Định cấu hình bảo mật người dùng trong môi trường

Microsoft Dataverse sử dụng mô hình bảo mật dựa trên vai trò để kiểm soát quyền truy cập vào cơ sở dữ liệu và tài nguyên của nó trong môi trường. Sử dụng vai trò bảo mật để đặt cấu hình quyền truy cập vào tất cả tài nguyên trong một môi trường hoặc vào các ứng dụng và dữ liệu cụ thể trong môi trường. Sự kết hợp giữa các cấp truy cập và quyền trong vai trò bảo mật xác định ứng dụng và dữ liệu nào người dùng có thể xem cũng như cách họ có thể tương tác với các ứng dụng và dữ liệu đó.

Một môi trường có thể không có hoặc có một cơ sở dữ liệu Dataverse . Bạn chỉ định các vai trò bảo mật khác nhau cho môi trường không có Dataverse cơ sở dữ liệumôi trường có Dataverse cơ sở dữ liệu.

Tìm hiểu thêm về môi trường trong Power Platform.

Vai trò bảo mật định trước

Môi trường bao gồm các vai trò bảo mật được xác định trước phản ánh các tác vụ thông thường của người dùng. Các vai trò bảo mật được xác định trước tuân theo phương pháp bảo mật tốt nhất là "quyền truy cập bắt buộc tối thiểu": cung cấp ít quyền truy cập nhất vào dữ liệu doanh nghiệp tối thiểu mà người dùng cần để sử dụng ứng dụng. Bạn có thể chỉ định các vai trò bảo mật này cho người dùng, nhóm chủ sở hữunhóm nhóm. Các vai trò bảo mật được xác định trước có sẵn trong một môi trường tùy thuộc vào loại môi trường và ứng dụng bạn đã cài đặt trong đó.

Một nhóm vai trò bảo mật khác được chỉ định cho người dùng ứng dụng. Các vai trò bảo mật đó do dịch vụ của chúng tôi cài đặt và không thể cập nhật.

Các môi trường không có cơ sở dữ liệu Dataverse

Người tạo môi trường và Quản trị viên môi trường là các vai trò được xác định trước duy nhất cho các môi trường không có cơ sở dữ liệu Dataverse. Những vai trò này được mô tả trong bảng sau.

Vai trò bảo mật Description
Người quản trị Môi trường Vai trò quản trị viên trong môi trường có thể thực hiện tất cả các hành động quản trị trên một môi trường, bao gồm:
  • Thêm hoặc loại bỏ người dùng khỏi vai trò Quản trị viên môi trường hoặc Người tạo môi trường.
  • Cung cấp cơ sở dữ liệu Dataverse cho môi trường này. Sau khi cơ sở dữ liệu được cung cấp, hãy gán vai trò người tùy chỉnh hệ thống cho quản trị viên trong môi trường để cấp cho chúng quyền truy cập vào dữ liệu của môi trường.
  • Xem và quản lý tất cả các tài nguyên được tạo trong một môi trường.
  • Tạo chính sách ngăn ngừa mất dữ liệu.
Người tạo Môi trường Có thể tạo các tài nguyên mới được liên kết với một môi trường, bao gồm ứng dụng, kết nối, API tùy chỉnh và luồng bằng cách sử dụng Microsoft Power Automate. Tuy nhiên, vai trò này không có đặc quyền truy cập dữ liệu trong môi trường.

Người tạo môi trường cũng có thể phân phối ứng dụng họ xây dựng trong môi trường cho những người dùng khác trong tổ chức của bạn. Họ có thể chia sẻ ứng dụng với người dùng cá nhân, nhóm bảo mật hoặc tất cả người dùng trong tổ chức.

Các môi trường có cơ sở dữ liệu Dataverse

Nếu môi trường có cơ sở dữ liệu Dataverse , người dùng phải được chỉ định vai trò Quản trị viên hệ thống thay vì vai trò quản trị viên trong môi trường để có đầy đủ đặc quyền quản trị viên.

Người dùng tạo ứng dụng kết nối với cơ sở dữ liệu và cần tạo hoặc cập nhật thực thể cũng như vai trò bảo mật phải có vai trò người tùy chỉnh hệ thống bên cạnh vai trò người tạo trong môi trường. Vai trò người tạo trong môi trường không có đặc quyền đối với dữ liệu của môi trường.

Bảng sau đây mô tả các vai trò bảo mật được xác định trước trong môi trường có cơ sở dữ liệu Dataverse . Bạn không thể chỉnh sửa các vai trò này.

