שתף באמצעות

קביעת תצורה של אבטחת משתמש בסביבה

  • מאמר

Microsoft Dataverse משתמש במודל אבטחה המבוסס על תפקידים כדי לשלוט בגישה למסד נתונים ולמשאבים בסביבה. השתמש בתפקידי אבטחה כדי להגדיר גישה לכל המשאבים בסביבה, או ליישומים ונתונים ספציפיים בסביבה. השילוב של רמות גישה והרשאות הכלולים בתפקיד אבטחה מגדיר לאלו אפליקציות ונתונים תהיה למשתמשים גישה ואיך הם יוכלו לבצע אינטראקציה עם הנתונים והאפליקציות האלה.

סביבה יכולה לכלול מסד נתונים אחד של Dataverse או לא לכלול אף מסד נתונים. הקצאת תפקידי אבטחה מבוצעת בצורה שונה עבור סביבות שאין בהן מסד נתונים של Dataverse לעומת סביבות שיש בהן מסד נתונים של Dataverse.

למידע נוסף על סביבות ב Power Platform.

תפקידי אבטחה מוגדרים מראש

סביבות כוללות תפקידי אבטחה מוגדרים מראש המשקפים משימות משתמש נפוצות. תפקידי האבטחה המוגדרים מראש עוקבים אחר שיטות האבטחה המומלצות של "מינימום גישה נדרשת": לספק את הגישה המינימלית למינימום הנתונים העסקיים שמשתמש צריך כדי להשתמש באפליקציה. ניתן להקצות תפקידי אבטחה אלה למשתמש, לצוות שמוגדר בעלים ולצוות קבוצה. תפקידי האבטחה המוגדרים מראש הזמינים בסביבה תלויים בסוג הסביבה ובאפליקציות שהתקנת בה.

קבוצה נוספת של תפקידי אבטחה שמוקצה למשתמשי יישומים. תפקידי אבטחה אלה מותקנים על ידי השירותים שלנו ואי אפשר לעדכן אותם.

סביבות ללא מסד נתונים של Dataverse

יוצר סביבה ומנהל סביבה הם התפקידים היחידים המוגדרים מראש עבור לסביבות שאין לה מסד נתונים של Dataverse. תפקידים אלה מתוארים בטבלה הבאה.

תפקיד אבטחה תיאור‬‏‫‬
מנהל סביבה התפקיד 'מנהל סביבה' יכול לבצע את כל הפעולות הניהוליות בסביבה, כולל:
  • להוסיף או להסיר משתמש מהתפקיד 'מנהל סביבה' או 'יוצר סביבה'.
  • הקצאת מסד נתונים Dataverse עבור הסביבה. לאחר שמסד נתונים הוקצה, הקצה את התפקיד '‏‫אחראי על התאמה אישית של המערכת‬' למנהל סביבה כדי להעניק לו גישה לנתוני הסביבה.
  • הצג ונהל את כל המשאבים שנוצרו בסביבה.
  • צור מדיניות למניעת אובדן נתונים
יוצר סביבה באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בתוך סביבה.

יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון.

סביבות עם מסד נתונים Dataverse

אם לסביבה יש מסד נתונים של Dataverse, יש להקצות למשתמש את התפקיד 'מנהל מערכת' במקום את התפקיד 'מנהל סביבה' כדי להעניק לו הרשאות מלאות.

למשתמשים שמייצרים אפליקציות המתחברות למסד הנתונים וצריכים ליצור או לעדכן ישויות ותפקידי אבטחה, צריך להקצות את התפקיד Customizer System בנוסף לתפקיד יוצר סביבות. לתפקיד 'יוצר סביבות' אין הרשאות על נתוני הסביבה.

הטבלה הבאה מתארת את תפקידי האבטחה המוגדרים מראש בסביבה הכוללת מסד נתונים של Dataverse. לא ניתן לערוך את התפקידים האלה.

