Поделиться через

Создание или изменение роли безопасности для управления доступом

Создавайте роли безопасности или изменяйте привилегии, связанные с существующей ролью безопасности, для учета изменений в бизнес-требованиях. Вы можете экспортировать свои изменения как решение для создания резервной копии или для использования в другой реализации.

Эта статья также помогает убедиться, что у пользователей есть роль безопасности с минимальными привилегиями, необходимыми для выполнения базовых задач, таких как открытие приложений на основе модели. Обязательно посмотрите видео в разделе Минимум привилегий для распространенных задач.

Необходимые компоненты

Убедитесь, что у вас есть разрешение системного администратора. Если нет, обратитесь к системному администратору.

Создание роли безопасности

Чтобы создать роль безопасности, выполните следующие действия.

  1. Войдите в центр администрирования Power Platform.
  2. Выберите "Управление " на панели навигации.
  3. На панели "Управление " выберите среды и выберите среду.
  4. На панели команд выберите Параметры.
  5. Разверните узел "Пользователи и разрешения" и выберите роли безопасности.
  6. На панели команд выберите +Создать роль , чтобы получить доступ к панели "Создать роль".
  7. Введите имя роли.
  8. Выберите подразделение из раскрывающегося списка.
  9. Введите описание. Например, краткое утверждение о назначении.
  10. Введите область применения. Например, определите службу или приложение, где используется эта роль.
  11. Введите сводку основных привилегий таблицы. Например, ключевые бизнес-таблицы, для которых роль предоставляет доступ.
  12. Чтобы разрешить участникам команды наследовать привилегии этой роли при назначении ее команде, примите параметр наследования привилегий участника по умолчанию, который является уровнем доступа direct User (Basic) и привилегиями команды. Дополнительные сведения о параметре Наследование привилегий участника см. в разделе Роли безопасности и привилегии.
  13. Чтобы использовать новую роль для запуска приложений на основе модели, примите настройку по умолчанию Включить привилегии открытия приложений для запуска приложений на основе модели, для которой установлено значение Включено.
  14. Нажмите кнопку Сохранить. Отображаются свойства новой роли.

Предоставление прав доступа к таблице

Чтобы предоставить привилегии таблицы, выполните следующие действия.

Необходимо предоставить привилегии таблицы вашего приложения этой только что созданной роли безопасности. Просмотрите и обновите привилегии по умолчанию, скопированные из минимальных привилегий роли безопасности App Opener для распространенных задач. Некоторые привилегии предоставляют доступ на чтение на уровне организации, например привилегия для процессов (потоки), позволяющая пользователю запускать предустановленные системные потоки. Если вашему приложению или пользователю не требуется запускать потоки, предоставляемые системой, вы можете изменить эту привилегию на уровень Пользователь (базовый).

  1. Введите имя своей таблицы в поле ввода Поиск, чтобы найти таблицу вашего приложения.
  2. Выберите свою таблицу и задайте параметры разрешений.
  3. На панели команд выберите Сохранить.
  4. Повторите эти действия, чтобы предоставить привилегии каждой таблице в вашем приложении.

Создайте роль безопасности, скопировав существующую роль

Чтобы создать роль безопасности путем копирования существующей роли, выполните следующие действия.

  1. Войдите в центр администрирования Power Platform.
  2. Выберите "Управление " на панели навигации.
  3. На панели "Управление " выберите среды и выберите среду.
  4. На панели команд выберите Параметры.
  5. Разверните "Пользователи и разрешения" и выберите роли безопасности.
  6. Выберите роль безопасности, которую вы хотите скопировать.
  7. На панели команд выберите " Копировать роль безопасности ", чтобы отобразить диалоговое окно " Копировать роль ".
  8. Введите имя новой роли. Выберите Копировать.
  9. Введите описание. Например, краткое изложение его цели.
  10. Введите область применения. Например, определите службу или приложение, где используется эта роль.
  11. Введите сводку привилегий основной таблицы. Например, ключевые бизнес-таблицы, для которых роль предоставляет доступ.
  12. Вернитесь на страницу ролей безопасности и выберите созданную роль.
  13. Укажите привилегии для роли безопасности. Дополнительные сведения см. в разделе " Роли безопасности" и "Привилегии".
  14. Выберите Сохранить + закрыть.