Vai trò bảo mật Description
Trình mở ứng dụng đặc quyền tối thiểu cho các nhiệm vụ thông thường. Vai trò này chủ yếu được sử dụng làm mẫu để tạo vai trò bảo mật tùy chỉnh cho các ứng dụng dựa trên mô hình. Nó không có bất kỳ đặc quyền nào đối với các bảng kinh doanh cốt lõi, chẳng hạn như Tài khoản, Liên hệ và Hoạt động. Tuy nhiên, nó có quyền truy cập đọc ở cấp độ tổ chức vào các bảng hệ thống, chẳng hạn như Quy trình, để hỗ trợ hệ thống đọc- quy trình công việc được cung cấp. Lưu ý rằng vai trò bảo mật này được sử dụng khi a vai trò bảo mật mới, tùy chỉnh được tạo.
Người dùng cơ bản Chỉ dành cho các thực thể dùng ngay, có thể chạy ứng dụng trong môi trường và thực hiện các tác vụ phổ biến trên bản ghi mà chúng sở hữu. Nó có đặc quyền đối với các bảng kinh doanh cốt lõi, chẳng hạn như Tài khoản, Liên hệ và Hoạt động.

Lưu ý: Người dùng Common Data Service #glsr_biejfcbcz đã được đổi tên thành Người dùng cơ bản. Chỉ có tên được thay đổi; đặc quyền của người dùng và phân công vai trò là như nhau. Nếu bạn có giải pháp với Common Data Service Người dùng vai trò bảo mật, bạn nên cập nhật giải pháp trước khi nhập lại. Nếu không, bạn có thể vô tình thay đổi tên vai trò bảo mật thành Người dùng khi nhập giải pháp.
Đại diện Cho phép mã mạo danh hoặc chạy với tư cách một người dùng khác. Thường được sử dụng với vai trò bảo mật khác để cho phép truy cập vào bản ghi.
Quản trị viên Dynamics 365 Quản trị viên Dynamics 365 là một vai trò quản trị dịch vụ Microsoft Power Platform. Vai trò này có thể thực hiện các chức năng quản trị viên Microsoft Power Platform vì họ có vai trò quản trị viên hệ thống.
Người tạo Môi trường Có thể tạo các tài nguyên mới được liên kết với một môi trường, bao gồm ứng dụng, kết nối, API tùy chỉnh và luồng bằng cách sử dụng Microsoft Power Automate. Tuy nhiên, vai trò này không có bất kỳ đặc quyền nào để truy cập dữ liệu trong môi trường.

Người tạo môi trường cũng có thể phân phối ứng dụng họ xây dựng trong môi trường cho những người dùng khác trong tổ chức của bạn. Họ có thể chia sẻ ứng dụng với người dùng cá nhân, nhóm bảo mật hoặc tất cả người dùng trong tổ chức.
Quản trị viên Toàn cầu Quản trị viên toàn cầu là Microsoft 365 vai trò quản trị viên. Người mua đăng ký doanh nghiệp của Microsoft là quản trị viên toàn cầu và có quyền kiểm soát không giới hạn đối với các sản phẩm trong đăng ký cũng như quyền truy cập vào hầu hết dữ liệu.
Bộ đọc toàn cầu Vai trò Global Reader chưa được hỗ trợ trong Power Platform trung tâm quản trị.
Cộng tác viên trên Office Có quyền Đọc đối với các bảng trong đó bản ghi được chia sẻ với tổ chức. Không có quyền truy cập vào bất kỳ bản ghi bảng lõi và tùy chỉnh nào khác. Vai trò này được chỉ định cho nhóm chủ sở hữu Cộng tác viên Office chứ không phải cho một người dùng cá nhân.
Quản trị viên Power Platform Power Platform quản trị viên là vai trò Microsoft Power Platform quản trị viên dịch vụ. Vai trò này có thể thực hiện các chức năng quản trị trên Microsoft Power Platform vì họ có vai trò quản trị viên hệ thống.
Đã xóa dịch vụ Có toàn quyền Xóa đối với tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu xóa bản ghi trong tất cả các thực thể. Không thể chỉ định vai trò này cho người dùng hoặc nhóm.
Người đọc dịch vụ Có toàn quyền Đọc đối với tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu đọc tất cả các thực thể. Không thể chỉ định vai trò này cho người dùng hoặc nhóm.
Người viết dịch vụ Có đầy đủ quyền Tạo, Đọc và Viết đối với tất cả các thực thể, bao gồm cả các thực thể tùy chỉnh. Vai trò này chủ yếu được dịch vụ sử dụng và yêu cầu tạo và cập nhật bản ghi. Không thể chỉ định vai trò này cho người dùng hoặc nhóm.
Hỗ trợ Người dùng Có toàn quyền Đọc đối với cài đặt tùy chỉnh và quản lý doanh nghiệp, cho phép nhân viên hỗ trợ khắc phục sự cố cấu hình môi trường. Vai trò này không có quyền truy cập vào các bản ghi cốt lõi. Không thể chỉ định vai trò này cho người dùng hoặc nhóm.
Quản trị viên hệ thống Có đầy đủ quyền tùy chỉnh hoặc quản lý môi trường, bao gồm tạo, sửa đổi và chỉ định vai trò bảo mật. Có thể xem tất cả dữ liệu trong môi trường.
Người tùy chỉnh hệ thống Có đầy đủ quyền tùy chỉnh môi trường. Có thể xem tất cả dữ liệu bảng tùy chỉnh trong môi trường. Tuy nhiên, người dùng có vai trò này chỉ có thể xem các bản ghi mà họ tạo trong các bảng Tài khoản, Liên hệ, Hoạt động.
Chủ sở hữu ứng dụng trang web Người dùng sở hữu đăng ký ứng dụng trang web trong Cổng Azure.
Chủ sở hữu trang web Người dùng đã tạo Power Pages trang web. Vai trò này được quản lý và không thể thay đổi.

