Bezpieczeństwo użytkowników w środowisku
Microsoft Dataverse wykorzystuje model zabezpieczeń oparty na rolach do kontrolowania dostępu do bazy danych i jej zasobów w środowisku. Role zabezpieczeń służą do konfigurowania dostępu do wszystkich zasobów w środowisku lub do określonych aplikacji i danych w środowisku. Połączenie poziomów dostępu i uprawnień w roli zabezpieczeń określa, które aplikacje i dane użytkownicy mogą wyświetlać oraz w jaki sposób mogą wchodzić w interakcje z tymi aplikacjami i danymi.
Środowisko może nie mieć bazy danych lub mieć jedną bazę danych Dataverse. Role zabezpieczeń są przypisywane inaczej dla środowiska, które nie ma bazy danych Dataverse i środowiska, które mają bazę danych Dataverse.
Dowiedz się więcej o środowiskach w Power Platform.
Wstępnie zdefiniowane role zabezpieczeń
Środowiska zawierają predefiniowane role zabezpieczeń, które odzwierciedlają typowe zadania użytkowników. Wstępnie zdefiniowane role bezpieczeństwa są zgodne z najlepszą praktyką bezpieczeństwa "minimalnego wymaganego dostępu": zapewniają najmniejszy dostęp do minimalnych danych biznesowych, których użytkownik potrzebuje do korzystania z aplikacji. Te role zabezpieczeń mogą być przypisane do użytkownika, zespołu właścicieli, oraz grupowego zespołu. Wstępnie zdefiniowane role zabezpieczeń, które są dostępne w środowisku, zależą od typu środowiska i zainstalowanych w nim aplikacji.
Kolejny zestaw ról zabezpieczeń jest przypisany do użytkowników aplikacji. Te role zabezpieczeń są instalowane przez usługi i nie można ich zaktualizować.
Środowiska bez bazy danych usługi Dataverse
Twórca środowiska i Administrator środowiska są jedynymi wstępnie zdefiniowanymi rolami w środowiskach nie posiadających bazy danych Dataverse. Role te zostały opisane w poniższej tabeli.
| Rola zabezpieczeń | opis |
|---|---|
| Administrator środowiska | Rola Environment Admin może wykonywać wszystkie czynności administracyjne w środowisku, w tym:
|
| Twórca środowiska | Można tworzyć nowe zasoby skojarzone ze środowiskiem, w tym aplikacje, połączenia, niestandardowe interfejsy API i przepływy, używając Microsoft Power Automate. Jednak ta rola nie ma uprawnień dostępu do danych w środowisku. Twórcy środowisk mogą również rozprowadzać aplikacje tworzone przez siebie w środowisku do innych użytkowników w organizacji. Aplikacje mogą udostępniać indywidualnym użytkownikom, grupom zabezpieczeń lub wszystkim użytkownikom w organizacji. |
Środowiska z bazą danych usługi Dataverse
Jeśli środowisko ma bazę danych Dataverse, użytkownik musi mieć przypisaną rolę administratora systemu zamiast roli administratora środowiska, aby mieć pełne uprawnienia administratora.
Użytkownicy, którzy tworzą aplikacje łączące się z bazą danych i muszą tworzyć lub aktualizować encje i role zabezpieczeń, muszą mieć rolę Konfigurator systemu oprócz roli Twórca środowiska. Rola Twórca środowiska nie ma uprawnień do danych środowiska.
Poniższa tabela opisuje predefiniowane role zabezpieczeń w środowisku z bazą danych Dataverse. Nie można edytować tych ról.
