Nakonfigurujte bezpečnosť používateľov v prostredí
Microsoft Dataverse používa bezpečnostný model založený na rolách na riadenie prístupu k databáze a jej zdrojom v prostredí. Roly zabezpečenia použite na konfiguráciu prístupu ku všetkým zdrojom v prostredí alebo ku konkrétnym aplikáciám a údajom v prostredí. Kombinácia úrovní prístupu a povolení v rola zabezpečenia určuje, ktoré aplikácie a údaje môžu používatelia zobraziť a ako môžu s týmito aplikáciami a údajmi interagovať.
Prostredie nemôže mať žiadnu alebo len jednu Dataverse databázu. Roly zabezpečenia priraďujete odlišne pre prostredia, ktoré nemajú žiadnu Dataverse databázu a prostredia, ktoré majú Dataverse databáza.
Viac informácií o prostrediach nájdete v Power Platform.
Preddefinované roly zabezpečenia
Prostredia obsahujú preddefinované roly zabezpečenia, ktoré odrážajú bežné úlohy používateľa. Vopred definované roly zabezpečenia sa riadia osvedčeným postupom zabezpečenia „minimálnym požadovaným prístupom“: poskytujú minimálny prístup k minimálnym obchodným údajom, ktoré používateľ potrebuje na používanie aplikácie. Tieto roly zabezpečenia možno priradiť používateľovi, tímu vlastníka a tímu skupiny. Preddefinované roly zabezpečenia, ktoré sú dostupné v prostredí, závisia od typu prostredia a aplikácií, ktoré ste v ňom nainštalovali.
Ďalšia skupina bezpečnostných rolí je priradená používateľom aplikácie. Tieto roly zabezpečenia sú nainštalované našimi službami a nie je možné ich aktualizovať.
Prostredia bez databázy Dataverse
Tvorca prostredia a Správca prostredia sú jediné preddefinované úlohy pre prostredia bez databázy Dataverse. Tieto roly sú popísané v nasledujúcej tabuľke.
| Rola zabezpečenia | Description |
|---|---|
| Správca prostredia | Rola správca prostredia môže vykonávať všetky administratívne akcie v prostredí vrátane:
|
| Výrobca prostredia | Pomocou Microsoft Power Automate dokáže vytvárať nové zdroje spojené s prostredím vrátane aplikácií, pripojení, vlastných rozhraní API a tokov. Táto rola však nemá privilégiá na prístup k údajom v prostredí. Tvorcovia prostredia môžu tiež distribuovať aplikácie, ktoré vytvorili v prostredí ostatným používateľom vo vašej organizácii. Aplikáciu môžu zdieľať s jednotlivými používateľmi, skupinami zabezpečenia alebo so všetkými používateľmi v organizácii. |
Prostredia s databázou Dataverse
Ak má prostredie databázu Dataverse , používateľovi musí byť priradená rola správcu systému namiesto roly správca prostredia, aby mal plné oprávnenia správcu.
Používatelia, ktorí vytvárajú aplikácie, ktoré sa pripájajú k databáze a potrebujú vytvárať alebo aktualizovať entity a roly zabezpečenia, musia mať okrem roly tvorca prostredia aj rolu prispôsobovač systému. Rola tvorca prostredia nemá privilégiá na údaje prostredia.
Nasledujúca tabuľka popisuje preddefinované roly zabezpečenia v prostredí, ktoré má Dataverse databázu. Tieto roly nemôžete upravovať.
