Lietotāju drošības konfigurēšana vidē

  • Raksts

Microsoft Dataverse Izmanto uz lomām balstītu drošības modeli, lai kontrolētu piekļuvi datu bāzei un tās resursiem vidē. Izmantojiet drošības lomas, lai konfigurētu piekļuvi visiem vides resursiem vai konkrētām programmām un datiem vidē. Piekļuves līmeņu un atļauju kombinācija drošības loma nosaka, kuras programmas un datus lietotāji var skatīt un kā viņi var mijiedarboties ar šīm lietotnēm un datiem.

Videi var nebūt datu bāzes vai tā var būt viena Dataverse . Drošības lomas tiek piešķirtas atšķirīgi vidēm, kurās nav Dataverse datu bāzes, un vidēm, kurās ir datu Dataverse bāze.

Uzziniet vairāk par vidēm Power Platform.

Iepriekš definētas drošības lomas

Vides ietver iepriekš definētas drošības lomas, kas atspoguļo vispārējus lietotāju uzdevumus. Iepriekš definētās drošības lomas atbilst drošības paraugpraksei, proti, "minimālā nepieciešamā piekļuve": nodrošina vismazāko piekļuvi minimālajiem biznesa datiem, kas lietotājam ir nepieciešami, lai izmantotu programmu. Šīs drošības lomas var piešķirt lietotājam, īpašnieka darba grupai ungrupas darba grupai. Iepriekš definētās drošības lomas, kas ir pieejamas vidē, ir atkarīgas no vides tipa un tajā instalētajām programmām.

Lietojumprogrammas lietotājiem tiek piešķirtavēl viena drošības lomu kopa. Šīs drošības lomas instalē mūsu pakalpojumi, un tās nevar atjaunināt.

Vides bez Dataverse datu bāzes

Vides veidotājs un vides administrators ir vienīgās iepriekš definētās lomas vidēs bez Dataverse datu bāzes. Šīs lomas ir aprakstītas nākamajā tabulā.

Drošības loma Apraksts
Vides administrators Vides administratora loma var veikt visas administratīvās darbības vidē, tostarp:
  • Pievienot lietotāju vides administratora vai vides veidotāja lomai vai noņemt no tās.
  • Nodrošiniet videi Dataverse datu bāzi. Kad datu bāze ir nodrošināta, piešķiriet sistēmas pielāgotāja lomu vides administratoram, lai piešķirtu viņam piekļuvi vides datiem.
  • Skatiet un pārvaldiet visus resursus, kas izveidoti vidē.
  • Izveidojiet datu zuduma novēršanas politikas.
Vides veidotājs Var izveidot jaunus līdzekļus, kas saistīti ar vidi, tostarp programmas, savienojumus, pielāgotus API, vārtejas un plūsmas, izmantojot Microsoft Power Automate. Tomēr šai lomai nav tiesību piekļūt datiem vidē.

Vides veidotāji var arī izplatīt vidē izveidotās programmas citiem lietotājiem jūsu organizācijā. Viņi var koplietot programmu ar atsevišķiem lietotājiem, drošības grupām vai visiem organizācijas lietotājiem.

Vides ar Dataverse datu bāzi

Ja vidē ir Dataverse datu bāze, lietotājam ir jāpiešķir sistēmas administratora loma, nevis vides administratora loma, lai iegūtu pilnas administratora atļaujas.

Lietotājiem, kuri veido programmas, kas veido savienojumu ar datu bāzi, un kuriem ir jāizveido vai jāatjaunina entītijas un drošības lomas, papildus vides veidotāja lomai ir jābūt arī sistēmas pielāgotāja lomai. Vides redaktora lomai nav atļauju attiecībā uz vides datiem.

Nākamajā tabulā ir aprakstītas iepriekš definētās drošības lomas vidē, kurā ir Dataverse datu bāze. Šīs lomas nevar rediģēt.

