Configurați securitatea utilizatorului într-un mediu
Microsoft Dataverse folosește un model de securitate bazat pe roluri pentru a controla accesul la o bază de date și la resursele acesteia într-un mediu. Utilizați roluri de securitate pentru a configura accesul la toate resursele dintr-un mediu sau la anumite aplicații și date din mediu. O combinație de niveluri de acces și permisiuni într-un rol de securitate determină ce aplicații și date pot vizualiza utilizatorii și cum pot interacționa cu acele aplicații și date.
Un mediu poate avea nicio bază de date sau o singură Dataverse bază de date. Alocați roluri de securitate în mod diferit pentru medii care nu au nicio Dataverse bază de date și medii care au un Dataverse baza de date.
Aflați mai multe despre medii în Power Platform.
Rolurile de securitate predefinite
Mediile includ roluri de securitate predefinite care reflectă sarcinile comune ale utilizatorului. Rolurile de securitate predefinite urmează cele mai bune practici de securitate de „acces minim necesar”: oferă cel mai mic acces la datele de afaceri minime de care un utilizator are nevoie pentru a utiliza o aplicație. Aceste roluri de securitate pot fi atribuite unui utilizator, echipă de proprietar și echipă de grup. Rolurile de securitate predefinite care sunt disponibile într-un mediu depind de tipul de mediu și de aplicațiile pe care le-ați instalat în acesta.
Un alt set de roluri de securitate este atribuit utilizatorilor aplicației. Aceste roluri de securitate sunt instalate de serviciile noastre și nu pot fi actualizate.
Medii fără o bază de date Dataverse
Creator de mediu și Administrator de mediu sunt singurele roluri predefinite pentru mediile care nu au o bază de date Dataverse. Aceste roluri sunt descrise în tabelul următor.
Rol de securitate | Descriere |
---|---|
Administrator de mediu | Rolul administrator de mediu poate efectua toate acțiunile administrative într-un mediu, inclusiv:
|
Creator de mediu | Poate crea resurse noi asociate unui mediu, inclusiv aplicații, conexiuni, API-uri personalizate și fluxuri folosind Microsoft Power Automate. Cu toate acestea, acest rol nu are privilegii de a accesa date într-un mediu. Creatorii de mediu pot, de asemenea, distribui aplicațiile pe care le construiesc într-un mediu altor utilizatori din organizația dvs. Aceștia pot partaja aplicația cu utilizatori individuali, grupuri de securitate sau cu toți utilizatorii din organizație. |
Medii cu o bază de date Dataverse
Dacă mediul are o bază de date Dataverse , unui utilizator trebuie să i se atribuie rolul de administrator de sistem în loc de rolul administrator de mediu pentru a avea privilegii de administrator complete.
Utilizatorii care creează aplicații care se conectează la baza de date și trebuie să creeze sau să actualizeze entități și roluri de securitate trebuie să aibă rolul persoană care particularizează sistemul pe lângă rolul creator de mediu. Rolul creator de mediu nu are privilegii asupra datelor din mediu.
Următorul tabel descrie rolurile de securitate predefinite într-un mediu care are o bază de date Dataverse . Nu puteți edita aceste roluri.
Rol de securitate | Descriere |
---|---|
App Opener | Are privilegii minime pentru sarcini comune. Acest rol este folosit în principal ca șablon pentru crearea unui rol de securitate personalizat pentru aplicațiile bazate pe model. Nu are privilegii pentru tabelele principale de afaceri, cum ar fi Cont, Contact și Activitate. Cu toate acestea, are acces de citire la nivel de organizație la tabelele de sistem, cum ar fi Proces, pentru a sprijini sistemul de citire- fluxurile de lucru furnizate. Rețineți că acest rol de securitate este folosit atunci când este creat un un rol de securitate nou, personalizat. |
Utilizator de bază | Numai pentru entitățile ieșite din cutie, pot rula o aplicație în mediu și pot efectua sarcini comune în înregistrările pe care le dețin. Are privilegii la tabelele principale de afaceri, cum ar fi Cont, Contact și Activitate. Notă: Common Data Service Utilizatorul rol de securitate a fost redenumit Utilizator de bază. Doar numele a fost schimbat; privilegiile utilizatorului și atribuirea rolurilor sunt aceleași. Dacă aveți o soluție cu Common Data Service Utilizator rol de securitate, ar trebui să actualizați soluția înainte de a o importa din nou. În caz contrar, este posibil să schimbați din greșeală numele rol de securitate la Utilizator când importați soluția. |
Delegare | Permite codului să uzurpare identitatea sau să ruleze ca alt utilizator. De obicei folosit cu un alt rol de securitate pentru a permite accesul la înregistrări. |
