Создание или изменение роли безопасности для управления доступом

  • Статья

Создавайте роли безопасности или изменяйте привилегии, связанные с существующей ролью безопасности, для учета изменений в бизнес-требованиях. Вы можете экспортировать свои изменения как решение для создания резервной копии или для использования в другой реализации.

Предварительные условия

Убедитесь, что у вас имеются разрешение системного администратора. Если нет, обратитесь к системному администратору.

Создание роли безопасности

  1. Выполните вход в центр администрирования Power Platform и выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите + Создать роль.

  4. Введите имя роли.

  5. Выберите подразделение.

  6. Чтобы разрешить членам команды наследовать привилегии этой роли, когда она назначена команде, примите настройку по умолчанию Наследование привилегий участника, которая имеет значение Непосредственный уровень доступа пользователя (базовый) и привилегии рабочей группы.

  7. Чтобы использовать новую роль для запуска приложений на основе модели, примите настройку по умолчанию Включить привилегии открытия приложений для запуска приложений на основе модели, для которой установлено значение Включено.

  8. Используйте новый или старый интерфейс, чтобы указать привилегии для роль безопасности.

  9. Выберите Сохранить. Отображаются свойства новой роли.

    Заметка

    Вы должны предоставить привилегии таблицы вашего приложения этой вновь созданной роли безопасности. Вам также необходимо просмотреть и обновить привилегии по умолчанию, которые были скопированы из минимальных привилегий роли безопасности «Открытие приложений» для распространенных задач. Существуют некоторые привилегии, предоставленные с доступом на чтение на уровне Организация, например «Процесс (потоки)», которые позволяют пользователю запускать потоки, предоставляемые системой. Если вашему приложению или пользователю не требуется запускать потоки, предоставляемые системой, вы можете изменить эту привилегию на уровень Пользователь (базовый).

  10. Введите имя своей таблицы в поле ввода Поиск, чтобы найти таблицу вашего приложения.

  11. Выберите свою таблицу и задайте Настройки разрешений. Затем выберите кнопку Сохранить.

    Заметка

    Возможно, вам придется повторить последние два шага этой процедуры, если в вашем приложении более одной таблицы.

Создание роли безопасности путем копирования роли

  1. Выполните вход в центр администрирования Power Platform и выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите роль безопасности, которую требуется скопировать.

  4. Выберите Копировать.

  5. Введите новое для новой роли.

  6. Выберите OK.

  7. Используйте новый или старый интерфейс, чтобы указать привилегии для роль безопасности.

  8. Выберите Сохранить + закрыть.

Изменение роли безопасности

Прежде чем изменять роль безопасности, убедитесь, что вы понимаете принципы управления доступа к данным.

Заметка

Невозможно редактировать роль безопасности системного администратора. Вместо этого скопируйте роль безопасности системного администратора и внесите изменения в новую роль.

  1. Выполните вход в центр администрирования Power Platform и выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите роль безопасности, которую требуется изменить.

  4. Используйте новый или старый интерфейс, чтобы указать привилегии для роль безопасности.

  5. Выберите Сохранить + закрыть.

Минимальные привилегии для стандартных задач

Убедитесь, что у ваших пользователей есть роль безопасности с минимальными привилегиями, необходимыми для обычных задач, таких как открытие приложений на основе модели.

Не используйте роль min prv apps use, доступную в Центре загрузки Майкрософт. Она скоро будет объявлена устаревшей. Вместо этого используйте или скопируйте предопределенную роль безопасности "Открытие приложения", затем установите соответствующие права.

  • Чтобы разрешить пользователям открывать приложение на основе модели или любое приложение Dynamics 365 Customer Engagement, назначьте роль Открытие приложения.

  • Чтобы разрешить пользователям просматривать таблицы, назначьте следующие права:

    • Базовые записи: право на чтение таблицы, чтение сохраненного представления, создание/чтение/запись настроек пользовательского интерфейса сущности пользователя и назначьте следующую привилегию на вкладке «Управление бизнесом»: Чтение пользователя.

  • При входе в Dynamics 365 for Outlook.

  • Для отображения элементов навигации для приложений Customer Engagement и всех кнопок назначьте роль безопасности "минимальные привилегии для приложений" или скопируйте эту роль безопасности для пользователя.

