Konfigurera användarsäkerhet i en miljö

  • Artikel

Microsoft Dataverse använder en rollbaserad säkerhetsmodell för att kontrollera åtkomsten till en databas och dess resurser i en miljö. Använda säkerhetsroller för att konfigurera alla resurser i en miljö eller för specifika program och data i miljön. En kombination av åtkomstnivåer och behörigheter i en säkerhetsroll avgör vilka appar och data användare kan se och hur de kan interagera med dessa appar och data.

En miljö kan ha ingen eller en Dataverse-databas. Du tilldelar säkerhetsroller olika för miljöer utan Dataverse databas och miljöer med en Dataverse databas.

Läs mer om miljöer i Power Platform.

Fördefinierade säkerhetsroller

Miljöer innehåller fördefinierade säkerhetsroller som återspeglar vanliga användaruppgifter. De fördefinierade säkerhetsrollerna följer den bästa säkerhetspraxisen med "minimibehörighet": ger den minsta åtkomsten till den minsta affärsinformation som en användare behöver för att använda en app. Dessa säkerhetsroller kan tilldelas användaren, ägarteamet och gruppteamet. Vilka fördefinierade säkerhetsroller som är tillgängliga i en miljö beror på miljötypen och de appar du har installerat i den.

En annan uppsättning säkerhetsroller som tilldelas programanvändarna. Dessa säkerhetsroller installeras av våra tjänster och kan inte uppdateras.

Miljöer utan en Dataverse-databas

Miljöutvecklare och miljöadministratör är de enda fördefinierade rollerna för miljöer utan Dataverse-databas. Dessa roller beskrivs i följande tabell.

Säkerhetsroll Beskrivning
Miljöadministratör Rollen Miljöadministratör kan utföra alla administrativa åtgärder i en miljö, bland annat:
  • Lägg till eller ta bort en användare från rollerna Miljöadministratör eller Miljöutvecklare.
  • Skapa en Dataverse-databas för den här miljön. När databasen har etablerats ska rollen som systemanpassare tilldelas en miljöadministratör så att dessa får till gång till miljöns data.
  • Visa och hantera alla resurser som skapats i en miljö.
  • Skapa principer för dataförlustskydd.
Miljöutvecklare Kan skapa nya resurser kopplade till en miljö, inklusive program, anslutningar, anpassade API:er, gateways och flöden med hjälp av Microsoft Power Automate. Den här rollen har inte privilegier att komma åt data i en miljö.

Miljöutvecklarna kan också distribuera de program de bygger i en miljö för andra användare i organisationen. De kan dela programmet med enskilda användare, säkerhetsgrupper eller alla användare i organisationen.

Miljöer med en Dataverse-databas

Om miljön har en Dataverse-databas måste en användare tilldelas rollen som systemadministratör i stället för rollen som miljöadministratör för att erhålla fullständiga administratörsprivilegier.

Användare som skapar program som ansluter till databasen och behöver skapa eller uppdatera entiteter och säkerhetsroller måste ha rollen systemanpassare utöver rollen som miljöutvecklare. Rollen som miljöutvecklare har inte privilegier för miljöns data.

I följande tabell beskrivs de fördefinierade säkerhetsrollerna i en miljö som har en Dataverse databas. Du kan inte redigera dessa roller.

Säkerhetsroll Beskrivning
Appöppnare Har minsta privilegium för vanliga uppgifter. Den här rollen används primärt som mall för att skapa en anpassad säkerhetsroll för modellbaserade appar. Den har inga privilegier till de huvudsakliga affärstabellerna, till exempel Konto, Kontakt och Aktivitet. Den har dock Organisationläsbehörighet till systemtabeller, såsom Process, för att stödja läsningssystemlevererade arbetsflöden. Observera att denna säkerhetsroll används när en ny, anpassad säkerhetsroll skapas.
Vanlig användare Endast medföljande entiteter kan köra ett program i miljön och utföra vanliga uppgifter för poster som de äger. Den har privilegier till de huvudsakliga affärstabellerna, till exempel Konto, Kontakt och Aktivitet.

