Konfigurer brukersikkerhet i et miljø
Microsoft Dataverse bruker en rollebasert sikkerhetsmodell til å styre tilgang til en database og ressursene dens i et miljø. Bruk sikkerhetsroller til å konfigurere tilgang til alle ressurser i et miljø eller til bestemte apper og data i miljøet. En kombinasjon av tilgangsnivåer og tillatelser i en sikkerhetsrolle fastsetter hvilke apper og data brukere kan vise, og hvordan de kan samhandle disse appene og dataene.
Et miljø kan ha ingen eller én Dataverse-database. Du tilordner sikkerhetsroller på en annen måte for miljøer uten en Dataverse-database enn for miljøer som har en Dataverse-database.
Finn ut mer om miljøer i Power Platform.
Forhåndsdefinerte sikkerhetsroller
Miljøer omfatter forhåndsdefinerte sikkerhetsroller som gjenspeiler vanlige brukeroppgaver. De forhåndsdefinerte sikkerhetsrollene følger den anbefalte sikkerhetspraksisen om «ikke å gi mer tilgang enn nødvendig»: ikke gi brukere mer tilgang til forretningsdata enn det de trenger for å kunne bruke en app. Disse sikkerhetsrollene kan tilordnes til en bruker, et eierteam og et gruppeteam. De forhåndsdefinerte sikkerhetsrollene som er tilgjengelige i et miljø, avhenger av miljøtypen og appene du har installert i miljøet.
Et annet sett med sikkerhetsroller er tilordnet til programbrukere. Disse sikkerhetsrollene installeres av tjenestene våre og kan ikke oppdateres.
Miljøer uten en Dataverse-database
Miljøoppretter og miljøadministrator er de eneste forhåndsdefinerte rollene for miljøer uten en Dataverse-database. Disse rollene beskrives i følgende tabell.
Sikkerhetsrolle | Bekrivelse |
---|---|
Miljøadministrasjon | Miljøadministrator-rollen kan utføre alle administrative handlinger i et miljø, inkludert følgende:
|
Miljøoppretter | Kan opprette nye ressurser som er knyttet til et miljø, inkludert apper, tilkoblinger, egendefinerte API-er og flyter, ved hjelp av Microsoft Power Automate. Denne rollen har imidlertid ikke rettigheter til data i et miljø. Miljøutviklere kan også distribuere appene de utvikler i et miljø, til andre brukere i organisasjonen. De kan dele appen med individuelle brukere, sikkerhetsgrupper eller alle brukere i organisasjonen. |
Miljøer med en Dataverse-database
Hvis miljøet har en Dataverse-database, må en bruker være tilordnet rollen som systemadministrator i stedet for miljøadministrator for å få fullstendige administratorrettigheter.
Brukere som utvikler apper som kobler til databasen og som trenger å opprette eller oppdatere enheter og sikkerhetsroller, må du tilordne rollen Systemtilpasser i tillegg til Miljøutvikler-rollen. Miljøutvikler-rollen har ikke rettigheter til miljødataene.
Tabellen nedenfor beskriver de forhåndsdefinerte sikkerhetsrollene i et miljø som har en Dataverse-database. Du kan ikke redigere disse rollene.