Ngoài các vai trò bảo mật được xác định trước được mô tả cho Dataverse, các vai trò bảo mật khác có thể có sẵn trong môi trường của bạn tùy thuộc vào Power Platform các thành phần—Power Apps, Power Automate, Power Virtual Agents—bạn có. Bảng sau đây cung cấp các liên kết đến nhiều thông tin hơn.

Thành phần của Power Platform Thông tin
Power Apps Vai trò bảo mật định sẵn cho môi trường có cơ sở dữ liệu Dataverse
Power Automate Bảo mật và quyền riêng tư
Power Pages Vai trò cần thiết cho quản trị trang web
Power Virtual Agents Gán vai trò bảo mật trong môi trường

Dataverse for Teams môi trường

Tìm hiểu thêm về các vai trò bảo mật được xác định trước trong Dataverse for Teams môi trường.

Vai trò bảo mật cụ thể cho ứng dụng

Nếu bạn triển khai ứng dụng Dynamics 365 trong môi trường của mình thì các vai trò bảo mật khác sẽ được thêm vào. Bảng sau đây cung cấp các liên kết đến nhiều thông tin hơn.

Ứng dụng Dynamics 365 Tài liệu về vai trò bảo mật
Dynamics 365 Sales Vai trò bảo mật định sẵn cho Sales
Dynamics 365 Marketing Vai trò bảo mật do Dynamics 365 Marketing thêm vào
Dynamics 365 Field Service Dynamics 365 Field Service vai trò + định nghĩa
Dynamics 365 Customer Service Vai trò trong phần bổ trợ Bán hàng đa kênh cho Customer Service
Dynamics 365 Customer Insights Vai trò trong Customer Insights
Trình quản lý hồ sơ ứng dụng Các vai trò và đặc quyền được liên kết với trình quản lý hồ sơ ứng dụng
Dynamics 365 Finance Vai trò bảo mật trong khu vực công
Ứng dụng tài chính và hoạt động Vai trò bảo mật trong Microsoft Power Platform

Tóm tắt các tài nguyên có sẵn cho các vai trò bảo mật được xác định trước

Bảng sau đây mô tả những tài nguyên mà mỗi vai trò bảo mật có thể tạo ra.

Tài nguyên Người tạo Môi trường Người quản trị Môi trường Người tùy chỉnh hệ thống Quản trị viên hệ thống
Ứng dụng canvas X X X X
Dòng đám mây X (không nhận thức được giải pháp) X X X
Trình kết nối X (không nhận thức được giải pháp) X X X
Sự liên quan* X X X X
Cổng dữ liệu - X - X
Luồng dữ liệu X X X X
Bảng Dataverse - - X X
Ứng dụng dựa trên mô hình X - X X
Khung giải pháp X - X X
Dòng màn hình nền** - - X X
AI Builder - - X X

*Các kết nối được sử dụng trong ứng dụng canvasPower Automate.

