Нотатка
Доступ до цієї сторінки потребує авторизації. Можна спробувати ввійти або змінити каталоги.
Доступ до цієї сторінки потребує авторизації. Можна спробувати змінити каталоги.
[Ця стаття стосується інструкції до попередньої версії, і її буде змінено.]
Контроль доступу на основі ролей (RBAC) в адміністративному центрі Microsoft Power Platform — це модель безпеки, розроблена для того, щоб допомогти організаціям впевнено та гнучко керувати, хто може що робити через ресурси Power Platform. Power Platform RBAC пропонує сучасний підхід до управління доступом, що полегшує призначення та забезпечення дозволів для користувачів, груп і автоматизації програмного забезпечення.
Important
- Це функція попереднього перегляду.
- Підготовчі функції призначені для невиробничого використання. Їх можливості можуть бути обмеженими. Ці функції підпадають під додаткові умови використання і доступні до офіційного релізу, щоб клієнти могли отримати раннє access та залишити відгуки.
З Power Platform RBAC адміністратори можуть:
- Вкажіть, хто має доступ до конкретних ресурсів.
- Визначте, які дії користувачі можуть виконувати, такі як створювати, керувати або переглядати.
- Призначайте дозволи на різних рівнях: організація (орендар), групи середовища та окремі середовища.
RBAC працює на рівні API Power Platform, що відображає адміністративний контроль над ресурсами, тоді як Dataverse продовжує надавати власний базовий RBAC для бізнес-даних у середовищах.
Нотатка
Наразі RBAC зосереджений на розширенні принципу обслуговування та підтримки керованої ідентичності через API Power Platform та різні SDK управління. Доступні лише для читання, а також права на читання і запис, призначені на обсягах менших за весь орендар для користувацького досвіду адміністративного центру Power Platform, вже плануються, але ще не завершені.
Переваги Power Platform RBAC
- Детальний доступ: Призначте ролі на рівні орендаря, групи середовища або середовища для точного контролю.
- Вбудовані ролі: Використовуйте стандартні ролі (наприклад, Environment Admin і Maker) для узгодження з політиками доступу вашої організації.
- Гнучке визначення обсягу: Ролі можуть застосовуватися на широкому або вузькому рівні, щоб відповідати операційним потребам.
- Спадковість: Призначення з більшим обсягом — наприклад, tenant — успадковуються нижчими сферами, такими як групи середовищ і середовища.
Ключові поняття
Принципи безпеки
Принципал безпеки — це суб'єкт у Microsoft Entra ID, який може отримати доступ через призначення ролей RBAC. Підтримувані принципи безпеки включають:
- Принципи користувача: Люди-користувачі в Microsoft Entra ID, які використовують свою електронну адресу.
- Групи: Групи з підтримкою безпеки в Microsoft Entra ID, які використовують їхній ідентифікатор групи.
- Принципи сервісів/керовані ідентичності: реєстрації додатків у Microsoft Entra ID, а також системні та користувацькі керовані ідентичності. Призначені за відповідними ідентифікаторами об'єктів Enterprise.
Scope
Це рівень ієрархії, на якому здійснюється призначення.
- Орендар: широкі дозволи для всіх груп і середовищ.
- Група з питань середовища: логічне об'єднання середовища для колективного управління. Дозволи застосовуються до всіх оточень у групі.
- Середовище: Індивідуальний робочий простір для додатків, агентів, даних та автоматизації. Дозволи застосовуються до всіх ресурсів у цьому конкретному середовищі.
Призначення на ширших рівнях надають спадкові дозволи на нижчих рівнях, якщо їх спеціально не скасовують.
Призначення ролі
Призначення ролей — це зв'язки між принципом безпеки, вбудованим визначенням ролі та обсягом роботи. Прикладами завдань є делегування управління цілою групою середовища іншій особі або керованій ідентичності, що звільняє час для центрального ІТ для управління рештою орендаря.
Управління RBAC у Power Platform
Призначення RBAC можна керувати через API та SDK Power Platform. Ці API та SDK надають програмні опції для управління ролями, придатні для автоматизації та інтеграції у більших організаціях. Для покрокового проходження дивіться у розділі «Посібник: Призначити ролі принципалам сервісу».
Зберігання даних і надійність
Визначення та призначення ролей зберігаються безпечно та централізовано для вашого орендаря та синхронізовані регіонально для забезпечення надійного контролю та глобального доступу.
Визначення ролей
Визначення ролей — це колекції дозволів, які описують, які дії дозволені. Призначені обсяги об'єктів визначаються кожною вбудованою роллю. Ролі не можна налаштовувати або змінювати клієнтами.
Вбудовані ролі Power Platform
Наступні вбудовані ролі доступні для призначення користувачів, груп і принципалів сервісу в Power Platform RBAC:
| Ім'я ролі | Ідентифікатор ролі | Призначений обсяг | Дозволи |
|---|---|---|---|
| Адміністратор контролю доступу на основі ролей Power Platform | 95E94555-018C-447B-8691-BDAC8E12211E | /орендарі/{0} | Усі дозволи, що закінчуються на . Читати, Авторизація.RoleAssignments.Write, авторизація.RoleAssignments.Delete |
| Читач Power Platform | C886ad2E-27F7-4874-8381-5849B8D8A090 | /орендарі/{0} | Усі дозволи, що закінчуються на . Читати |
| Учасник Power Platform | FF954D61-A89A-4FBE-ACE9-01C367B89F87 | /орендарі/{0} | Можу керувати та читати всі ресурси, але не можу робити чи змінювати призначення ролей |
| Власник Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51EA | /орендарі/{0} | Всі дозволи |
Для детального огляду прав, ролей та інтеграції дивіться посилання Power Platform API. Щоб дізнатися, як програмно призначати ці ролі, дивіться розділ «Підручник: Призначення ролей принципалам сервісу».