Sikkerhetsrolle | Bekrivelse |
---|---|
Appåpner | Har minimumsrettigheter for vanlige oppgaver. Denne rollen brukes hovedsakelig som mal for å opprette en egendefinert sikkerhetsrolle for modelldrevne apper. Den har ingen rettigheter til kjerneforretningstabellene, for eksempel Forretningsforbindelse, Kontakt og Aktivitet. Den har imidlertid lesetilgang til systemtabeller, for eksempel Prosess, på Organisasjon-nivå for å støtte lesing av systemleverte arbeidsflyter. Merk at denne sikkerhetsrollen brukes når en ny, egendefinert sikkerhetsrolle opprettes. |
Basic-bruker | Kan kjøre en app i miljøet og utføre vanlige oppgaver for oppføringene de eier, men bare for bruksklare enheter. Den har rettigheter til kjerneforretningstabellene, for eksempel Forretningsforbindelse, Kontakt og Aktivitet. Obs!: Brukersikkerhetsrollen Common Data Service ble omdøpt til Grunnleggende bruker. Bare navnet er endret. Brukerrettigheter og rolletilordning er som før. Hvis du har en løsning med sikkerhetsrollen Common Data Service-bruker, må du oppdatere løsningen før du importerer den på nytt. Hvis ikke kan du endre navnet på sikkerhetsrollen tilbake til Bruker ved et uhell når du importerer løsningen. |
Representant | Gjør at kode kan representere, eller kjøre som, en annen bruker. Brukes vanligvis med en annen sikkerhetsrolle for å gi tilgang til oppføringer. |
Systemansvarlig for Dynamics 365 | Dynamics 365-administrator er en Microsoft Power Platform tjenesteadministratorrolle. Brukere av denne rollen kan utføre administratorfunksjoner på Microsoft Power Platform etter at de har hevet seg selv til rollen systemansvarlig. |
Miljøoppretter | Kan opprette nye ressurser som er knyttet til et miljø, inkludert apper, tilkoblinger, egendefinerte API-er og flyter, ved hjelp av Microsoft Power Automate. Denne rollen har imidlertid ikke rettigheter til data i et miljø. Miljøutviklere kan også distribuere appene de utvikler i et miljø, til andre brukere i organisasjonen. De kan dele appen med individuelle brukere, sikkerhetsgrupper eller alle brukere i organisasjonen. |
Global administrator | Global administratorer enadministrator Microsoft 365 rolle. En person som kjøper bedriftsabonnementet Microsoft er en global administrator og har ubegrenset kontroll over produktene i abonnementet og tilgang til de fleste data. Brukere av denne rollen må heve seg selv til rollen systemansvarlig. |
Global leser | Rollen Global leser støttes ennå ikke i administrasjonssenteret for Power Platform. |
Office-samarbeidspartner | Har lesetillatelse til tabeller der en oppføring ble delt med organisasjonen. Har ikke tilgang til andre kjerneoppføringer og egendefinerte tabelloppføringer. Denne rollen er tilordnet eierteamet for Office-samarbeidspartnere og ikke til en enkeltbruker. |
Power Platform-administrator | Power Platform Administrator er en Microsoft Power Platform tjeneste-administrator-rolle. Brukere av denne rollen kan utføre administratorfunksjoner på Microsoft Power Platform etter at de har hevet seg selv til rollen systemansvarlig. |
Tjeneste slettet | Har full slettetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever sletting av oppføringer i alle enheter. Denne rollen kan ikke tilordnes til en bruker eller et team. |
Tjenesteleser | Har full lesetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever lesing av alle enheter. Denne rollen kan ikke tilordnes til en bruker eller et team. |
Tjenesteskriver | Har full opprettings-, lese- og skrivetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever oppretting og oppdatering av poster. Denne rollen kan ikke tilordnes til en bruker eller et team. |
Støttebruker | Har full lesetilgang til innstillinger for tilpassing og forretningsadministrasjon, som gjør det mulig for støttepersonell å feilsøke problemer med konfigurasjon av miljø. Denne rollen har ikke tilgang til kjerneoppføringer. Denne rollen kan ikke tilordnes til en bruker eller et team. |
Systemansvarlig | Har full tillatelse til å tilpasse eller administrere miljøet, inkludert opprette, endre og tilordne sikkerhetsroller. Kan vise alle data i miljøet |
Systemtilpasser | Har alle tillatelser til å tilpasse miljøet. Kan vise alle egendefinerte tabelldata i miljøet. Brukere med denne rollen, kan imidlertid bare vise oppføringer de oppretter i tabeller for forretningsforbindelse, kontakt, aktivitet. |
Nettstedsappeier | En bruker som eier programregistreringen for nettstedet i Azure-portalen. |
Nettstedseier | Brukeren som opprettet Power Pages-nettstedet. Denne rollen administreres og kan ikke endres. |
I tillegg til de forhåndsdefinerte sikkerhetsrollene som er beskrevet for Dataverse, kan andre sikkerhetsroller være tilgjengelige i miljøet, avhengig av komponentene Power Platform —Power Apps, Power Automate, Microsoft Copilot Studio—du har. Tabellen nedenfor inneholder koblinger til mer informasjon.
Power Platform-komponent | Informasjon |
---|---|
Power Apps | Forhåndsdefinerte sikkerhetsroller for miljøer med en Dataverse database |
Power Automate | Sikkerhet og personvern |
Power Pages | Roller som kreves for nettstedsadministrasjon |
Microsoft Copilot Studio | Tilordne miljøsikkerhetsroller |
Dataverse for Teams-miljøer
Finn ut mer om forhåndsdefinerte sikkerhetsroller i Dataverse for Teams miljøer.
