Configurare la sicurezza degli utenti in un ambiente
Articolo
Microsoft Dataverse utilizza un modello di sicurezza basato su ruoli per controllare l'accesso a un database e alle relative risorse in un ambiente. Usa i ruoli di sicurezza per configurare l'accesso a tutte le risorse in un ambiente o ad app e dati specifici nell'ambiente. Una combinazione di livelli di accesso e autorizzazioni in un ruolo di sicurezza determina le app e i dati che gli utenti possono visualizzare e con cui possono interagire.
Gli ambienti includono ruoli di sicurezza predefiniti che riflettono le attività utente comuni. I ruoli di sicurezza predefiniti seguono la procedura consigliata di sicurezza dell'"accesso minimo richiesto": forniscono l'accesso di base ai dati aziendali minimi di cui un utente ha bisogno per usare un'app. Questi ruoli di sicurezza possono essere assegnati a un utente, un team proprietario e un team di gruppo. I ruoli di sicurezza predefiniti disponibili in un ambiente dipendono dal tipo di ambiente e dalle app che hai installato nell'ambiente.
Un altro set di ruoli di sicurezza è assegnato agli utenti delle applicazioni. Questi ruoli di sicurezza vengono installati dai nostri servizi e non possono essere aggiornati.
Ambienti senza un database Dataverse
Autore dell'ambiente e Amministratore dell'ambiente sono gli unici ruoli predefiniti per gli ambienti senza database Dataverse. Questi ruoli sono descritti nella tabella seguente.
Ruolo di sicurezza
Description
Amministratore dell'ambiente
Il ruolo Amministratore dell'ambiente può eseguire tutte le azioni amministrative in un ambiente, comprese le seguenti:
Aggiungere o rimuovere un utente dal ruolo Amministratore dell'ambiente o Autore dell'ambiente.
Effettuare il provisioning di un database Dataverse per l'ambiente. Dopo aver effettuato il provisioning di un database, assegnare il ruolo Addetto alla personalizzazione del sistema a un amministratore dell'ambiente per consentirgli l'accesso ai dati dell'ambiente.
Visualizzare e gestire tutte le risorse create in un ambiente.
Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate e flussi che usano Microsoft Power Automate. Tuttavia questo ruolo non dispone dei privilegi di accesso ai dati in un ambiente.
Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione.
Ambienti con un database Dataverse
Se l'ambiente ha un database Dataverse, a un utente deve essere assegnato il ruolo Amministratore di sistema anziché il ruolo Amministratore dell'ambiente per disporre di privilegi di amministratore completi.
Gli utenti che creano app che si connettono al database e devono creare o aggiornare entità e ruoli di sicurezza, devono disporre del ruolo Addetto alla personalizzazione del sistema oltre al ruolo Autore dell'ambiente. il ruolo Autore dell'ambiente non ha privilegi per i dati dell'ambiente.
La tabella seguente descrive i ruoli di sicurezza predefiniti in un ambiente che ha un database Dataverse. Non puoi modificare questi ruoli.
Ruolo di sicurezza
Description
Apertura app
Ha privilegi minimi per le attività comuni. Questo ruolo viene utilizzato principalmente come modello per creare un ruolo di sicurezza personalizzato per le app basate su modello. Non ha alcun privilegio per le tabelle aziendali principali, come Account, Contatto e Attività. Tuttavia, dispone di accesso in lettura a livello di Organizzazione alle tabelle di sistema, come Processo, per supportare la lettura dei flussi di lavoro forniti dal sistema. Tieni presente che questo ruolo di sicurezza viene utilizzato quando viene creato un nuovo ruolo di sicurezza personalizzato.
Utente Basic
Solo per le entità predefinite, può eseguire un'app nell'ambiente e attività comuni per i record di sua proprietà. Ha privilegi sulle tabelle aziendali principali, come Account, Contatto, Attività e Processo.
