Drošības lomas piešķiršana lietotājam

  • Raksts

Par drošības lomām

  • Drošības lomas kontrolē lietotāja piekļuvi datiem ar piekļuves līmeņu un atļauju kopu. Piekļuves līmeņu un atļauju kombinācija, kas iekļauta konkrētā drošības lomā, nosaka ierobežojumus lietotājam datu skatījumiem un mijiedarbībai ar datiem.
  • Dataverse nodrošina noklusējuma drošības lomu kopu. Ja tas vajadzīgs jūsu organizācijai, varat izveidot jaunas drošības lomas, rediģējot kādu no noklusējuma drošības lomām un saglabājot to ar jaunu nosaukumu. Skatīt Iepriekš definētas drošības lomas.
  • Lietotājiem var piešķirt vairāk nekā vienu drošības lomu. Vairāku drošības lomu efekts ir pieaugošs, tas ir, tas nozīmē, ka lietotājam ir visas atļaujas, kas saistītas ar lietotājam piešķirtajām drošības lomām.
  • Drošības lomas tiek saistītas ar struktūrvienībām. Ja esat izveidojis struktūrvienības, tikai ar struktūrvienību saistītās drošības lomas ir pieejamas lietotājiem struktūrvienībā. Varat izmantot šo funkciju, lai ierobežotu piekļuvi līdz datiem, kas pieder tikai struktūrvienībai.
  • Ja ir iespējoti ieraksta īpašumtiesību ieraksti visās struktūrvienībās, varat saviem lietotājiem piešķirt drošības lomas no dažādām struktūrvienībām neatkarīgi no tā, kurai struktūrvienībai lietotāji pieder.
  • Lai lietotājam piešķirtu drošības lomas, ir nepieciešamas atbilstošas atļaujas (minimālās atļaujas ir lasīt un piešķirt tabulā drošības loma ). Lai novērstu drošības loma privilēģiju paaugstināšanu, persona, kas piešķir drošības loma, nevar piešķirt kādam citam drošības loma, kuram ir vairāk privilēģiju nekā piešķīrējam. Piemēram, CSR pārvaldnieks nevar piešķirt citu lietotāju sistēmas administratora lomai. Šī atļauju validācija ietver katras atļaujas, kas piešķīrējam ir privilēģiju dziļuma līmenī un struktūrvienībā, pārbaudi. Piemēram, jūs nevarat piešķirt drošības loma no citas struktūrvienības citam lietotājam, ja jums nav drošības loma ar atbilstošu atļauju līmeni, kas piešķirts no šīs struktūrvienības.

Piezīmes

Pēc noklusējuma sistēmas administratoram drošības loma ir visas nepieciešamās atļaujas, lai jebkuram lietotājam piešķirtu drošības lomas, tostarp piešķirtu sistēmas administratora drošības loma. Ja vēlaties atļaut administratoriem, kas nav sistēmas administratori , piešķirt drošības lomas, apsveriet iespēju izveidot pielāgotu drošības loma ar visām atļaujām, kas uzskaitītas sadaļā Administratīvā lietotāja izveide un drošības loma privilēģiju palielināšanas novēršana. Piešķiriet pielāgoto drošības loma un visas drošības lomas, ko ne-sistēmas administrators var piešķirt citiem lietotājiem, kas nav sistēmas administrators. Šī drošības loma prasība ir nepieciešama arī tad, ja atļaujat administratoriem, kas nav sistēmas administratori, pārvaldīt darba grupas dalībniekus īpašnieku darba grupās .

Vairāk informācijas par atšķirībām starp Microsoft Online Services administratora lomām un drošības lomām skatiet tēmā Lietotāju piekļuves piešķiršana.

Padoms

Skatiet šo video: Drošības lomu piešķiršana Power Platform administrēšanas centrā.

Veiciet šīs darbības, lai piešķirtu drošības lomu.

  1. Piesakieties Power Platform administrēšanas centrākā sistēmas administrators.

  2. Atlasiet Vides un pēc tam sarakstā atlasiet vidi.

  3. Atlasiet Iestatījumi.

  4. Atlasiet Lietotāji + atļaujas un pēc tam atlasiet Lietotāji.

  5. Lapā Lietotāji atlasiet lietotāju un pēc tam atlasiet Pārvaldīt drošības lomas.

    Pārvaldiet drošības lomas.

  6. Atlasiet drošības lomas vai noņemiet drošības lomu atlasi. Ja lietotājam ir jau piešķirtas lomas. Kad esat pabeidzis, noklikšķiniet uz Saglabāt. Pēc saglabāšanas visas atlasītās lomas kļūst par lietotāja pašreizējām piešķirtajām lomām. Neatlasītās lomas netiek piešķirtas.

    Lapa Drošības lomu pārvaldība.

Iespējojot ieraksta īpašumtiesību ierakstus visās struktūrvienībās, varat atlasīt drošības lomas no citas struktūrvienības.