Appspesifikke sikkerhetsroller
Hvis du distribuerer Dynamics 365-apper i miljøet, blir andre sikkerhetsroller lagt til. Tabellen nedenfor inneholder koblinger til mer informasjon.
Dynamics 365-app | Sikkerhetsrolledokumenter |
---|---|
Dynamics 365 Sales | Forhåndsdefinerte sikkerhetsroller for Sales |
Dynamics 365 Marketing | Sikkerhetsroller lagt til av Dynamics 365 Marketing |
Dynamics 365 Field Service | Dynamics 365 Field Service Roller + definisjoner |
Dynamics 365 Customer Service | Roller i Omnikanal for Customer Service |
Dynamics 365 Customer Insights | Customer Insights-roller |
Behandling av approfil | Roller og rettigheter knyttet til appprofilbehandling |
Dynamics 365 Finance | Sikkerhetsroller i offentlig sektor |
Økonomi- og driftsapper | Sikkerhetsroller i Microsoft Power Platform |
Sammendrag av ressurser som er tilgjengelige for forhåndsdefinerte sikkerhetsroller
Tabellen nedenfor beskriver hvilke ressurser hver sikkerhetsrolle kan redigere.
Ressurs | Miljøoppretter | Miljøadministrasjon | Systemtilpasser | Systemadministrator |
---|---|---|---|---|
Lerretsapp | X | X | X | X |
Skyflyt | X (ikke-løsningsklar) | X | X | X |
Kobling | X (ikke-løsningsklar) | X | X | X |
Tilkobling* | X | X | X | X |
Datagateway | - | X | - | X |
Dataflyt | X | X | X | X |
Dataverse-tabeller | - | - | X | X |
Modelldrevet app | X | - | X | X |
Løsningsrammeverk | X | - | X | X |
Skrivebordsflyt** | - | - | X | X |
AI Builder | - | - | X | X |
*Tilkoblinger brukes i lerretsapper og Power Automate.
**Dataverse for Teams-brukere får som standard ikke tilgang til skrivebordsflyter. Du må oppgradere miljøet til fulle Dataverse-funksjoner og anskaffe lisensplaner for skrivebordsflyt for å kunne bruke skrivebordsflyter.
Tilordne sikkerhetsroller til brukere i et miljø som ikke har Dataverse-database
Når det gjelder miljøer uten Dataverse-database, kan en bruker som har rollen Miljøadministrator i miljøet, tildele sikkerhetsroller til enkeltbrukere eller grupper fra Microsoft Entra ID.
Velg Miljøer> [velg et miljø].
I flisen Tilgang velger du Se alle for Miljøadministrator eller Miljøoppretter for å legge til eller fjerne personer for rollene.
Velg Legg til personer, og angi deretter navnet eller e-postadressen til en eller flere brukere eller grupper fra Microsoft Entra ID.
Velg Legg til.
Tilordne sikkerhetsroller til brukere i et miljø som har en Dataverse-database
Sikkerhetsroller kan tilordnes til enkeltbrukere, eierteam og Microsoft Entra-gruppeteam. Før du tilordner en rolle til en bruker, kontrollerer du at brukerens konto er lagt til og aktivert i miljøet.
Generelt kan en sikkerhetsrolle bare tilordnes til brukere som har kontoer som er aktivert i miljøet. Hvis du vil tilordne en sikkerhetsrolle til en brukerkonto som er deaktivert i miljøet, aktiverer du allowRoleAssignmentOnDisabledUsers i OrgDBOrgSettings.
Velg Miljøer> [velg et miljø].
I Tilgang-flisen velger du Vis alle under Sikkerhetsroller.
Kontroller at den riktige forretningsenheten er valgt i listen, og velg deretter en rolle fra listen over roller i miljøet.
Velg Legg til personer, og angi deretter navnet eller e-postadressen til en eller flere brukere eller grupper fra Microsoft Entra ID.
Velg Legg til.
Opprett, rediger eller kopier en sikkerhetsrolle ved hjelp av det nye, moderne brukergrensesnittet
Du kan enkelt opprette, redigere eller kopiere en sikkerhetsrolle og tilpasse den etter dine behov.
Gå til administrasjonssenteret for Power Platform, velg Miljøer i navigasjonsruten, og velg deretter et miljø.
Velg Innstillinger.
Utvid Brukere + tillatelser.
Velg Sikkerhetsroller.
