Налаштування безпеки користувачів у середовищі
Microsoft Dataverse використовує модель безпеки на основі ролей для контролю доступу до бази даних та її ресурсів у середовищі. Використовуйте ролі безпеки, щоб налаштувати доступ до всіх ресурсів у середовищі або до конкретних програм і даних у середовищі. Комбінація рівнів доступу та дозволів у ролі безпеки визначає, які програми та дані користувачі можуть переглядати та як вони можуть взаємодіяти з цими програмами та даними.
Середовище не може мати жодної або однієї Dataverse бази даних. Ролі безпеки призначаються по-різному для середовищ, які не Dataverse мають бази даних , і середовищ, які мають базу Dataverse даних.
Дізнайтеся більше про середовища в Power Platform.
Попередньо визначені ролі безпеки
Середовища містять попередньо визначені ролі безпеки, які відображають типові завдання користувача. Попередньо визначені ролі безпеки відповідають найкращій практиці безпеки «мінімально необхідного доступу»: надають найменший доступ до мінімальної кількості бізнес-даних, потрібних користувачу для використання програми. Ці ролі безпеки можуть бути призначені користувачеві, команді власників і груповій команді. Попередньо визначені ролі безпеки, доступні в середовищі, залежать від типу середовища та програм, які ви в ньому інстальували.
Ще один набір ролей безпеки призначається користувачам додатків. Ці ролі безпеки встановлюються нашими службами та не можуть бути оновлені.
Середовища без бази даних Dataverse
Розробник середовища та адміністратор середовища – це єдина попередньо визначена роль для середовищ без бази даних Dataverse. Ці ролі описані в наступній таблиці.
| Роль безпеки | Опис |
|---|---|
| Адміністратор середовища | Роль адміністратора середовища може виконувати всі адміністративні дії в середовищі, зокрема:
|
| Відповідальний для середовища | Може створювати нові ресурси, пов’язані з середовищем, включаючи програми, з’єднання, користувацькі API та потоки використання Microsoft Power Automate. Однак ця роль не має привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
Середовища з базою даних Dataverse
Якщо середовище має базу Dataverse даних, користувачу має бути призначено роль системного адміністратора замість ролі адміністратора середовища, щоб мати повні права адміністратора.
Користувачі, які створюють програми, що підключаються до бази даних і мають створювати або оновлювати сутності та ролі безпеки, повинні мати роль системного настроювача на додаток до ролі розробника середовища. Роль розробника середовища не має привілеїв щодо даних середовища.
У наведеній нижче таблиці описано попередньо визначені ролі безпеки в середовищі, яке має базу Dataverse даних. Ці ролі не можна редагувати.
| Роль безпеки | Опис |
|---|---|
| Засіб для відкриття програм | Має мінімальні привілеї для виконання типових завдань. Ця роль в основному використовується як шаблон для створення власної ролі безпеки для додатків, керованих моделлю. Він не має жодних привілеїв до основних бізнес-таблиць, таких як «Обліковий запис», «Контакт» і «Активність». Однак він має доступ для читання на рівні організації до системних таблиць, таких як Process, для підтримки читання робочих процесів, наданих системою. Зауважте, що ця роль безпеки використовується під час створення нової, користувацькоїролі безпеки. |
| Базовий користувач | Лише для готових сутностей можуть запускати програму в середовищі та виконувати загальні завдання з власними записами. Він має привілеї для основних бізнес-таблиць, таких як «Обліковий запис», «Контакт» і «Активність». Примітка: роль Common Data Service безпеки користувача була перейменована на Basic User. Змінено лише назву; Привілеї користувача та призначення ролей однакові. Якщо Common Data Service у вас є рішення з роллю безпеки користувача, вам слід оновити рішення, перш ніж імпортувати його знову. В іншому випадку ви можете ненавмисно змінити ім’я ролі безпеки назад на Користувач під час імпорту рішення. |
| Делегат | Дозволяє коду видавати себе за іншого користувача або запускатийого від його імені. Зазвичай використовується з іншої ролі безпеки, що дає змогу отримати доступ до записів. |