| Rola zabezpieczeń | opis |
|---|---|
| Moduł otwierania aplikacji | Ma Minimalne uprawnienia do wykonywania typowych zadań. Ta rola jest głównie używana jako szablon do tworzenia niestandardowej roli zabezpieczeń dla aplikacji opartych na modelach. Nie ma żadnych uprawnień do podstawowych tabel biznesowych, takich jak Klient, Kontakt i Działanie. Ma jednak dostęp do odczytu na poziomie organizacji do tabel systemowych, takich jak proces, w celu obsługi odczytu systemowych- dostarczonych przepływów pracy. Ta rola zabezpieczeń jest używana podczas tworzenia nowej, niestandardowejroli zabezpieczeń. |
| Użytkownik podstawowy | Tylko dla encji standardowych, mogą uruchomić aplikację w środowisku i wykonywać typowe zadania na rekordach, których są właścicielami. Ma uprawnienia do podstawowych tabel biznesowych, takich jak konto, kontakt, aktywność i proces. Uwaga: Rola zabezpieczeń usługi Common Data Service Użytkownik została przemianowana na Użytkownik podstawowy. Zmieniona została tylko nazwa; uprawnienia użytkowników i przypisanie ról pozostały takie same. W przypadku rozwiązania z rolą zabezpieczeń Common Data Service Użytkownik należy zaktualizować rozwiązanie przed jego ponownym zaimportowaniem. W przeciwnym razie można nieumyślnie zmienić nazwę roli zabezpieczeń z powrotem na Użytkownik podczas importowania rozwiązania. |
| Delegat | Umożliwia, aby kod podszywał się pod kogoś innego lub działał jako inny użytkownik. Zazwyczaj używane z inną rolą zabezpieczeń, aby zezwolić na dostęp do rekordów. |
| Administrator usługi Dynamics 365 | Administrator Dynamics 365 to rola administratora usługi Microsoft Power Platform. Użytkownicy tej roli mogą wykonać funkcje administracyjne Microsoft Power Platform po samoobsługowej roli Administrator systemu. |
| Twórca środowiska | Można tworzyć nowe zasoby skojarzone ze środowiskiem, w tym aplikacje, połączenia, niestandardowe interfejsy API i przepływy, używając Microsoft Power Automate. Jednak ta rola nie ma uprawnień dostępu do danych w środowisku. Twórcy środowisk mogą również rozprowadzać aplikacje tworzone przez siebie w środowisku do innych użytkowników w organizacji. Aplikacje mogą udostępniać indywidualnym użytkownikom, grupom zabezpieczeń lub wszystkim użytkownikom w organizacji. |
| Globalny administrator usługi | Globalny administrator to rola administratora Microsoft 365. Osoba, która kupuje subskrypcję firmy Microsoft, jest globalnym administratorem i ma nieograniczoną kontrolę nad produktami w ramach subskrypcji i dostęp do większości danych. Użytkownicy tej roli muszą samoobsługowo podsyłać do roli Administrator systemu. |
| Czytelnik globalny | Rola Czytelnik globalny nie jest jeszcze obsługiwana w centrum administracyjnym Power Platform. |
| Współpracownic używający Office | Ma uprawnienia do odczytu tabel, w których rekord został udostępniony organizacji. Nie ma dostępu do innych rekordów tabeli podstawowej i niestandardowej. Ta rola jest przypisana do zespołu właścicieli współpracowników Office, a nie do pojedynczego użytkownika. |
| Administrator Power Platform | Administrator Power Platform to rola globalnego administratora Microsoft Power Platform. Użytkownicy tej roli mogą wykonać funkcje administracyjne Microsoft Power Platform po samoobsługowej roli Administrator systemu. |
| Usługa Usuwania | Ma pełne uprawnienia do usuwania dla wszystkich encji, w tym encji niestandardowych. Ta rola jest używana głównie przez usługę i wymaga usunięcia rekordów we wszystkich encjach. Roli tej nie można przypisać do użytkownika ani zespołu. |
| Czytelnik usługi | Ma pełne uprawnienia do odczytu dla wszystkich encji, w tym encji niestandardowych. Rola ta jest wykorzystywana głównie przez usługę i wymaga odczytu wszystkich encji. Roli tej nie można przypisać do użytkownika ani zespołu. |
| Osoba zapisująca w usłudze | Ma pełne uprawnienia do tworzenia, odczytu i zapisu dla wszystkich encji, w tym encji niestandardowych. Ta rola jest wykorzystywana głównie przez usługę i wymaga tworzenia i aktualizowania rekordów. Roli tej nie można przypisać do użytkownika ani zespołu. |
| Pracownik pomocy technicznej | Ma pełne uprawnienia do odczytu do dostosowywania i ustawień zarządzania biznesowego, aby umożliwić personelowi pomocy technicznej rozwiązywanie problemów z konfiguracją środowiska. Ta rola nie ma dostępu do podstawowych rekordów. Roli tej nie można przypisać do użytkownika ani zespołu. |
| Administrator systemu | Ma pełne uprawnienia do dostosowywania środowiska lub administrowania nim, w tym tworzenia, modyfikowania i przypisywania ról zabezpieczeń. Może przeglądać wszystkie dane w środowisku |
| Konfigurator systemu | Posiada pełne uprawnienia do dostosowywania środowiska. Może wyświetlać wszystkie dane tabeli niestandardowej w środowisku. Użytkownicy z tą rolą mogą jednak wyświetlać tylko rekordy utworzone przez siebie w tabelach Konto, Kontakt, Aktywność. |
| Właściciel aplikacji witryny internetowej | Użytkownik, który jest właścicielem rejestracji aplikacji sieci web w portalu Azure Portal. |
| Właściciel witryny internetowej | Użytkownik, który utworzył witrynę Power Pages. Ta rola jest zarządzana i nie można jej zmienić. |
Oprócz wstępnie zdefiniowanych ról zabezpieczeń właśnie opisanych dla Dataverse, w środowisku mogą być dostępne inne role zabezpieczeń w zależności od posiadanych składników Power Platform — Power Apps, Power Automate, Microsoft Copilot Studio. Poniższa tabela zawiera linki do dalszych informacji.