Drošības loma Apraksts
Programmu atvērējs Ir minimālās privilēģijas bieži veicamiem uzdevumiem. Šī loma galvenokārt tiek izmantota kā veidne, lai izveidotu pielāgotu drošības loma modeļa vadītām programmām. Tam nav nekādu privilēģiju attiecībā uz galvenajām biznesa tabulām, piemēram, Konts, Kontaktpersona un Darbības. Tomēr tai ir organizācijas līmeņa lasīšanas piekļuve sistēmas tabulām, piemēram , Process, lai atbalstītu lasīšanas sistēmas nodrošinātās darbplūsmas. Ņemiet vērā, ka šis drošības loma tiek izmantots, kad tiek izveidots jauns, pielāgotsdrošības loma.
Pamatlietotājs Tikai iebūvētām entītijām var palaist programmu vidē un veikt bieži veicamus uzdevumus ar tām piederošajiem ierakstiem. Tam ir privilēģijas attiecībā uz galvenajām biznesa tabulām, piemēram, Konts, Kontaktpersona un Darbības.

Piezīme: Lietotājs Common Data Service drošības loma tika pārdēvēts par pamata lietotāju. Tika mainīts tikai nosaukums; Lietotāja privilēģijas un lomu piešķiršana ir vienādas. Ja jums ir risinājums ar Common Data Service User drošības loma, pirms atkārtotas importēšanas tas ir jāatjaunina. Pretējā gadījumā, importējot risinājumu, varat netīšām mainīt drošības loma nosaukumu atpakaļ uz Lietotājs .
Pārstāvis Ļauj kodam uzdoties par citu lietotāju vai darboties kā tam. Parasti tiek izmantots ar citu drošības lomu, lai varētu piekļūt ierakstiem.
Dynamics 365 administrators Dynamics 365 administrators ir Microsoft Power Platform servisa administratora loma. Šī loma var veikt administratora funkcijas, jo viņiem ir sistēmas administratora Microsoft Power Platform loma.
Vides veidotājs Var izveidot jaunus līdzekļus, kas saistīti ar vidi, tostarp programmas, savienojumus, pielāgotus API, vārtejas un plūsmas, izmantojot Microsoft Power Automate. Tomēr šai lomai nav nekādu atļauju piekļūt datiem vidē.

Vides veidotāji var arī izplatīt vidē izveidotās programmas citiem lietotājiem jūsu organizācijā. Viņi var koplietot programmu ar atsevišķiem lietotājiem, drošības grupām vai visiem organizācijas lietotājiem.
globālais administrators Globālais administrators ir administratora Microsoft 365 loma. Persona, kas iegādājas Microsoft uzņēmuma abonementu, ir globālais administrators, un tai ir neierobežota kontrole pār abonementā iekļautajiem produktiem un piekļuve lielākajai daļai datu.
Globālais lasītājs Globālā lasītāja loma administrēšanas centrā vēl netiek atbalstīta Power Platform .
Office līdzautors Ir lasīšanas atļauja tabulām, kurās ieraksts tika kopīgots ar organizāciju. Nav piekļuves citiem galvenajiem un pielāgotajiem tabulas ierakstiem. Šī loma tiek piešķirta Office līdzautoru īpašnieka darba grupai, nevis atsevišķam lietotājam.
Power Platform administrators Power Platform Administrators ir pakalpojuma administratora Microsoft Power Platform loma. Šī loma var veikt administratora funkcijas Microsoft Power Platform , jo viņiem ir sistēmas administratora loma.
Pakalpojums ir dzēsts Ir pilna dzēšanas atļauja visām entītijām, tostarp pielāgotajām entītijām. Šo lomu galvenokārt izmanto pakalpojums, un tai ir nepieciešama ierakstu dzēšana visās entītijās. Šo lomu nevar piešķirt lietotājam vai darba grupai.
Servisa lasītājs Ir pilna lasīšanas atļauja visām entītijām, tostarp pielāgotajām entītijām. Šo lomu galvenokārt izmanto pakalpojums, un tai ir nepieciešama visu entītiju lasīšana. Šo lomu nevar piešķirt lietotājam vai darba grupai.
Servisa rakstītājs Ir pilna izveides, lasīšanas un rakstīšanas atļauja visām entītijām, tostarp pielāgotajām entītijām. Šo lomu galvenokārt izmanto pakalpojums, un tai ir jāizveido un jāatjaunina ieraksti. Šo lomu nevar piešķirt lietotājam vai darba grupai.
Atbalsta lietotājs Ir pilna lasīšanas atļauja pielāgošanas un biznesa pārvaldības iestatījumiem, kas atbalsta personālam ļauj novērst vides konfigurācijas problēmas. Šai lomai nav piekļuves galvenajiem ierakstiem. Šo lomu nevar piešķirt lietotājam vai darba grupai.
Sistēmas administrators Ir pilna atļauja pielāgot vai administrēt vidi, tostarp izveidot, modificēt un piešķirt drošības lomas. Var apskatīt visus vidē esošos datus
Sistēmas pielāgotājs Ir pilna atļauja pielāgot vidi. Var skatīt visus pielāgotos tabulas datus vidē. Tomēr lietotāji ar šo lomu var skatīt tikai tos ierakstus, kurus viņi ir izveidojuši tabulās Konts, Kontaktpersona un Darbības.
Vietnes lietotnes īpašnieks Lietotājs, kuram pieder tīmekļa vietnes lietojumprogrammas reģistrācijaAzure portālā.
Vietnes īpašnieks Lietotājs, Power Pages kurš izveidoja vietni. Šī loma tiek pārvaldīta, un to nevar mainīt.