| Адміністратор Dynamics 365 | Адміністратор Dynamics 365 – це роль адміністратора служби Microsoft Power Platform . Користувачі цієї ролі можуть виконувати функції адміністратора після Microsoft Power Platform того, як вони самостійно перейдуть до ролі системного адміністратора. |
| Відповідальний для середовища | Може створювати нові ресурси, пов’язані з середовищем, включаючи програми, з’єднання, користувацькі API та потоки використання Microsoft Power Automate. Однак ця роль не має жодних привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
| Глобальний адміністратор | Глобальний адміністратор – це Microsoft 365 роль адміністратора. Особа, яка купує Microsoft бізнес-підписку, є глобальним адміністратором і має необмежений контроль над продуктами в підписці та доступом до більшості даних. Користувачі цієї ролі повинні самостійно перейти на роль системного адміністратора. |
| Глобальний читач | Роль Глобального читача поки що не підтримується в Power Platform Центрі адміністрування. |
| Співробітник Office | Має дозвіл на читання таблиць, запис у яких було надано спільно з організацією. Не має доступу до будь-яких інших основних і настроюваних записів таблиць. Ця роль призначається робочій групі відповідальних Співробітників Office, а не окремому користувачу. |
| Адміністратор Power Platform | Power Platform Адміністратор – це Microsoft Power Platform роль адміністратора служби. Користувачі цієї ролі можуть виконувати функції адміністратора після Microsoft Power Platform того, як вони самостійно перейдуть до ролі системного адміністратора. |
| Сервіс видалено | Має повний дозвіл на видалення для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується службою і вимагає видалення записів у всіх сутностях. Цю роль не можна призначити користувачу або команді. |
| Читач служби | Має повний дозвіл на читання для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується сервісом і вимагає читання всіх сутностей. Цю роль не можна призначити користувачу або команді. |
| Автор служби | Має повний дозвіл на створення, читання та запис для всіх сутностей, включаючи користувацькі сутності. Ця роль в основному використовується сервісом і вимагає створення та оновлення записів. Цю роль не можна призначити користувачу або команді. |
| Користувач підтримки | Має повний дозвіл на читання налаштувань налаштування та управління бізнесом, які дозволяють персоналу служби підтримки усувати проблеми з конфігурацією середовища. Ця роль не має доступу до основних записів. Цю роль не можна призначити користувачу або команді. |
| системного адміністратора | Має повний дозвіл на налаштування або адміністрування середовища, включаючи створення, модифікацію та призначення ролей безпеки. Може переглядати всі дані середовища. |
| Системний настроювач | Має повний дозвіл на налаштування оточення. Може переглядати всі призначені для користувача дані таблиці в середовищі. Однак користувачі з цією роллю можуть переглядати лише створені ними записи в таблицях «Обліковий запис», «Контактна особа», «Активність». |
| Власник веб-додатку | Користувач, якому належить реєстрація заявки на веб-сайті на порталі Azure. |
| Власник веб-сайту | Користувач, який створив Power Pages веб-сайт. Ця роль управляється і не може бути змінена. |
Окрім попередньо визначених ролей безпеки, описаних для Dataverse, у вашому середовищі можуть бути доступні інші ролі безпеки залежно від Power Platform компонентів—Power Apps, Power Automate— Microsoft Copilot Studio—які ви маєте. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Компонент Power Platform | Докладно |
|---|---|
| Power Apps | Попередньо визначені ролі безпеки для середовищ із базою Dataverse даних |
| Power Automate | Безпека та конфіденційність |
| Power Pages | Ролі, необхідні для адміністрування веб-сайту |
| Microsoft Copilot Studio | Призначення ролей безпеки середовища |
Середовища: Dataverse for Teams
Дізнайтеся більше про попередньо визначені ролі безпеки в Dataverse for Teams середовищах.