תפקיד אבטחה תיאור‬‏‫‬
רכיב לפתיחת אפליקציות כולל ההרשאות המינימליות עבור משימות נפוצות. תפקיד זה משמש בעיקר כתבנית כדי ליצור תפקיד אבטחה מותאם אישית עבור יישומים מונחה-דגמים. אין לו הרשאות כלשהן לטבלאות הליבה העסקיות, כגון 'תיק לקוח', 'איש קשר' ו'פעילות'. עם זאת, יש לו גישת קריאה ברמת ארגוןלטבלאות מערכת, כגון תהליך, כדי לתמוך במערכת הקריאה- זרימות עבודה שסופקו. שים לב שתפקיד אבטחה זה נמצא בשימוש כאשר נוצר תפקיד אבטחה חדש ומותאם אישית.
משתמש בסיסי עבור ישויות שכלולות במוצר המקורי בלבד, יכול להפעיל יישום בתוך הסביבה ולבצע משימות נפוצות עבור הרשומות בבעלותו. יש לו הרשאות לטבלאות הליבה העסקיות, כגון 'תיק לקוח', 'איש קשר' ו'פעילות'.

הערה: שם ה Common Data Service המשתמש תפקיד אבטחה שונה ל המשתמש הבסיסי. רק השם שונה; הרשאות המשתמש והקצאת התפקידים זהים. אם יש לך פתרון עם תפקיד אבטחה Common Data Service משתמש, עליך לעדכן את הפתרון לפני שאתה מייבא אותו שוב. אחרת, אתה עלול לשנות בטעות את השם תפקיד אבטחה בחזרה למשתמש כאשר אתה מייבא את הפתרון.
הקצה מאפשר לקוד לפעול כמשתמש אחר או להתחזות. בדרך כלל משמש עם תפקיד אבטחה אחר כדי לאפשר גישה לרשומות.
מנהל מערכת של Dynamics 365 Dynamics 365 מנהל מערכת הוא Microsoft Power Platform תפקיד מנהל שירות. משתמשים בתפקיד זה יכולים לבצע פעולות של מנהל מערכת ב- Microsoft Power Platform אחרי שהם מקצים לעצמם את תפקיד מנהל המערכת.
יוצר סביבה באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בסביבה.

יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון.
מנהל מערכת כללי של הגלובלי מנהל מערכת הוא תפקיד Microsoft 365 מנהל מערכת. אדם שרוכש את ה Microsoft מנוי העסקי הוא מנהל מערכת עולמי ויש לו שליטה בלתי מוגבלת על מוצרים במנוי וגישה לרוב הנתונים. משתמשים בתפקיד זה חייבים להקצות לעצמם את תפקיד מנהל המערכת.
קורא כללי עדיין אין תמיכה בתפקיד הקורא הכללי במרכז הניהול של Power Platform.
משתף פעולה ב- Office בעל הרשאת קריאה לטבלאות שבהן שותפה רשומה עם הארגון. אין לו גישה לרשומות ליבה אחרות ולרשומות טבלה מותאמות אישית. תפקיד זה מוקצה לצוות הבעלים של 'משתפי פעולה ב- Office' ולא למשתמש בודד.
מנהל Power Platform Power Platform מנהל מערכת הוא תפקיד Microsoft Power Platform שירות מנהל מערכת. משתמשים בתפקיד זה יכולים לבצע פעולות של מנהל מערכת ב- Microsoft Power Platform אחרי שהם מקצים לעצמם את תפקיד מנהל המערכת.
השירות נמחק בעל הרשאת מחיקה מלאה לכל היישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש מחיקת רשומות של כל היישויות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
קורא שירות בעל הרשאת קריאה מלאה לכל היישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש קריאת כל היישויות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
כותב שירות בעל הרשאת יצירה, קריאה וכתיבה מלאה לכל הישויות, כולל ישויות מותאמות אישית. תפקיד זה נמצא בעיקר בשימוש של השירות והוא דורש יצירה ועדכון של רשומות. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
משתמש תמיכה בעל הרשאת קריאה מלאה להגדרות התאמה אישית וניהול עסקי, מה שמאפשר לצוות התמיכה לפתור בעיות בתצורת הסביבה. לתפקיד אין גישה לרשומות הליבה. לא ניתן להקצות תפקיד זה למשתמש או לצוות.
מנהל מערכת יש הרשאה מלאה להתאים אישית או לנהל את הסביבה, כולל יצירה, שינוי והקצאה של תפקידי אבטחה. ניתן להציג את כל הנתונים בסביבה.
אחראי על התאמה אישית של המערכת יש הרשאה מלאה לבצע התאמה אישית של הסביבה. יכול להציג את כל נתוני הטבלה המותאמים אישית בסביבה. אך משתמשים בעלי תפקיד זה יכולים להציג רק רשומות שהוא יוצר בטבלאות תיק הלקוח, איש הקשר והפעילות.
תפקיד בעל אפליקציית אינטרנט משתמש שבבעלותו רישום אפליקציית אתר אינטרנט בפורטל Azure
בעלים של אתר המשתמש שיצר את אתר ה- Power Pages. תפקיד זה מנוהל ולא ניתן לשנותו.