**Dataverse for Teams theo mặc định, người dùng không có quyền truy cập vào các luồng trên máy tính để bàn. Bạn cần nâng cấp môi trường của mình lên Dataverse các khả năng đầy đủ và có được dòng màn hình nền các gói cấp phép để sử dụng các luồng máy tính để bàn.

Gán vai trò bảo mật cho người dùng trong môi trường không có cơ sở dữ liệu Dataverse

Đối với các môi trường không có Dataverse cơ sở dữ liệu, người dùng có vai trò quản trị viên trong môi trường trong môi trường có thể chỉ định vai trò bảo mật cho từng người dùng hoặc nhóm từ Microsoft Entra ID.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Chọn Môi trường> [chọn một môi trường].

  3. Trong ngăn xếp Truy cập, chọn Xem tất cả cho Quản trị viên môi trường hoặc Nhà sản xuất môi trường để thêm hoặc xóa người cho một trong hai vai trò.

    Ảnh chụp màn hình chọn vai trò bảo mật trong Power Platform trung tâm quản trị.

  4. Chọn Thêm người, sau đó chỉ định tên hoặc địa chỉ email của một hoặc nhiều người dùng hoặc nhóm từ Microsoft Entra ID.

    Ảnh chụp màn hình thêm người dùng vào vai trò người tạo trong môi trường trong Power Platform trung tâm quản trị.

  5. Chọn Thêm.

Gán vai trò bảo mật cho người dùng trong môi trường có cơ sở dữ liệu Dataverse

Bạn có thể chỉ định vai trò bảo mật cho từng người dùng, nhóm chủ sở hữuMicrosoft Entra nhóm nhóm. Trước khi bạn chỉ định vai trò cho người dùng, hãy xác minh rằng tài khoản của người dùng đã được thêm và bật trong môi trường.

Nói chung, vai trò bảo mật chỉ có thể được chỉ định cho người dùng có tài khoản được kích hoạt trong môi trường. Để gán vai trò bảo mật cho một tài khoản người dùng đã bị vô hiệu hóa trong môi trường, hãy bật allowRoleAssignmentOnDisabledUsers trong OrgDBOrgSettings.

  1. Đăng nhập vào Trung tâm quản trị Power Platform.

  2. Chọn Môi trường> [chọn một môi trường].

  3. Trong ngăn xếp Truy cập , hãy chọn Xem tất cả trong Vai trò bảo mật.

    Ảnh chụp màn hình tùy chọn xem tất cả vai trò bảo mật trong Power Platform trung tâm quản trị.

  4. Đảm bảo chọn đúng đơn vị kinh doanh trong danh sách, sau đó chọn vai trò từ danh sách vai trò trong môi trường.

  5. Chọn Thêm người, sau đó chỉ định tên hoặc địa chỉ email của một hoặc nhiều người dùng hoặc nhóm từ Microsoft Entra ID.

  6. Chọn Thêm.

Tạo, chỉnh sửa hoặc sao chép vai trò bảo mật bằng giao diện người dùng mới, hiện đại

Bạn có thể dễ dàng tạo, chỉnh sửa hoặc sao chép vai trò bảo mật và tùy chỉnh nó để đáp ứng nhu cầu của mình.

  1. Đi tới Power Platform trung tâm quản trị, chọn Môi trường trong ngăn điều hướng rồi chọn một môi trường.

  2. Chọn Thiết đặt.

  3. Mở rộng Người dùng + Quyền.

  4. Chọn Vai trò bảo mật.

  5. Hoàn thành nhiệm vụ thích hợp:

Tạo vai trò bảo mật

  1. Chọn Vai trò mới từ thanh lệnh.

  2. Trong trường Tên vai trò , nhập tên cho vai trò mới.

  3. Trong trường Đơn vị kinh doanh , chọn đơn vị kinh doanh có vai trò.

  4. Chọn xem các thành viên trong nhóm có nên kế thừa vai trò này hay không.

    Nếu cài đặt này được bật và vai trò được chỉ định cho một nhóm thì tất cả thành viên trong nhóm sẽ kế thừa tất cả các đặc quyền liên quan đến vai trò đó.

  5. Chọn Lưu.

  6. Xác định các đặc quyền và thuộc tính của vai trò bảo mật.

Chỉnh sửa vai trò bảo mật

Chọn tên vai trò hoặc chọn hàng rồi chọn Chỉnh sửa. Sau đó xác định các đặc quyền và thuộc tính của vai trò bảo mật.

