Informazioni sui ruoli dell'ambiente
Per gestire la sicurezza a livello di ambiente è possibile aggiungere utenti all'ambiente e assegnare loro dei ruoli. Un ruolo è associato a determinate autorizzazioni e a un utente possono essere assegnati uno o più ruoli. I ruoli possono essere considerati una raccolta di privilegi. Gli ambienti hanno due ruoli predefiniti che forniscono l'accesso alle autorizzazioni all'interno di un ambiente. Si assegneranno utenti a uno di questi due ruoli al momento di valutare quali autorizzazioni concedere a un utente in un ambiente. Tuttavia, se l'ambiente ha un database Dataverse, sono disponibili più ruoli e le opzioni relative alle autorizzazioni aumentano.
Ogni ambiente include questi ruoli di sicurezza predefiniti:
Amministratore dell'ambiente
Autore dell'ambiente
Importante
Un utente viene automaticamente associato al ruolo Autore dell'ambiente quando lo si aggiunge a un ambiente.
Ruolo Amministratore dell'ambiente
Prima dell'aggiunta di un database Dataverse all'ambiente, il ruolo Amministratore dell'ambiente è in grado di eseguire tutte le azioni amministrative in un ambiente, incluse le seguenti:
Aggiungere o rimuovere un utente o un gruppo dal ruolo Amministratore dell'ambiente o Autore dell'ambiente.
Effettuare il provisioning di un database Dataverse per l'ambiente.
Visualizzare e gestire tutte le risorse create all'interno dell'ambiente.
Impostare i criteri di prevenzione della perdita dei dati.
Ruolo Autore dell'ambiente
Il ruolo Autore dell'ambiente può creare risorse all'interno di un ambiente, incluse app, connessioni, connettori personalizzati, gateway e flussi usando Power Automate. Le regole riportate di seguito si applicano ai membri del ruolo Autore dell'ambiente:
Gli autori dell'ambiente possono anche distribuire le app hanno creato in un ambiente ad altri utenti dell'organizzazione. Condividono l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione.
Gli utenti o i gruppi assegnati a questi ruoli dell'ambiente non ricevono automaticamente l'accesso al database dell'ambiente (se esiste). Devono ricevere l'autorizzazione di accesso separatamente da un proprietario del database.
Ogni volta che un nuovo utente si iscrive a Power Apps, viene aggiunto automaticamente al ruolo Autore dell'ambiente predefinito.
Ambienti con un datastore Dataverse
Quando un ambiente include un datastore Dataverse, è necessario assegnare agli utenti il ruolo Amministratore di sistema invece del ruolo Amministratore dell'ambiente perché ottengano privilegi di amministratore completi, come descritto nella tabella seguente.
Agli utenti che creano app che si connettono al datastore Dataverse e devono creare o aggiornare tabelle e ruoli di sicurezza è necessario assegnare il ruolo Addetto alla personalizzazione del sistema oltre al ruolo Autore dell'ambiente. Ciò è necessario perché il ruolo Autore dell'ambiente non dispone di privilegi sui dati dell'ambiente.
| Ruolo di sicurezza | Privilegi del database* | Descrizione |
|---|---|---|
| Apertura app | Creazione (propri record), Lettura, Scrittura (propri record), Eliminazione (propri record) | Dispone di privilegi minimi per le attività comuni. Usato principalmente quando si crea un nuovo ruolo di sicurezza per le app basate su modello, in cui viene creata una copia del ruolo prima di applicare l'accesso ai dati nelle tabelle. Questo ruolo è protetto e non è possibile aggiornarlo. |
| Autore dell'ambiente | Personalizzazioni | Può creare nuove risorse associate a un ambiente, tra cui app, connessioni, API personalizzate, gateway e flussi che usano Microsoft Power Automate. Tuttavia, questo ruolo non dispone dei privilegi per accedere ai dati all'interno di un ambiente. Gli autori di ambienti possono anche distribuire le app create in un ambiente ad altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione. |
| Amministratore di sistema | Creazione, Lettura, Scrittura, Eliminazione, Personalizzazioni, Ruoli di sicurezza | Ha autorizzazioni complete per personalizzare o amministrare l'ambiente, incluse quelle per creare, modificare e assegnare i ruoli di sicurezza. Può visualizzare tutti i dati nell'ambiente. |
