Drošības lomas un atļaujas

Lai kontrolētu piekļuvi datiem, jāiestata organizācijas struktūra, kas aizsargā sensitīvus datus un iespējo sadarbību. To varat izdarīt, iestatot struktūrvienības, drošības lomas un lauku drošības profilus.

Drošības lomas

Drošības lomas definē, kā dažādi lietotāji, kā, piemēram, pārdevēji, piekļūst dažādu tipu ierakstiem. Lai kontrolētu piekļuvi datiem, var modificēt esošās kārtulas, izveidot jaunas drošības lomas vai mainīt katram lietotājam piešķirtās drošības lomas. Katram lietotājam var būt vairākas drošības lomas. Skatīt Iepriekš definētas drošības lomas.

Drošības lomu atļaujas ir kumulatīvas: ja lietotājam ir vairāk nekā viena drošības loma, viņam ir katra atļauja, kas pieejama katrā lomā.

Katra drošības loma satur ierakstu līmeņa atļaujas un atļaujas, kas balstās uz uzdevumiem.

Ieraksta līmeņa atļaujas definē, kādus uzdevumus lietotājs ar piekļuvi ierakstam var veikt, piemēram, lasīt, izveidot, dzēst, rakstīt, piešķirt, kopīgot, pievienot un pievienot pie. Pievienot nozīmē pievienot ierakstam citu ierakstu, piemēram, darbību vai piezīmi. Pievienot pie nozīmē tikt pievienotam pie ieraksta. Papildu informācija: Ieraksta līmeņa atļaujas.

Dažādas atļaujas, pazīstamas arī kā uz uzdevumiem balstītas atļaujas veidlapas lejasdaļā, ļauj lietotājam veikt noteiktus dažādus (ar ierakstu nesaistītus) uzdevumus, piemēram, publicēt rakstus vai aktivizēt uzņēmuma kārtulas. Papildu informācija: Dažādas atļaujas.

Iekrāsotie apļi drošības lomas iestatījumu lapā definē piekļuves līmeni šai atļaujai. Piekļuves līmeņi nosaka, kādā dziļumā vai augstumā struktūrvienības hierarhijā lietotājs var izpildīt norādīto atļauju. Tālāk redzamajā tabulā ir attēloti piekļuves līmeņi programmā, sākot ar līmeni, kas dod lietotājiem visvairāk piekļuves.

Icon Apraksts
Access level global. Globāls. Šis piekļuves līmenis ļauj lietotājam piekļūt visiem ierakstiem organizācijā neatkarīgi no struktūrvienības hierarhijas līmeņa, kam pieder vide vai lietotājs. Lietotājiem ar struktūrvienības piekļuvi Globāls automātiski ir arī dziļā, lokālā un pamata piekļuve.

Šis piekļuves līmenis sniedz piekļuvi informācijai visā organizācijā, tādēļ tas jāierobežo atbilstoši organizācijas datu drošības plānam. Šis piekļuves līmenis parasti tiek piešķirts vadītājiem, kuriem ir pilnvaras organizācijā.

Programma atsaucas uz šo piekļuves līmeni kā Organizācija.
Access level deep. Dziļš. Šis piekļuves līmenis sniedz lietotājam piekļuvi ierakstiem lietotāja struktūrvienībā un visās tai pakļautajās struktūrvienībās.

Lietotājiem ar struktūrvienības piekļuvi Dziļš automātiski ir arī lokālā un pamata piekļuve.

Šis piekļuves līmenis sniedz piekļuvi informācijai visā struktūrvienībā un tai pakļautajās struktūrvienībās, un tas jāierobežo atbilstoši organizācijas datu drošības plānam. Šis piekļuves līmenis parasti tiek piešķirts vadītājiem, kuriem ir pilnvaras struktūrvienībās.

Programma atsaucas uz šo piekļuves līmeni kā Galvenā struktūrvienība un pakārtotās struktūrvienības.
Access level local. Lokāls. Šis piekļuves līmenis sniedz lietotājam piekļuvi ierakstiem lietotāja struktūrvienībā.

Lietotājiem ar struktūrvienības piekļuvi Lokāls automātiski ir arī pamata piekļuve.

Šis piekļuves līmenis sniedz piekļuvi informācijai visā struktūrvienībā, tādēļ tas jāierobežo atbilstoši organizācijas datu drošības plānam. Šis piekļuves līmenis parasti tiek piešķirts vadītājiem, kuriem ir pilnvaras struktūrvienībā.

