שתף באמצעות

קביעת תצורה של אבטחת משתמש בסביבה

  • מאמר

Microsoft Dataverse משתמש במודל אבטחה המבוסס על תפקידים כדי לשלוט בגישה למסד נתונים ולמשאבים בסביבה. השתמש בתפקידי אבטחה כדי להגדיר גישה לכל המשאבים בסביבה, או ליישומים ונתונים ספציפיים בסביבה. השילוב של רמות גישה והרשאות הכלולים בתפקיד אבטחה מגדיר לאלו אפליקציות ונתונים תהיה למשתמשים גישה ואיך הם יוכלו לבצע אינטראקציה עם הנתונים והאפליקציות האלה.

סביבה יכולה לכלול מסד נתונים אחד של Dataverse או לא לכלול אף מסד נתונים. הקצאת תפקידי אבטחה מבוצעת בצורה שונה עבור סביבות שאין בהן מסד נתונים של Dataverse לעומת סביבות שיש בהן מסד נתונים של Dataverse.

מידע נוסף על סביבות ב- Power Platform.

תפקידי אבטחה מוגדרים מראש

סביבות כוללות תפקידי אבטחה מוגדרים מראש המשקפים משימות משתמש נפוצות. תפקידי האבטחה המוגדרים מראש עוקבים אחר שיטות האבטחה המומלצות של "מינימום גישה נדרשת": לספק את הגישה המינימלית למינימום הנתונים העסקיים שמשתמש צריך כדי להשתמש באפליקציה. ניתן להקצות תפקידי אבטחה אלה למשתמש, לצוות שמוגדר בעלים ולצוות קבוצה. תפקידי האבטחה המוגדרים מראש הזמינים בסביבה תלויים בסוג הסביבה ובאפליקציות שהתקנת בה.

קבוצה נוספת של תפקידי אבטחה שמוקצה למשתמשי יישומים. תפקידי אבטחה אלה מותקנים על ידי השירותים שלנו ואי אפשר לעדכן אותם.

סביבות ללא מסד נתונים של Dataverse

יוצר סביבה ומנהל סביבה הם התפקידים היחידים המוגדרים מראש עבור לסביבות שאין לה מסד נתונים של Dataverse. תפקידים אלה מתוארים בטבלה הבאה.

תפקיד אבטחה תיאור‬‏‫‬
מנהל סביבה התפקיד 'מנהל סביבה' יכול לבצע את כל הפעולות הניהוליות בסביבה, כולל:
  • להוסיף או להסיר משתמש מהתפקיד 'מנהל סביבה' או 'יוצר סביבה'.
  • הקצאת מסד נתונים Dataverse עבור הסביבה. לאחר שמסד נתונים הוקצה, הקצה את התפקיד '‏‫אחראי על התאמה אישית של המערכת‬' למנהל סביבה כדי להעניק לו גישה לנתוני הסביבה.
  • הצג ונהל את כל המשאבים שנוצרו בסביבה.
  • צור מדיניות למניעת אובדן נתונים
יוצר סביבה באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בתוך סביבה.

יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון.

סביבות עם מסד נתונים Dataverse

אם לסביבה יש מסד נתונים של Dataverse, יש להקצות למשתמש את התפקיד 'מנהל מערכת' במקום את התפקיד 'מנהל סביבה' כדי להעניק לו הרשאות מלאות.

למשתמשים שמייצרים אפליקציות המתחברות למסד הנתונים וצריכים ליצור או לעדכן ישויות ותפקידי אבטחה, צריך להקצות את התפקיד Customizer System בנוסף לתפקיד יוצר סביבות. לתפקיד 'יוצר סביבות' אין הרשאות על נתוני הסביבה.

הטבלה הבאה מתארת את תפקידי האבטחה המוגדרים מראש בסביבה הכוללת מסד נתונים של Dataverse. לא ניתן לערוך את התפקידים האלה.