Ролі безпеки для певних програм
Якщо ви розгортаєте програми Dynamics 365 у своєму середовищі, додаються інші ролі безпеки. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Програма Dynamics 365 | Документи щодо ролей безпеки |
|---|---|
| Dynamics 365 for Sales | Попередньо визначені ролі безпеки для продажів |
| Dynamics 365 Marketing | Ролі безпеки, додані Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service ролі + визначення |
| Dynamics 365 Customer Service | Ролі у фільмі Омніканальність для Customer Service |
| Dynamics 365 Customer Insights | Ролі Customer Insights |
| Диспетчер профілів програм | Ролі та привілеї, пов’язані з менеджером профілів додатків |
| Dynamics 365 Finance | Безпекові ролі в державному секторі |
| Програми для фінансів і операцій | Ролі безпеки в Microsoft Power Platform |
Зведені ресурси, доступні для попередньо визначених ролей безпеки
У наведеній нижче таблиці описано, які ресурси може створити кожна роль безпеки.
| Ресурс | Відповідальний для середовища | Адміністратор середовища | Системний настроювач | Системний адміністратор |
|---|---|---|---|---|
| Компонована програма | X | X | X | X |
| Хмарний цикл | X (не знає рішення) | X | X | X |
| З’єднувач | X (не знає рішення) | X | X | X |
| Підключення* | X | X | X | X |
| Шлюз даних | - | X | - | X |
| Потік даних | X | X | X | X |
| Dataverse таблиці | - | - | X | X |
| Модельна програма | X | - | X | X |
| Структура рішень | X | - | X | X |
| настільний цикл** | - | - | X | X |
| AI Builder | - | - | X | X |
* З’єднання використовуються в програмах canvas та Power Automate.
**Dataverse for Teams Користувачі за замовчуванням не мають доступу до потоків робочого столу. Вам потрібно оновити своє середовище до повних Dataverse можливостей і придбатинастільний цикл ліцензійні плани для використання потоків робочого столу.
Призначення ролі безпеки користувачам у середовищі, яке не має бази даних Dataverse
Для середовищ без Dataverse бази даних користувач, який має роль адміністратора середовища у середовищі, може призначати ролі безпеки окремим користувачам або групам за Microsoft Entra ідентифікатором.
Увійдіть у центр адміністрування Power Platform.
Виберіть Середовища> [виберіть середовище].
На плитці Доступ виберіть Переглянути усі для Адміністратор середовища або Автор середовища, щоб додати або видалити осіб для кожної з ролей.
Виберіть пункт Додати людей, а потім укажіть ім’я або адресу електронної пошти одного або кількох користувачів або груп за Microsoft Entra ідентифікатором.
Виберіть Додати.
Призначення ролей безпеки користувачам у середовищі, яке має базу даних Dataverse
Ролі безпеки можуть бути призначені окремим користувачам, командам власників і Microsoft Entra груповим командам. Перш ніж призначити роль користувачу, переконайтеся, що обліковий запис користувача було додано до середовища та ввімкнено в ньому.
Загалом, роль безпеки може бути призначена лише користувачам, облікові записи яких увімкнено в середовищі. Щоб призначити роль безпеки обліковому запису користувача, який вимкнено в середовищі, увімкніть allowRoleAssignmentOnDisabledUsers у налаштуваннях OrgDBOrgSettings.
Увійдіть у центр адміністрування Power Platform.
Виберіть Середовища> [виберіть середовище].
На плитці Access виберіть пункт Переглянути всі в розділі Ролі безпеки.
Переконайтеся, що в списку вибрано правильну бізнес-одиницю, а потім виберіть роль зі списку ролей у середовищі.
Виберіть пункт Додати людей, а потім укажіть ім’я або адресу електронної пошти одного або кількох користувачів або груп за Microsoft Entra ідентифікатором.
Виберіть Додати.
Створюйте, редагуйте або копіюйте роль безпеки за допомогою нового сучасного інтерфейсу користувача
Ви можете легко створити, відредагувати або скопіювати роль безпеки та налаштувати її відповідно до своїх потреб.
Перейдіть до Power Platform Центру адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть Настройки.
Розгорніть Користувачі + Дозволи.