Svarīgi

Katram lietotājam ir jāpiešķir vismaz viena drošības loma vai nu tieši, vai netieši kā darba grupas dalībniekam. Pakalpojums neļauj piekļūt tam lietotājiem, kam nav vismaz vienas drošības lomas.

Lietotāju iestatījumu atļaujas ierakstu īpašumtiesībām visās struktūrvienībās

Ja esat iespējojis ieraksta īpašumtiesību ierakstus visās struktūrvienībās, jūsu lietotāji var piekļūt datiem citās struktūrvienībās, ja viņiem ir tieši piešķirta drošības loma no šīm citām struktūrvienībām. Lietotājam ir jābūt piešķirtai arī drošības lomai no lietotāja struktūrvienības ar atļaujām, kas norādītas tālāk redzamajās tabulās, lai varētu atjaunināt lietotāja UI iestatījumus.

  • Darbības kartītes lietotāja iestatījumi
  • Saglabātais skats
  • Lietotāja diagramma
  • Lietotāja informācijas panelis
  • Lietotāja entītijas instances dati
  • Lietotāja entītijas UI iestatījumi
  • Lietotāja lietojumprogrammas metadati

Lai lietotājiem piešķirtu drošības lomu vidē, kurā nav neviena vai viena Microsoft Dataverse datu bāze, skatīt Lietotāju drošības konfigurēšana resursiem vidē.

(Neobligāti) Sistēmas administratora lomas piešķiršana

Jūs varat sadalīt Microsoft Online Services vides administratīvos uzdevumus starp vairākiem cilvēkiem, piešķirot Microsoft Online Services vides administratora lomas lietotājiem, ko izvēlaties katras loma izpildei. Jūs varat izlemt piešķirt globālā administratora lomu otrai personai jūsu organizācijā laikā, kad jūs neesat pieejams.

Ir piecas Microsoft Online Services vides administratora lomas ar atšķirīgiem atļauju līmeņiem. Piemēram, paroļu atiestatīšanas administratora loma ļauj tikai atiestatīt lietotāju paroles; lietotāju vadības administratora loma ļauj atiestatīt lietotāju paroles, kā arī pievienot, rediģēt un dzēst lietotāju kontus; globālā administratora loma ļauj pievienot organizācijai tiešsaistes pakalpojumu abonēšanu un pārvaldīt visus abonēšanu aspektus. Vairāk informācijas par Microsoft Online Services administratoru lomām skatiet sadaļā Administratora lomu piešķiršana.

Note

Microsoft Online Services vides administratoru lomas ir derīgas tikai tiešsaistes pakalpojuma abonēšanas aspektu pārvaldībai. Šīs lomas neietekmē atļaujas pakalpojumā.

Automātiska lomu piešķiršana

Kad lietotāji tiek pievienoti Dataverse, lomas tiek piešķirtas automātiski, pamatojoties uz šādiem kritērijiem:

  1. Visi Microsoft Entra ID administratori (nomnieka administrators, Power Platform administrators, Dynamics 365 pakalpojuma administrators) iegūst sistēmas administratora lomu Dataverse.

    Svarīgi

    Ja administratora loma tiek noņemta, sistēmas administratora loma netiek automātiski noņemta Microsoft Entra . Tā kā nav mehānisma, lai izsekotu, vai lomu ir piešķīrusi sistēma automātiski vai administrators, mēs iesakām administratoram manuāli noņemt sistēmas administratora lomu, tiklīdz loma ir noņemta Microsoft Entra .

  2. Lietotāji ar derīgu licenci automātiski saņem atbilstošas kartētās lomas, kas viņiem tiek piešķirtas. Noņemot attiecīgo licenci, tiek automātiski noņemta loma. Uz licenci balstīta noklusējuma lomu pārvaldība nav piemērojama lietotājiem šāda veida vidēs: izmēģinājumversijā un izstrādātājā Dataverse for Teams.

  3. Noklusējuma vides tipam lomas Pamata lietotājs un Vides veidotājs tiek automātiski piešķirtas visiem pievienotajiem Dataverse lietotājiem.

  4. Finance and operations saistītajā vidē ar Dataverse datu bāzi Finance and Operations pamatlietotājs drošības loma tiek automātiski piešķirts visiem aktīvajiem lietotājiem Dataverse.

Licence lomu kartēšanai

Ja šīs lomas jūsu vidē ir definētas, tās tiek automātiski piešķirtas lietotājiem, kad tie tiek pievienoti Dataverse, pamatojoties uz viņiem piešķirto licenci. Varat skatīt licenci lomu kartēšanai vidē, naviģējot uz lapu Licence lomu kartēšanai Power Platform administrēšanas centrā..

Dodieties uz Vides> [atlasiet vidi] >Iestatījumi>Lietotāji + Atļaujas>Licences lomu kartēšanai.

Skatiet arī:

Darba sākšana ar drošības lomām pakalpojumā Dataverse