בנוסף לתפקידי האבטחה המוגדרים מראש המתוארים עבור Dataverse, ייתכן שתפקידי אבטחה אחרים יהיו זמינים בסביבה שלך בהתאם ל Power Platform רכיבים-Power Apps, Power Automate, Microsoft Copilot Studio—יש לך. בטבלה הבאה אפשר לראות קישורים למידע נוסף.

רכיב Power Platform ‏‏מידע
Power Apps תפקידי אבטחה מוגדרים מראש עבור סביבות עם מסד נתונים Dataverse
Power Automate אבטחה ופרטיות
Power Pages תפקידים נדרשים לניהול אתרים
Microsoft Copilot Studio הקצה תפקידי אבטחת סביבה

Dataverse for Teams סביבות

למידע נוסף על תפקידי אבטחה מוגדרים מראש ב Dataverse for Teams סביבות.

תפקידי אבטחה ספציפיים ליישום

אם אתה פורס יישומי Dynamics 365 בסביבה שלך, יתווספו תפקידי אבטחה אחרים. בטבלה הבאה אפשר לראות קישורים למידע נוסף.

יישום Dynamics 365 מסמכי תפקיד אבטחה
Dynamics 365 Sales תפקידי אבטחה מוגדרים מראש למכירות
Dynamics 365 Marketing תפקידי אבטחה שנוספו על ידי Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service תפקידים + הגדרות
Dynamics 365 Customer Service תפקידים ב-ריבוי ערוצים עבור Customer Service
Dynamics 365 Customer Insights תפקידי Customer Insights
מנהל פרופילי אפליקציות תפקידים והרשאות הקשורות למנהל פרופיל האפליקציה
Dynamics 365 Finance תפקידי אבטחה במגזר הציבורי
יישומי פיננסים ותפעול תפקידי אבטחה ב Microsoft Power Platform

סיכום המשאבים הזמינים לתפקידי אבטחה מוגדרים מראש

הטבלה הבאה מתארת אילו משאבים כל תפקיד אבטחה יכול לחבר.

משאב יוצר סביבה מנהל סביבה אחראי על התאמה אישית של המערכת מנהל מערכת
אפליקציית בד ציור X X X X
זרימת ענן X (לא מודע לפתרון) X X X
מחבר X (לא מודע לפתרון) X X X
חיבור* X X X X
שער נתונים - X - X
זרימת נתונים X X X X
Dataverse טבלאות - - X X
אפליקציית מונחית-דגמים X - X X
מסגרת הפתרון X - X X
זרימת שולחן עבודה** - - X X
AI Builder - - X X

*נעשה שימוש בחיבורים ביישומי בד ציור וב- Power Automate.

**משתמשי Dataverse for Teams אינם מקבלים גישה לזרימות שולחן העבודה כברירת מחדל. עליך לשדרג את הסביבה למלוא היכולות של Dataverse ולהשיג תוכניות רישיון של זרימת שולחן עבודה כדי להשתמש בזרימות שולחן עבודה.