Obs! Common Data Service Säkerhetsrollen Användare ändrades till Grundläggande användare. Endast namnet ändrades. användarprivilegier och rolltilldelning är samma. Om du har en lösning med säkerhetsrollen Common Data Service Användare måste du uppdatera lösningen innan du importerar den igen. Annars kan du oavsiktligt ändra säkerhetsroll namnet till Användare när du importerar lösningen.
Delegera Gör att koden personifieras eller körs som en annan användare. Oftast används den med en befintlig säkerhetsroll för att få tillgång till poster.
Dynamics 365-administratör Dynamics 365-administratör är en Microsoft Power Platform tjänstadministratörsroll. Denna roll kan utföra administratörsfunktioner i Microsoft Power Platform eftersom de har rollen systemadministratör.
Miljöutvecklare Kan skapa nya resurser kopplade till en miljö, inklusive program, anslutningar, anpassade API:er, gateways och flöden med hjälp av Microsoft Power Automate. Den här rollen har inte privilegier att komma åt data i en miljö.

Miljöutvecklarna kan också distribuera de program de bygger i en miljö för andra användare i organisationen. De kan dela programmet med enskilda användare, säkerhetsgrupper eller alla användare i organisationen.
Global administratör för Global Administratör är en Microsoft 365 administratörsroll. En person som köper Microsofts affärsprenumeration är en global administratör och har obegränsat kontroll över produkterna i prenumerationen och tillgång till de flesta data.
Global läsare Rollen Global läsare stöds ännu inte i administrationscentret för Power Platform.
Office-medarbetare Har läsbehörighet till tabeller där en post delades med organisationen. Har inte åtkomst till några andra kärn- eller anpassade tabellposter. Den här rollen tilldelas ägarteamet för kontorsmedarbetare och inte till en enskild användare.
Power Platform administratör Power Platform-administratör är en Microsoft Power Platform tjänstadministratörsroll. Denna roll kan utföra administratörsfunktioner i Microsoft Power Platform eftersom de har rollen systemadministratör.
Tjänst borttagen Har fullständig borttagningsbehörighet till alla entiteter, även anpassade entiteter. Denna roll används främst av tjänsten och kräver radering av poster i alla enheter. Den här rollen kan inte tilldelas en användare eller ett team.
Serviceläsare Har fullständig läsbehörighet till alla entiteter, även anpassade entiteter. Den här rollen används i första hand av tjänsten och kräver att alla entiteter läses. Den här rollen kan inte tilldelas en användare eller ett team.
Utvecklare av serviceåtgärd Har fullständig skapa-, läs- och skrivbehörighet till alla enheter inklusive anpassade enheter. Den här rollen används i första hand av tjänsten och kräver att du skapar och uppdaterar poster. Den här rollen kan inte tilldelas en användare eller ett team.
Supportanvändare Har fullständig läsbehörighet för inställningar för anpassning och verksamhetsstyrning för att hjälpa supportpersonalen möjlighet att felsöka konfigurationsproblem i miljön. Den här rollen har inte åtkomst till kärnposter. Den här rollen kan inte tilldelas en användare eller ett team.
Systemadministratör Har fullständig behörighet att anpassa eller administrera miljön, inklusive att skapa, ändra och tilldela säkerhetsroller. Kan visa alla data i miljön.
Systemanpassare Har fullständig behörighet att anpassa miljön. Kan se alla anpassade tabelldata i miljön. Användare med den här rollen kan bara visa poster som de skapade i tabellerna Konto, Kontakt, Aktivitet.
Ägare till webbplatsägare En användare som äger webbplats appregistrering i Azure-portalen.
Ägare av webbplats Den användare som skapade Power Pages-webbplatsen. Den här rollen hanteras och kan inte ändras.

Förutom de fördefinierade säkerhetsrollerna för Dataverse som beskrivs ovan kan det finnas andra säkerhetsroller tillgängliga i miljön beroende på vilka Power Platform-komponenter Power Apps, Power Automate, Power Virtual Agents du har. I följande tabell hittar du länkar till mer information.

Power Platform-komponent Information
Power Apps Fördefinierade säkerhetsroller för miljöer med en Dataverse-databas
Power Automate Säkerhet och sekretess
Power Pages Roller som krävs för webbplatsadministration
Power Virtual Agents Tilldela miljösäkerhetsroller

Dataverse for Teams-miljöer

Läs mer om säkerhetsroller och fördefinierade säkerhetsroller i Dataverse for Teams miljöer.