| Rola zabezpečenia | Description |
|---|---|
| Otvárač aplikácií | Má minimálne oprávnenia pre bežné úlohy. Táto rola sa primárne používa ako šablóna na vytvorenie vlastného rola zabezpečenia pre aplikácie riadené modelom. Nemá žiadne privilégiá k hlavným obchodným tabuľkám, ako sú Účet, Kontakt a Aktivita. Má však prístup na čítanie na úrovni Organizácie k systémovým tabuľkám, ako je napríklad Proces, na podporu systému čítania- dodané pracovné postupy. Všimnite si, že toto rola zabezpečenia sa používa, keď sa vytvorí nové, vlastné rola zabezpečenia. |
| Základný používateľ | Len pre vopred pripravené entity môže spustiť aplikáciu v prostredí a vykonávať bežné úlohy na záznamoch, ktoré vlastnia. Má privilégiá k hlavným obchodným tabuľkám, ako sú Účet, Kontakt a Aktivita. Poznámka: Common Data Service Používateľ rola zabezpečenia bol premenovaný na Základný používateľ. Zmenil sa len názov; užívateľské privilégiá a priradenie rolí sú rovnaké. Ak máte riešenie s Common Data Service Používateľom rola zabezpečenia, mali by ste pred opätovným importom riešenie aktualizovať. V opačnom prípade môžete pri importe riešenia neúmyselne zmeniť názov rola zabezpečenia späť na Používateľ . |
| Delegovať | Umožňuje kódu odcudziť identitu alebo spustiť ako iný používateľ. Zvyčajne sa to používa spolu s inou rolou zabezpečenia na umožnenie prístupu k záznamom. |
| Správca systému Dynamics 365 | Správca Dynamics 365 je rola správcu Microsoft Power Platform služby. Používatelia tejto roly môžu vykonávať správcovské funkcie na Microsoft Power Platform potom, čo samopovýšili na rolu správcu systému. |
| Výrobca prostredia | Pomocou Microsoft Power Automate dokáže vytvárať nové zdroje spojené s prostredím vrátane aplikácií, pripojení, vlastných rozhraní API a tokov. Táto rola však nemá žiadne privilégiá na prístup k údajom v prostredí. Tvorcovia prostredia môžu tiež distribuovať aplikácie, ktoré vytvorili v prostredí ostatným používateľom vo vašej organizácii. Aplikáciu môžu zdieľať s jednotlivými používateľmi, skupinami zabezpečenia alebo so všetkými používateľmi v organizácii. |
| Globálny správca služieb | Globálny správca je rola Microsoft 365 správcu. Osoba, ktorá si kúpi Microsoft obchodné predplatné, je globálnym správcom a má neobmedzenú kontrolu nad produktmi v predplatnom a prístup k väčšine údajov. Používatelia tejto roly sa musia samo povýšiť na rolu správcu systému. |
| Globálny čitateľ | Úloha Globálny čitateľ zatiaľ nie je podporovaná v Power Platform centre spravovania. |
| Spolupracovník používajúci Office | Má povolenie na čítanie tabuliek, v ktorých bol záznam zdieľaný s organizáciou. Nemá prístup k žiadnym iným základným a vlastným záznamom tabuľky. Táto rola je priradená tímu vlastníkov Spolupracovníci používajúci Office a nie jednotlivému používateľovi. |
| Správca Power Platform | Power Platform administrátor je rola Microsoft Power Platform administrátora služby. Používatelia tejto roly môžu vykonávať správcovské funkcie na Microsoft Power Platform potom, čo samopovýšili na rolu správcu systému. |
| Služba bola odstránená | Má úplné povolenie na odstránenie všetkých entít vrátane vlastných entít. Táto rola je primárne využívaná službou a vyžaduje vymazanie záznamov vo všetkých entitách. Túto rolu nemožno priradiť používateľovi ani tímu. |
| Servisná čítačka | Má úplné povolenie na čítanie pre všetky entity vrátane vlastných entít. Táto rola je primárne využívaná službou a vyžaduje čítanie všetkých entít. Túto rolu nemožno priradiť používateľovi ani tímu. |