Nota: il ruolo di sicurezza Utente di Common Data Service è stato rinominato Utente Basic. Solo il nome è stato cambiato; i privilegi utente e l'assegnazione dei ruoli sono identici. Se hai una soluzione con il ruolo di sicurezza Utente di Common Data Service, devi aggiornare la soluzione prima di importarla di nuovo. In caso contrario, potresti inavvertitamente modificare nuovamente il nome del ruolo di sicurezza in Utente quando importi la soluzione.
Amministratore di Dynamics 365 è un ruolo di amministratore del servizio Microsoft Power Platform. Gli utenti di questo ruolo possono eseguire funzioni di amministrazione in Microsoft Power Platform dopo essersi elevati autonomamente al ruolo di amministratore di sistema.
Creazione ambiente
Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate e flussi che usano Microsoft Power Automate. Questo ruolo non dispone tuttavia dei privilegi di accesso ai dati in un ambiente.
Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione.
Amministratore globale di
Amministratore globale è un ruolo di amministratore di Microsoft 365. Una persona che acquista l'abbonamento a Microsoft Business è un amministratore globale e ha il controllo illimitato sui prodotti inclusi nell'abbonamento e l'accesso alla maggior parte dei dati. Gli utenti di questo ruolo devono elevarsi autonomamente al ruolo di amministratore di sistema.
Lettore globale
Il ruolo Lettore globale non è ancora supportato nell'interfaccia di amministrazione di Power Platform.
Collaboratore di Office
Dispone dell'autorizzazione di lettura per le tabelle in cui un record è stato condiviso con l'organizzazione. Non ha accesso ad altri record tabella principali e personalizzati. Questo ruolo viene assegnato al team proprietario dei Collaboratori di Office e non a un singolo utente.
Amministratore Power Platform
Amministratore di Power Platform è un ruolo di amministratore del servizio di Microsoft Power Platform. Gli utenti di questo ruolo possono eseguire funzioni di amministrazione in Microsoft Power Platform dopo essersi elevati autonomamente al ruolo di amministratore di sistema.
Servizio eliminato
Ha l'autorizzazione per l'eliminazione completa di tutte le entità, comprese le entità personalizzate. È utilizzato principalmente dal servizio e richiede l'eliminazione di record in tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team.
Lettore servizi
Dispone delle autorizzazioni di lettura complete per tutte le entità, incluse quelle personalizzate. È utilizzato principalmente dal servizio e richiede la lettura di tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team.
Writer servizio
Dispone delle autorizzazioni di creazione, lettura e scrittura per tutte le entità, incluse le entità personalizzate. È utilizzato principalmente dal servizio e richiede la creazione e l'aggiornamento di record. Questo ruolo non può essere assegnato a un utente o a un team.
Utente di supporto
Ha l'autorizzazione di lettura completa per le impostazioni relative a personalizzazioni e gestione aziendale che consente al personale del supporto di risolvere i problemi di configurazione dell'ambiente. Non ha accesso ai record principali. Questo ruolo non può essere assegnato a un utente o a un team.
Amministratore sistema
Ha autorizzazioni complete per personalizzare o amministrare l'ambiente, incluse quelle per creare, modificare e assegnare ruoli di sicurezza. Può visualizzare tutti i dati nell'ambiente.
Addetto personalizzazione del sistema
Ha autorizzazioni complete per personalizzare l'ambiente. Può visualizzare tutti i dati della tabella personalizzata nell'ambiente. Tuttavia, gli utenti con questo ruolo possono visualizzare i record che creano nelle tabelle Account, Contatti, Impegni.
Utente che ha creato il sito Web Power Pages. Questo ruolo è gestito e non è possibile modificarlo.
Oltre ai ruoli di sicurezza predefiniti appena descritti per Dataverse, potrebbero essere disponibili altri ruoli di sicurezza nell'ambiente a seconda dei componenti di Power Platform, ovvero Power Apps, Power Automate, Microsoft Copilot Studio, a tua disposizione. La tabella seguente fornisce collegamenti a ulteriori informazioni.