Papildus iepriekš definētajām drošības lomām, kas aprakstītas Dataverse, jūsu vidē var būt pieejamas arī citas drošības lomas atkarībā no Power Platform jūsu komponentiemPower Apps Power Automate Power Virtual Agents. Nākamajā tabulā ir saites uz papildinformāciju.

Power Platform komponents Informācija
Power Apps Iepriekš definētas drošības lomas vidēs ar Dataverse datu bázi
Power Automate Drošība un konfidencialitāte
Power Pages Tīmekļa vietnes administrēšanai nepieciešamās lomas
Power Virtual Agents Vides drošības lomu piešķiršana

Dataverse for Teams vides

Uzziniet vairāk par iepriekš definētām drošības lomām vidēs Dataverse for Teams .

Konkrētu programmu drošības lomas

Ja savā vidē izvietojat Dynamics 365 programmas, tiek pievienotas citas drošības lomas. Nākamajā tabulā ir saites uz papildinformāciju.

Dynamics 365 programma Drošības lomas dokumenti
Dynamics 365 Sales Iepriekš definētás pārdošanas drošības lomas
Dynamics 365 Marketing Dynamics 365 Marketing pievienotās drošības lomas
Dynamics 365 Field Service Dynamics 365 Field Service lomas + definīcijas
Dynamics 365 Customer Service Lomas Customer Service universālajā kanālā
Dynamics 365 Customer Insights Customer Insights lomas
Programmas profila pārvaldnieks Ar programmas profila pārvaldnieku saistītās lomas un atļaujas
Dynamics 365 Finance Drošības lomas publiskajā sektorā
Finanšu un operāciju programmas Drośíbas lomas Microsoft Power Platform

Kopsavilkums par resursiem, kas pieejami iepriekš definētām drošības lomām

Nākamajā tabulā ir aprakstīts, kurus resursus katrs drošības loma var izveidot.

Resursa Vides veidotājs Vides administrators Sistēmas pielāgotājs Sistēmas administrators
Pamatnes programma X X X X
Mākoņa plūsma X (ne-risinājumu zinošs) X X X
Savienotājs X (ne-risinājumu zinošs) X X X
Sakars* X X X X
Datu vārteja X X - X
Datplūsma X X - X
Dataverse tabulas - - X X
Modeļa vadīta programma X - X X
Risinājuma struktūra X - X X
Darbvirsmas plūsma** - - X X
AI Builder - - X X

*Savienojumi tiek izmantoti audekla programmās un Power Automate.

**Dataverse for Teams Lietotāji pēc noklusējuma nevar piekļūt darbvirsmas plūsmām. Jums ir jāatjaunina sava vide uz pilnām Dataverse iespējām un jāiegūst darbvirsmas plūsmas licences plāni , lai izmantotu darbvirsmas plūsmas.