  • Для отображения сетки таблиц: назначьте привилегию чтения таблице

  • Для отображения таблиц: назначьте привилегию чтения таблице.

Уведомления о конфиденциальности

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности автоматически получают доступ к службе с помощью Dynamics 365 для телефонов и других клиентов. Примеры авторизованных ролей: генеральный директор, бизнес-менеджер, менеджер по продажам, продавец, системный администратор, специалист по настройке системы и вице-президент по продажам.

Администратор имеет полный контроль (на уровне роли безопасности пользователя или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для телефонов. После этого пользователи получают доступ к Dynamics 365 Online с помощью Dynamics 365 для телефонов. Данные клиентов кэшируются в устройстве под управлением определенного клиента.

Типы данных клиентов, которые можно экспортировать из Dynamics 365 Online, основаны на определенных настройках на уровне безопасности пользователя и на уровне сущности. Данные, которые могут кэшироваться на устройстве конечного пользователя, включают данные записей, метаданные записей, данные сущностей, метаданные сущностей и бизнес-логику.

Dynamics 365 для планшетов и телефонов и Project Finder для Dynamics 365 ("Приложение") позволяют пользователям получать доступ к своему экземпляру Microsoft Dynamics CRM или Dynamics 365 со своего планшета и телефона. Для предоставления этой услуги Приложение обрабатывает и хранит информацию, такую как учетные данные пользователя и данные, обрабатываемые пользователем в Microsoft Dynamics CRM или Dynamics 365. Приложение предоставляется только для использования конечными пользователями клиентов корпорации Майкрософт, имеющих право на использование Microsoft Dynamics CRM или Dynamics 365. Приложение обрабатывает информацию пользователя от имени соответствующего клиента корпорации Майкрософт, и корпорация Майкрософт может раскрывать обрабатываемую Приложением информацию по указанию организации, предоставляющей пользователю доступ к Microsoft Dynamics CRM или Dynamics 365. Корпорация Майкрософт не использует информацию, обрабатываемую пользователями посредством Приложения, в каких-либо других целях.

Если пользователи используют Приложение для подключения к Microsoft Dynamics CRM (сетевая версия) или Dynamics 365, то, устанавливая Приложение, пользователи дают согласие на передачу идентификатора, назначенного организации пользователя, идентификатора, назначенного конечному пользователю, а также идентификатора устройства корпорации Майкрософт в целях обеспечения возможности подключения на нескольких устройствах или совершенствования Microsoft Dynamics CRM (сетевая версия), Dynamics 365 либо Приложения.

Данные о местонахождении. Если пользователи запрашивают и включают в Приложении услуги или функции, учитывающие местонахождение, Приложение может собирать и использовать точные данные об их местонахождении. Точные данные о местонахождении могут представлять собой данные системы глобального позиционирования (GPS), а также данные, в которых фигурируют расположенные поблизости вышки сотовой связи и точки доступа Wi-Fi. Приложение может отправлять данные о местонахождении в Microsoft Dynamics CRM или Dynamics 365. Приложение может отправлять данные о местонахождении в Карты Bing и в другие сторонние картографические службы, такие как Google Maps и Карты Apple, выбранные пользователем на телефоне пользователя, для обработки данных пользователя в Приложении. Пользователи могут отключить услуги или функции, основанные на данных о местонахождении, или отключить доступ Приложения к местонахождению пользователя путем отключения службы определения местонахождения или путем отключения доступа Приложения к службе определения местонахождения. Использование карт Bing пользователями регулируется соглашением об использовании карт Bing для конечных пользователей, доступным по адресу https://go.microsoft.com/?linkid=9710837, и заявлением о конфиденциальности карт Bing, доступным по адресу https://go.microsoft.com/fwlink/?LinkID=248686. Использование пользователями сторонних картографических служб, а также любой информации, предоставляемой пользователями таким службам, регулируется условиями использования для конечных пользователей и заявлениями о конфиденциальности соответствующих служб. Пользователям следует внимательно ознакомиться с такими и другими условиями использования для конечных пользователей и заявлениями о конфиденциальности.