תפקיד אבטחה תיאור‬‏‫‬
רכיב לפתיחת אפליקציות כולל ההרשאות המינימליות עבור משימות נפוצות. תפקיד זה משמש בעיקר כתבנית כדי ליצור תפקיד אבטחה מותאם אישית עבור יישומים מונחה-דגמים. אין לו הרשאות כלשהן לטבלאות הליבה העסקיות, כגון 'תיק לקוח', 'איש קשר' ו'פעילות'. עם זאת, יש לו גישת קריאה ברמת ארגוןלטבלאות מערכת, כגון תהליך, כדי לתמוך במערכת הקריאה- זרימות עבודה שסופקו. שים לב שתפקיד אבטחה זה נמצא בשימוש כאשר נוצר תפקיד אבטחה חדש ומותאם אישית.
משתמש בסיסי עבור ישויות שכלולות במוצר המקורי בלבד, יכול להפעיל יישום בתוך הסביבה ולבצע משימות נפוצות עבור הרשומות בבעלותו. יש לו הרשאות לטבלאות הליבה העסקיות, כגון 'תיק לקוח', 'איש קשר' ו'פעילות'.

הערה: שמו של תפקיד האבטחה Common Data Service משתמש השתנה והוא עכשיו משתמש בסיסי. רק השם שונה; הרשאות המשתמש והקצאת התפקידים זהים. אם יש לך פתרון עם תפקיד אבטחה Common Data Service משתמש, עליך לעדכן את הפתרון לפני שאתה מייבא אותו שוב. אחרת, אתה עלול לשנות בטעות את השם תפקיד אבטחה בחזרה למשתמש כאשר אתה מייבא את הפתרון.
הקצה מאפשר לקוד לפעול כמשתמש אחר או להתחזות. בדרך כלל משמש עם תפקיד אבטחה אחר כדי לאפשר גישה לרשומות.
מנהל מערכת של Dynamics 365 מנהל מערכת של Dynamics 365 הוא תפקיד מנהל שירות ב- Microsoft Power Platform. הנושא בתפקיד זה יכול לבצע פונקציות ניהול ב- Microsoft Power Platform מכיוון שהוא מחזיק בתפקיד מנהל המערכת.
יוצר סביבה באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בסביבה.

יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון.
מנהל מערכת כללי של מנהל מערכת כללי הוא תפקיד מנהל מערכת ב- Microsoft 365. אדם שרוכש את המנוי העסקי של Microsoft הוא מנהל מערכת הכללי ויש לו שליטה בלתי מוגבלת על מוצרים במנוי וגישה לרוב הנתונים.
קורא כללי עדיין אין תמיכה בתפקיד הקורא הכללי במרכז הניהול של Power Platform.
משתף פעולה ב- Office בעל הרשאת קריאה לטבלאות שבהן שותפה רשומה עם הארגון. אין לו גישה לרשומות ליבה אחרות ולרשומות טבלה מותאמות אישית. תפקיד זה מוקצה לצוות הבעלים של 'משתפי פעולה ב- Office' ולא למשתמש בודד.
מנהל Power Platform מנהל מערכת של Power Platform הוא תפקיד מנהל שירות ב- Microsoft Power Platform. הנושא בתפקיד זה יכול לבצע פונקציות ניהול ב- Microsoft Power Platform מכיוון שהוא מחזיק בתפקיד מנהל המערכת.
השירות נמחק בעל הרשאת מחיקה מלאה לכל היישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש מחיקת רשומות של כל היישויות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
קורא שירות בעל הרשאת קריאה מלאה לכל היישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש קריאת כל היישויות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
כותב שירות בעל הרשאת יצירה, קריאה וכתיבה מלאה לכל הישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש יצירה ועדכון של רשומות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
משתמש תמיכה בעל הרשאת קריאה מלאה להגדרות התאמה אישית וניהול עסקי, מה שמאפשר לצוות התמיכה לפתור בעיות בתצורת הסביבה. לתפקיד אין גישה לרשומות הליבה. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
מנהל מערכת יש הרשאה מלאה להתאים אישית או לנהל את הסביבה, כולל יצירה, שינוי והקצאה של תפקידי אבטחה. ניתן להציג את כל הנתונים בסביבה.
אחראי על התאמה אישית של המערכת יש הרשאה מלאה לבצע התאמה אישית של הסביבה. יכול להציג את כל נתוני הטבלה המותאמים אישית בסביבה. אך משתמשים בעלי תפקיד זה יכולים להציג רק רשומות שהוא יוצר בטבלאות תיק הלקוח, איש הקשר והפעילות.
תפקיד בעל אפליקציית אינטרנט משתמש שבבעלותו רישום אפליקציית אתר אינטרנט בפורטל Azure
בעלים של אתר המשתמש שיצר את אתר ה- Power Pages. לא ניתן לנהל תפקיד זה ולא ניתן לשנותו.

