións | Ten privilexios mínimos para tarefas comúns. Esta función úsase principalmente como modelo para crear un rol de seguranza personalizado para aplicacións baseadas en modelos. Non ten privilexios para as táboas comerciais principais, como Conta, Contacto e Actividade. Non obstante, ten acceso de lectura a nivel Organización ás táboas do sistema, como Proceso, para admitir o sistema de lectura. fluxos de traballo proporcionados. Teña en conta que este rol de seguranza úsase cando se crea un rol de seguranza novo e personalizado. |
| Usuario básico | Só para as entidades listas para usar, poden executar unha aplicación no contorno e realizar tarefas comúns nos rexistros que posúen. Ten privilexios para as táboas comerciais principais, como Conta, Contacto e Actividade. Nota: o Common Data Service Usuario rol de seguranza foi renomeado como Usuario básico. Só se cambiou o nome; privilexios de usuario e asignación de roles son os mesmos. Se tes unha solución co Common Data Service Usuario rol de seguranza, deberías actualizar a solución antes de importala de novo. En caso contrario, pode que inadvertidamente cambie o nome rol de seguranza a Usuario ao importar a solución. |
| Delegar | Permite que o código suplante a identidade ou se execute como outro usuario. Utilízase normalmente con outro rol de seguranza para permitir o acceso aos rexistros. |
| Administrador de Dynamics 365 | O administrador de Dynamics 365 é un rol de administrador do servizo de Microsoft Power Platform. Este rol pode facer funcións de administrador en Microsoft Power Platform porque teñen a función de administrador do sistema. |
| Creador de ambientes | Pode crear novos recursos asociados a un ambiente, incluíndo aplicacións, conexións, API personalizadas e fluxos mediante Microsoft Power Automate. Non obstante, este rol non ten ningún privilexio para acceder aos datos nun ambiente. Os creadores de ambientes tamén poden distribuír as aplicacións que crean nun ambiente a outros usuarios da túa organización. Poden compartir a aplicación con usuarios individuais, grupos de seguranza ou todos os usuarios da organización. |
| Administrador global de | O administrador global é un Microsoft 365 función de administrador. Unha persoa que compra a subscrición empresarial de Microsoft é un administrador global e ten control ilimitado sobre os produtos da subscrición e acceso á maioría dos datos. |
| Lector global | A función Global Reader aínda non se admite no Power Platform centro de administración. |
| Colaborador de Office | Ten permiso de lectura para táboas nas que se compartiu un rexistro coa organización. Non ten acceso a ningún outro rexistro de táboa principal e personalizado. Esta función atribúese ao equipo propietario de Office Collaborators e non a un usuario individual. |
| Administrador de Power Platform | Power Platform administrador é unha Microsoft Power Platform función de administrador de servizos. Esta función pode realizar funcións de administrador en Microsoft Power Platform porque ten a función de administrador do sistema. |
| Servizo eliminado | Ten permiso de eliminación total para todas as entidades, incluídas as entidades personalizadas. Este rol é usado principalmente polo servizo e require a eliminación de rexistros en todas as entidades. Este rol non se pode asignar a un usuario ou equipo. |
| Lector de servizos | Ten permiso de lectura completo para todas as entidades, incluídas as entidades personalizadas. Este rol é usado principalmente polo servizo e require ler todas as entidades. Este rol non se pode asignar a un usuario ou equipo. |
| Escritor de servizos | Ten permisos completos para crear, ler e escribir para todas as entidades, incluídas as entidades personalizadas. Esta función é utilizada principalmente polo servizo e require a creación e actualización de rexistros. Este rol non se pode asignar a un usuario ou equipo. |
| Usuario de soporte | Ten permiso de lectura completo para a configuración de personalización e xestión empresarial, que permite ao persoal de asistencia resolver problemas de configuración do ambiente. Esta función non ten acceso aos rexistros principais. Este rol non se pode asignar a un usuario ou equipo. |
| Administrador do sistema | Ten permiso total para personalizar ou administrar o ambiente, incluíndo a creación, modificación e asignación de roles de seguranza. Pode ver todos os datos no ambiente. |
| Personalizador do sistema | Ten permiso total para personalizar o ambiente. Pode ver todos os datos da táboa personalizada no ambiente. Non obstante, os usuarios con este rol só poden ver os rexistros que crean nas táboas Conta, Contacto e Actividade. |
| Propietario da aplicación do sitio web | Un usuario propietario do rexistro da aplicación do sitio web no portal de Azure. |
| Propietario do sitio web | O usuario que creou o Power Pages sitio web. Este rol está xestionado e non se pode cambiar. |
Ademais dos roles de seguranza predefinidos descritos para Dataverse, outros roles de seguranza poden estar dispoñibles no teu contorno dependendo dos Power Platform compoñentes:Power Apps, Power Automate, Power Virtual Agents: tes. A seguinte táboa ofrece ligazóns a máis información.