Administrator Dynamics 365 | Administratorul Dynamics 365 este un rol de administrator al serviciului Microsoft Power Platform. Utilizatorii acestui rol pot face funcții de administrare pe Microsoft Power Platform după ce se auto-elevează la rolul de administrator de sistem. |
Creator de mediu | Poate crea resurse noi asociate unui mediu, inclusiv aplicații, conexiuni, API-uri personalizate și fluxuri folosind Microsoft Power Automate. Cu toate acestea, acest rol nu are niciun privilegiu pentru a accesa datele într-un mediu. Creatorii de mediu pot, de asemenea, distribui aplicațiile pe care le construiesc într-un mediu altor utilizatori din organizația dvs. Aceștia pot partaja aplicația cu utilizatori individuali, grupuri de securitate sau cu toți utilizatorii din organizație. |
Administrator global | Administratorul global este un Microsoft 365 rol de administrator. O persoană care achiziționează abonamentul Microsoft Business este un administrator global și are control nelimitat asupra produselor din abonament și acces la majoritatea datelor. Utilizatorii acestui rol trebuie să auto-elevate la rolul de administrator de sistem. |
Cititor global | Rolul Global Reader nu este încă acceptat în Power Platform centrul de administrare. |
Colaborator Office | Are permisiunea de citire pentru tabelele în care o înregistrare a fost partajată cu organizația. Nu are acces la alte înregistrări de bază și personalizate de tabel. Acest rol este atribuit echipei de proprietari Colaboratori Office și nu unui utilizator individual. |
Administrator Power Platform | Power Platform administrator este un Microsoft Power Platform rol de administrator de servicii. Utilizatorii acestui rol pot face funcții de administrare pe Microsoft Power Platform după ce se auto-elevează la rolul de administrator de sistem. |
Serviciu șters | Are permisiunea de ștergere completă pentru toate entitățile, inclusiv pentru entitățile personalizate. Acest rol este utilizat în principal de serviciu și necesită ștergerea înregistrărilor din toate entitățile. Acest rol nu poate fi atribuit unui utilizator sau unei echipe. |
Cititor serviciu | Are permisiunea de citire completă pentru toate entitățile, inclusiv pentru entitățile personalizate. Acest rol este utilizat în principal de serviciu și necesită citirea tuturor entităților. Acest rol nu poate fi atribuit unui utilizator sau unei echipe. |
Editor serviciu | Are permisiunea de creare, citire și scriere completă pentru toate entitățile, inclusiv pentru entitățile personalizate. Acest rol este utilizat în principal de serviciu și necesită crearea și actualizarea înregistrărilor. Acest rol nu poate fi atribuit unui utilizator sau unei echipe. |
Utilizator de asistență | Are permisiunea de citire completă pentru personalizare și setări de gestionare a afacerii, care permit personalului de asistență să depaneze problemele de configurare a mediului. Acest rol nu are acces la înregistrările de bază. Acest rol nu poate fi atribuit unui utilizator sau unei echipe. |
Administrator de sistem | Are permisiune completă de a personaliza sau de a administra mediul, inclusiv crearea, modificarea și atribuirea de roluri de securitate. Poate vizualiza toate datele din mediu. |
Persoană care particularizează sistemul | Are permisiune completă de a personaliza mediul. Poate vizualiza toate datele personalizate din tabel din mediu. Cu toate acestea, utilizatorii cu acest rol pot vizualiza numai înregistrările pe care le creează în tabelele Cont, Contact, Activitate. |
Proprietarul aplicației site-ului web | Un utilizator care deține înregistrarea aplicației pentru site-ul web în portalul Azure. |
Proprietarul site-ului | Utilizatorul care a creat Power Pages site-ul web. Acest rol este gestionat și nu poate fi schimbat. |
Pe lângă rolurile de securitate predefinite descrise pentru Dataverse, alte roluri de securitate pot fi disponibile în mediul dumneavoastră, în funcție de Power Platform componentele—Power Apps, Power Automate, Microsoft Copilot Studio—ai. Următorul tabel oferă link-uri către mai multe informații.
Componentă Power Platform | Informaţii |
---|---|
Power Apps | Roluri de securitate predefinite pentru medii cu o bază de date Dataverse |
Power Automate | Securitate și confidențialitate |
Power Pages | Roluri necesare pentru administrarea site-ului web |
Microsoft Copilot Studio | Atribuiți roluri de securitate pentru mediu |
Medii Dataverse for Teams
Aflați mai multe despre rolurile de securitate predefinite în Dataverse for Teams medii.