בנוסף לתפקידי האבטחה המוגדרים מראש שתוארו עבור Dataverse, יכולים להיות תפקידי אבטחה אחרים שזמינים בסביבה שלך, בהתאם לרכיבי Power Platform (Power Apps, Power Automate, Power Virtual Agents) שברשותך. בטבלה הבאה אפשר לראות קישורים למידע נוסף.

רכיב Power Platform ‏‏מידע
Power Apps תפקידי אבטחה מוגדרים מראש עבור סביבות עם מסד נתונים של Dataverse
Power Automate אבטחה ופרטיות
Power Pages התפקידים הנדרשים לניהול פורטל
Power Virtual Agents הקצאת תפקידי אבטחה של סביבה

Dataverse for Teams סביבות

למידע נוסף על תפקידי אבטחה מוגדרים מראש בסביבות Dataverse for Teams.

תפקידי אבטחה ספציפיים ליישום

אם אתה פורס יישומי Dynamics 365 בסביבה שלך, יתווספו תפקידי אבטחה אחרים. בטבלה הבאה אפשר לראות קישורים למידע נוסף.

יישום Dynamics 365 מסמכי תפקיד אבטחה
Dynamics 365 Sales תפקידי אבטחה מוגדרים מראש עבור Sales
Dynamics 365 Marketing תפקידי אבטחה שנוספו על-ידי Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service תפקידים + הגדרות
Dynamics 365 Customer Service תפקידים בריבוי ערוצים עבור Customer Service
Dynamics 365 Customer Insights תפקידי Customer Insights
מנהל פרופילי אפליקציות תפקידים והרשאות הקשורים למנהל פרופילי יישומים
Dynamics 365 Finance תפקידי אבטחה במגזר הציבורי
יישומי פיננסים ותפעול תפקידי אבטחה ב- Microsoft Power Platform

סיכום המשאבים הזמינים לתפקידי אבטחה מוגדרים מראש

הטבלה הבאה מתארת אילו משאבים כל תפקיד אבטחה יכול לחבר.

משאב יוצר סביבה מנהל סביבה אחראי על התאמה אישית של המערכת מנהל מערכת
אפליקציית בד ציור X X X X
זרימת ענן X (לא מודע לפתרון) X X X
מחבר X (לא מודע לפתרון) X X X
חיבור* X X X X
שער נתונים - X - X
זרימת נתונים X X X X
Dataverse טבלאות - - X X
אפליקציית מונחית-דגמים X - X X
מסגרת הפתרון X - X X
זרימת שולחן עבודה** - - X X
AI Builder - - X X

*נעשה שימוש בחיבורים ביישומי בד ציור וב- Power Automate.

**משתמשי Dataverse for Teams אינם מקבלים גישה לזרימות שולחן העבודה כברירת מחדל. עליך לשדרג את הסביבה למלוא היכולות של Dataverse ולהשיג תוכניות רישיון של זרימת שולחן עבודה כדי להשתמש בזרימות שולחן עבודה.

