Поділитися через

Призначення користувачу ролі безпеки

  • Стаття

Відомості про ролі безпеки

  • Ролі безпеки контролюють доступ користувача до даних через безліч рівнів доступу і дозволів. Поєднання рівнів доступу та дозволів, включених до відповідної ролі безпеки, встановлює обмеження на подання даних користувача і взаємодію користувача з цими даними.
  • Dataverse надає стандартний набір ролей безпеки. За необхідності для вашої організації можна створити нові ролі безпеки шляхом редагування однієї з ролей безпеки за замовчуванням і збереження її під новим ім'ям. Див. розділ Заздалегідь визначені ролі безпеки.
  • Ви можете призначити для користувача кілька ролей безпеки. Дія кількох ролей безпеки є сукупною, тобто користувач має права, пов'язані з усіма ролями безпеки, призначеними для користувача.
  • Ролі безпеки пов'язані з підрозділами. Якщо ви створили підрозділи, тільки пов'язані з ними ролі безпеки будуть доступні для користувачів у цих підрозділах. Цю функцію можна використовувати для обмеження доступу до даних – відкритими залишаться дані, які належать підрозділу.
  • Якщо ввімкнуто можливість власності на записи підрозділів, ви можете призначати ролі безпеки з різних організаційних одиниць своїм користувачам незалежно від того, до якої організаційної одиниці користувачі належать.
  • Щоб призначити користувачеві ролі безпеки, потрібно мати відповідні привілеї (мінімальними привілеями є читання та призначення в таблиці роль безпеки таблиці). Щоб запобігти підвищенню роль безпеки привілеїв, особа, яка призначає роль безпеки, не може призначити когось іншого до роль безпеки, який має більше привілеїв, ніж той, хто їх призначив. Наприклад, менеджер CSR не може призначити іншого користувача на роль системного адміністратора. Ця перевірка привілеїв включає перевірку кожного привілею, який має правонаступник на рівні глибини привілеїв і бізнес-одиниці. Наприклад, ви не можете призначити іншому користувачеві роль безпеки з іншої структурної одиниці, якщо у вас немає роль безпеки з відповідним рівнем привілеїв, призначеним для цієї структурної одиниці.

Нотатка

За замовчуванням роль безпеки системного адміністратора має всі необхідні привілеї для призначення ролей безпеки будь-якому користувачеві, включаючи призначення роль безпеки системного адміністратора. Якщо у вас є потреба дозволити особам, які не є системними адміністраторами, призначати ролі безпеки, вам слід розглянути можливість створення настроюваного роль безпеки з усіма привілеями, переліченими в розділі Створення адміністративного користувача та запобігання підвищенню роль безпеки привілеїв. Призначте настроюваний роль безпеки і всі ролі безпеки, які не є системним адміністратором, іншим користувачам, не системному адміністратору. Ця вимога роль безпеки також потрібна, якщо ви дозволяєте особам, які не є системними адміністраторами, керувати учасниками команди в командах власників .

Додаткові відомості про різницю між ролями адміністратора онлайнових служб Microsoft і ролями безпеки див. в розділі Надання доступу користувачам.

Чайові

Ознайомтесь із наведеним нижче відео: Призначення ролей безпеки у центрі адміністрування Power Platform.

Щоб призначити роль безпеки, виконайте наведені далі кроки.

  1. Виконайте вхід до центру адміністрування Power Platform як системний адміністратор.

  2. Виберіть Середовища, а тоді виберіть середовище зі списку.

  3. Виберіть Настройки.

  4. Виберіть Користувачі + дозволи, потім виберіть Користувачі.

  5. На сторінці Користувачі виберіть користувача, потім виберіть розділ Керувати ролями безпеки.

    Керуйте ролями безпеки.

  6. Вибирайте ролі безпеки або скасовуйте вибір ролей безпеки. Якщо користувачу вже призначено ролі. Після закінчення виберіть Зберегти. Після збереження всі вибрані ролі стають поточними призначеними ролями цього користувача. Невибрані ролі не призначаються.

    Сторінка керування ролями безпеки.

Якщо увімкнути призначення відповідального за запис у підрозділах, ви можете вибирати ролі безпеки з різних підрозділів.

