หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
[บทความนี้เป็นคู่มือรุ่นก่อนวางจำหน่าย และอาจจะมีการเปลี่ยนแปลงในอนาคต]
การควบคุมการเข้าถึงตามบทบาท (RBAC) ในศูนย์การจัดการ Microsoft Power Platform เป็นแบบจําลองความปลอดภัยที่ออกแบบมาเพื่อช่วยให้องค์กรจัดการ who สามารถทําอะไรทั่วทั้งทรัพยากร Power Platform ด้วยความมั่นใจและความยืดหยุ่น RBAC มีแนวทางที่ทันสมัยในการจัดการการเข้าถึง ทําให้ง่ายต่อการกําหนดและบังคับใช้สิทธิ์สําหรับผู้ใช้ กลุ่ม และระบบอัตโนมัติของซอฟต์แวร์
สำคัญ
- นี่คือฟีเจอร์ดูตัวอย่าง
- คุณลักษณะพรีวิวไม่ได้มีไว้สำหรับการนำไปใช้งานจริง และอาจมีการจำกัดฟังก์ชันการทำงาน คุณลักษณะเหล่านี้อยู่ภายใต้ ข้อกำหนดการใช้งานเพิ่มเติม และสามารถใช้ได้ก่อนการเผยแพร่อย่างเป็นทางการเพื่อให้ลูกค้าสามารถเข้าถึงล่วงหน้าและแสดงความคิดเห็น
ด้วย Power Platform RBAC ผู้ดูแลระบบสามารถ:
- ระบุว่าใครสามารถเข้าถึงทรัพยากรที่เฉพาะเจาะจงได้บ้าง
- ตัดสินใจว่าการดําเนินการใดที่ผู้ใช้สามารถดําเนินการได้ เช่น สร้าง จัดการ หรือดู
- กําหนดสิทธิ์ในระดับต่าง ๆ: องค์กร (ผู้เช่า) กลุ่มสภาพแวดล้อม และสภาพแวดล้อมส่วนบุคคล
RBAC ทํางานที่เลเยอร์ Power Platform API ซึ่งแสดงการควบคุมการดูแลระบบผ่านทรัพยากร ในขณะที่ Dataverse ยังคงให้ข้อมูล RBAC พื้นฐานของตนเองสําหรับข้อมูลทางธุรกิจภายในสภาพแวดล้อม
Note
ปัจจุบัน RBAC มุ่งเน้นไปที่การขยายบริการหลักและการสนับสนุนข้อมูลประจําตัวที่มีการจัดการทั่วทั้ง Power Platform API และ SDK การจัดการต่าง ๆ อ่านอย่างเดียว รวมถึงสิทธิ์ในการอ่านและเขียนที่กําหนดในขอบเขตที่เล็กกว่าผู้เช่าทั้งหมดสำหรับประสบการณ์ผู้ใช้ของ Power Platform Admin Center อยู่ในแผนงานแต่ยังไม่เสร็จสมบูรณ์
ประโยชน์ของ Power Platform RBAC
- การเข้าถึงระดับแยกย่อย: กําหนดบทบาทที่ผู้เช่า กลุ่มสภาพแวดล้อม หรือระดับสภาพแวดล้อมสําหรับการควบคุมที่แม่นยํา
- บทบาทที่มีอยู่ภายใน: ใช้บทบาทเริ่มต้น (เช่น ผู้ดูแลระบบสภาพแวดล้อมและผู้สร้าง) เพื่อสอดคล้องกับนโยบายการเข้าถึงขององค์กรของคุณ
- กําหนดขอบเขตที่ยืดหยุ่น: สามารถนําบทบาทไปใช้ในวงกว้างหรือแคบเพื่อให้ตรงกับความต้องการในการดําเนินงาน
- สืบทอด: การมอบหมายงานในขอบเขตที่กว้างขึ้น เช่น ผู้เช่าจะถูกส่งต่อไปยังขอบเขตที่อยู่ต่ำกว่า เช่น กลุ่มสภาพแวดล้อมและสภาพแวดล้อม
แนวคิดหลัก
หลักเกณฑ์ความปลอดภัย
หลักความปลอดภัยคือเอนทิตีใน Microsoft Entra ID ที่สามารถได้รับสิทธิ์การเข้าถึงผ่านการกำหนดบทบาท RBAC หลักเกณฑ์การรักษาความปลอดภัยที่ได้รับการสนับสนุนได้แก่:
- ผู้ใช้หลัก: ผู้ใช้มนุษย์ ใน Microsoft Entra ID โดยใช้ที่อยู่อีเมลของพวกเขา
- Groups: กลุ่มที่เปิดใช้งานการรักษาความปลอดภัยใน Microsoft Entra ID โดยใช้ ID กลุ่มของพวกเขา
- ผู้ให้บริการหลัก/ข้อมูลประจำตัวที่มีการจัดการ: การลงทะเบียนแอปใน Microsoft Entra ID รวมถึงข้อมูลประจำตัวที่มีการจัดการโดยระบบและการตั้งค่าโดยผู้ใช้ กําหนดโดยใช้ ID ออปเจ็กต์ขององค์กรที่เกี่ยวข้อง