הקצאת תפקידי אבטחה למשתמשים בסביבה שלא כוללת מסד נתונים של Dataverse

עבור סביבות ללא מסד נתונים של Dataverse משתמש בעל תפקיד מנהל סביבה בסביבה יכול להקצות תפקידי אבטחה למשתמשים בודדים או לקבוצות מ- Microsoft Entra ID.

  1. היכנס אל מרכז הניהול של Power Platform.

  2. בחר סביבות> [בחר סביבה].

  3. באריח גישה, בחר הצג הכל עבור מנהל סביבה או יוצר סביבה כדי להוסיף או להסיר אנשים עבור כל אחד מהתפקידים.

    צילום מסך של בחירת תפקיד אבטחה במרכז הניהול של Power Platform.

  4. בחר הוסף אנשים, ולאחר מכן ציין את שם או כתובת הדואר האלקטרוני של משתמש אחד או יותר או קבוצה אחת או יותר מ- Microsoft Entra ID.

    צילום מסך של הוספת משתמשים לתפקיד 'יוצר סביבה' במרכז הניהול של Power Platform.

  5. בחר הוסף.

הקצאת תפקידי אבטחה למשתמשים בסביבה שכוללת מסד נתונים של Dataverse

ניתן להקצות תפקידי אבטחה למשתמשים יחידים, לבעלי צוותים וקבוצת צוותים של Microsoft Entra . לפני שמקצים תפקיד למשתמש, ודא שחשבון המשתמש נוסף והוא במצב מופעל בסביבה.

באופן כללי, ניתן להקצות תפקיד אבטחה למשתמשים שהחשבונות שלהם במצב 'זמין' בסביבה. כדי להקצות תפקיד אבטחה לחשבון משתמש במצב 'לא זמין' בסביבה, הפעל את allowRoleAssignmentOnDisabledUsers ב- OrgDBOrgSettings.

  1. היכנס אל מרכז הניהול של Power Platform.

  2. בחר סביבות> [בחר סביבה].

  3. באריח גישה, בחר הצג הכל תחת תפקידי אבטחה.

    צילום מסך של האפשרות להציג את כל תפקידי האבטחה במרכז הניהול של Power Platform.

  4. וודא שהיחידה העסקית הנכונה נבחרה מהרשימה, ובחר תפקיד מרשימת התפקידים בסביבה.

  5. בחר הוסף אנשים, ולאחר מכן ציין את שם או כתובת הדואר האלקטרוני של משתמש אחד או יותר או קבוצה אחת או יותר מ- Microsoft Entra ID.

  6. בחר הוסף.

צור, ערוך או העתק תפקיד אבטחה באמצעות ממשק המשתמש החדש והמודרני

אתה יכול ליצור, לערוך או להעתיק בקלות תפקיד אבטחה ולהתאים אותו לצרכים שלך.

  1. עבור אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות.

  3. הרחב את משתמשים והרשאות.

  4. בחר תפקידי אבטחה.

  5. השלם את המשימה המתאימה:

יצירת תפקיד אבטחה

  1. בסרגל הפקודות, בחר תפקיד חדש.

  2. בשדה שם תפקיד, הזן שם עבור התפקיד החדש.

  3. בשדה יחידה עסקית, בחר את היחידה העסקית שאליה שייך התפקיד.

  4. בחר אם חברי הצוות צריכים לרשת את התפקיד.

    אם הגדרה זו מופעלת והתפקיד מוקצה לצוות, כל חברי הצוות יורשים את כל ההרשאות המשויכות לתפקיד.

  5. בחר שמור.

  6. הגדר את ההרשאות והמאפיינים של תפקיד האבטחה.

עריכת תפקיד אבטחה

בחר את שם התפקיד או בחר את השורה ולאחר מכן בחר ערוך. לאחר מכן הגדר את ההרשאות והמאפיינים של תפקיד האבטחה.

לא ניתן לערוך חלק מתפקידי האבטחה המוגדרים מראש. אם תנסה לערוך תפקידים אלה, הלחצנים שמור ושמור + סגור לא יהיו זמינים.