Изменение параметров роли безопасности

Чтобы изменить параметры, такие как имя, описание, область применения и сводка, роли безопасности, выполните следующие действия.

Примечание

Невозможно изменить параметры ролей системы безопасности.

  1. Войдите в центр администрирования Power Platform.
  2. Выберите "Управление " на панели навигации.
  3. На панели "Управление " выберите среды и выберите среду.
  4. На панели команд выберите Параметры.
  5. Разверните Пользователи и разрешение и выберите Роли безопасности.
  6. Выберите роль безопасности, которую вы хотите изменить.
  7. На панели команд выберите Параметры.
  8. Обновите имя.
  9. Обновите описание. Например, краткое изложение его цели.
  10. Обновите область применения. Например, определите службу или приложение, где используется эта роль.
  11. Обновите сводку привилегий базовой таблицы. Например, ключевые бизнес-таблицы, для которых роль предоставляет доступ.
  12. Выберите Сохранить + закрыть.

Изменение привилегий роли безопасности

Прежде чем изменять роль безопасности, убедитесь, что вы понимаете принципы управления доступа к данным. Чтобы изменить привилегии роли безопасности, выполните следующие действия.

Заметка

Невозможно редактировать роль безопасности системного администратора. Вместо этого скопируйте роль безопасности системного администратора и внесите изменения в новую роль.

  1. Войдите в центр администрирования Power Platform.
  2. Выберите "Управление " на панели навигации.
  3. На панели "Управление " выберите среды и выберите среду.
  4. На панели команд выберите Параметры.
  5. Разверните Пользователи и разрешение и выберите Роли безопасности.
  6. Выберите роль безопасности, которую вы хотите изменить.
  7. Укажите привилегии для роли безопасности..
  8. Выберите Сохранить + закрыть.

Минимальные привилегии для стандартных задач

Убедитесь, что у пользователей есть роль безопасности с минимальными привилегиями, необходимыми для распространенных задач, таких как открытие приложений на основе модели.

Не используйте роль min prv apps use, доступную в Центре загрузки Майкрософт. Скоро будет выведено из эксплуатации. Вместо этого используйте или скопируйте предопределенную роль безопасности "Открытие приложения", затем установите соответствующие права.

  • Чтобы разрешить пользователям открывать приложение на основе модели или любое приложение Dynamics 365 Customer Engagement, назначьте роль Открытие приложения.

  • Чтобы разрешить пользователям просматривать таблицы, назначьте следующие права:

    • Базовые записи: привилегия на чтение таблицы, чтение сохраненного представления, создание/чтение/запись настроек пользовательского интерфейса сущности пользователя, а также назначение следующей привилегии на вкладке "Управление бизнесом": чтение пользователя.

  • При входе в Dynamics 365 для Outlook:

  • Для отображения элементов навигации для приложений Customer Engagement и всех кнопок назначьте роль безопасности "минимальные привилегии для приложений" или скопируйте эту роль безопасности для пользователя.

  • Для отображения сетки таблиц: назначьте привилегию чтения таблице

  • Для отображения таблиц: назначьте привилегию чтения таблице.

Уведомления о конфиденциальности

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности автоматически получают доступ к службе с помощью Dynamics 365 для телефонов и других клиентов. Примеры авторизованных ролей: генеральный директор, бизнес-менеджер, менеджер по продажам, продавец, системный администратор, настройщик системы и вице-президент по продажам.

Администратор имеет полный контроль (на уровне роли безопасности пользователя или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для телефонов. После этого пользователи получают доступ к Dynamics 365 Online с помощью Dynamics 365 для телефонов. Данные клиентов кэшируются в устройстве под управлением определенного клиента.