| Składnik Power Platform | Informacja |
|---|---|
| Power Apps | Wstępnie zdefiniowane role zabezpieczeń dla środowisk z bazą danych Dataverse |
| Power Automate | Bezpieczeństwo i prywatność |
| Power Pages | Role wymagane do administrowania witryną internetową |
| Microsoft Copilot Studio | Przypisz role zabezpieczeń środowiska |
Środowiska: Dataverse for Teams
Dowiedz się więcej o predefiniowanych rolach zabezpieczeń w środowiskach Dataverse for Teams.
Role zabezpieczeń dostępne w danej aplikacji
W przypadku wdrożenia aplikacji Dynamics 365 w środowisku dodawane są inne role zabezpieczeń. Poniższa tabela zawiera linki do dalszych informacji.
| Aplikacja usługi Dynamics 365 | Dokumenty dotyczące ról zabezpieczeń |
|---|---|
| Dynamics 365 Sales | Wstępnie zdefiniowane role zabezpieczeń dotyczące sprzedaży |
| Dynamics 365 Marketing | Role zabezpieczeń dodawane przez Dynamics 365 Marketing |
| Dynamics 365 Field Service | Role + definicje Dynamics 365 Field Service |
| Rozwiązanie Dynamics 365 Customer Service | Role w aplikacji Obsługa wielokanałowa dla Customer Service |
| Dynamics 365 Customer Insights | Role aplikacji Customer Insights |
| Menedżer profilów aplikacji | Role i uprawnienia skojarzone z menedżerem profilu aplikacji |
| Dynamics 365 Finance | Role zabezpieczeń w sektorze publicznym |
| Aplikacje finansowe i operacyjne | Role zabezpieczeń w Microsoft Power Platform |
Podsumowanie zasobów dostępnych dla predefiniowanych ról zabezpieczeń
W poniższej tabeli opisano, które zasoby może autoryzować każda rola zabezpieczeń.
| Zasób | Twórca środowiska | Administrator środowiska | Konfigurator systemu | Administrator systemu |
|---|---|---|---|---|
| Aplikacja kanwy | X | X | X | X |
| Przepływ w chmurze | X (bez świadomości rozwiązania) | X | X | X |
| Łącznik | X (bez świadomości rozwiązania) | X | X | X |
| Połączenie* | X | X | X | X |
| Brama danych | - | X | - | X |
| Przepływ danych | X | X | X | X |
| Tabele Dataverse | - | - | X | X |
| Aplikacja oparta na modelu | X | - | X | X |
| Struktury rozwiązań | X | - | X | X |
| Przepływ pulpitu** | - | - | X | X |
| AI Builder | - | - | X | X |
*Połączenia są używane w aplikacjach kanw i Power Automate.
**Użytkownicy Dataverse for Teams domyślnie nie mają dostępu do przepływów pulpitów. Aby korzystać z przepływów pulpitu, należy zaktualizować środowisko do pełnych możliwości Dataverse i nabyć plany licencyjne przepływów pulpitu.