העתקת תפקיד אבטחה

בחר את תפקיד האבטחה ולאחר מכן בחר העתק. תן לתפקיד שם חדש. ערוך את תפקיד האבטחה, לפי הצורך.

רק ההרשאות מועתקות, לא כל החברים והצוותים שהוקצו.

ביקורת של תפקידי אבטחה

בדוק את תפקידי האבטחה כדי להבין טוב יותר את שינויי האבטחה שבוצעו בסביבת Power Platform שלך.

יצירה או הגדרה של תפקיד אבטחה מותאם אישית

אם היישום שלך משתמש בישות מותאמת אישית, יש להעניק את ההרשאות שלו במפורש בתפקיד אבטחה לפני שניתן להשתמש ביישום שלך. באפשרותך להוסיף הרשאות אלה בתפקיד אבטחה קיים או ליצור תפקיד אבטחה מותאם אישית.

כל תפקיד אבטחה חייב לכלול מערך הרשאות מינימלי. מידע נוסף על תפקידי אבטחה והרשאות.

טיפ

הסביבה עשויה לשמור רשומות שיכולות לשמש אפליקציות מרובות. ייתכן שתזדקק למספר תפקידי אבטחה המעניקים הרשאות שונות. לדוגמה:

  • חלק מהמשתמשים (נקרא להם עורכים) צריכים אולי רק לקרוא, לעדכן ולצרף רשומות אחרות, כך שתפקיד האבטחה שלהם יכלול הרשאות קריאה, כתיבה וצירוף.
  • משתמשים אחרים עשויים להזדקק לכל ההרשאות שיש למשתמשים מסוג 'עורכים', בתוספת היכולת ליצור, להוסיף, למחוק ולשתף. לתפקיד האבטחה של משתמשים אלה יהיו הרשאות ליצור, לקרוא, לכתוב, להוסיף, למחוק, להקצות, להוסיף ולשתף.

צור תפקיד אבטחה מותאם אישית עם הרשאות מינימליות להפעלת אפליקציה

  1. היכנס אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות>משתמשים + הרשאות>תפקידי אבטחה‬.

  3. בחר את תפקיד האבטחה פותח אפליקציות ולאחר מכן בחר העתק.

  4. הזן את השם של התפקיד המותאם אישית ולאחר מכן בחר העתק.

  5. ברשימת תפקידי האבטחה, בחר את התפקיד החדש ולאחר מכן בחר פעולות נוספות (...) >ערוך.

  6. בעורך התפקידים, בחר בכרטיסייה ישויות מותאמות אישית.

  7. אתר את הטבלה המותאמת אישית ברשימה ובחר את ההרשאות קריאה, כתיבה וצירוף.

  8. בחר באפשרות שמור וסגור.

יצירת תפקיד אבטחה מותאם אישית מאפס

  1. היכנס אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות>משתמשים + הרשאות>תפקידי אבטחה‬.

  3. בחר תפקיד חדש.

  4. הזן את השם של התפקיד החדש בכרטיסיה פרטים.

  5. בכרטיסיות האחרות, מצא את הישות ובחר פעולות ואת ההיקף לביצוען.

  6. בחר כרטיסיה וחפש את הישות שלך. לדוגמה, בחר באפשרות ישויות מותאמות אישית כדי להגדיר הרשאות בישות מותאמת אישית.

  7. בחר את ההרשאות קריאה, כתיבה, צירוף.

  8. בחר שמור וסגור.

הרשאות מינימליות להפעלת אפליקציה

כשאתה יוצר תפקיד אבטחה מותאם אישית, התפקיד צריך לכלול קבוצה של הרשאות מינימליות כדי שמשתמש יוכל להפעיל אפליקציה. למידע נוסף על הרשאות מינימום נדרשות.

למידע נוסף‬

הענקת גישה למשתמשים
בקרה על גישת משתמשים לסביבות: קבוצות אבטחה ורשיונות
כיצד נקבעת גישה לרשומות