Cấu hình bảo mật người dùng trong môi trường
Microsoft Dataverse sử dụng mô hình bảo mật dựa trên vai trò để kiểm soát quyền truy cập vào cơ sở dữ liệu và tài nguyên của cơ sở dữ liệu đó trong môi trường. Sử dụng vai trò bảo mật để cấu hình quyền truy cập vào tất cả tài nguyên trong môi trường hoặc vào các ứng dụng và dữ liệu cụ thể trong môi trường. Sự kết hợp giữa các cấp độ truy cập và quyền trong vai trò bảo mật xác định ứng dụng và dữ liệu nào mà người dùng có thể xem và cách họ có thể tương tác với các ứng dụng và dữ liệu đó.
Một môi trường có thể không có hoặc có một Dataverse cơ sở dữ liệu. Bạn chỉ định các vai trò bảo mật khác nhau cho môi trường không có Dataverse cơ sở dữ liệu và môi trường có Dataverse cơ sở dữ liệu.
Tìm hiểu thêm về môi trường trong Power Platform.
Vai trò bảo mật định trước
Môi trường bao gồm các vai trò bảo mật được xác định trước phản ánh các tác vụ chung của người dùng. Các vai trò bảo mật được xác định trước tuân theo thông lệ bảo mật tốt nhất là "quyền truy cập tối thiểu bắt buộc": cung cấp quyền truy cập ít nhất vào dữ liệu kinh doanh tối thiểu mà người dùng cần để sử dụng ứng dụng. Các vai trò bảo mật này có thể được chỉ định cho người dùng, nhóm chủ sở hữu và nhóm. Các vai trò bảo mật được xác định trước có sẵn trong một môi trường phụ thuộc vào loại môi trường và các ứng dụng bạn đã cài đặt trong đó.
Một tập hợp các vai trò bảo mật khác được chỉ định cho người dùng ứng dụng. Các vai trò bảo mật đó được cài đặt bởi dịch vụ của chúng tôi và không thể cập nhật.
Các môi trường không có cơ sở dữ liệu Dataverse
Người tạo môi trường và Quản trị viên môi trường là các vai trò được xác định trước duy nhất cho các môi trường không có cơ sở dữ liệu Dataverse. Những vai trò này được mô tả trong bảng sau.
| Vai trò bảo mật | Description |
|---|---|
| Người quản trị Môi trường | Vai trò quản trị viên trong môi trường có thể thực hiện tất cả các hành động quản trị trên một môi trường, bao gồm:
|
| Người tạo Môi trường | Có thể tạo tài nguyên mới liên quan đến môi trường, bao gồm ứng dụng, kết nối, API tùy chỉnh và luồng bằng cách sử dụng Microsoft Power Automate. Tuy nhiên, vai trò này không có quyền truy cập dữ liệu trong môi trường. Người tạo môi trường cũng có thể phân phối các ứng dụng họ xây dựng trong một môi trường cho những người dùng khác trong tổ chức của bạn. Họ có thể chia sẻ ứng dụng với người dùng cá nhân, nhóm bảo mật hoặc tất cả người dùng trong tổ chức. |
Các môi trường có cơ sở dữ liệu Dataverse
Nếu môi trường có cơ sở dữ liệu, người dùng phải được chỉ định vai trò Quản trị viên hệ thống thay vì vai trò quản trị viên trong môi trường để có đầy đủ quyền quản trị. Dataverse
Người dùng tạo ứng dụng kết nối với cơ sở dữ liệu và cần tạo hoặc cập nhật các thực thể và vai trò bảo mật phải có vai trò người tùy chỉnh hệ thống ngoài vai trò người tạo trong môi trường. Vai trò người tạo trong môi trường không có quyền đối với dữ liệu của môi trường.