| Servisný poradca | Má úplné povolenie na vytváranie, čítanie a zápis pre všetky entity vrátane vlastných entít. Táto rola je primárne využívaná službou a vyžaduje vytváranie a aktualizáciu záznamov. Túto rolu nemožno priradiť používateľovi ani tímu. |
| Používateľ z oddelenia technickej podpory | Má úplné povolenie na čítanie pre prispôsobenie a nastavenia podnikovej správy, čo umožňuje pracovníkom podpory riešiť problémy s konfiguráciou prostredia. Táto rola nemá prístup k základným záznamom. Túto rolu nemožno priradiť používateľovi ani tímu. |
| Správca systému | Má úplné oprávnenie na prispôsobenie alebo spravovanie prostredia vrátane vytvárania, upravovania a priraďovania rolí zabezpečenia. Môže zobraziť všetky údaje v prostredí. |
| Prispôsobovač systému | Má úplné povolenie na prispôsobenie prostredia. Môže zobraziť všetky údaje vlastnej tabuľky v prostredí. Používatelia s touto rolou si však môžu prezerať iba záznamy, ktoré vytvoria v tabuľkách Účet, Kontakt, Aktivita. |
| Vlastník webovej aplikácie | Používateľ, ktorý vlastní registráciu webovej aplikácie na portáli Azure. |
| Vlastník webovej stránky | Používateľ, ktorý vytvoril Power Pages webovú stránku. Táto rola je spravovaná a nemožno ju zmeniť. |
Okrem preddefinovaných rolí zabezpečenia opísaných pre Dataverse môžu byť vo vašom prostredí dostupné aj ďalšie roly zabezpečenia v závislosti od súčastí Power Platform —Power Apps, Power Automate, Microsoft Copilot Studio—máte. Nasledujúca tabuľka obsahuje odkazy na ďalšie informácie.
| Súčasť Power Platform | Informácie |
|---|---|
| Power Apps | Preddefinované roly zabezpečenia pre prostredia s databázou Dataverse |
| Power Automate | Bezpečnosť a súkromie |
| Power Pages | Roly potrebné na správu webových stránok |
| Microsoft Copilot Studio | Priraďte roly zabezpečenia prostredia |
Prostredia: Dataverse for Teams
Prečítajte si viac o preddefinovaných rolách zabezpečenia v Dataverse for Teams prostrediach.
Roly zabezpečenia pre aplikácie
Ak nasadíte aplikácie Dynamics 365 vo svojom prostredí, pridajú sa ďalšie roly zabezpečenia. Nasledujúca tabuľka obsahuje odkazy na ďalšie informácie.
| Aplikácia systému Dynamics 365 | Dokumenty o rolách zabezpečenia |
|---|---|
| Dynamics 365 for Sales | Preddefinované roly zabezpečenia pre predaj |
| Dynamics 365 Marketing | Roly zabezpečenia pridané Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service role + definície |
| Dynamics 365 Customer Service | Roly v Omnikanál pre Customer Service |
| Dynamics 365 Customer Insights | Roly Customer Insights |
| Správca profilov aplikácií | Roly a oprávnenia spojené so správcom profilu aplikácie |
| Dynamics 365 Finance | Bezpečnostné úlohy vo verejnom sektore |
| Aplikácie na riadenie financií a prevádzok | Bezpečnostné roly v Microsoft Power Platform |
Súhrn zdrojov dostupných pre preddefinované roly zabezpečenia
Nasledujúca tabuľka popisuje, ktoré zdroje môže každý rola zabezpečenia vytvoriť.
| Prostriedok | Výrobca prostredia | Správca prostredia | Prispôsobovač systému | Správca systému |
|---|---|---|---|---|
| Aplikácia plátna | X | X | X | X |
| Postup v cloude | X (bez znalosti riešenia) | X | X | X |
| Konektor systému | X (bez znalosti riešenia) | X | X | X |
| Pripojenie* | X | X | X | X |
| Brána údajov | - | X | - | X |
| Tok údajov | X | X | X | X |
| Tabuľky Dataverse | - | - | X | X |
| Modelom riadená aplikácia | X | - | X | X |
| Rámec riešenia | X | - | X | X |
| Postup v počítačovom prostredí** | - | - | X | X |
| AI Builder | - | - | X | X |
* Pripojenia sa používajú v aplikácie na plátne a Power Automate.