Appspecifika säkerhetsroller

Om du distribuerar Dynamics 365-appar i miljön läggs andra säkerhetsroller till. I följande tabell hittar du länkar till mer information.

Dynamics 365-programmet Säkerhetsrollsdokument
Dynamics 365 Sales Fördefinierade säkerhetsroller för Sales
Dynamics 365 Marketing Säkerhetsroller som läggs till av Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service roller + definitioner
Dynamics 365 Customer Service Roller i Flerkanal för Customer Service
Dynamics 365 Customer Insights Customer Insights-roller
Programprofilhanterare Roller och privilegier som är associerade med programprofilhanteraren
Dynamics 365 Finance Säkerhetsroller inom offentlig sektor
Program för ekonomi och drift Säkerhetsroller i Microsoft Power Platform

Sammanfattning av tillgängliga resurser för fördefinierade säkerhetsroller

I följande tabell beskrivs vilka resurser som kan redigeras av varje säkerhetsroll.

Resurs Miljöutvecklare Miljöadministratör Systemanpassare Systemadministratör
Arbetsyteapp X X X X
Molnflöde X (inte lösningsmedveten) X X X
Koppling X (inte lösningsmedveten) X X X
Anslutning* X X X X
Data-gateway X X - X
Dataflöde X X - X
Dataverse-tabeller - - X X
Modellbaserat program X - X X
Lösningsramverk X - X X
Datorflöde** - - X X
AI Builder - - X X

*Anslutningar används i arbetsyteappar och Power Automate.

**Dataverse for Teams-användare får inte åtkomst till datorflöde som standard. Du måste uppgradera din miljö till fullständiga Dataverse funktioner och skaffa licensplaner för datorflöde för att kunna använda datorflöden.

Tilldela säkerhetsroller till användare i en miljö som inte har en Dataverse-databas

För miljöer utan Dataverse-databas kan en användare som har rollen Miljöadministratör i miljön tilldela säkerhetsroller till enskilda användare eller grupper från Microsoft Entra ID.

  1. Logga in på Power Platform administratörscenter.

  2. Välj Miljöer> [välj en miljö].

  3. Via ikonen Åtkomst väljer du Visa alla för Miljöadministratör eller Miljöskapare för att lägga till eller ta bort personer för respektive roll.

    Skärmbild på du väljer säkerhetsroll i Power Platform administrationscenter.

  4. Välj Lägg till personer och ange sedan namnet eller e-postadressen för en eller flera användare eller grupper Microsoft Entra ID.

    Skärmbild på hur du lägger till användare i rollen Miljöskapare i Power Platform administrationscenter.

  5. Markera Lägga till.

Tilldela säkerhetsroll till användare i en miljö som har en Dataverse-databas

Säkerhetsroller kan tilldelas till individuella användare ägarteamoch Microsoft Entra gruppteam. Innan du tilldelar en användare en roll bör du kontrollera att användarens konto har lagts till och är aktiverad i miljön.

I allmänhet kan en säkerhetsroll endast tilldelas användare vars konton är aktiverade i miljön. Aktivera om du vill tilldela en säkerhetsroll till ett användarkonto som är inaktiverat i miljön allowRoleAssignmentOnDisabledUsers i OrgDBOrgSettings.

  1. Logga in på Power Platform administratörscenter.

  2. Välj Miljöer> [välj en miljö].

  3. I panelen Åtkomst välj Se alla under säkerhetsroller.

    Skärmbild av alternativet att visa alla säkerhetsroller i Power Platform administrationscenter.

  4. Se till att rätt affärsenhet är vald i listan och välj sedan en roll från listan över roller i miljön.

  5. Välj Lägg till personer och ange sedan namnet eller e-postadressen för en eller flera användare eller grupper Microsoft Entra ID.

  6. Markera Lägga till.

Skapa, redigera eller kopiera en säkerhetsroll använder det nya, modern användargränssnittet

Du kan enkelt skapa, redigera eller kopiera en säkerhetsroll och anpassa den så att den uppfyller dina behov.