Bảng sau đây mô tả các vai trò bảo mật được xác định trước trong môi trường có cơ sở dữ liệu. Dataverse Bạn không thể chỉnh sửa những vai trò này.
| Vai trò bảo mật | Description |
|---|---|
| Trình mở ứng dụng | Có quyền tối thiểu cho các tác vụ chung. Vai trò này chủ yếu được sử dụng như một mẫu để tạo vai trò bảo mật tùy chỉnh cho các ứng dụng dựa trên mô hình. Nó không có bất kỳ quyền nào đối với các bảng kinh doanh cốt lõi, chẳng hạn như Tài khoản, Liên hệ và Hoạt động. Tuy nhiên, nó có quyền truy cập đọc ở cấp độ Tổ chức vào các bảng hệ thống, chẳng hạn như Quy trình, để hỗ trợ đọc các quy trình công việc do hệ thống cung cấp. Lưu ý rằng vai trò bảo mật này được sử dụng khi tạo vai trò bảo mật tùy chỉnh mới. |
| Người dùng cơ bản | Chỉ dành cho các thực thể có sẵn, có thể chạy ứng dụng trong môi trường và thực hiện các tác vụ chung trên các bản ghi mà họ sở hữu. Nó có quyền đối với các bảng kinh doanh cốt lõi, chẳng hạn như Tài khoản, Liên hệ và Hoạt động. Lưu ý: Common Data Service Người dùng vai trò bảo mật đã được đổi tên thành Người dùng cơ bản. Chỉ có tên là thay đổi, quyền của người dùng và vai trò được phân công vẫn giữ nguyên. Nếu bạn có giải pháp với Common Data Service Người dùng vai trò bảo mật, bạn nên cập nhật giải pháp trước khi nhập lại. Nếu không, bạn có thể vô tình đổi tên vai trò bảo mật trở lại thành Người dùng khi bạn nhập giải pháp. |
| Đại diện | Cho phép mã mạo danh hoặc chạy như người dùng khác. Thường được sử dụng với vai trò bảo mật khác để cho phép truy cập vào bản ghi. |
| Quản trị viên Dynamics 365 | Quản trị viên Dynamics 365 là vai trò quản trị viên dịch vụ. Microsoft Power Platform Người dùng có vai trò này có thể thực hiện các chức năng quản trị sau khi họ tự nâng cấp lên vai trò quản trị viên hệ thống. Microsoft Power Platform |
| Người tạo Môi trường | Có thể tạo tài nguyên mới liên quan đến môi trường, bao gồm ứng dụng, kết nối, API tùy chỉnh và luồng bằng cách sử dụng Microsoft Power Automate. Tuy nhiên, vai trò này không có bất kỳ quyền nào để truy cập dữ liệu trong môi trường. Người tạo môi trường cũng có thể phân phối các ứng dụng họ xây dựng trong một môi trường cho những người dùng khác trong tổ chức của bạn. Họ có thể chia sẻ ứng dụng với người dùng cá nhân, nhóm bảo mật hoặc tất cả người dùng trong tổ chức. |
| Quản trị viên Toàn cầu | Quản trị viên toàn cầu là vai trò Microsoft 365 quản trị viên. Người mua gói đăng ký doanh nghiệp là người quản trị toàn cầu và có quyền kiểm soát không giới hạn đối với các sản phẩm trong gói đăng ký cũng như quyền truy cập vào hầu hết dữ liệu. Microsoft Người dùng vai trò này phải tự nâng cấp lên vai trò quản trị viên hệ thống. ... |
| Bộ đọc toàn cầu | Chức năng Người đọc toàn cầu chưa được hỗ trợ trong Power Platform trung tâm quản trị. |
| Cộng tác viên trên Office | Có quyền Đọc đối với các bảng có bản ghi được chia sẻ với tổ chức. Không có quyền truy cập vào bất kỳ bản ghi bảng tùy chỉnh và cốt lõi nào khác. Vai trò này được chỉ định cho nhóm chủ sở hữu Cộng tác viên Office chứ không phải cho một người dùng cá nhân. |
| Quản trị viên Power Platform | Power Platform quản trị viên là vai trò Microsoft Power Platform quản trị viên dịch vụ. Người dùng có vai trò này có thể thực hiện các chức năng quản trị sau khi họ tự nâng cấp lên vai trò quản trị viên hệ thống. Microsoft Power Platform |
| Dịch vụ đã xóa | Có toàn quyền Xóa đối với tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu xóa bản ghi trong tất cả các thực thể. Không thể chỉ định vai trò này cho người dùng hoặc nhóm. |
| Người đọc dịch vụ | Có toàn quyền Đọc đối với tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu phải đọc tất cả các thực thể. Không thể chỉ định vai trò này cho người dùng hoặc nhóm. |
