Поділитися через

Призначення користувачу ролі безпеки

  • Стаття

Розгляньте наведену нижче інформацію про ролі безпеки.

  • Ролі безпеки контролюють доступ користувача до даних через безліч рівнів доступу і дозволів. Поєднання рівнів доступу та дозволів, включених до відповідної ролі безпеки, встановлює обмеження на подання даних користувача і взаємодію користувача з цими даними.
  • Dataverse надає стандартний набір ролей безпеки. За необхідності для вашої організації можна створити нові ролі безпеки шляхом редагування однієї з ролей безпеки за замовчуванням і збереження її під новим ім'ям. Див. розділ Заздалегідь визначені ролі безпеки.
  • Ви можете призначити для користувача кілька ролей безпеки. Дія кількох ролей безпеки є сукупною, тобто користувач має права, пов'язані з усіма ролями безпеки, призначеними для користувача.
  • Ролі безпеки пов'язані з підрозділами. Якщо ви створили підрозділи, тільки пов'язані з ними ролі безпеки будуть доступні для користувачів у цих підрозділах. Цю функцію можна використовувати для обмеження доступу до даних – відкритими залишаться дані, які належать підрозділу.
  • Якщо ввімкнуто можливість власності на записи підрозділів, ви можете призначати ролі безпеки з різних організаційних одиниць своїм користувачам незалежно від того, до якої організаційної одиниці користувачі належать.
  • Щоб призначити ролі безпеки користувачу, потрібно мати відповідні привілеї (мінімальні привілеї – читання та призначення на таблиці ролі безпеки ). Щоб запобігти підвищенню привілеїв ролі безпеки, особа, яка призначає роль безпеки, не може призначати когось іншого на роль безпеки, яка має більше привілеїв, ніж призначена. Наприклад, менеджер CSR не може призначити іншого користувача на роль системного адміністратора. Ця перевірка привілеїв включає перевірку кожного привілею, який має виконавець на рівні глибини привілеїв та бізнес-одиниці. Наприклад, не можна призначити роль безпеки від іншого бізнес-підрозділу іншому користувачу, якщо у вас немає ролі безпеки з відповідним рівнем привілеїв, призначеним від цього бізнес-підрозділу.

Нотатка

За замовчуванням роль безпеки системного адміністратора має всі необхідні привілеї для призначення ролей безпеки будь-якому користувачу, включно з призначенням ролі безпеки системного адміністратора. Якщо у вас є потреба дозволити не системним адміністраторам призначати ролі безпеки, вам слід розглянути можливість створення власної ролі безпеки з усіма привілеями, переліченими в розділі Створення адміністративного користувача та запобігання підвищенню привілеїв ролі безпеки. Призначте настроювану роль безпеки та всі ролі безпеки, які не адміністратор системи може призначити іншим користувачам, а не системному адміністратору. Ця вимога ролі безпеки також потрібна, якщо ви дозволяєте не системним адміністраторам керувати членами команди в командах власників.

Щоб отримати додаткові відомості про різницю між Microsoft ролями адміністратора онлайнових служб і ролями безпеки, перегляньте статтю Надання користувачам доступу.

Чайові

Ознайомтесь із наведеним нижче відео: Призначення ролей безпеки у центрі адміністрування Power Platform.

Щоб призначити роль безпеки, виконайте наведені далі кроки.

  1. Виконайте вхід до центру адміністрування Power Platform як системний адміністратор.

  2. Виберіть Середовища, а тоді виберіть середовище зі списку.

  3. Виберіть Настройки.

  4. Виберіть Користувачі + дозволи, потім виберіть Користувачі.

  5. На сторінці Користувачі виберіть користувача, потім виберіть розділ Керувати ролями безпеки.

  6. Вибирайте ролі безпеки або скасовуйте вибір ролей безпеки. Після закінчення виберіть Зберегти. Після збереження всі вибрані ролі стають поточними призначеними ролями цього користувача. Невибрані ролі не призначаються.