| Addetto alla personalizzazione del sistema | Creazione, Lettura, Scrittura, Eliminazione, Personalizzazioni | Ha autorizzazioni complete per personalizzare l'ambiente. Può visualizzare tutti i dati delle tabelle personalizzate nell'ambiente. Tuttavia, gli utenti con questo ruolo possono visualizzare solo le righe (record) che creano nelle tabelle Account, Contatti, Impegni. |
| Utente Basic | Lettura (propri record), Creazione (propri record), Scrittura (propri record), Eliminazione (propri record) | Può eseguire un'app nell'ambiente ed effettuare attività comuni per i record di cui è proprietario. Si applica solo alle tabelle non personalizzate. |
| Eliminazione servizio | Delete | Dispone delle autorizzazioni di eliminazione complete per tutte le entità, incluse quelle personalizzate. Questo ruolo viene utilizzato principalmente dal servizio e richiede l'eliminazione dei record in tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team. |
| Lettore servizi | Lettura | Dispone delle autorizzazioni di lettura complete per tutte le tabelle, incluse quelle personalizzate. Usata principalmente dal servizio back-end che richiede la lettura di tutte le tabelle. |
| Writer servizi | Creazione, Lettura, Scrittura | Dispone delle autorizzazioni di Creazione, Lettura e Scrittura per tutte le tabelle, incluse quelle personalizzate. Usata principalmente dal servizio back-end che richiede la creazione e l'aggiornamento di record. |
| Delegato | Azione per conto di un altro utente | Consente al codice di rappresentare un altro utente oppure di essere eseguito come un altro utente. In genere si usa con un altro ruolo di sicurezza per permettere l'accesso ai record. |
| Amministratore Dynamics 365 | Amministratore di Dynamics 365 è un ruolo di amministratore del servizio Microsoft Power Platform. Questo ruolo può svolgere le funzioni di amministratore su Microsoft Power Platform perché dispone del ruolo di amministratore di sistema. | |
| Utente di supporto | Lettura personalizzazioni, Lettura impostazioni gestione aziendale | Ha le autorizzazioni di lettura complete per le impostazioni relative a personalizzazioni e gestione aziendale per consentire al personale del supporto di risolvere i problemi di configurazione dell'ambiente. |
| Collaboratore di Office | Lettura (propri record) | Dispone delle autorizzazioni di lettura delle tabelle in cui un record è stato condiviso con l'organizzazione. Non ha accesso ad altri record tabella principali e personalizzati. Questo ruolo viene assegnato al team proprietario Collaboratori di Office e non a un singolo utente. |
| Amministratore globale | Ruolo di amministratore di Microsoft 365. Una persona che acquista l'abbonamento aziendale a Microsoft è un amministratore globale e ha un controllo illimitato sui prodotti nell'abbonamento e l'accesso alla maggior parte dei dati. | |
| Lettore globale | Il ruolo Lettore globale non è ancora supportato nell'interfaccia di amministrazione di Power Platform. | |
| Proprietario dell'app del sito Web | Un utente proprietario della registrazione dell'applicazione del sito Web nel portale di Azure | |
| Proprietario del sito Web | Utente che ha creato il sito Web di Power Pages. Questo ruolo è gestito e non è possibile modificarlo. |
*L'ambito di questi privilegi è globale, salvo diversamente specificato.
Riepilogo delle risorse disponibili per i ruoli di sicurezza predefiniti
Per facilitare la determinazione dei ruoli da assegnare in base alle risorse a cui ha accesso uno specifico ruolo, di seguito è riportata una tabella riepilogativa.
| Risorsa | Autore dell'ambiente | Amministratore dell'ambiente | Addetto alla personalizzazione del sistema | Amministratore di sistema |
|---|---|---|---|---|
| App canvas | X | X | X | X |
| Flusso cloud | X (senza riconoscimento della soluzione) | X | X (con riconoscimento della soluzione) | X |
| Connettore | X | X | - | X |
| Connessione | X | X | - | X |
| Gateway dati | X | X | - | X |
| Flusso di dati | X | X | - | X |
| Tabelle di Dataverse | - | - | X | X |
| App basata su modello | X | - | X | X |
| Framework della soluzione | X | - | X | X |
| *Flusso desktop | - | - | X | X |
| AI Builder | - | - | X | X |
*Gli utenti di Dataverse for Teams non hanno accesso ai flussi desktop per impostazione predefinita. Per poter usare i flussi desktop, è necessario aggiornare l'ambiente alle funzionalità Dataverse complete e acquisire i piani di licenza per flussi desktop.