| Người viết dịch vụ | Có đầy đủ quyền Tạo, Đọc và Ghi cho tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu tạo và cập nhật hồ sơ. Không thể chỉ định vai trò này cho người dùng hoặc nhóm. |
| Hỗ trợ Người dùng | Có toàn quyền Đọc đối với các thiết lập tùy chỉnh và quản lý doanh nghiệp, cho phép nhân viên hỗ trợ khắc phục sự cố cấu hình môi trường. Vai trò này không có quyền truy cập vào các bản ghi cốt lõi. Không thể chỉ định vai trò này cho người dùng hoặc nhóm. |
| Quản trị viên hệ thống | Có toàn quyền tùy chỉnh hoặc quản lý môi trường, bao gồm việc tạo, sửa đổi và chỉ định vai trò bảo mật. Có thể xem tất cả dữ liệu trong môi trường. |
| Người tùy chỉnh hệ thống | Có toàn quyền tùy chỉnh môi trường. Có thể xem tất cả dữ liệu bảng tùy chỉnh trong môi trường. Tuy nhiên, người dùng có vai trò này chỉ có thể xem các bản ghi mà họ tạo trong các bảng Tài khoản, Liên hệ và Hoạt động. |
| Chủ sở hữu ứng dụng trang web | Người dùng sở hữu ứng dụng đăng ký trang web trong cổng thông tin Azure. |
| Chủ sở hữu trang web | Người dùng đã tạo ra trang web. Power Pages Vai trò này được quản lý và không thể thay đổi. |
Ngoài các vai trò bảo mật được xác định trước được mô tả cho Dataverse, các vai trò bảo mật khác có thể khả dụng trong môi trường của bạn tùy thuộc vào Power Platform các thành phần—Power Apps, Power Automate, Microsoft Copilot Studio—mà bạn có. Bảng sau cung cấp liên kết tới nhiều thông tin hơn.
| Thành phần của Power Platform | Thông tin |
|---|---|
| Power Apps | Các vai trò bảo mật được xác định trước cho các môi trường có cơ sở dữ liệu Dataverse |
| Power Automate | Bảo mật và quyền riêng tư |
| Power Pages | Các vai trò cần thiết cho quản trị trang web |
| Microsoft Copilot Studio | Chỉ định vai trò bảo mật môi trường |
Dataverse for Teams môi trường
Tìm hiểu thêm về các vai trò bảo mật được xác định trước trong Dataverse for Teams môi trường.
Vai trò bảo mật cụ thể cho ứng dụng
Nếu bạn triển khai ứng dụng Dynamics 365 trong môi trường của mình, các vai trò bảo mật khác sẽ được thêm vào. Bảng sau cung cấp liên kết tới nhiều thông tin hơn.
| Ứng dụng Dynamics 365 | Tài liệu về vai trò bảo mật |
|---|---|
| Dynamics 365 Sales | Các vai trò bảo mật được xác định trước cho Bán hàng |
| Dynamics 365 Marketing | Vai trò bảo mật được thêm vào bởi Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service vai trò + định nghĩa |
| Dynamics 365 Customer Service | Vai trò trong Bán hàng đa kênh cho Customer Service |
| Dynamics 365 Customer Insights | Vai trò của Customer Insights |
| Trình quản lý hồ sơ ứng dụng | Các vai trò và quyền hạn liên quan đến trình quản lý hồ sơ ứng dụng |
| Dynamics 365 Finance | Vai trò an ninh trong khu vực công |
| Ứng dụng tài chính và hoạt động | Vai trò bảo mật trong Microsoft Power Platform |
Tóm tắt các nguồn lực có sẵn cho các vai trò bảo mật được xác định trước
Bảng sau đây mô tả những tài nguyên mà mỗi vai trò bảo mật có thể biên soạn.
| Tài nguyên | Người tạo Môi trường | Người quản trị Môi trường | Người tùy chỉnh hệ thống | Quản trị viên hệ thống |
|---|---|---|---|---|
| Ứng dụng canvas | X | X | X | X |
| Dòng đám mây | X (không nhận biết giải pháp) | X | X | X |
| Trình kết nối | X (không nhận biết giải pháp) | X | X | X |
| Sự liên quan* | X | X | X | X |
| Cổng dữ liệu | - | X | - | X |
| Luồng dữ liệu | X | X | X | X |
| Bảng Dataverse | - | - | X | X |
| Ứng dụng dựa trên mô hình | X | - | X | X |
| Khung giải pháp | X | - | X | X |
| Dòng màn hình nền** | - | - | X | X |
| AI Builder | - | - | X | X |
*Các kết nối được sử dụng trong ứng dụng canvas Và Power Automate.
