Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Dataverse использует модель безопасности на основе ролей для управления доступом к базе данных и ее ресурсам в среде. Используйте роли безопасности для настройки доступа ко всем ресурсам в среде или к определенным приложениям и данным в среде. Сочетание уровней доступа и разрешений в роли безопасности определяет, какие приложения и данные пользователи могут просматривать и как они могут взаимодействовать с этими приложениями и данными.
Среда может не иметь баз данных или иметь одну базу данных Dataverse. Роли безопасности назначаются по разному для сред без базы данных Dataverse и сред с базой данных Dataverse.
Стандартные роли безопасности
Среды включают предопределенные роли безопасности, которые отражают общие задачи пользователей. Предопределенные роли безопасности следуют лучшей практике безопасности «минимально необходимый доступ»: они предоставляют минимально необходимый доступ к основным бизнес-данным, которые нужны пользователю для использования приложения. Эти роли безопасности могут быть назначены пользователю, рабочей группе-владельцу и командной группе. Предопределенные роли безопасности, доступные в среде, зависят от типа среды и установленных в ней приложений.
Другой набор ролей безопасности назначается пользователям приложения. Эти роли безопасности устанавливаются нашими службами и не могут быть обновлены.
Среды без базы данных Dataverse
Создатель среды и администратор среды — единственные предопределенные роли для сред без базы данных Dataverse. Эти роли описаны в следующей таблице.
| Роль безопасности | Описание: |
|---|---|
| Администратор среды | Роль администратора среды может выполнять все административные действия в среде, включая:
|
| Создатель среды | Может создавать новые ресурсы, связанные с средой, включая приложения, подключения, пользовательские API и потоки с помощью Microsoft Power Automate. Однако у этой роли нет прав получения доступа к данным в среде. Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации. |
Среды с базой данных Dataverse
Если среда имеет базу данных Dataverse, пользователю должна быть назначена роль системного администратора вместо роли администратора среды для получения полных привилегий администратора.
Пользователи, которые создают приложения, подключающиеся к базе данных и нуждающиеся в создании или обновлении сущностей, должны иметь роль "Настройщик системы" в дополнение к роли "Создатель среды". Роль "Создатель среды" не имеет привилегий на данные среды. Эти роли безопасности не имеют привилегии для создания или обновления ролей безопасности.
В следующей таблице описаны предопределенные роли безопасности в среде с базой данных Dataverse. Вы не можете изменять эти роли.
| Роль безопасности | Описание: |
|---|---|
| Открыватель приложений | Имеет минимальные привилегии для стандартных задач. Эта роль в основном используется в качестве шаблона для создания пользовательской роли безопасности для приложений на основе модели. У него нет никаких привилегий для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие». Однако он имеет доступ на чтение на уровне Организация к системным таблицам, например Процесс, для поддержки чтения рабочих процессов, предоставленных системой. Эта роль безопасности используется при создании новой настраиваемой роли безопасности. |
| Обычный пользователь | Только для готовых сущностей: может запускать приложение в среде и выполнять типовые задачи с записями, за которые он отвечает. Он имеет привилегии для основных бизнес-таблиц, таких как "Организация", "Контакт", "Действие" и "Процесс". Примечание. Роль безопасности Common Data Service Пользователь была переименована в Обычный пользователь. Только имя было изменено; привилегии пользователя и назначение ролей одинаковы. Если у вас есть решение с ролью безопасности Common Data Service User, вы должны обновить решение перед повторным импортом. В противном случае вы можете случайно изменить имя роль безопасности обратно на Пользователь при импорте решения. |
| Делегат | Позволяет коду олицетворять, или выполняться от лица другого пользователя. Обычно используется с другой ролью безопасности для обеспечения доступа к записям. |
| Администратор Dynamics 365 | администратор Dynamics 365 является ролью администратора службы Microsoft Power Platform. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышают себя до роли системного администратора. |
| Создатель среды | Может создавать новые ресурсы, связанные с средой, включая приложения, подключения, пользовательские API и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде. Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации. |
| Глобальный администратор | Global administrator — это роль администратора Microsoft 365. Лицо, приобретающее бизнес-подписку Майкрософт, является глобальным администратором и имеет неограниченный контроль над продуктами в рамках подписки и доступ к большинству данных. Пользователи этой роли должны самостоятельно повыситься до системной роли администратора. |