| Compoñente da Power Platform | Información |
|---|---|
| Power Apps | Roles de seguranza predefinidos para ambientes cunha base de datos de Dataverse |
| Power Automate | Seguranza e privacidade |
| Power Pages | Funcións necesarias para a administración do sitio web |
| Power Virtual Agents | Asignar roles de seguranza do ambiente |
Dataverse for Teams ambientes
Obtén máis información sobre os roles de seguranza predefinidos en Dataverse for Teams entornos.
Roles de seguranza específicos da aplicación
Se implementas aplicacións de Dynamics 365 no teu contorno, engádense outras funcións de seguranza. A seguinte táboa ofrece ligazóns a máis información.
| Aplicación de Dynamics 365 | Documentos sobre roles de seguranza |
|---|---|
| Dynamics 365 Sales | Roles de seguranza predefinidos para Sales |
| Dynamics 365 Marketing | Roles de seguranza engadidos por Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service roles + definicións |
| Dynamics 365 Customer Service | Roles en Multicanle para Customer Service |
| Dynamics 365 Customer Insights | Roles de Customer Insights |
| Xestor de perfís de aplicación | Roles e privilexios asociados ao xestor de perfís de aplicación |
| Dynamics 365 Finance | Funcións de seguridade no sector público |
| Aplicacións de finanzas e operacións | Roles de seguranza en Microsoft Power Platform |
Resumo dos recursos dispoñibles para os roles de seguranza predefinidos
A seguinte táboa describe que recursos pode crear cada rol de seguranza.
| Recurso | Creador de ambientes | Administrador do ambiente | Personalizador do sistema | Administrador do sistema |
|---|---|---|---|---|
| Aplicación de lenzo | X | X | X | X |
| Fluxo de nube | X (non consciente da solución) | X | X | X |
| Conector | X (non consciente da solución) | X | X | X |
| Conexión* | X | X | X | X |
| Pasarela de datos | - | X | - | X |
| Fluxo de datos | X | X | - | X |
| Táboas de Dataverse | - | - | X | X |
| Aplicación controlada por modelos | X | - | X | X |
| Marco de solucións | X | - | X | X |
| Fluxo de escritorio** | - | - | X | X |
| AI Builder | - | - | X | X |
*As conexións úsanse en aplicacións de lenzo e Power Automate.
**Dataverse for Teams os usuarios non teñen acceso aos fluxos de escritorio por defecto. Debes actualizar o teu ambiente a Dataverse capacidades completas e adquirir plans de licenza de fluxo de escritorio para usar fluxos de escritorio.
Asignar roles de seguranza a usuarios nun contorno que non ten unha base de datos de Dataverse
Para ambientes sen Dataverse base de datos, un usuario que teña a función de administrador do contorno no contorno pode asignar roles de seguranza a usuarios individuais ou grupos de Microsoft Entra ID.
Inicie sesión no Centro de administración de Power Platform.
Seleccione Ambientes> [seleccione un ambiente].
No mosaico Acceso, seleccione Ver todo para Administrador de ambiente ou Creador de ambientes para engadir ou eliminar persoas para calquera papel.
Seleccione Engadir persoas e, a continuación, especifique o nome ou o enderezo de correo electrónico dun ou máis usuarios ou grupos de Microsoft Entra ID.
Seleccione Engadir.
Asignar roles de seguranza a usuarios nun contorno que ten unha base de datos de Dataverse
As funcións de seguranza pódense asignar a usuarios individuais, equipos propietarios e Microsoft Entra equipos de grupo. Antes de asignarlle unha función a un usuario, verifique que a conta do usuario se engadiu e que estea activada no contorno.
En xeral, un rol de seguranza só se pode asignar aos usuarios cuxas contas estean habilitadas no entorno. Para asignar un rol de seguranza a unha conta de usuario que estea desactivada no ambiente, activa allowRoleAssignmentOnDisabledUsers en OrgDBOrgSettings.
Inicie sesión no Centro de administración de Power Platform.
Seleccione Ambientes> [seleccione un ambiente].
No Acceso mosteiro, selecciona Ver todo en Funcións de seguranza.
Asegúrese de seleccionar a unidade de negocio correcta na lista e, a continuación, seleccione un rol da lista de roles no contorno.