Drošības lomu piešķiršana lietotājiem vidē bez Dataverse datu bāzes

Vidēm, kurās nav Dataverse datu bāzes, lietotājs, kuram vidē ir vides administratora loma, var piešķirt drošības lomas atsevišķiem lietotājiem vai grupām no Microsoft Entra ID.

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Izvélieties Vides> [izvélieties vidi].

  3. Elementā Piekļuve atlasiet Skatīti vienumam Vides administrators vai Vides veidotājs, lai pievienotu vai noņemtu personas jebkurai lomai.

    Ekrānuzņēmums, kurā parādīta drošības loma Power Platform atlasīšana administrēšanas centrā.

  4. Atlasiet Pievienot personas un pēc tam norādiet viena vai vairāku lietotāju vai grupu vārdu vai e-pasta adresi no Microsoft Entra ID.

    Ekrānuzņēmums, kurā redzama lietotāju pievienošana vides veidotāja lomai Power Platform administrēšanas centrā.

  5. Atlasiet Pievienot.

Drošības lomu piešķiršana lietotājiem vidē ar Dataverse datu bāzi

Drošības lomas var piešķirt atsevišķiem lietotājiem, īpašnieku darba grupām ungrupu darba grupām Microsoft Entra . Pirms piešķirat lietotājam lomu, pārbaudiet, vai lietotāja konts ir pievienots un iespējots vidē.

Parasti drošības loma var piešķirt tikai tiem lietotājiem, kuru konti ir iespējoti vidē. Lai piešķirtu drošības loma lietotāja kontam, kas ir atspējots vidē, ieslēdziet allowRoleAssignmentOnDisabledUsers programmā OrgDBOrgSettings.

  1. Pierakstieties Power Platform administrēšanas centrā.

  2. Izvélieties Vides> [izvélieties vidi].

  3. Elementā Access sadaļā Drošības lomas atlasiet Skatīt visu .

    Ekrānuzņēmums, kurā redzama opcija skatīt visas drošības lomas Power Platform administrēšanas centrā.

  4. Pārliecinieties, vai sarakstā ir atlasīta pareizā struktūrvienība, un pēc tam atlasiet lomu no lomu saraksta vidē.

  5. Atlasiet Pievienot personas un pēc tam norādiet viena vai vairāku lietotāju vai grupu vārdu vai e-pasta adresi no Microsoft Entra ID.

  6. Atlasiet Pievienot.

Drošības loma izveide, rediģēšana vai kopēšana, izmantojot jauno, moderno lietotāja interfeisu

Varat viegli izveidot, rediģēt vai kopēt drošības loma un pielāgot to atbilstoši savām vajadzībām.

  1. Dodieties uz administrēšanas Power Platform centru, navigācijas rūtī atlasiet Vides un pēc tam atlasiet vidi.

  2. Atlasiet Iestatījumi.

  3. Izvērsiet sadaļu Lietotāji + atļaujas.

  4. Atlasiet Drošības lomas.

  5. Izpildiet atbilstošo uzdevumu:

Drošības lomas izveide

  1. Komandjoslā atlasiet Jauna loma .

  2. Laukā Lomas nosaukums ievadiet jaunās lomas nosaukumu.

  3. Laukā Struktūrvienība atlasiet struktūrvienību, kurai pieder loma.

  4. Atlasiet, vai darba grupas dalībniekiem ir jāpārmanto loma.

    Ja šis iestatījums ir iespējots un loma ir piešķirta darba grupai, visi darba grupas dalībnieki pārmanto visas ar lomu saistītās atļaujas.

  5. Atlasiet vienumu Saglabāt.

  6. Definējiet drošības loma privilēģijas un rekvizītus.

Rediģējiet drošības lomu

Atlasiet lomas nosaukumu vai rindu un pēc tam atlasiet Rediģēt. Pēc tam definējiet drošības loma privilēģijas un īpašības.

Dažas iepriekš definētas drošības lomas nevar rediģēt. Ja mēģināt rediģēt šīs lomas, pogas Saglabāt un Saglabāt + Aizvērt nav pieejamas.

