Назначение роли безопасности пользователю
Примите во внимание следующую информацию о ролях безопасности:
- Роли безопасности определяют доступ пользователя к данным с помощью набора уровней доступа и разрешений. Сочетание уровней доступа и разрешений в определенной роли безопасности ограничивает доступ пользователя на просмотр данных и взаимодействие с ними.
- Dataverse предоставляет набор ролей безопасности по умолчанию. При необходимости в организации можно создать новые роли безопасности, изменив одну из ролей безопасности по умолчанию, а затем сохранив ее под новым именем. См. Стандартные роли безопасности.
- Можно назначить несколько ролей безопасности пользователю. Ограничения нескольких ролей безопасности суммируются, то есть у пользователя есть разрешения, связанные со всеми ролями безопасности, назначенными пользователю.
- Роли безопасности связаны с подразделениями. После создания подразделения только связанные с ним роли безопасности будут доступны для пользователей в подразделении. Эту функцию можно использовать для предоставления доступа к тем данным, владельцем которых является данное подразделение.
- Когда включено разрешить владение записями в бизнес-единицах, вы можете назначать пользователям роли безопасности из разных бизнес-единиц независимо от того, к какой бизнес-единице они принадлежат.
- Чтобы назначить пользователю роли безопасности, вам необходимо иметь соответствующие привилегии (минимальные привилегии: Чтение и Назначение в таблице Роли безопасности). Чтобы предотвратить повышение привилегий роли безопасности, лицо, назначающее роль безопасности, не может назначить кому-либо еще роль безопасности, у которой больше прав, чем у назначившего лица. Например, менеджер-представитель отдела обслуживания клиентов не может назначить другому пользователю роль системного администратора. Эта проверка привилегий включает в себя проверку каждой привилегии, которую имеет назначающее лицо на уровне глубины привилегий и бизнес-единицы. Например, вы не можете назначить роль безопасности из другого бизнес-подразделения другому пользователю, если у вас нет роль безопасности с соответствующим уровнем привилегий, назначенным этим бизнес-подразделением.
Заметка
По умолчанию роль безопасности системного администратора имеет все необходимые привилегии для назначения ролей безопасности любому пользователю, включая назначение роли безопасности системного администратора. Если вам необходимо разрешить пользователям, которые не являются системными администраторами назначать роли безопасности вам следует рассмотреть возможность создания пользовательской роли безопасности со всеми привилегиями, перечисленными в разделе Создание административного пользователя и предотвращение повышения привилегии роли безопасности. Назначьте пользователю, который не является системным администратором, пользовательскую роль безопасности и другие роли безопасности, которые такой пользователь может назначать другим пользователям. Наличие требований к роли безопасности также необходимо, если вы разрешаете пользователям, не являющимися системными администраторами, управлять участниками рабочих групп в группах ответственных.
Дополнительную информацию о разнице между Microsoft ролями онлайн-сервисов Администратор и ролями безопасности см. в разделе Предоставление пользователям доступа.
Совет
Посмотрите следующее видео: Назначение ролей безопасности в центре администрирования Power Platform.
Выполните следующие действия, чтобы назначить роль безопасности.
Войдите в Центр администрирования Power Platform как системный администратор.
Выберите Среды, затем выберите среду из списка.
Выберите Параметры.
Выберите Пользователи + разрешения, а затем выберите Пользователи.
На странице Пользователи выберите пользователя, затем выберите Управление ролями безопасности.
Выберите или отмените выбор ролей безопасности. После завершения выберите Сохранить. После сохранения все выбранные роли становятся текущими назначенными ролями для пользователя. Невыбранные роли не назначаются.
Когда включено разрешить владение записями в бизнес-единицах можно выбрать роли безопасности из разных бизнес-единиц.
Внимание
Вы должны назначить по крайней мере один роль безопасности каждому пользователю прямо или косвенно как участнику рабочей группы. Служба не разрешает доступ пользователям, которым не назначена ни одна роль безопасности.
Заметка
Показанная выше панель отображает и управляет только прямыми назначениями ролей для пользователя. Управление групповыми командами объясняет, как просматривать и управлять ролями, назначенными участнику групповой команды.
Привилегии пользовательских настроек для владения записями в бизнес-подразделениях
Если вы включили разрешить владение записями в бизнес-единицах, ваши пользователи могут получить доступ к данным в других бизнес-подразделениях, если у них есть роль безопасности от этих бизнес-подразделений, которая назначена им напрямую. Пользователю также требуется роль безопасности, назначенная бизнес-подразделением пользователя с привилегиями из следующих таблиц, чтобы обновить настройки пользовательского интерфейса:
- Параметры пользователя карточки действия
- Сохраненное представление
- Диаграмма пользователя
- Панель мониторинга пользователя
- Данные экземпляра сущности пользователя
- Параметры интерфейса сущности пользователя
- Метаданные пользовательского приложения
Чтобы назначить роли безопасности пользователям в среде с одной базой данных Microsoft Dataverse или без нее, см. Настройка безопасности пользователей для ресурсов в среде.
(Необязательно) Назначение роли администратора
Вы можете разделить задачи администрирования среды онлайн-сервисов Microsoft между несколькими людьми, назначив Microsoft роли среды онлайн-сервисов Администратор пользователям, которых вы выберете для выполнения каждой роли. Подробную информацию о Microsoft ролях онлайн-сервисов Администратор см. в разделе Назначение ролей администратора.
Заметка
Microsoft Роли среды онлайн-сервисов Администратор действительны только для управления аспектами подписки на онлайн-сервисы. Эти роли не влияют на разрешения в службе.
Автоматическое назначение ролей
Когда пользователи добавляются в Dataverse, роли назначаются им автоматически на основе следующих критериев:
Пользователи с действующей лицензией автоматически получают соответствующие сопоставленные им роли. Удаление соответствующей лицензии приводит к автоматическому удалению роли. Управление ролями по умолчанию на основе лицензий не применимо для пользователей в средах следующих типов: Dataverse for Teams, Пробная версия и Разработчик.
Для типа среды по умолчанию роли Пользователь и Создатель ресурсов среды автоматически назначаются всем пользователям, добавленным в Dataverse.
В связанной с финансами и операциями среде Dataverse роль безопасности базы данных, финансов и операций базовый пользователь автоматически назначается всем активным пользователям в Dataverse.
Заметка
Ранее Microsoft Entra администраторам идентификаторов, включая Power Platform администраторов и администраторов служб Dynamics 365, автоматически назначалась системная роль Администратор в Dataverse. Теперь это уже не так. Однако если администратору ранее была назначена роль в Dataverse, удаление его из ролей Power Platform администратора и администратора службы Dynamics 365 не приведет к автоматическому удалению его системной роли Администратор в Dataverse. В настоящее время нет возможности определить, была ли роль назначена автоматически системой или вручную Администратор. Поэтому мы рекомендуем администраторам вручную удалять системную роль Администратор после удаления Microsoft Entra роли.
Сопоставление лицензии с ролью
Определенные роли назначаются пользователям автоматически (если это определено в вашей среде) при добавлении пользователей в Dataverse, на основании назначенной пользователям лицензии. Вы можете просмотреть сопоставление лицензий и ролей в среде, перейдя на страницу сопоставления лицензий и ролей в центре администрирования Power Platform.
Перейти в раздел Среды> [выберите среду] >Параметры>Пользователи + разрешения>Сопоставление лицензии с ролью.