Programma atsaucas uz šo piekļuves līmeni kā Struktūrvienība.
Access level basic. Pamata. Šis piekļuves līmenis sniedz lietotājam piekļuvi viņam piederošiem ierakstiem, objektiem, kas tiek koplietoti ar organizāciju, ar lietotāju kopīgotajiem objektiem un objektiem, kas kopīgoti ar darba grupu, kuras dalībnieks ir šis lietotājs.

Šis piekļuves līmenis parasti tiek piešķirts pārdošanas un klientu apkalpošanas pārstāvjiem.

Programma atsaucas uz šo piekļuves līmeni kā Lietotājs.
Access level none. Nav. Piekļuve nav atļauta.

Svarīgi

Lai pārliecinātos, ka lietotāji var aplūkot visus tīmekļa lietojumprogrammas apgabalus, piemēram, entītiju veidlapas, navigācijas joslu un vadības joslu, un piekļūt tiem, visās organizācijas drošības lomās jāiekļauj atļauja Lasīt Web Resource entītijai. Piemēram, bez lasīšanas atļaujas lietotājs nespēs atvērt veidlapu, kas satur tīmekļa resursu, un saņems šādu kļūdas paziņojumu: “Trūkst prvReadWebResource atļauju.” Papildu informācija: Izveidot vai rediģēt drošības lomu

Ieraksta līmeņa atļaujas

PowerApps un klientu piesaistīšanas programmas (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing un Dynamics 365 Project Service Automation), izmanto astoņas dažādas ieraksta līmeņa privilēģijas, kas nosaka lietotāju piekļuves līmeni noteiktam ierakstam vai ieraksta veidam.

Privilēģija Apraksts
Izveide Nepieciešama, lai izveidotu jaunu ierakstu. To, kādus ierakstus var izveidot, nosaka drošības lomā definētā piekļuves līmeņa atļauja.
Lasīt Nepieciešama, lai atvērtu ierakstu un apskatītu saturu. Drošības lomā definētā piekļuves līmeņa atļauja nosaka, kādus ierakstus var lasīt.
Rakstīšana Nepieciešama, lai mainītu ierakstu. Drošības lomā definētā piekļuves līmeņa atļauja nosaka, kādus ierakstus var mainīt.
Dzēšana Nepieciešama, lai neatgriezeniski dzēstu ierakstu. Drošības lomā definētā piekļuves līmeņa atļauja nosaka, kādus ierakstus var dzēst.
Pievienošana Nepieciešama, lai esošo ierakstu saistītu ar citu ierakstu. Piemēram, iespējai var pievienot piezīmi, ja lietotajam ir atļaujas Pievienot attiecībā uz šo piezīmi. Ieraksti, kurus var pievienot, ir atkarīgi no drošības lomai definētās piekļuves līmeņa atļaujas.
Attiecībās daudzi pret daudziem jābūt pievienošanas privilēģijām, kas attiecas uz abām tabulām, kas ir saistītas vai atsaistītas.
Pievienot pie Nepieciešama, lai ierakstu piesaistītu esošam ierakstam. Piemēram, ja lietotājam ir tiesības Pievienot pie attiecībā uz iespēju, lietotājs var iespējai pievienot piezīmi. Ieraksti, kurus var pievienot, ir atkarīgi no drošības lomai definētās piekļuves līmeņa atļaujas.
Piešķiršana Nepieciešama, lai ieraksta īpašumtiesības piešķirtu citam lietotājam. To, kādus ierakstus var dzēst, nosaka drošības lomai definētā piekļuves līmeņa atļauja.
Koplietošana Nepieciešama, lai dotu piekļuvi ierakstam citam lietotājam, saglabājot savu piekļuvi. Drošības lomā definētā piekļuves līmeņa atļauja nosaka, kādus ierakstus var kopīgot.

Drošības lomu ignorēšana

Ieraksta īpašnieks vai persona, kurai ir kopīgošanas privilēģija ierakstam, var kopīgot ierakstu ar citiem lietotājiem vai darba grupām. Kopīgošana noteiktiem ierakstiem var pievienot lasīšanas, rakstīšanas, dzēšanas, pievienošanas, piešķiršanas un kopīgošanas atļaujas.

Darba grupas primāri tiek izmantotas tādu ierakstu koplietošanai, kuriem darba grupas dalībnieki parasti nevar piekļūt. Papildu informācija: Drošības, lietotāju un darba grupu pārvaldība.

Nevar noņemt piekļuvi noteiktam ierakstam. Jebkuras izmaiņas drošības lomas privilēģijā tiks lietotas visiem šī tipa ierakstiem.