Приложение может включать в себя ссылки на другие службы Майкрософт, а также на сторонние службы, методики обеспечения конфиденциальности и безопасности которых могут отличаться от соответствующих методик в Microsoft Dynamics CRM или Dynamics 365.  ЕСЛИ ПОЛЬЗОВАТЕЛИ ОТПРАВЛЯЮТ ДАННЫЕ В ДРУГИЕ СЛУЖБЫ МАЙКРОСОФТ ИЛИ СТОРОННИЕ СЛУЖБЫ, ИСПОЛЬЗОВАНИЕ ЭТИХ ДАННЫХ РЕГУЛИРУЕТСЯ ЗАЯВЛЕНИЯМИ О КОНФИДЕНЦИАЛЬНОСТИ СООТВЕТСТВУЮЩИХ СЛУЖБ. Во избежание неоднозначности: на данные, передаваемые за пределы Microsoft Dynamics CRM или Dynamics 365, не распространяется действие соглашений с пользователями в отношении Microsoft Dynamics CRM или Dynamics 365 либо соответствующего центра управления безопасностью Microsoft Dynamics. Корпорация Майкрософт рекомендует пользователям ознакомиться с соответствующими заявлениями конфиденциальности других служб.

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности (исполнительный директор, управляющий сбытом, продавец, системный администратор и вице-президент по сбыту) автоматически получают право на доступ к услуге путем использования Dynamics 365 для планшетов, а также других клиентов.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для планшетов. Пользователи могут получить доступ к Dynamics 365 (online) с помощью Dynamics 365 для планшетов, и данные клиентов кэшируются в устройстве под управлением определенного клиента.

В зависимости от определенных параметров на уровне безопасности пользователя и сущности типы данных клиентов, которые можно экспортировать из Dynamics 365 (online) и кэшировать на устройстве конечного пользователя, включают данные записи, метаданные записи, данные сущности, метаданные сущности и бизнес-логику.

Если используется Microsoft Dynamics 365 for Outlook, при переходе в автономный режим создается копия данных, с которыми вы работаете, и сохраняется на локальном компьютере. Данные передаются из Dynamics 365 (online) на ваш компьютер с помощью безопасного подключения, и между локальной копией и Dynamics 365 Online сохраняется связь. При следующем входе в Dynamics 365 (online) локальные данные будут синхронизированы с Dynamics 365 (online).

Администратор определяет, обладают ли пользователи вашей организации разрешениями на переход в автономный режим в Microsoft Dynamics 365 for Outlook, с помощью ролей безопасности.

Пользователи и администратор могут настраивать сущности, загружаемые при автономной синхронизации, с помощью параметра Фильтры синхронизации в диалоговом окне Параметры. Либо пользователи и администраторы могут настраивать загружаемые (отправляемые) поля с помощью параметра Дополнительные параметры в диалоговом окне Фильтры синхронизации.

Если используется Dynamics 365 (online), при использовании функции синхронизации с Outlook, синхронизируемые данные Dynamics 365 экспортируются в Outlook. Для гарантии актуальности сведений сохраняется связь между сведениями в Outlook и сведениями в Dynamics 365 (online). При синхронизации с Outlook загружаются только соответствующие коды записей Dynamics 365 для использования при попытке пользователя отследить и настроить элемент Outlook. Данные компании не хранятся на устройстве.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на синхронизацию данных Dynamics 365 с Outlook, с помощью ролей безопасности.

Если вы используете Microsoft Dynamics 365 (online), в результате экспорта данных в статический лист будет создана локальная копия экспортируемых данных и сохранена на компьютере. Данные передаются из Dynamics 365 (online) на ваш компьютер с помощью безопасного подключения, и связь между локальной копией и Dynamics 365 (online) не сохраняется.

При экспорте в динамический лист или сводную таблицу связь между листом Excel и Dynamics 365 (online) сохраняется. Каждый раз при обновлении экспортированного динамического листа или сводной таблицы пользователь должен проходить аутентификацию в Dynamics 365 (online) с использованием своих учетных данных. Вы сможете увидеть только те данные, на просмотр которых у вас есть разрешения.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на экспорт данных в Excel, с помощью ролей безопасности.

Когда пользователи Dynamics 365 (online) печатают данные Dynamics 365, они фактически "экспортируют" эти данные за границы безопасности Dynamics 365 (online) в менее безопасную среду, в данном случае это лист бумаги.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над данными, которые можно извлечь. Однако после извлечения данных они больше не будут защищены средствами безопасности, предоставляемыми Dynamics 365 (online), и будут контролироваться непосредственно клиентом.

См. также

Концепции безопасностиПредопределенные роли безопасностиКопирование роли безопасности