Типы данных клиентов, которые можно экспортировать из Dynamics 365 Online, основаны на определенных настройках на уровне безопасности пользователя и на уровне сущности. Данные, которые могут кэшироваться на устройстве конечного пользователя, включают данные записей, метаданные записей, данные сущностей, метаданные сущностей и бизнес-логику.

Dynamics 365 для планшетов и телефонов, а также Project Finder for Dynamics 365 (далее "Приложение") позволяет пользователям получать доступ к экземпляру Microsoft Dynamics CRM или Dynamics 365 с планшета и телефона. Для предоставления этой услуги Приложение обрабатывает и хранит информацию, такую как учетные данные пользователя и данные, обрабатываемые пользователем в Microsoft Dynamics CRM или Dynamics 365. Приложение предоставляется для использования только конечными пользователями клиентов Microsoft, которые являются авторизованными пользователями Microsoft Dynamics CRM или Dynamics 365. Приложение обрабатывает информацию пользователя от имени соответствующего клиента Microsoft, и Microsoft может раскрывать обрабатываемую Приложением информацию по указанию организации, предоставляющей пользователю доступ к Microsoft Dynamics CRM или Dynamics 365. Корпорация Майкрософт не использует информацию, обрабатываемую пользователями посредством Приложения, в каких-либо других целях.

Если пользователи используют Приложение для подключения к Microsoft Dynamics CRM (online) или Dynamics 365, устанавливая Приложение, пользователи дают согласие на передачу назначенного ИД своей организации и назначенного ИД конечного пользователя, а также ИД устройства в Microsoft в целях установления подключений на нескольких устройствах или для совершенствования Microsoft Dynamics CRM (online), Dynamics 365 или Приложения.

Данные о местонахождении. Если пользователи запрашивают и включают в Приложении услуги или функции, учитывающие местонахождение, Приложение может собирать и использовать точные данные об их местонахождении. Точные данные о местонахождении могут представлять собой данные системы глобального позиционирования (GPS), а также данные, в которых фигурируют расположенные поблизости вышки сотовой связи и точки доступа Wi-Fi. Приложение может отправлять данные о местонахождении в Microsoft Dynamics CRM или Dynamics 365. Приложение может отправлять данные о местонахождении в Карты Bing и в другие сторонние картографические службы, такие как Google Maps и Карты Apple, выбранные пользователем на телефоне пользователя, для обработки данных пользователя в Приложении. Пользователи могут отключить услуги или функции, основанные на данных о местонахождении, или отключить доступ Приложения к местонахождению пользователя путем отключения службы определения местонахождения или путем отключения доступа Приложения к службе определения местонахождения. Использование карт Bing пользователями регулируется соглашением об использовании карт Bing для конечных пользователей, доступным по адресу https://go.microsoft.com/?linkid=9710837, и заявлением о конфиденциальности карт Bing, доступным по адресу https://go.microsoft.com/fwlink/?LinkID=248686. Использование пользователями сторонних картографических служб, а также любой информации, предоставляемой пользователями таким службам, регулируется условиями использования для конечных пользователей и заявлениями о конфиденциальности соответствующих служб. Пользователям следует внимательно ознакомиться с такими и другими условиями использования для конечных пользователей и заявлениями о конфиденциальности.

Приложение может включать в себя ссылки на другие службы Майкрософт, а также на сторонние службы, практики обеспечения конфиденциальности и безопасности которых могут отличаться от соответствующих практик в Microsoft Dynamics CRM или Dynamics 365.  ЕСЛИ ПОЛЬЗОВАТЕЛИ ОТПРАВЛЯЮТ ДАННЫЕ В ДРУГИЕ СЛУЖБЫ МАЙКРОСОФТ ИЛИ СТОРОННИЕ СЛУЖБЫ, ИСПОЛЬЗОВАНИЕ ЭТИХ ДАННЫХ РЕГУЛИРУЕТСЯ ЗАЯВЛЕНИЯМИ О КОНФИДЕНЦИАЛЬНОСТИ СООТВЕТСТВУЮЩИХ СЛУЖБ. Во избежание неоднозначности: на данные, передаваемые за пределы Microsoft Dynamics CRM или Dynamics 365, не распространяется действие соглашений с пользователями в отношении Microsoft Dynamicss CRM или Dynamics 365 либо применимого центра управления безопасностью Microsoft Dynamics. Корпорация Майкрософт рекомендует пользователям ознакомиться с соответствующими заявлениями конфиденциальности других служб.

