Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
[Эта статья является предварительной документацией и может быть изменена.]
Управление доступом на основе ролей (RBAC) в Центре администрирования Microsoft Power Platform — это модель безопасности, помогающая организациям управлять тем, кто и какие действия может выполнять с ресурсами Power Platform с уверенностью и гибкостью. Power Platform RBAC предоставляет современный подход к управлению доступом, что упрощает назначение и применение разрешений для пользователей, групп и автоматизации программного обеспечения.
Important
- Это предварительная версия функции.
- Предварительные версии функций не предназначены для использования в производственной среде и могут иметь ограниченную функциональность. Для этих функций действуют дополнительные условия использования и они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.
С помощью Power Platform RBAC администраторы могут:
- Укажите, кто имеет доступ к определенным ресурсам.
- Определите, какие действия могут выполнять пользователи, такие как создание, управление или просмотр.
- Назначать разрешения на различных уровнях: организация (клиент), группы сред и отдельные среды.
RBAC работает на уровне API Power Platform, представляющего административный контроль над ресурсами, в то время как Dataverse продолжает предоставлять собственный базовый RBAC для бизнес-данных в средах.
Замечание
В настоящее время RBAC ориентировано на расширение поддержки субъектов-служб и управляемых удостоверений в API Power Platform и различных SDK управления. Разрешения "только чтение", а также "чтение и запись", назначаемые на уровнях ниже всего клиента для пользовательского интерфейса центра администрирования Power Platform, присутствуют в плане разработки, однако работа над ними пока не завершена.
Преимущества Power Platform RBAC
- Гранулированный доступ: назначение ролей на уровне арендатора, группы окружений или уровня окружения для точного управления.
- Встроенные роли: используйте роли по умолчанию (например, администратор среды и Maker), чтобы соответствовать политикам доступа вашей организации.
- Гибкое определение области применения: роли можно применять на широких или узких уровнях, чтобы соответствовать операционным потребностям.
- Наследование: назначения на более высоком уровне, например на уровне клиента, наследуются более низкими уровнями, такими как группы сред и среды.
Основные понятия
Субъекты безопасности
Субъект безопасности — это сущность в Microsoft Entra ID, которой можно предоставить доступ через назначения ролей RBAC. Поддерживаемые субъекты безопасности включают:
- Субъекты-пользователи: пользователи-люди в Microsoft Entra ID, использующие свой адрес электронной почты.
- Группы: группы с включенной поддержкой безопасности в Microsoft Entra ID, используя их идентификатор группы.
- Субъекты-службы/управляемые удостоверения: регистрации приложений в Microsoft Entra ID, а также системные и определяемые пользователями управляемые удостоверения. Назначаются с использованием соответствующих идентификаторов объектов предприятия.
Объем
Это уровень иерархии, на котором выполняется назначение.
- Клиент: широкие разрешения для всех групп сред и сред.
- Группа среды: логическая группировка сред для коллективного управления. Разрешения применяются ко всем средам в группе.
- Среда: отдельная рабочая область для приложений, агентов, данных и автоматизации. Разрешения применяются ко всем ресурсам в этой конкретной среде.
Назначения на более общих уровнях предоставляют унаследованные разрешения для нижестоящих уровней, если они не переопределены специально.
Назначение ролей
Назначения ролей — это связи между субъектом безопасности, встроенным определением ролей и областью. К примерам назначений относятся делегирование управления всей группой сред другому лицу или управляемому удостоверению, что позволяет освободить время центрального ИТ-отдела для управления остальной частью клиента.
Управление RBAC в Power Platform
Назначениями RBAC можно управлять через API и SDK Power Platform. Эти API и пакеты SDK предоставляют программные параметры для управления ролями, подходящими для автоматизации и интеграции в крупных организациях. Для пошагового обзора см. Руководство: Назначение ролей служебным принципалам.
Хранилище данных и надежность
Определения ролей и назначения хранятся безопасно и централизованно для клиента и синхронизируются в регионе для обеспечения надежного принудительного применения и глобального доступа.
Определения ролей
Определения ролей — это коллекции разрешений, описывающие разрешенные действия. Назначаемые охваты определяются каждой встроенной ролью. Роли не могут быть настроены или изменены клиентами.
Встроенные роли Power Platform
Следующие встроенные роли доступны для назначения пользователям, группам и сервисным принципалам в RBAC Power Platform:
| Имя роли | Идентификатор роли | Назначаемая область | Permissions |
|---|---|---|---|
| Администратор Power Platform по управлению доступом на основе ролей | 95e94555-018c-447b-8691-bdac8e12211e | /арендаторы/{0} | Все разрешения, которые заканчиваются на .Read, Authorization.RoleAssignments.Write, Authorization.RoleAssignments.Delete |
| Читатель Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 | /арендаторы/{0} | Все разрешения, которые заканчиваются на .Read |
| Участник Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 | /арендаторы/{0} | Может управлять всеми ресурсами и читать их, но не может вносить или изменять назначения ролей. |
| Владелец Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea | /арендаторы/{0} | Все разрешения |
Подробные сведения о разрешениях, ролях и интеграции см. в справочнике по API Power Platform. Чтобы узнать, как назначать эти роли программно, см. статью Учебник. Назначение ролей субъектам-службам.