Якщо увімкнути призначення відповідального за запис у підрозділах, ви можете вибирати ролі безпеки з різних підрозділів.

Важливо

Ви маєте призначити принаймні одну роль безпеки кожному користувачу безпосередньо або опосередковано як учаснику робочої групи. Послуга є недоступною для користувачів, які не мають принаймні однієї ролі безпеки.

Нотатка

Панель, показана вище, показує та керує лише прямими призначеннями ролей для користувача. У розділі «Керування груповими командами » пояснюється, як переглядати ролі, призначені учасникам групової команди, і керувати ними.

Право користувача на налаштування для форми власності на запис у підрозділах

Якщо ввімкнути форму власності на записи для організаційних одиниць, ваші користувачі можуть отримати доступ до даних в інших підрозділах, маючи безпосередньо призначену роль безпеки від цих інших підрозділів. Користувачу також потрібна роль безпеки організаційної одиниці користувача із правами з наведених нижче таблиць, щоб оновити параметри інтерфейсу користувача.

  • Настройки користувача картки дій
  • Збережене подання
  • Користувацька діаграма
  • Приладна дошка користувача
  • Дані екземпляру сутності користувача
  • Параметри інтерфейсу сутності користувача
  • Метадані програми користувача

Щоб призначити ролі безпеки користувачам у середовищі без або з однією базою даних Microsoft Dataverse, див. розділ Налаштування безпеки користувача для ресурсів у середовищі.

(Необов'язково) Призначити роль адміністратора

Можна спільно використовувати Microsoft завдання адміністрування середовища онлайнових служб між кількома користувачами, Microsoft призначаючи ролі адміністратора середовища онлайнових служб користувачам, вибраним для виконання кожної ролі. Докладні відомості про Microsoft ролі адміністратора онлайнових служб наведено в статті Призначення ролей адміністратора.

Нотатка

Microsoft Ролі адміністратора середовища онлайнових служб дійсні лише для керування аспектами передплати на онлайнові служби. Ці ролі не впливають на дозволи в межах служби.

Автоматичне призначення ролі

Коли додаються Dataverse користувачі, ролі призначаються автоматично на основі таких критеріїв:

  1. Користувачі з дійсною ліцензією автоматично отримують відповідні зіставлені ролі. Видалення відповідної ліцензії призводить до автоматичного видалення ролей. Керування ролями за замовчуванням на основі ліцензії не застосовується для користувачів у таких середовищах: Dataverse for Teams Trial і Developer.

  2. Для типу середовища Default Basic User та розробник середовища ролі призначаються автоматично всім доданим Dataverse користувачам.

  3. У середовищі, пов’язаному з базою Dataverse даних, фінанси та операції Basic User роль безпеки автоматично призначаються всім активним користувачам Dataverse.

Нотатка

Раніше Microsoft Entra адміністраторам ID, зокрема Power Platform адміністраторам і адміністраторам служби Dynamics 365, автоматично призначалася роль Dataverse системного адміністратора. Це вже не так. Однак, якщо адміністратору раніше було призначено роль Dataverse, видалення його з ролей адміністратора служби адміністратора Power Platform та Dynamics 365 не призведе до автоматичного видалення ролі Dataverse системного адміністратора. Наразі немає можливості визначити, чи була роль призначена автоматично системою чи вручну адміністратором. Тому радимо адміністраторам вручну видалити роль системного адміністратора після видалення Microsoft Entra ролі.

Зіставлення ліцензії із роллю

Якщо так визначено у вашому середовищі, певні ролі автоматично призначатимуться користувачам після додавання користувачів до Dataverse залежно від ліцензії, призначеної таким користувачам. Зіставлення ліцензій із ролями для середовища можна переглянути, перейшовши на сторінку «Зіставлення ліцензій із ролями» у центрі адміністрування Power Platform.

Виберіть Середовища> [виберіть середовище] >Параметри>Користувачі + Дозволи>Ліцензія для відображення ролі.

Початок роботи з ролями безпеки в Dataverse