הקצאת תפקידי אבטחה למשתמשים בסביבה שלא כוללת מסד נתונים של Dataverse

עבור סביבות ללא מסד נתונים של Dataverse משתמש בעל תפקיד מנהל סביבה בסביבה יכול להקצות תפקידי אבטחה למשתמשים בודדים או לקבוצות מ- Microsoft Entra ID.

  1. היכנס אל מרכז הניהול של Power Platform.

  2. בחר סביבות> [בחר סביבה].

  3. באריח גישה, בחר הצג הכל עבור מנהל סביבה או יוצר סביבה כדי להוסיף או להסיר אנשים עבור כל אחד מהתפקידים.

    צילום מסך של בחירת תפקיד אבטחה במרכז הניהול של Power Platform.

  4. בחר הוסף אנשים, ולאחר מכן ציין את שם או כתובת הדואר האלקטרוני של משתמש אחד או יותר או קבוצה אחת או יותר מ- Microsoft Entra ID.

  5. בחר הוסף.

הקצאת תפקידי אבטחה למשתמשים בסביבה שכוללת מסד נתונים של Dataverse

ניתן להקצות תפקידי אבטחה למשתמשים יחידים, לבעלי צוותים וקבוצת צוותים של Microsoft Entra . לפני שמקצים תפקיד למשתמש, ודא שחשבון המשתמש נוסף והוא במצב מופעל בסביבה.

באופן כללי, ניתן להקצות תפקיד אבטחה למשתמשים שהחשבונות שלהם במצב 'זמין' בסביבה. כדי להקצות תפקיד אבטחה לחשבון משתמש במצב 'לא זמין' בסביבה, הפעל את allowRoleAssignmentOnDisabledUsers ב- OrgDBOrgSettings.

  1. היכנס אל מרכז הניהול של Power Platform.

  2. בחר סביבות> [בחר סביבה].

  3. באריח גישה, בחר הצג הכל תחת תפקידי אבטחה.

    צילום מסך של האפשרות להציג את כל תפקידי האבטחה במרכז הניהול של Power Platform.

  4. וודא שהיחידה העסקית הנכונה נבחרה מהרשימה, ובחר תפקיד מרשימת התפקידים בסביבה.

  5. בחר הוסף אנשים, ולאחר מכן ציין את שם או כתובת הדואר האלקטרוני של משתמש אחד או יותר או קבוצה אחת או יותר מ- Microsoft Entra ID.

  6. בחר הוסף.

צור, ערוך או העתק תפקיד אבטחה באמצעות ממשק המשתמש החדש והמודרני

אתה יכול ליצור, לערוך או להעתיק בקלות תפקיד אבטחה ולהתאים אותו לצרכים שלך.

  1. עבור אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות.

  3. הרחב את משתמשים והרשאות.

  4. בחר תפקידי אבטחה.

  5. השלם את המשימה המתאימה:

יצירת תפקיד אבטחה

  1. בסרגל הפקודות, בחר תפקיד חדש.

  2. בשדה שם תפקיד, הזן שם עבור התפקיד החדש.

  3. בשדה יחידה עסקית, בחר את היחידה העסקית שאליה שייך התפקיד.

  4. בחר אם חברי הצוות צריכים לרשת את התפקיד.

    אם הגדרה זו מופעלת והתפקיד מוקצה לצוות, כל חברי הצוות יורשים את כל ההרשאות המשויכות לתפקיד.

  5. בחר שמור.

  6. הגדר את ההרשאות והמאפיינים של תפקיד אבטחה.

עריכת תפקיד אבטחה

בחר את שם התפקיד או בחר את השורה ולאחר מכן בחר ערוך. לאחר מכן הגדר את ההרשאות והמאפיינים של תפקיד האבטחה.

לא ניתן לערוך חלק מתפקידי האבטחה המוגדרים מראש. אם תנסה לערוך תפקידים אלה, הלחצנים שמור ושמור + סגור לא יהיו זמינים.