Виберіть Ролі безпеки.
Виконайте відповідне завдання:
Створіть роль безпеки
Виберіть Нова роль на панелі команд.
У полі «Ім’я ролі» введіть ім’я нової ролі.
У полі «Бізнес-одиниця » виберіть бізнес-одиницю, до якої належить роль.
Виберіть, чи повинні учасники команди успадкувати роль.
Якщо цей параметр увімкнено, а роль призначена команді, усі учасники команди успадковують усі привілеї, пов’язані з роллю.
Виберіть Зберегти.
Змінення ролі безпеки
Виберіть ім’я ролі або виберіть рядок, а потім натисніть Редагувати. Потім визначте привілеї та властивості ролі безпеки.
Деякі попередньо визначені ролі безпеки не можна редагувати. Якщо ви спробуєте відредагувати ці ролі, кнопки «Зберегти + Закрити » будуть недоступні.
Копіювання ролі безпеки
Виберіть роль безпеки, а потім натисніть Копіювати. Дайте ролі нову назву. За потреби відредагуйте роль безпеки.
Копіюються лише привілеї, а не призначені учасники та команди.
Відстеження ролей безпеки
Проведіть аудит ролей безпеки, щоб краще зрозуміти зміни, внесені до безпеки у вашому Power Platform середовищі.
Створення та налаштування спеціальної ролі безпеки
Якщо програма використовує спеціальну сутність, права доступу для неї мають бути явно надані в ролі безпеки, перш ніж можна буде використовувати програму. Ви можете додати ці права до наявної ролі безпеки або створити спеціальну роль безпеки.
Кожна роль безпеки повинна включати мінімальний набір привілеїв. Докладніше про ролі безпеки та привілеї.
Порада
Середовище може зберігати записи, які можуть використовуватися кількома програмами. Можливо, вам знадобиться кілька ролей безпеки, які надають різні привілеї. Приклад.
- Деяким користувачам (так звані редактори) може знадобитися лише читання, оновлення та прикріплення інших записів, тому їхня роль безпеки матиме права читання, запису та додавання.
- Іншим користувачам можуть знадобитися всі привілеї, які мають редактори, а також можливість створювати, додавати, видаляти та ділитися. Роль безпеки для цих користувачів містить такі права: створення, читання, запис, додавання, видалення, призначати, додавання до, а також надання доступу.
Створіть власну роль безпеки з мінімальними привілеями для запуску програми
увійдіть у Power Platform Центр адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть елементи Настройки>Користувачі та дозволи>Ролі безпеки.
Виберіть роль «Відкривач програм», а потім натисніть «Копіювати».
Введіть ім’я користувацької ролі, а потім натисніть кнопку Копіювати.
У списку ролей безпеки виберіть нову роль, а потім натисніть Інші дії (...) >Редагувати.
У редакторі ролей виберіть вкладку «Настроювані сутності ».
Знайдіть у списку свою спеціальну таблицю та виберіть привілеї «Читання», «Запис» і «Додавання ».
Виберіть елемент Зберегти й закрити.
Створіть власну роль безпеки з нуля
увійдіть у Power Platform Центр адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть елементи Настройки>Користувачі та дозволи>Ролі безпеки.
Виберіть Нова роль.
Введіть назву нової ролі на вкладці Відомості .
На інших вкладках знайдіть свою сутність, а потім виберіть дії та область їх виконання.
Знайдіть вкладку, а потім виберіть потрібну сутність. Наприклад, виберіть вкладку Настроювані сутності, щоб вказати дозволи для настроюваної сутності.
Виберіть привілеї Читання, Запис, Додати.
Виберіть Зберегти й закрити.
Мінімальні права для виконання програми
Коли ви створюєте спеціальну роль безпеки, ця роль має містити набір мінімальних привілеїв для запуску програми. Докладніше про обов’язкові мінімальні привілеї.
Див. також
Надання користувачам доступу
Контроль доступу користувачів до середовищ: групи безпеки та ліцензії
Як визначається доступ до запису