  1. Gå till Power Platform administratörscenter väljer du miljöer i navigeringsrutan och väljer sedan en för en miljö.

  2. Välj Inställningar.

  3. Expandera Användare + Behörigheter.

  4. Välj säkerhetsroller

  5. Slutför lämplig uppgift:

Skapa en säkerhetsroll

  1. Välj Ny roll i kommandofältet.

  2. I fältet Rollnamn anger du en för den nya rollen.

  3. Välj affärsenhet som rollen tillhör i fältet Affärsenhet.

  4. Välj om teammedlemmarna ska ärver rollen.

    Om den här inställningen är aktiverad och rollen har tilldelats ett team ärver alla teammedlemmar alla privilegier som är associerade med rollen.

  5. Välj Spara.

  6. Definiera privilegierna och egenskaperna för en säkerhetsroll.

Redigera en säkerhetsroll

Markera rollnamnet eller markera raden och välj sedan Redigera. Sedan definierar du privilegierna och egenskaperna för säkerhetsroll.

Vissa fördefinierade säkerhetsroller kan inte redigeras. Om du försöker redigera de här rollerna är knapparna Spara och Spara + Stäng inte tillgängliga.

Kopiera en säkerhetsroll

Markera säkerhetsroll och välj Kopiera. Ge rollen ett nytt namn. Redigera säkerhetsroll efter behov.

Endast privilegierna kopieras, inte tilldelade medlemmar och team.

Granska säkerhetsroller

Granska säkerhetsroller för att få en bättre förståelse av ändringar av säkerheten i Power Platform-miljön.

Skapa eller konfigurera en anpassad säkerhetsroll

Om ditt program använder en anpassad entitet måste dess privilegier uttryckligen beviljas i en säkerhetsroll innan programmet kan användas. Du kan antingen lägga till de här privilegierna i en befintlig säkerhetsroll eller skapa en anpassad säkerhetsroll.

Varje säkerhetsroll måste innehålla en minsta mängd privilegier. Läs mer om säkerhetsroller och behörigheter.

Dricks

I miljön kan det finnas poster som kan användas av flera appar. Du kan behöva flera säkerhetsroller som ger olika privilegier. Till exempel:

  • Vissa användare (kalla dem redigerare) kanske bara behöver kunna läsa, uppdatera och bifoga andra poster, så deras säkerhetsroll har läs-, skriv- och tilläggsbehörigheter.
  • Andra användare kan behöva de privilegier som redigerare har, samt möjligheten att skapa, lägga till, ta bort och dela. Säkerhetsrollen för dessa användare har behörighet att skapa, läsa, skriva, lägga till, ta bort, tilldela, lägga till i och dela.

Skapa en anpassad säkerhetsroll med minimiprivilegier för att köra en app

  1. Logga in på Power Platform administratörscenter väljer du miljöer i navigeringsrutan och väljer sedan en för en miljö.

  2. Välj Inställningar>Användare + behörighet>Säkerhetsroller.

  3. Markera rollen Appöppnare och välj Kopiera.

  4. Ange namnet på den anpassade rollen och välj sedan Kopiera.

  5. Välj den nya rollen i listan med säkerhetsroller och välj sedan Fler åtgärder (...) > Redigera.

  6. Välj fliken Egna entiteter i rollredigeraren.

  7. Hitta din anpassade tabell i listan och välj privilegierna Läsa, Skriva och Lägg till.

  8. Välj Spara och stäng.

Skapa en anpassad säkerhetsroll från början

  1. Logga in på Power Platform administratörscenter väljer du miljöer i navigeringsrutan och väljer sedan en för en miljö.

  2. Välj Inställningar>Användare + behörighet>Säkerhetsroller.

  3. Välj ny roll.

  4. Ange namnet på den nya rollen på fliken Detaljer.

  5. Leta upp entiteten på de andra flikarna och välj sedan åtgärder och omfattning för att utföra dem.

  6. Välj en flik och sök efter din enhet. Du kan till exempel välja fliken anpassade entiteter du vill ange behörigheter för en egen entitet.

  7. Välj behörigheterna läsa, skriva, tillägga.

  8. Välj Spara och stäng.

Minsta behörigheter för att köra ett program

När du skapar en anpassad säkerhetsroll måste rollen ha en uppsättning minimibehörigheter för att en användare ska kunna köra en app. Läs mer om minimiprivilegier som krävs.

Se även

Tilldela användaråtkomst
Styra användarnas åtkomst till miljöer: säkerhetsgrupper och licenser
Så bestäms åtkomst till en post