Важливо

Ви маєте призначити принаймні одну роль безпеки кожному користувачу безпосередньо або опосередковано як учаснику робочої групи. Послуга є недоступною для користувачів, які не мають принаймні однієї ролі безпеки.

Право користувача на налаштування для форми власності на запис у підрозділах

Якщо ввімкнути форму власності на записи для організаційних одиниць, ваші користувачі можуть отримати доступ до даних в інших підрозділах, маючи безпосередньо призначену роль безпеки від цих інших підрозділів. Користувачу також потрібна роль безпеки організаційної одиниці користувача із правами з наведених нижче таблиць, щоб оновити параметри інтерфейсу користувача.

  • Настройки користувача картки дій
  • Збережене подання
  • Користувацька діаграма
  • Приладна дошка користувача
  • Дані екземпляру сутності користувача
  • Параметри інтерфейсу сутності користувача
  • Метадані програми користувача

Щоб призначити ролі безпеки користувачам у середовищі без або з однією базою даних Microsoft Dataverse, див. розділ Налаштування безпеки користувача для ресурсів у середовищі.

(Необов'язково) Призначити роль адміністратора

Можна надати спільний доступ до завдань адміністрування онлайнових служб Microsoft кільком особам, призначивши роль адміністратора середовища онлайнових служб Microsoft користувачам, яких ви обрали на кожну з цих ролей. Ви можете призначити роль глобального адміністратора іншій людині у вашій організації на час своєї відсутності.

Існує п’ять ролей адміністратора середовища онлайнових служб Microsoft із різним рівнем дозволів. Наприклад, роль адміністратора для скидання паролів надає право скидати тільки паролі користувачів; роль адміністратора для керування користувачами надає право скидати паролі користувачів окрім права додавати, редагувати або видаляти облікові записи користувачів; роль глобального адміністратора надає право додавати онлайнові служби підписки для організації та керувати всіма аспектами підписки. Для отримання докладних відомостей про ролі адміністратора онлайнових служб Microsoft див. Призначення ролей адміністратора.

Нотатка

Ролі адміністратора середовища онлайнових служб Microsoft діють лише для управління аспектами передплати на онлайнові служби. Ці ролі не впливають на дозволи в межах служби.

Автоматичне призначення ролі

Коли додаються користувачі Dataverse, ролі призначаються автоматично на основі наведених нижче критеріїв.

  1. Усі Microsoft Entra адміністратори ідентифікаторів (адміністратор клієнта, Power Platform адміністратор, адміністратор служби Dynamics 365) отримують роль Dataverse системного адміністратора.

    Важливо

    Роль системного адміністратора не видаляється автоматично, якщо її Microsoft Entra вилучити. Оскільки не існує механізму відстеження того, чи була роль призначена системою автоматично чи адміністратором, ми рекомендуємо адміністратору вручну видалити роль системного адміністратора після видалення Microsoft Entra ролі.

  2. Користувачі з дійсною ліцензією автоматично отримують відповідні зіставлені ролі. Видалення відповідної ліцензії призводить до автоматичного видалення ролей. Керування ролями за умовчанням на основі ліцензій незастосовне для користувачів у таких середовищах Dataverse for Teams:, ознайомлювальній версії та для розробників.

  3. Для типу середовища за замовчуванням ролі Basic User і Environment Maker призначаються автоматично всім доданим Dataverse користувачам.

  4. У середовищі, пов’язаному з базою Dataverse даних, фінанси та операції Basic User роль безпеки автоматично призначаються всім активним користувачам Dataverse.

Зіставлення ліцензії із роллю

Якщо так визначено у вашому середовищі, певні ролі автоматично призначатимуться користувачам після додавання користувачів до Dataverse залежно від ліцензії, призначеної таким користувачам. Зіставлення ліцензій із ролями для середовища можна переглянути, перейшовши на сторінку «Зіставлення ліцензій із ролями» у центрі адміністрування Power Platform.

Виберіть Середовища> [виберіть середовище] >Параметри>Користувачі + Дозволи>Ліцензія для відображення ролі.

Див. також

Початок роботи з ролями безпеки в Dataverse