Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
[Questo articolo fa parte della documentazione non definitiva, pertanto è soggetto a modifiche.]
Il controllo degli accessi in base al ruolo nell'interfaccia di amministrazione di Microsoft Power Platform è un modello di sicurezza progettato per aiutare le organizzazioni a gestire who può eseguire operazioni nelle risorse di Power Platform con sicurezza e flessibilità. RBAC offre un approccio moderno alla gestione degli accessi, semplificando l'assegnazione e l'implementazione delle autorizzazioni per utenti, gruppi e automazione dei processi software.
Importante
- Si tratta di una funzionalità di anteprima.
- Le funzionalità di anteprima non sono destinate ad essere utilizzate per la produzione e sono soggette a restrizioni. Queste funzionalità sono soggette a condizioni per l'utilizzo supplementari e sono disponibili prima di una versione ufficiale in modo che i clienti possano ottenere l'accesso iniziale e fornire feedback.
Con il controllo degli accessi in base al ruolo di Power Platform, gli amministratori possono:
- Specificare chi può accedere a risorse specifiche.
- Decidere quali azioni gli utenti possono eseguire, ad esempio creare, gestire o visualizzare.
- Assegnare autorizzazioni a vari livelli: organizzazione (tenant), gruppi di ambienti e singoli ambienti.
Il RBAC (controllo degli accessi in base al ruolo) opera al livello API della Power Platform, rappresentando il controllo amministrativo sulle risorse, mentre Dataverse continua a fornire il proprio RBAC fondamentale per i dati aziendali all'interno degli ambienti.
Annotazioni
Attualmente, RBAC è incentrato sull'ampliamento del supporto per i service principal e le identità gestite nell'API di Power Platform e nei vari SDK di gestione. Le autorizzazioni di sola lettura, nonché di lettura e scrittura assegnate a livelli inferiori rispetto all’intero tenant per l’esperienza utente dell'interfaccia di amministrazione di Power Platform, sono in programma ma non sono ancora state completate.
Vantaggi del controllo degli accessi in base al ruolo di Power Platform
- Accesso granulare: Assegnare ruoli a livello di tenant, gruppo di ambiente o ambiente per un controllo preciso.
- Ruoli predefiniti: Usare i ruoli predefiniti, ad esempio Amministratore dell'ambiente e Autore, per allinearsi ai criteri di accesso dell'organizzazione.
- Ambito flessibile: I ruoli possono essere applicati a livelli generali o limitati per soddisfare le esigenze operative.
- Eredità: Le assegnazioni a un ambito superiore, ad esempio il tenant, vengono ereditate da ambiti inferiori, ad esempio gruppi di ambienti e ambienti.
Concetti chiave
Entità di sicurezza
Un'entità di sicurezza è un'entità in Microsoft Entra ID a cui è possibile concedere l'accesso tramite assegnazioni di ruoli nel controllo degli accessi basato sui ruoli (RBAC). Le entità di sicurezza supportate includono:
- Principali utente: Utenti umani in Microsoft Entra ID, usando il proprio indirizzo di posta elettronica.
- Groups: Gruppi abilitati per la sicurezza in Microsoft Entra ID, utilizzando il rispettivo ID del gruppo.
- Entità servizio/identità gestite: Registrazioni di app in Microsoft Entra ID, così come identità gestite definite dal sistema e dall'utente. Assegnato usando i rispettivi ID oggetto Enterprise.
Ambito
Questo è il livello della gerarchia in cui viene eseguita un'assegnazione.
- Inquilino: Autorizzazioni generali in tutti i gruppi e gli ambienti di ambiente.
- Gruppo di ambiente: Raggruppamento logico di ambienti per la gestione collettiva. Le autorizzazioni si applicano a tutti gli ambienti del gruppo.
- Ambiente: Area di lavoro singola per app, agenti, dati e automazione. Le autorizzazioni si applicano a tutte le risorse in questo particolare ambiente.
Le assegnazioni a livelli di ambito più ampi forniscono autorizzazioni ereditate ai livelli inferiori, a meno che non siano specificamente sostituite.
Assegnazione di ruolo
Le assegnazioni di ruolo sono collegamenti tra un'entità di sicurezza, una definizione di ruolo predefinita e un ambito. Le assegnazioni di esempio includono la delega della gestione di un intero gruppo di ambienti a un'altra persona o a un'identità gestita, liberando tempo per gestire il resto del tenant da parte dell'IT centrale.
Gestione del controllo degli accessi in base al ruolo in Power Platform
Le assegnazioni RBAC possono essere gestite tramite le API e gli SDK di Power Platform. Queste API e SDK offrono opzioni a livello di codice per la gestione dei ruoli, adatte per l'automazione e l'integrazione in organizzazioni di grandi dimensioni. Per una procedura dettagliata, vedere Esercitazione: Assegnare ruoli di controllo degli accessi in base al ruolo alle entità servizio.
Archiviazione e affidabilità dei dati
Le definizioni e le assegnazioni dei ruoli vengono archiviate in modo sicuro e centralizzato per il tenant e sincronizzate a livello di area per garantire un'applicazione affidabile e l'accesso globale.
Definizioni dei ruoli
Le definizioni dei ruoli sono raccolte di autorizzazioni che descrivono le azioni consentite. Gli ambiti assegnabili sono determinati da ogni ruolo predefinito. I ruoli non possono essere personalizzati o modificati dai clienti.
Ruoli predefiniti di Power Platform
I seguenti ruoli predefiniti sono disponibili per l'assegnazione a utenti, gruppi e entità servizio in Controllo degli accessi in base al ruolo di Power Platform:
| Nome ruolo | ID ruolo | Ambito assegnabile | Permissions |
|---|---|---|---|
| Amministratore del controllo degli accessi basato sui ruoli di Power Platform | 95e94555-018c-447b-8691-bdac8e12211e | /Inquilini/{0} | Tutte le autorizzazioni che terminano con .Read, Authorization.RoleAssignments.Write, Authorization.RoleAssignments.Delete |
| Lettore di Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 | /Inquilini/{0} | Tutte le autorizzazioni che terminano con .Read |
| Collaboratore di Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 | /Inquilini/{0} | Può gestire e leggere tutte le risorse, ma non può apportare o modificare le assegnazioni di ruolo |
| Proprietario di Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea | /Inquilini/{0} | Tutte le autorizzazioni |
Per informazioni dettagliate sulle autorizzazioni, i ruoli e l'integrazione, consultare il riferimento dell'API di Power Platform. Per informazioni su come assegnare questi ruoli a livello di codice, vedere Esercitazione: Assegnare ruoli di controllo degli accessi in base al ruolo alle entità servizio.