Roluri de securitate specifice aplicației
Dacă implementați aplicații Dynamics 365 în mediul dvs., sunt adăugate și alte roluri de securitate. Următorul tabel oferă link-uri către mai multe informații.
Aplicație Dynamics 365 | Documente privind rolul de securitate |
---|---|
Dynamics 365 Sales | Roluri de securitate predefinite pentru Vânzări |
Dynamics 365 Marketing | Rolurile de securitate adăugate de Dynamics 365 Marketing |
Dynamics 365 Field Service | Dynamics 365 Field Service roluri + definiții |
Dynamics 365 Customer Service | Roluri în Omnicanal pentru Customer Service |
Dynamics 365 Customer Insights | Roluri pentru Customer Insights |
Manager profiluri de aplicație | Roluri și privilegii asociate cu managerul de profil al aplicației |
Dynamics 365 Finance | Roluri de securitate în sectorul public |
Aplicații pentru finanțe și operațiuni | Roluri de securitate în Microsoft Power Platform |
Rezumatul resurselor disponibile pentru rolurile de securitate predefinite
Următorul tabel descrie ce resurse poate crea fiecare rol de securitate.
Resursă | Creator de mediu | Administrator de mediu | Persoană care particularizează sistemul | Administrator de sistem |
---|---|---|---|---|
Aplicație proiectată pe pânză | X | X | X | X |
Flux pentru cloud | X (neștient de soluție) | X | X | X |
Conector | X (neștient de soluție) | X | X | X |
Conexiune* | X | X | X | X |
Gateway de date | - | X | - | X |
Flux de date | X | X | X | X |
Dataverse tabele | - | - | X | X |
Aplicație proiectată pe bază de model | X | - | X | X |
Cadrul soluției | X | - | X | X |
Flux pentru desktop** | - | - | X | X |
AI Builder | - | - | X | X |
*Conexiunile sunt folosite în aplicațiile planșă de lucru și Power Automate.
**Dataverse for Teams utilizatorii nu au acces implicit la fluxurile desktop. Trebuie să vă actualizați mediul la capacități complete Dataverse și să achiziționați planuri de licență flux pentru desktop pentru a utiliza fluxurile desktop.
Atribuiți roluri de securitate utilizatorilor dintr-un mediu care nu are o bază de date Dataverse
Pentru mediile fără Dataverse bază de date, un utilizator care are rolul administrator de mediu în mediu poate atribui roluri de securitate utilizatorilor individuali sau grupurilor din Microsoft Entra ID.
Conectați-vă la Centrul de administrare Power Platform.
Selectați Medii> [selectați un mediu].
În dala Acces, selectați Vedeți tot pentru Administrator mediu sau Creator mediu pentru a adăuga sau elimina persoane pentru fiecare rol.
Selectați Adăugați persoane, apoi specificați numele sau adresa de e-mail a unuia sau mai multor utilizatori sau grupuri din Microsoft Entra ID.
Selectați Adăugare.
Atribuiți roluri de securitate utilizatorilor dintr-un mediu care are o bază de date Dataverse
Rolurile de securitate pot fi atribuite utilizatorilor individuali, echipele de proprietari și Microsoft Entra echipele de grup. Înainte de a atribui un rol unui utilizator, verificați că contul utilizatorului a fost adăugat și activat în mediu.
În general, un rol de securitate poate fi atribuit numai utilizatorilor ale căror conturi sunt activate în mediu. Pentru a atribui un rol de securitate unui cont de utilizator care este dezactivat în mediu, activați allowRoleAssignmentOnDisabledUsers în OrgDBOrgSettings.
Conectați-vă la Centrul de administrare Power Platform.
Selectați Medii> [selectați un mediu].
În caseta Acces , selectați Vedeți toate sub Roluri de securitate.
Asigurați-vă că unitatea de afaceri corectă este selectată în listă, apoi selectați un rol din lista de roluri din mediu.
Selectați Adăugați persoane, apoi specificați numele sau adresa de e-mail a unuia sau mai multor utilizatori sau grupuri din Microsoft Entra ID.
Selectați Adăugare.
Creați, editați sau copiați un rol de securitate folosind noua interfață de utilizare modernă
Puteți crea, edita sau copia cu ușurință un rol de securitate și îl puteți personaliza pentru a răspunde nevoilor dvs.