**Dataverse for Teams Theo mặc định, người dùng không được quyền truy cập vào luồng dữ liệu trên máy tính để bàn. Bạn cần nâng cấp môi trường của mình lên mức đầy đủ Dataverse khả năng và có được dòng màn hình nền các gói giấy phép để sử dụng luồng máy tính để bàn.
Gán vai trò bảo mật cho người dùng trong môi trường không có cơ sở dữ liệu Dataverse
Đối với môi trường không có Dataverse cơ sở dữ liệu, người dùng có vai trò quản trị viên trong môi trường trong môi trường có thể chỉ định vai trò bảo mật cho từng người dùng hoặc nhóm từ Microsoft Entra NHẬN DẠNG.
Đăng nhập vào Trung tâm quản trị Power Platform.
Chọn Môi trường> [chọn một môi trường].
Trong ngăn xếp Truy cập, chọn Xem tất cả cho Quản trị viên môi trường hoặc Nhà sản xuất môi trường để thêm hoặc xóa người cho một trong hai vai trò.
Lựa chọn Thêm người, sau đó chỉ định tên hoặc địa chỉ email của một hoặc nhiều người dùng hoặc nhóm từ Microsoft Entra NHẬN DẠNG.
Chọn Thêm.
Gán vai trò bảo mật cho người dùng trong môi trường có cơ sở dữ liệu Dataverse
Vai trò bảo mật có thể được chỉ định cho từng người dùng, đội chủ sở hữu, Và Microsoft Entra nhóm đội. Trước khi bạn chỉ định vai trò cho người dùng, xác minh tài khoản của người dùng đã được thêm vào và được kích hoạt trong môi trường.
Nhìn chung, vai trò bảo mật chỉ có thể được gán cho những người dùng có tài khoản được bật trong môi trường. Để gán vai trò bảo mật cho tài khoản người dùng bị vô hiệu hóa trong môi trường, hãy bật allowRoleAssignmentOnDisabledUsers trong OrgDBOrgSettings.
Đăng nhập vào Trung tâm quản trị Power Platform.
Chọn Môi trường> [chọn một môi trường].
Trong Truy cập gạch, chọn Xem tất cả dưới Vai trò bảo mật.
Đảm bảo đã chọn đúng đơn vị kinh doanh trong danh sách, sau đó chọn vai trò từ danh sách vai trò trong môi trường.
Lựa chọn Thêm người, sau đó chỉ định tên hoặc địa chỉ email của một hoặc nhiều người dùng hoặc nhóm từ Microsoft Entra NHẬN DẠNG.
Chọn Thêm.
Tạo, chỉnh sửa hoặc sao chép vai trò bảo mật bằng giao diện người dùng mới, hiện đại
Bạn có thể dễ dàng tạo, chỉnh sửa hoặc sao chép vai trò bảo mật và tùy chỉnh để đáp ứng nhu cầu của mình.
Đi đến Power Platform trung tâm quản trị, lựa chọn Môi trường trong ngăn điều hướng, sau đó chọn một môi trường.
Chọn Thiết đặt.
Mở rộng Người dùng + Quyền.
Chọn Vai trò bảo mật.
Hoàn thành nhiệm vụ phù hợp:
Tạo vai trò bảo mật
Lựa chọn Vai trò mới từ thanh lệnh.
Trong trường Tên vai trò , hãy nhập tên cho vai trò mới.
Trong trường Đơn vị kinh doanh , hãy chọn đơn vị kinh doanh mà vai trò đó thuộc về.
Chọn xem thành viên nhóm có nên kế thừa vai trò hay không.
Nếu cài đặt này được bật và vai trò được chỉ định cho một nhóm, tất cả thành viên trong nhóm sẽ được thừa hưởng mọi đặc quyền liên quan đến vai trò đó.
Chọn Lưu.
Chỉnh sửa vai trò bảo mật
Chọn tên vai trò hoặc chọn hàng rồi chọn Chỉnh sửa. Sau đó xác định các quyền và thuộc tính của vai trò bảo mật.