| Глобальный ридер | Роль Глобальный читатель еще не поддерживается в центре администрирования Power Platform. |
| Участник совместной работы Office | Имеет разрешение на чтение в отношении таблиц, к записи в которых организации предоставлен доступ. Не имеет доступа ни к каким другим записям основных и настраиваемых таблиц. Эта роль назначается ответственной группе участников совместной работы Office, а не отдельному пользователю. |
| Администратор Power Platform | администратор платформы Power Platform — это роль администратора службы Microsoft Power Platform. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышают себя до роли системного администратора. |
| Сервис удален | Имеет полное разрешение на удаление для всех сущностей, включая пользовательские. Эта роль в основном используется службой и требует удаления записей во всех сущностях. Эту роль нельзя назначить пользователю или рабочей группе. |
| Читатель сервисных данных | Имеет полное разрешение на чтение в отношении всех сущностей, включая пользовательские. Эта роль в основном используется службой и требует чтения всех сущностей. Эту роль нельзя назначить пользователю или рабочей группе. |
| Автор статей по обслуживанию | Имеет полное разрешение на создание, чтение и запись для всех сущностей, включая настраиваемые сущности. Эта роль в основном используется сервисом и требует создания и обновления записей. Эту роль нельзя назначить пользователю или рабочей группе. |
| Пользователь поддержки | Имеет полное разрешение на чтение для настройки и управления бизнесом, что позволяет сотрудникам службы поддержки устранять неполадки конфигурации среды. Эта роль не имеет доступа к основным записям. Эту роль нельзя назначить пользователю или рабочей группе. |
| Системный администратор | Имеет полное разрешение на настройку или администрирование среды, в том числе создание, изменение и назначение ролей безопасности. Может просматривать все данные в среде. |
| Настройщик системы | Имеет полное разрешение для настройки среды. Может просматривать все пользовательские табличные данные в среде. Однако пользователи с этой ролью могут просматривать только записи, которые они создают в таблицах Учётная запись, Контакт, Активность. |
| Владелец веб-приложения | Пользователь, которому принадлежит регистрация приложения website на портале Azure. |
| Владелец веб-сайта | Пользователь, создавший веб-сайт Power Pages. Эта роль управляется, и её нельзя изменить. |
Помимо предопределенных ролей безопасности, описанных для Dataverse, другие роли безопасности могут быть доступны в вашей среде в зависимости от компонентов Power Platform ( Power Apps, Power Automate, Microsoft Copilot Studio). В следующей таблице приведены ссылки на дополнительную информацию.
| Компонент Power Platform | Информация |
|---|---|
| Power Apps | Предопределенные роли безопасности для сред с базой данных Dataverse |
| Power Automate | Безопасность и конфиденциальность |
| Power Pages | Роли, необходимые для администрирования веб-сайта |
| Microsoft Copilot Studio | Назначение ролей безопасности среды |
Среды Dataverse for Teams
Узнайте больше о предопределенных ролях безопасности в средах Dataverse for Teams.
Роли безопасности для конкретного приложения
При развертывании Dynamics 365 приложений в среде добавляются другие роли безопасности. В следующей таблице приведены ссылки на дополнительную информацию.
| приложение Dynamics 365 | Документация по ролям безопасности |
|---|---|
| Dynamics 365 Sales | Предопределенные роли безопасности для Sales |
| Dynamics 365 Marketing | роли безопасности, добавленные Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service роли и определения |
| Dynamics 365 Customer Service | Роли в многоканальности для обслуживания клиентов |
| Dynamics 365 Customer Insights | Роли аналитики клиентов |
| Менеджер профилей приложений | Роли и привилегии, связанные с диспетчером профилей приложений |
| Dynamics 365 Finance | Роли безопасности в государственном секторе |
| Приложения для управления финансами и операциями | Роли безопасности в Microsoft Power Platform |
Сводка ресурсов, доступных для предопределенных ролей безопасности
В следующей таблице описано, какие ресурсы могут разрабатываться каждой ролью безопасности.
| Ресурс | Создатель среды | Администратор среды | Настройщик системы | Системный администратор |
|---|---|---|---|---|
| Canvas-приложение | X | X | X | X |
| Облачный поток | X (не осведомлен о решении) | X | X | X |
| разъём | X (не осведомлен о решении) | X | X | X |
| Подключение* | X | X | X | X |
| Шлюз данных | - | X | - | X |
| Поток данных | X | X | X | X |
| Таблицы Dataverse | - | - | X | X |
| Приложение на основе моделей | X | - | X | X |
| Платформа решений | X | - | X | X |
| Поток для рабочего стола** | - | - | X | X |
| AI Builder | - | - | X | X |
*Подключения используются в приложениях canvas и Power Automate.
Пользователи Dataverse for Teams по умолчанию не получают доступ к настольным потокам. Вам необходимо обновить среду до полных возможностей Dataverse и приобрести планы лицензий для настольных потоков для использования настольных потоков.