ขอบเขต
นี่คือระดับของลำดับชั้นที่มีการกำหนด
- ผู้เช่า: สิทธิ์ที่ครอบคลุมทั่วทุกกลุ่มและทุกสภาพแวดล้อม
- กลุ่มสภาพแวดล้อม: การจัดกลุ่มเชิงตรรกะของสภาพแวดล้อมสําหรับการจัดการรวม สิทธิ์นําไปใช้กับสภาพแวดล้อมทั้งหมดในกลุ่ม
- สภาพ แวด ล้อม: พื้นที่ทํางานส่วนบุคคลสําหรับแอป ตัวแทน ข้อมูล และระบบอัตโนมัติ สิทธิ์นําไปใช้กับทรัพยากรทั้งหมดในสภาพแวดล้อมนี้โดยเฉพาะ
การกําหนดในระดับขอบเขตที่กว้างขึ้นให้สิทธิ์ที่สืบทอดกันในระดับที่ต่ํากว่า เว้นแต่ว่าจะถูกแทนที่โดยเฉพาะ
การกําหนดบทบาท
การกำหนดบทบาทคือการเชื่อมโยงระหว่างตัวการด้านความปลอดภัย การกำหนดบทบาทที่ติดตั้งมาแล้ว และขอบเขต การกําหนดตัวอย่างรวมถึงการรับมอบสิทธิ์การจัดการของกลุ่มสภาพแวดล้อมทั้งหมดให้กับบุคคลอื่นหรือข้อมูลประจําตัวที่มีการจัดการ ซึ่งเพิ่มเวลาสําหรับ IT ส่วนกลางเพื่อจัดการส่วนที่เหลือของผู้เช่า
การจัดการ RBAC ใน Power Platform
สามารถจัดการการกําหนด RBAC ผ่าน Power Platform API และ SDK API และ SDK เหล่านี้มีตัวเลือกทางโปรแกรมสําหรับการจัดการบทบาทเหมาะสําหรับระบบอัตโนมัติและการรวมในองค์กรขนาดใหญ่ สําหรับคําแนะนําทีละขั้นตอน ดูบทช่วยสอน: กําหนดบทบาทการควบคุมการเข้าถึงตามบทบาทไปยังบริการหลัก
การจัดเก็บข้อมูลและความน่าเชื่อถือ
ข้อกําหนดบทบาทและการกําหนดจะถูกเก็บไว้อย่างปลอดภัยและส่วนกลางสําหรับผู้เช่าของคุณและซิงโครไนซ์ตามภูมิภาคเพื่อให้แน่ใจถึงการบังคับใช้ที่เชื่อถือได้และการเข้าถึงส่วนกลาง
ข้อกําหนดบทบาท
ข้อกําหนดบทบาทคือคอลเลกชันของสิทธิ์ที่อธิบายสิ่งที่ได้รับอนุญาตให้ดําเนินการ ขอบเขตที่สามารถกําหนดได้จะถูกกําหนดโดยแต่ละบทบาทที่มีอยู่ภายใน ลูกค้าไม่สามารถกําหนดบทบาทเองหรือปรับเปลี่ยนได้
บทบาทของ Power Platform ที่มีอยู่ภายใน
บทบาทที่มีอยู่ภายในต่อไปนี้จะพร้อมใช้งานเพื่อกําหนดให้ผู้ใช้ กลุ่ม และบริการหลักใน Power Platform RBAC:
| ชื่อบทบาท | รหัสบทบาท | ขอบเขตที่สามารถกําหนดได้ | การอนุญาต |
|---|---|---|---|
| ผู้ดูแลระบบควบคุมการเข้าถึงตามบทบาทของ Power Platform | 95e94555-018c-447b-8691-bdac8e12211e | /ผู้เช่า/{0} | สิทธิ์ทั้งหมดที่ลงท้ายด้วย .Read, Authorization.RoleAssignments.Write, Authorization.RoleAssignments.Delete |
| ผู้อ่านของ Power Platform | c886ad2e-27f7-4874-8381-5849b8d8a090 | /ผู้เช่า/{0} | สิทธิ์ทั้งหมดที่ลงท้ายด้วย .Read |
| ผู้สนับสนุน Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 | /ผู้เช่า/{0} | สามารถจัดการและอ่านทรัพยากรทั้งหมด แต่ไม่สามารถกําหนดหรือเปลี่ยนการกําหนดบทบาทได้ |
| เจ้าของ Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea | /ผู้เช่า/{0} | การอนุญาตทั้งหมด |
สําหรับการอ้างอิงโดยละเอียดเกี่ยวกับสิทธิ์ บทบาท และการรวม โปรดดูที่ การอ้างอิง Power Platform API เมื่อต้องการเรียนรู้วิธีการกําหนดบทบาทเหล่านี้ด้วยโปรแกรม ดูบทช่วยสอน: กําหนดบทบาทการควบคุมการเข้าถึงตามบทบาทไปยังบริการหลัก