Một số vai trò bảo mật được xác định trước không thể chỉnh sửa. Nếu bạn thử chỉnh sửa các vai trò này, các nút Lưu và Lưu + Đóng sẽ không khả dụng.
Sao chép vai trò bảo mật
Chọn vai trò bảo mật rồi chọn Sao chép. Đặt tên mới cho vai trò. Chỉnh sửa vai trò bảo mật nếu cần.
Chỉ có các đặc quyền được sao chép, không phải bất kỳ thành viên và nhóm nào được chỉ định.
Kiểm tra vai trò bảo mật
Kiểm tra vai trò bảo mật để hiểu rõ hơn những thay đổi được thực hiện đối với bảo mật trong môi trường Power Platform của bạn.
Tạo hoặc đặt cấu hình vai trò bảo mật tùy chỉnh
Nếu ứng dụng của bạn sử dụng thực thể tùy chỉnh, các đặc quyền của ứng dụng phải được cấp rõ ràng trong vai trò bảo mật trước khi ứng dụng có thể sử dụng. Bạn có thể thêm các đặc quyền này trong vai trò bảo mật hiện có hoặc tạo vai trò bảo mật tùy chỉnh.
Mỗi vai trò bảo mật phải bao gồm một bộ quyền tối thiểu. Tìm hiểu thêm về quyền và vai trò bảo mật.
Tiền bo
Môi trường có thể lưu giữ các bản ghi có thể được nhiều ứng dụng sử dụng. Bạn có thể cần nhiều vai trò bảo mật cấp các đặc quyền khác nhau. Ví dụ:
- Một số người dùng (gọi là Biên tập viên) có thể chỉ cần đọc, cập nhật và đính kèm các bản ghi khác, do đó vai trò bảo mật của họ sẽ có quyền đọc, ghi và thêm.
- Những người dùng khác có thể cần tất cả các đặc quyền mà Biên tập viên có cùng khả năng tạo, thêm, xóa và chia sẻ. Vai trò bảo mật cho những người dùng này sẽ có các đặc quyền tạo, đọc, ghi, gắn thêm, gán, nối vào và chia sẻ.
Tạo vai trò bảo mật tùy chỉnh với các đặc quyền tối thiểu để chạy ứng dụng
đăng nhập vào Power Platform trung tâm quản trị, chọn Môi trường trong ngăn điều hướng, sau đó chọn một môi trường.
Chọn Thiết đặt>Người dùng + quyền>Vai trò bảo mật.
Chọn vai trò Người mở ứng dụng , sau đó chọn Sao chép.
Nhập tên vai trò tùy chỉnh, sau đó chọn Sao chép.
Trong danh sách vai trò bảo mật, hãy chọn vai trò mới, sau đó chọn Thêm hành động (…) >Chỉnh sửa.
Trong trình chỉnh sửa vai trò, hãy chọn tab Thực thể tùy chỉnh .
Tìm bảng tùy chỉnh của bạn trong danh sách và chọn các quyền Đọc, Ghi và Thêm .
Chọn Lưu và Đóng.
Tạo vai trò bảo mật tùy chỉnh từ đầu
đăng nhập vào Power Platform trung tâm quản trị, chọn Môi trường trong ngăn điều hướng, sau đó chọn một môi trường.
Chọn Thiết đặt>Người dùng + quyền>Vai trò bảo mật.
Chọn Vai trò mới.
Nhập tên vai trò mới vào tab Chi tiết .
Trên các tab khác, hãy tìm thực thể của bạn rồi chọn hành động và phạm vi thực hiện chúng.
Chọn một tab và tìm kiếm thực thể của bạn. Ví dụ: chọn tab Thực thể tùy chỉnh để đặt quyền trên một thực thể tùy chỉnh.
Chọn các quyền Đọc, Ghi, Thêm.
Chọn Lưu và Đóng.
Đặc quyền tối thiểu để chạy một ứng dụng
Khi bạn tạo vai trò bảo mật tùy chỉnh, vai trò đó phải có một số quyền tối thiểu để người dùng có thể chạy ứng dụng. Tìm hiểu thêm về các đặc quyền tối thiểu bắt buộc.
Xem thêm
Cấp quyền truy cập cho người dùng
Kiểm soát quyền truy cập của người dùng vào môi trường: nhóm bảo mật và giấy phép
Cách xác định quyền truy cập vào hồ sơ