Grupas dalībnieka atļauju pārmantošana

Lietotāju un darba grupas atļaujas

  • Lietotāja atļaujas: lietotājam tiek tieši piešķirtas šīs atļaujas, piešķirot lietotājam drošības lomu. Lietotājs var izveidot ierakstus un piekļūt šiem ierakstiem, kas ir izveidoti/pieder lietotājam, pēc Pamata piekļuves līmeņa izveidei un lasīšanai piešķiršanas. Šis ir noklusējuma iestatījums jaunām drošības lomām.
  • Darba grupas atļaujas: lietotājam tiek piešķirtas šīs atļaujas kā darba grupas dalībniekam. Darba grupas dalībnieki, kam nav lietotāja atļauju, var tikai izveidot ierakstus ar darba grupu tikai kā īpašnieku, un viņiem ir piekļuve Darba grupai piederošajiem ierakstiem pēc Pamata piekļuves līmeņa izveidei un lasīšanai piešķiršanas.

Drošības lomu var iestatīt, lai darba grupas dalībniekam sniegtu tiešas Pamatlīmeņa piekļuves atļaujas. Darba grupas dalībnieks var izveidot viņam piederošus ierakstus un darba grupai piederošus ierakstus, kad ir piešķirts Pamata piekļuves līmenis izveidei. Kad ir piešķirts Pamata piekļuves līmenis lasīšanai, darba grupas dalībnieks var piekļūt ierakstiem, kas pieder gan šim darba grupas dalībniekam, gan darba grupai.

Šī dalībnieka atļauju mantojuma loma ir piemērojama Īpašniekam un Azure Active Directory (Azure AD) Grupas darba grupām.

Note

Pirms Team dalībnieka privilēģiju izlaišanas 2019. gada maijā, drošības lomas izturējās kā Team privilēģijas. Drošības lomas, kas ir izveidotas pirms šī laidiena kā Team privilēģijas un drošības lomas, kas izveidotas pēc šī laidiena, pēc noklusējuma ir iestatītas kā Lietotāju privilēģijas.

Drošības lomas izveide ar darba grupas dalībnieka atļauju mantošanu

Priekšnosacījumi

Šos iestatījumus var atrast Power Platform administrēšanas centrā, dodoties uz Vides> [atlasiet vidi] >Iestatījumi>Lietotāji + atļaujas>Drošības lomas.

Pārliecinieties, ka jums ir sistēmas administratora drošības loma vai līdzvērtīgas atļaujas.

Pārbaudiet savu drošības lomu, kā norādīts:

  1. Atlasiet vidi un pēc tam dodieties uz Iestatījumi>Lietotāji + atļaujas>Drošības lomas.

  2. Komandjoslā atlasiet Jauns.

  3. Ievadiet lomas nosaukumu.

  4. Nolaižamajā sarakstā atlasiet Dalībnieka atļauju mantošana.

  5. Atlasiet Tiešā lietotāja/Pamata piekļuves līmenis un Darba grupas atļaujas.

  6. Katrā cilnē iestatiet atbilstošas atļaujas katrai entītijai.

    Lai mainītu atļaujas piekļuves līmeni, atlasiet piekļuves līmeņa simbolu, līdz ieraugāt vēlamo simbolu. Pieejamie piekļuves līmeņi ir atkarīgi no tā, vai ieraksta tips pieder organizācijai vai lietotājam.

Note

Varat iestatīt šo atļauju mantojuma rekvizītu visām gatavām drošības lomām, izņemot Sistēmas administratora lomu. Kad lietotājam ir piešķirta atļauju pārmantošanas loma, lietotājs tieši saņem visas atļaujas tāpat kā drošības loma bez atļauju pārmantošanas.

Dalībnieka privilēģiju mantojuma vajadzībām var atlasīt tikai pamatlīmeņa atļaujas. Ja jums ir nepieciešams nodrošināt piekļuvi pakārtotai struktūrvienībai, jums būs jāpaaugstina privilēģija uz Dziļo; piemēram, ir jāpiešķir drošības loma grupas darba grupai, un jūs vēlaties, lai šīs grupas dalībnieki varētu pievienot kontam. Jūs iestatāt drošības lomu ar pamatlīmeņa dalībnieka privilēģiju mantošanu un pievienošanas kontam privilēģijā jūs to iestatāt uz Dziļu. Tas ir tāpēc, ka pamata privilēģijas ir piemērojamas tikai lietotāja struktūrvienībai.

Skatiet arī

Video: administrēt programmu lietotājus, drošības lomas, grupas un lietotājus Power Platform administrēšanas centrā
Videoklips: Pārbaudes piekļuves līdzeklis