Không thể chỉnh sửa một số vai trò bảo mật được xác định trước. Nếu bạn cố gắng chỉnh sửa những vai trò này, các nút LưuLưu + Đóng sẽ không khả dụng.

Sao chép vai trò bảo mật

Chọn vai trò bảo mật rồi chọn Sao chép. Đặt cho vai trò một tên mới. Chỉnh sửa vai trò bảo mật nếu cần.

Chỉ các đặc quyền mới được sao chép chứ không phải bất kỳ thành viên và nhóm được chỉ định nào.

Kiểm tra vai trò bảo mật

Kiểm tra vai trò bảo mật để hiểu rõ hơn những thay đổi được thực hiện đối với bảo mật trong môi trường Power Platform của bạn.

Tạo hoặc đặt cấu hình vai trò bảo mật tùy chỉnh

Nếu ứng dụng của bạn sử dụng thực thể tùy chỉnh, các đặc quyền của ứng dụng phải được cấp rõ ràng trong vai trò bảo mật trước khi ứng dụng có thể sử dụng. Bạn có thể thêm các đặc quyền này trong vai trò bảo mật hiện có hoặc tạo vai trò bảo mật tùy chỉnh.

Mỗi vai trò bảo mật phải bao gồm một bộ đặc quyền tối thiểu. Tìm hiểu thêm về vai trò và đặc quyền bảo mật.

Tiền bo

Môi trường có thể duy trì các bản ghi có thể được nhiều ứng dụng sử dụng. Bạn có thể cần nhiều vai trò bảo mật cấp các đặc quyền khác nhau. Ví dụ:

  • Một số người dùng (gọi họ là Người chỉnh sửa) có thể chỉ cần đọc, cập nhật và đính kèm các bản ghi khác, vì vậy vai trò bảo mật của họ sẽ có đặc quyền đọc, viết và nối thêm.
  • Những người dùng khác có thể cần tất cả các đặc quyền mà Người chỉnh sửa có cùng với khả năng tạo, thêm vào, xóa và chia sẻ. Vai trò bảo mật cho những người dùng này sẽ có các đặc quyền tạo, đọc, ghi, gắn thêm, gán, nối vào và chia sẻ.

Tạo vai trò bảo mật tùy chỉnh với các đặc quyền tối thiểu để chạy ứng dụng

  1. đăng nhập vào Power Platform trung tâm quản trị, chọn Môi trường trong ngăn điều hướng rồi chọn một môi trường.

  2. Chọn Thiết đặt>Người dùng + quyền>Vai trò bảo mật.

  3. Chọn vai trò Trình mở ứng dụng rồi chọn Sao chép.

  4. Nhập tên của vai trò tùy chỉnh rồi chọn Sao chép.

  5. Trong danh sách vai trò bảo mật, hãy chọn vai trò mới rồi chọn Tác vụ khác () >Chỉnh sửa.

  6. Trong trình chỉnh sửa vai trò, hãy chọn tab Thực thể tùy chỉnh .

  7. Tìm bảng tùy chỉnh của bạn trong danh sách và chọn Đọc, ViếtThêm đặc quyền.

  8. Chọn Lưu và Đóng.

Tạo vai trò bảo mật tùy chỉnh từ đầu

  1. đăng nhập vào Power Platform trung tâm quản trị, chọn Môi trường trong ngăn điều hướng rồi chọn một môi trường.

  2. Chọn Thiết đặt>Người dùng + quyền>Vai trò bảo mật.

  3. Chọn Vai trò mới.

  4. Nhập tên của vai trò mới trên tab Chi tiết .

  5. Trên các tab khác, tìm thực thể của bạn rồi chọn hành động và phạm vi thực hiện chúng.

  6. Chọn một tab và tìm kiếm thực thể của bạn. Ví dụ: chọn tab Thực thể tùy chỉnh để đặt quyền trên một thực thể tùy chỉnh.

  7. Chọn đặc quyền Đọc, Viết, Thêm.

  8. Chọn Lưu và Đóng.

Đặc quyền tối thiểu để chạy một ứng dụng

Khi bạn tạo vai trò bảo mật tùy chỉnh, vai trò này phải có một bộ đặc quyền tối thiểu để người dùng có thể chạy ứng dụng. Tìm hiểu thêm về các đặc quyền tối thiểu bắt buộc.

Xem thêm

Cấp cho người dùng quyền truy cập
Kiểm soát quyền truy cập của người dùng vào môi trường: nhóm bảo mật và giấy phép
Cách xác định quyền truy cập vào một bản ghi