העתקת תפקיד אבטחה

בחר את תפקיד האבטחה ולאחר מכן בחר העתק. תן לתפקיד שם חדש. ערוך את תפקיד אבטחה לפי הצורך.

רק ההרשאות מועתקות, לא כל החברים והצוותים שהוקצו.

ביקורת של תפקידי אבטחה

בדוק את תפקידי האבטחה כדי להבין טוב יותר שינויים שבוצעו באבטחה ב Power Platform סביבתך.

יצירה או הגדרה של תפקיד אבטחה מותאם אישית

אם היישום שלך משתמש בישות מותאמת אישית, יש להעניק את ההרשאות שלו במפורש בתפקיד אבטחה לפני שניתן להשתמש ביישום שלך. באפשרותך להוסיף הרשאות אלה בתפקיד אבטחה קיים או ליצור תפקיד אבטחה מותאם אישית.

כל תפקיד אבטחה חייב לכלול מערך הרשאות מינימלי. למידע נוסף על תפקידי אבטחה והרשאות.

טיפ

הסביבה עשויה לשמור רשומות שיכולות לשמש אפליקציות מרובות. ייתכן שתזדקק למספר תפקידי אבטחה המעניקים הרשאות שונות. לדוגמה:

  • חלק מהמשתמשים (נקרא להם עורכים) צריכים אולי רק לקרוא, לעדכן ולצרף רשומות אחרות, כך שתפקיד האבטחה שלהם יכלול הרשאות קריאה, כתיבה וצירוף.
  • משתמשים אחרים עשויים להזדקק לכל ההרשאות שיש למשתמשים מסוג 'עורכים', בתוספת היכולת ליצור, להוסיף, למחוק ולשתף. לתפקיד האבטחה של משתמשים אלה יהיו הרשאות ליצור, לקרוא, לכתוב, להוסיף, למחוק, להקצות, להוסיף ולשתף.

צור תפקיד אבטחה מותאם אישית עם הרשאות מינימליות להפעלת אפליקציה

  1. היכנס אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות>משתמשים + הרשאות>תפקידי אבטחה‬.

  3. בחר את תפקיד האבטחה פותח אפליקציות ולאחר מכן בחר העתק.

  4. הזן את השם של התפקיד המותאם אישית ולאחר מכן בחר העתק.

  5. ברשימת תפקידי האבטחה, בחר את התפקיד החדש ולאחר מכן בחר פעולות נוספות (...) >ערוך.

  6. בעורך התפקידים, בחר בכרטיסייה ישויות מותאמות אישית.

  7. אתר את הטבלה המותאמת אישית ברשימה ובחר את ההרשאות קריאה, כתיבה וצירוף.

  8. בחר באפשרות שמור וסגור.

יצירת תפקיד אבטחה מותאם אישית מאפס

  1. היכנס אל מרכז הניהול של Power Platform, בחר 'סביבות' בחלונית הניווט ולאחר מכן בחר סביבה.

  2. בחר הגדרות>משתמשים + הרשאות>תפקידי אבטחה‬.

  3. בחר תפקיד חדש.

  4. הזן את השם של התפקיד החדש בכרטיסיה פרטים.

  5. בכרטיסיות האחרות, מצא את הישות ובחר פעולות ואת ההיקף לביצוען.

  6. בחר כרטיסיה וחפש את הישות שלך. לדוגמה, בחר באפשרות ישויות מותאמות אישית כדי להגדיר הרשאות בישות מותאמת אישית.

  7. בחר את ההרשאות קריאה, כתיבה, צירוף.

  8. בחר שמור וסגור.

הרשאות מינימליות להפעלת אפליקציה

כשאתה יוצר תפקיד אבטחה מותאם אישית, התפקיד צריך לכלול קבוצה של הרשאות מינימליות כדי שמשתמש יוכל להפעיל אפליקציה. למידע נוסף על הרשאות מינימום נדרשות.

למידע נוסף‬

הענק למשתמשים גישה
שליטה בגישה של משתמשים לסביבות: קבוצות אבטחה ורישיונות
כיצד נקבעת גישה לרשומה