Accesați Power Platform centrul de administrare, selectați Mediuri în panoul de navigare, apoi selectați un mediu.
Selectați Setări.
Extindeți Utilizatori + Permisiuni.
Selectați Roluri de securitate.
Finalizați sarcina corespunzătoare:
Creați un rol de securitate
Selectați Rol nou din bara de comenzi.
În câmpul Nume rol , introduceți un nume pentru noul rol.
În câmpul Unitate de afaceri , selectați unitatea de afaceri căreia îi aparține rolul.
Selectați dacă membrii echipei ar trebui să moștenească rolul.
Dacă această setare este activată și rolul este atribuit unei echipe, toți membrii echipei moștenesc toate privilegiile asociate rolului.
Selectați Salvați.
Editarea unui rol de securitate
Selectați fie numele rolului, fie selectați rândul și apoi selectați Editare. Apoi definiți privilegiile și proprietățile rol de securitate.
Unele roluri de securitate predefinite nu pot fi editate. Dacă încercați să editați aceste roluri, butoanele Salvare și Salvare + Închidere nu sunt disponibile.
Copierea unui rol de securitate
Selectați rol de securitate și apoi selectați Copy. Dați rolului un nou nume. Editați rol de securitate după cum este necesar.
Sunt copiate doar privilegiile, nu membrii și echipele alocate.
Auditarea rolurilor de securitate
Auditați rolurile de securitate pentru a înțelege mai bine modificările aduse securității în Power Platform mediul dvs.
Creați sau configurați un rol de securitate particularizat
Dacă aplicația utilizează o entitate particularizată, privilegiile sale trebuie acordate în mod explicit într-un rol de securitate înainte ca aplicația să poată fi utilizată. Puteți adăuga aceste privilegii într-un rol de securitate existent sau puteți crea un rol de securitate particularizat.
Fiecare rol de securitate trebuie să includă un set minim de privilegii. Aflați mai multe despre rolurile și privilegiile de securitate.
Sfat
Mediul poate menține înregistrări care pot fi utilizate de mai multe aplicații. Este posibil să aveți nevoie de mai multe roluri de securitate care acordă privilegii diferite. De exemplu:
- Unii utilizatori (numiți-i Editori) ar putea avea nevoie doar să citească, să actualizeze și să atașeze alte înregistrări, astfel încât rol de securitate lor va avea privilegii de citire, scriere și adăugare.
- Alți utilizatori ar putea avea nevoie de toate privilegiile pe care le au editorii, plus capacitatea de a crea, de a adăuga, de a șterge și de a partaja. Rolul de securitate pentru acești utilizatori va avea privilegiile de creare, citire, scriere, adăugare, ștergere, atribuire, anexare și partajare.
Creați un rol de securitate personalizat cu privilegii minime pentru a rula o aplicație
conectați-vă la Power Platform centrul de administrare, selectați Medii în panoul de navigare, apoi selectați un mediu.
Selectați Setări>Utilizatori + permisiuni>Roluri de securitate.
Selectați rolul App Opener și apoi selectați Copy.
Introduceți numele rolului personalizat, apoi selectați Copiați.
În lista de roluri de securitate, selectați noul rol, apoi selectați Mai multe acțiuni (…) >Editare.
În editorul de roluri, selectați fila Entități personalizate .
Găsiți tabelul personalizat în listă și selectați Citește, Scrie și Adăugați privilegii.
Selectați Salvați și închideți.
Creați un rol de securitate personalizat de la zero
conectați-vă la Power Platform centrul de administrare, selectați Medii în panoul de navigare, apoi selectați un mediu.
Selectați Setări>Utilizatori + permisiuni>Roluri de securitate.
Selectați Rol nou.
Introduceți numele noului rol în fila Detalii .
În celelalte file, găsiți entitatea dvs. și apoi selectați acțiunile și domeniul de aplicare a acestora.
Selectați o filă, și căutați entitatea dvs. De exemplu, selectați fila Entități particularizate pentru a seta permisiunile pentru o entitate particularizată.
Selectați privilegiile Citire, Scrie, Adăugați.
Selectați Salvare și închidere.
Privilegii minime pentru a rula o aplicație
Când creați un rol de securitate personalizat, rolul trebuie să aibă un set de privilegii minime pentru ca un utilizator să ruleze o aplicație. Aflați mai multe despre privilegiile minime necesare.
Consultați și
Acordarea accesului pentru utilizatori
Controlul accesului utilizatorilor la medii: grupuri de securitate și licențe
Cum se determină accesul la o înregistrare