Se distribuisci le app Dynamics 365 nel tuo ambiente, vengono aggiunti altri ruoli di sicurezza. La tabella seguente fornisce collegamenti a ulteriori informazioni.
**Gli utenti di Dataverse for Teams non ottengono l'accesso ai flussi desktop per impostazione predefinita. Devi aggiornare il tuo ambiente alle funzionalità Dataverse complete e acquisire piani di licenza del flusso desktop per utilizzare i flussi desktop.
Assegnare ruoli di sicurezza agli utenti in un ambiente senza database Dataverse
Per gli ambienti senza database Dataverse, un utente che dispone del ruolo Amministratore dell'ambiente nell'ambiente può assegnare ruoli di sicurezza a singoli utenti o gruppi da Microsoft Entra ID.
In genere, un ruolo di sicurezza può essere assegnato solo a utenti i cui account sono abilitati nell'ambiente. Per assegnare un ruolo di sicurezza a un account utente disabilitato nell'ambiente, attiva allowRoleAssignmentOnDisabledUsers in OrgDBOrgSettings.
Seleziona il ruolo di sicurezza e quindi Copia. Assegna un nuovo nome al ruolo. Modifica il ruolo di sicurezza come necessario.
Vengono copiati solo i privilegi, non i membri e i team assegnati.
Controllo dei ruoli di sicurezza
Controlla i ruoli di sicurezza per comprendere meglio le modifiche apportate alla sicurezza nel tuo ambiente Power Platform.
Creare o configurare un ruolo di sicurezza personalizzato
Se l'app utilizza un'entità personalizzata, i relativi privilegi devono essere assegnati esplicitamente in un ruolo di sicurezza prima che l'app possa essere utilizzato. È possibile aggiungere i privilegi in un ruolo di sicurezza esistente o creare un ruolo di sicurezza personalizzato.
L'ambiente potrebbe conservare record che possono essere usati da più app. Potrebbero essere necessari più ruoli di sicurezza che concedono privilegi differenti. Ad esempio:
Per alcuni utenti (ad esempio, gli editori) potrebbe essere sufficiente leggere, aggiornare e aggiungere altri record, quindi il loro ruolo di sicurezza avrà privilegi di lettura, scrittura e aggiunta.
Altri utenti potrebbero aver bisogno di tutti i privilegi di cui dispongono gli editori e avere anche la possibilità di creare, aggiungere, eliminare e condividere. Il ruolo di sicurezza per questi utenti avrà i privilegi di creazione, lettura, scrittura, aggiunta, eliminazione, assegnazione, accodamento e condivisione.
Crea un ruolo di sicurezza personalizzato con privilegi minimi per eseguire un'app
Selezionare Impostazioni>Utenti + autorizzazioni>Ruoli di sicurezza.
Seleziona Nuovo ruolo.
Nella scheda Dettagli immetti il nome del nuovo ruolo.
Nelle altre schede, trova la tua entità e quindi seleziona le azioni e l'ambito per eseguirle.
Seleziona una scheda e cerca l'entità. Ad esempio, seleziona la scheda Entità personalizzate per impostare le autorizzazioni su un'entità personalizzata.
Selezionare i privilegi Lettura, Scrttura, Aggiunta.
Seleziona Salva e chiudi.
Privilegi minimi per l'esecuzione di un'app
Quando crei un ruolo di sicurezza personalizzato, il ruolo deve disporre di un set di privilegi minimi affinché un utente possa eseguire un'app. Scopri di più sui privilegi minimi necessari.
Informazioni su come impostare le autorizzazioni per limitare l'accesso a un ambiente oppure per limitare gli utenti che possono visualizzare, modificare o eliminare i dati in un ambiente all'interno di Dataverse.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.