**Dataverse for Teams používatelia štandardne nezískajú prístup k tokom na pracovnej ploche. Musíte upgradovať svoje prostredie na plnú úroveň Dataverse schopnosti a získať postup v počítačovom prostredí licenčné plány používať toky pracovnej plochy.
Priradenie rol zabezpečenia používateľom v prostredí bez databázy Dataverse
Pre prostredia s č Dataverse databázy, používateľ, ktorý má v prostredí rolu správca prostredia, môže priradiť roly zabezpečenia jednotlivým používateľom alebo skupinám z Microsoft Entra ID.
Prihláste sa do centra spravovania Power Platform.
Vyberte položku Prostredia > [vyberte prostredie].
Na dlaždici Prístup vyberte položku Zobraziť všetko pre rolu Správca prostredia alebo Tvorca prostredia a pridajte alebo odoberte ľudí z niektorej z týchto rolí.
Vyberte Pridajte ľudí a potom zadajte meno alebo e-mailovú adresu jedného alebo viacerých používateľov alebo skupín z Microsoft Entra ID.
Stlačte možnosť Pridať.
Priradenie rol zabezpečenia používateľom v prostredí s databázou Dataverse
Roly zabezpečenia môžu byť priradené jednotlivým používateľom, tímy vlastníkov, a Microsoft Entra skupinové tímy. Pred pridelením role používateľovi overiť, či bol používateľský účet pridaný a povolený v prostredí.
Vo všeobecnosti platí, že rola zabezpečenia je možné priradiť iba používateľom, ktorých účty sú v prostredí povolené. Ak chcete priradiť rola zabezpečenia k používateľskému účtu, ktorý je v prostredí zakázaný, zapnite allowRoleAssignmentOnDisabledUsers v nastaveniach OrgDBOrgSettings.
Prihláste sa do centra spravovania Power Platform.
Vyberte položku Prostredia > [vyberte prostredie].
V Prístup dlaždice, vyberte Zobraziť všetky pod Roly zabezpečenia.
Uistite sa, že je v zozname vybratá správna obchodná jednotka a potom vyberte rolu zo zoznamu rolí v prostredí.
Vyberte Pridajte ľudí a potom zadajte meno alebo e-mailovú adresu jedného alebo viacerých používateľov alebo skupín z Microsoft Entra ID.
Stlačte možnosť Pridať.
Vytvorte, upravte alebo skopírujte rola zabezpečenia pomocou nového, moderného používateľského rozhrania
Môžete jednoducho vytvoriť, upraviť alebo skopírovať rola zabezpečenia a prispôsobiť ho svojim potrebám.
Choďte na Power Platform centrum spravovania, vyberte Prostredia na navigačnej table a potom vyberte prostredie.
Vyberte Nastavenia.
Rozbaliť Používatelia + povolenia.
Vyberte Roly zabezpečenia.
Dokončite príslušnú úlohu:
Vytvorte rolu zabezpečenia
Vyberte Nová rola z príkazovej lišty.
Do poľa Názov roly zadajte názov novej roly.
V poli Obchodná jednotka vyberte obchodnú jednotku, ku ktorej rola patrí.
Vyberte, či majú rolu zdediť členovia tímu.
Ak je toto nastavenie povolené a rola je priradená tímu, všetci členovia tímu zdedia všetky privilégiá spojené s rolou.
Vyberte položku Uložiť.
Upravte rolu zabezpečenia
Buď vyberte názov roly alebo vyberte riadok a potom vyberte Upraviť. Potom definujte privilégiá a vlastnosti rola zabezpečenia.
Niektoré preddefinované roly zabezpečenia nie je možné upraviť. Ak sa pokúsite upraviť tieto roly, tlačidlá Uložiť a Uložiť + Zavrieť nebudú dostupné.