Fullfør den aktuelle oppgaven:
Opprett en sikkerhetsrolle
Velg Ny rolle fra kommandolinjen.
I feltet Rollenavn skriver du inn et navn for den nye rollen.
Velg forretningsenheten som rollen hører til i, i Forretningsenhet-feltet.
Velg om teammedlemmer skal arve rollen.
Hvis denne innstillingen er aktivert og rollen er tilordnet til et team, arver alle teammedlemmene alle rettighetene som er knyttet til rollen.
Velg Lagre.
Redigere en sikkerhetsrolle
Velg rollenavnet eller raden, og velg deretter Rediger. Definer deretter rettighetene og egenskapene for sikkerhetsrollen.
Enkelte forhåndsdefinerte sikkerhetsroller kan ikke redigeres. Hvis du prøver å redigere disse rollene, er ikke knappene Lagre og Lagre + lukk tilgjengelige.
Kopier en sikkerhetsrolle
Velg sikkerhetsrollen, og velg deretter Kopier. Gi rollen et nytt navn. Rediger sikkerhetsrollen etter behov.
Bare rettighetene kopieres, ikke tilordnede medlemmer og team.
Spor endringer i sikkerhetsroller
Overvåk sikkerhetsroller for å få en bedre forståelse av endringer som er gjort i sikkerheten i Power Platform miljøet.
Opprette eller konfigurere en tilpasset sikkerhetsrolle
Hvis appen bruker en egendefinert enhet, må rettighetene eksplisitt gis i en sikkerhetsrolle før appen kan brukes. Du kan enten legge til disse rettighetene i en eksisterende sikkerhetsrolle eller opprette en egendefinert sikkerhetsrolle.
Hver sikkerhetsrolle må omfatte et minimumssett med rettigheter før den kan brukes. Finn ut mer om sikkerhetsroller og rettigheter.
Tips
Miljøet kan vedlikeholde oppføringer som kan brukes av flere apper. Du trenger kanskje flere sikkerhetsroller som gir ulike rettigheter. Eksempel:
- Noen brukere (kall dem redaktører) trenger kanskje bare å lese, oppdatere og legge ved andre oppføringer, slik at sikkerhetsrollen får rettigheter til å lese, skrive og tilføye.
- Andre brukere kan ha behov for alle tilgangsrettighetene som redaktører har, samt muligheten til å opprette, legge til, slette og dele. Sikkerhetsrollen for disse brukerne har rettighetene opprette, lese, skrive, legge til, slette, tilordne, tilføye og dele.
Opprett en egendefinert sikkerhetsrolle med minimumsrettigheter for å kjøre en app
Logg deg på administrasjonssenteret for Power Platform, velg Miljøer i navigasjonsruten, og velg deretter et miljø.
Velg Innstillinger>Brukere + tillatelser>Sikkerhetsroller.
Velg rollen Appåpner, og velg deretter Kopier.
Skriv inn navnet på den egendefinerte rollen, og velg deretter Kopier.
Velg den nye rollen fra listen over sikkerhetsroller, og velg deretter Flere handlinger (…) >Rediger.
Velg fanen Egendefinerte enheter i redigeringsprogrammet for roller.
Finn den egendefinerte tabellen i listen, og velg rettighetene Les, Skriv og Tilføy.
Velg Lagre og lukk.
Opprette en tilpasset sikkerhetsrolle fra bunnen av
Logg deg på administrasjonssenteret for Power Platform, velg Miljøer i navigasjonsruten, og velg deretter et miljø.
Velg Innstillinger>Brukere + tillatelser>Sikkerhetsroller.
Velg Ny rolle.
Angi navnet på den nye rollen i Detaljer-fanen.
Finn enheten i de andre fanene, og velg deretter handlinger og omfanget for å utføre dem.
Velg en kategori, og søk etter enheten din. Velg for eksempel kategorien Egendefinerte enheter for å angi tillatelser for en egendefinert enhet.
Velg rettighetene Les, Skriv, Tilføy.
Velg Lagre og lukk.
Minimumsrettigheter for å kjøre en app
Når du oppretter en egendefinert sikkerhetsrolle, må rollen ha et sett med minimumsrettigheter for at en bruker skal kunne kjøre en app. Finn ut mer om obligatoriske minimumsrettigheter.
Se også
Gi brukere tilgang
Kontrollere brukertilgang til miljøer: sikkerhetsgrupper og lisenser
Hvordan tilgang til en oppføring bestemmes