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности (исполнительный директор, управляющий сбытом, продавец, системный администратор, настройщик системы и вице-президент по сбыту) автоматически получают право на доступ к услуге путем использования Dynamics 365 для планшетов, а также других клиентов.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для планшетов. Пользователи затем могут осуществлять доступ к Dynamics 365 (online) с помощью Dynamics 365 для планшетов, и Данные клиента кэшируются на устройстве, на котором выполняется конкретный клиент.

В зависимости от определенных параметров на уровне безопасности пользователя и сущности типы Данных клиента, которые можно экспортировать из Dynamics 365 (online) и кэшировать на устройстве конечного пользователя, включают данные записей, метаданные записей, данные сущностей, метаданные сущностей и бизнес-логику.

Если вы используете Microsoft Dynamics 365 for Outlook, то при переходе в автономный режим создается копия данных, с которыми вы работаете, и сохраняется на вашем локальном компьютере. Эти данные передаются из Dynamics 365 (online) на компьютер с помощью безопасного подключения, при этом сохраняется связь между локальной копией и Dynamics 365 Online. При следующем входе в Dynamics 365 (online) локальные данные будут синхронизированы с Dynamics 365 (online).

Администратор с помощью ролей безопасности определяет, могут ли пользователи вашей организации переходить в автономный режим работы при работе с Microsoft Dynamics 365 for Outlook.

Пользователи и администратор могут настраивать сущности, загружаемые при автономной синхронизации, с помощью параметра Фильтры синхронизации в диалоговом окне Параметры. Либо пользователи и администраторы могут настраивать загружаемые (отправляемые) поля с помощью параметра Дополнительные параметры в диалоговом окне Фильтры синхронизации.

Если вы пользуетесь Dynamics 365 (Online), то при использовании функции "Синхронизация с Outlook" синхронизируемые данные Dynamics 365 "экспортируются" в Outlook. Связь между сведениями в Outlook и в Dynamics 365 (Online) сохраняется, чтобы гарантировать, что информация в этих системах остается актуальной. При синхронизации с Outlook загружаются только соответствующие коды записей Dynamics 365 для использования при попытке пользователя отследить и настроить элемент Outlook. Данные компании не хранятся на устройстве.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на синхронизацию данных Dynamics 365 с Outlook, с помощью ролей безопасности.

Если вы используете Microsoft Dynamics 365 (online), при экспорте данных в статический лист создается локальная копия экспортированных данных и сохраняется на вашем компьютере. Эти данные передаются из Dynamics 365 (online) на компьютер с помощью безопасного подключения, при этом связь между локальной копией и Dynamics 365 (online) не поддерживается.

При экспорте в динамический лист или сводную таблицу связь между листом Excel и Dynamics 365 (online) поддерживается. При каждом обновлении динамического листа или сводной таблицы вы будете проходить проверку подлинности в Dynamics 365 (online) с использованием своих учетных данных. Вы сможете увидеть только те данные, на просмотр которых у вас есть разрешения.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на экспорт данных в Excel, с помощью ролей безопасности.

Когда пользователи Dynamics 365 (online) печатают данные Dynamics 365, они фактически "экспортируют" эти данные из границы безопасности Dynamics 365 (online) в менее безопасную среду, в данном случае на бумагу.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над данными, которые можно извлечь. Однако после извлечения данные больше не защищены границей безопасности Dynamics 365 (online) и находятся под непосредственным контролем клиента.

Связанный контент

Концепции безопасностиПредопределенные роли безопасностиКопирование роли безопасности

  • Last updated on