Kopírovanie roly zabezpečenia
Vyberte rola zabezpečenia a potom vyberte Kopírovať. Dajte úlohe nový názov. Podľa potreby upravte rola zabezpečenia .
Kopírujú sa iba privilégiá, nie priradení členovia a tímy.
Roly zabezpečenia auditu
Auditujte bezpečnostné roly , aby ste lepšie pochopili zmeny vykonané v zabezpečení vo vašom Power Platform prostredí.
Vytvorenie alebo konfigurácia vlastnej roly zabezpečenia
Ak vaša aplikácia používa vlastnú entitu, pred použitím aplikácie sa musia jej privilégiá výslovne udeliť v role zabezpečenia. Tieto oprávnenia môžete pridať do existujúceho rola zabezpečenia alebo vytvoriť vlastnú rolu zabezpečenia.
Každý rola zabezpečenia musí obsahovať minimálnu sadu privilégií. Prečítajte si ďalšie informácie o rolách a privilégiách zabezpečenia.
Prepitné
Prostredie môže uchovávať záznamy, ktoré môžu používať viaceré aplikácie. Možno budete potrebovať viacero rolí zabezpečenia, ktoré poskytujú rôzne privilégiá. Napríklad:
- Niektorí používatelia (nazývajú ich redaktori) môžu potrebovať iba čítať, aktualizovať a pripájať ďalšie záznamy, takže ich rola zabezpečenia bude mať oprávnenia na čítanie, zápis a pridávanie.
- Ostatní používatelia môžu potrebovať všetky privilégiá, ktoré majú editori, plus možnosť vytvárať, pridávať, odstraňovať a zdieľať. Rola zabezpečenia pre týchto používateľov preto bude mať povolenia na vytváranie, čítanie, písanie, pripájanie, odstraňovanie, priraďovanie, pripájanie a zdieľanie.
Vytvorte si vlastný rola zabezpečenia s minimálnymi oprávneniami na spustenie aplikácie
Prihláste sa do Power Platform centra spravovania, na navigačnej table vyberte Prostredia a potom vyberte prostredie.
Vyberte Nastavenia>Používatelia + povolenia>Roly zabezpečenia.
Vyberte rolu Otvárač aplikácií a potom vyberte Kopírovať.
Zadajte názov vlastnej roly a potom vyberte Kopírovať.
V zozname rol zabezpečenia vyberte novú rolu a potom vyberte Ďalšie akcie (…) >Upraviť.
V editore rolí vyberte kartu Vlastné entity .
Nájdite svoju vlastnú tabuľku v zozname a vyberte Čítanie, Písanie a Pridať oprávnenia.
Vyberte položku Uložiť a zavrieť.
Vytvorte si vlastný rola zabezpečenia od začiatku
Prihláste sa do Power Platform centra spravovania, na navigačnej table vyberte Prostredia a potom vyberte prostredie.
Vyberte Nastavenia>Používatelia + povolenia>Roly zabezpečenia.
Vyberte Nová rola.
Zadajte názov novej roly na karte Podrobnosti .
Na ostatných kartách nájdite svoju entitu a potom vyberte akcie a rozsah ich vykonania.
Vyberte kartu a vyhľadajte svoju entitu. Napríklad vyberte kartu Vlastné entity na nastavenie oprávnení pre vlastnú entitu.
Vyberte oprávnenia Čítanie, Písanie, Pripojiť.
Vyberte položku Uložiť a zavrieť.
Minimálne oprávnenia vyžadované na spustenie aplikácie
Keď vytvoríte vlastnú rola zabezpečenia, rola musí mať sadu minimálnych privilégií, aby mohol používateľ spustiť aplikáciu. Prečítajte si viac o požadovaných minimálnych oprávneniach.
Pozrite si tiež
Udeliť používateľom prístup
Ovládajte prístup používateľov k prostrediam: bezpečnostné skupiny a licencie
Ako sa určuje prístup k záznamu