Drošības lomas kopēšana

Atlasiet drošības loma un pēc tam atlasiet Kopēt. Piešķiriet lomai jaunu nosaukumu. Pēc vajadzības rediģējiet drošības loma .

Tiek kopētas tikai privilēģijas, nevis norīkoti dalībnieki un darba grupas.

Drošības lomu auditēšana

Auditējiet drošības lomas , lai labāk izprastu izmaiņas, kas veiktas jūsu Power Platform vides drošībā.

Pielāgotas drošības lomas izveide vai konfigurēšana

Ja programma izmanto pielāgotu entītiju, tās atļaujas ir jāpiešķir konkrētai drošības lomai pirms programmas lietošanas. Šīs atļaujas var pievienot esošai drošības lomai vai izveidot pielāgotu drošības lomu.

Katrā drošības loma ir jāiekļauj minimālais privilēģiju kopums. Uzziniet vairāk par drošības lomām un atļaujām.

Padoms

Vide var uzturēt ierakstus, kurus var izmantot vairākas programmas. Iespējams, būs nepieciešamas vairākas drošības lomas, kas piešķir dažādas atļaujas. Piemēram:

  • Dažiem lietotājiem (saucot tos par redaktoriem), iespējams, būs tikai jālasa, jāatjaunina un jāpievieno citi ieraksti, tāpēc viņu drošības loma būs lasīšanas, rakstīšanas un pievienošanas atļaujas.
  • Citiem lietotājiem var būt nepieciešamas visas redaktoru atļaujas, kā arī iespēja izveidot, pievienot, dzēst un kopīgot. Drošības loma šiem lietotājiem būs izveidot, lasīt, rakstīt, pievienot, dzēst, piešķirt, pievienot (kam) un kopīgot atļaujas.

Pielāgotas drošības loma izveide ar minimālām atļaujām palaist programmu

  1. Piesakieties administrēšanas Power Platform centrā, navigācijas rūtī atlasiet Vides un pēc tam atlasiet vidi.

  2. Atlasiet Iestatījumi>Lietotāji + atļaujas>Drošības lomas.

  3. Atlasiet programmu atvērēja lomu un pēc tam atlasiet Kopēt.

  4. Ievadiet pielāgotās lomas nosaukumu un pēc tam atlasiet Kopēt.

  5. Drošības lomu sarakstā atlasiet jauno lomu un pēc tam atlasiet Citas darbības (...) >Rediģēt.

  6. Lomu redaktorā atlasiet cilni Pielāgotas entītijas .

  7. Sarakstā atrodiet savu pielāgoto tabulu un atlasiet atļaujas Lasīt, Rakstīt un Pievienot .

  8. Atlasiet vienumu Saglabāt un aizvērt.

Izveidojiet pielāgotu drošības loma no nulles

  1. Piesakieties administrēšanas Power Platform centrā, navigācijas rūtī atlasiet Vides un pēc tam atlasiet vidi.

  2. Atlasiet Iestatījumi>Lietotāji + atļaujas>Drošības lomas.

  3. Atlasiet Jauna loma.

  4. Cilnē Detalizēti ievadiet jaunās lomas nosaukumu.

  5. Citās cilnēs atrodiet savu entītiju un pēc tam atlasiet darbības un to veikšanas apjomu.

  6. Atlasiet cilni un meklējiet jūsu entītiju. Piemēram, atlasiet cilni Pielāgotas entītijas, lai iestatītu atļaujas pielāgotai entītijai.

  7. Atlasiet atļaujas Lasīt, Rakstīt , Pievienot.

  8. Atlasiet vienumu Saglabāt un aizvērt.

Minimālās atļaujas, lai palaistu programmu

Kad izveidojat pielāgotu drošības loma, lomai ir jābūt minimālo atļauju kopai, lai lietotājs varētu palaist programmu. Uzziniet vairāk par obligātajām minimālajām atļaujām.

Skatiet arī:

Piekļuves tiesību piešķiršana lietotājiem
Lietotāju piekļuves vidēm kontrolēšana: drošības grupas un licences
Kā tiek noteikta piekļuve ierakstam