Seleccione Engadir persoas e, a continuación, especifique o nome ou o enderezo de correo electrónico dun ou máis usuarios ou grupos de Microsoft Entra ID.
Seleccione Engadir.
Crea, edita ou copia un rol de seguranza usando a nova e moderna IU
Podes crear, editar ou copiar facilmente un rol de seguranza e personalizalo para satisfacer as túas necesidades.
Vaia ao Power Platform centro de administración, seleccione Contornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración.
Expanda Usuarios + Permisos.
Seleccione Roles de seguranza.
Completa a tarefa adecuada:
Crear un rol de seguranza
Seleccione Nova función na barra de comandos.
No campo Nome da función , introduce un nome para a nova función.
No campo Unidade de negocio , seleccione a unidade de negocio á que pertence a función.
Seleccione se os membros do equipo deben herdar o rol.
Se esta opción está activada e o rol se asigna a un equipo, todos os membros do equipo herdarán todos os privilexios asociados co rol.
Seleccione Gardar.
Editar un rol de seguranza
Seleccione o nome da función ou seleccione a fila e, a continuación, seleccione Editar. Entón defina os privilexios e as propiedades do rol de seguranza.
Algúns roles de seguranza predefinidos non se poden editar. Se tentas editar estes roles, os botóns Gardar e Gardar + Pechar non estarán dispoñibles.
Copiar un rol de seguranza
Seleccione rol de seguranza e, a continuación, seleccione Copiar. Dálle un novo nome ao papel. Edita o rol de seguranza se sexa necesario.
Só se copian os privilexios, non os membros e equipos asignados.
Auditar roles de seguranza
Audita os roles de seguranza para comprender mellor os cambios realizados na seguranza no teu Power Platform entorno.
Crear ou configurar un rol de seguranza personalizado
Se a aplicación usa unha entidade personalizada, os seus privilexios deben concederse explicitamente nun rol de seguranza para poder usar a aplicación. Pode engadir estes privilexios nun rol de seguranza existente ou crear un rol de seguranza personalizado.
Cada rol de seguranza debe incluír un conxunto mínimo de privilexios. Obtén máis información sobre os roles e privilexios de seguranza.
Suxestión
O ambiente pode manter rexistros que poden ser usados por varias aplicacións. Pode que necesites varios roles de seguranza que outorguen privilexios diferentes. Por exemplo:
- É posible que algúns usuarios (chamámoslles Editores) só necesiten ler, actualizar e anexar outros rexistros, polo que os seus rol de seguranza terán privilexios de lectura, escritura e anexo.
- Outros usuarios poden necesitar todos os privilexios que teñen os editores e a posibilidade de crear, engadir, eliminar e compartir. O rol de seguranza destes usuarios terá privilexios de creación, lectura, escritura, anexar, eliminación, asignar, anexar a e compartir.
Crea un rol de seguranza personalizado con privilexios mínimos para executar unha aplicación
Inicie sesión no Power Platform centro de administración, seleccione Contornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración>Usuarios e permisos>Roles de seguranza.
Seleccione a función Abridor de aplicacións e, a continuación, seleccione Copiar.
Introduza o nome do rol personalizado e, a continuación, seleccione Copiar.
Na lista de roles de seguranza, seleccione o novo rol e, a continuación, seleccione Máis accións (…) >Editar.
No editor de funcións, seleccione a pestana Entidades personalizadas .
Busca a túa táboa personalizada na lista e selecciona Ler, Escribir e Engadir privilexios.
Seleccione Gardar e pechar.
Crea un rol de seguranza personalizado desde cero
Inicie sesión no Power Platform centro de administración, seleccione Contornos no panel de navegación e, a continuación, seleccione un contorno.
Seleccione Configuración>Usuarios e permisos>Roles de seguranza.
Seleccione Nova función.
Introduza o nome da nova función na pestana Detalles .
Nas outras pestanas, busca a túa entidade e, a continuación, selecciona as accións e o alcance para realizalas.
Seleccione un separador e busque a súa entidade. Por exemplo, seleccione o separador Entidades personalizadas para establecer permisos nunha entidade personalizada.
Seleccione os privilexios Ler, Escribir, Anexar.
Seleccione Gardar e pechar.
Privilexios mínimos para executar unha aplicación
Cando creas un rol de seguranza personalizado, o rol debe ter un conxunto de privilexios mínimos para que un usuario poida executar unha aplicación. Obtén máis información sobre os privilexios mínimos necesarios.
Consulte tamén
Conceder acceso a usuarios
Controlar o acceso de usuario a ambientes: grupos de seguranza e licenzas
Como se determina o acceso a un rexistro
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios