安全角色和特权
要控制谁可以访问受限制或敏感的数据和资源,以及他们可以对这些数据和资源做什么,为用户分配安全角色。 本文概述了安全角色及其相关特权。
安全角色和新的现代 UI
安全角色定义不同用户如何访问不同类型的记录。 要控制对数据和资源的访问,可以创建或修改安全角色,并更改分配给用户的安全角色。
用户可以具有多个安全角色。 安全角色权限是累积的。 用户会被授予在分配给他们的每个角色中可用的特权。
查看环境中安全角色的列表
登录 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。
选择设置>用户 + 权限>安全角色。
定义安全角色的特权和属性
在您创建了安全角色之后,或者在您编辑安全角色时,设置成员的特权继承选项:
仅团队特权:用户作为团队成员被授予这些特权。 没有自己的用户特权的团队成员可以创建以团队为负责人的记录。 如果他们被授予“创建”和“读取”特权的用户访问级别,则可以访问团队负责的记录。
直接用户(基本)访问级别和团队特权:在分配安全角色时,将直接授予用户这些特权。 用户可以将自己作为负责人来创建记录。 当他们被授予“创建”和“读取”特权的用户访问级别时,可以访问所创建或负责的记录。 此设置是新安全角色的默认设置。
然后,配置与安全角色关联的特权。
安全角色包含以下三个类型的记录级别的特权和基于任务的特权:
表:表特权定义具有表记录访问权限的用户可以执行哪些任务,例如读取、创建、删除、写入、分配、共享、追加和追加到。 追加系指为一个记录附加另一个记录,例如活动或注释。 追加到系指为一个记录附加记录。 设置表特权。
其他特权:这些基于任务的特权使用户有权执行其他特定(非记录)任务,如发布文章或激活业务规则。 详细了解其他特权。
与隐私相关的特权:这些特权为用户提供执行涉及在 Dataverse 之外集成、下载或导出的数据的任务,如将数据导出到 Microsoft Excel 或打印。 详细了解与隐私相关的特权。
每组特权类型都有自己的选项卡。对于每个选项卡,您可以按所选安全角色的所有特权、已分配特权或未分配特权筛选视图。
表特权
表选项卡列出了环境中的 Dataverse 表。 下表描述了当紧凑网格视图选项关闭时,安全角色编辑器中显示的属性。
| 属性 | 描述 |
|---|---|
| 表 | Dataverse 表的名称 |
| 客户 | Dataverse 表的逻辑名称;对开发人员有帮助 |
| 记录所有权 | 记录是由组织或业务部门负责,还是可以由用户或团队负责 |
| 权限设置 | 表在使用的预定义权限集或自定义权限 |
表按照以下类别分组:
- 商业管理
- 业务流程
- 核心记录
- 自定义表
- 自定义项
- 缺少表
- 销售
- Service
- 服务管理
要快速查找特定的表或特权,在页面右上角的搜索框中输入其名称,然后选择放大镜图标或按 Enter。 要清除搜索,选择 X 图标。
一次只能编辑一个表,但可以在一个操作中将设置从一个表复制到多个表。
配置安全角色时,您需要确定它应该为与应用程序相关的每个表授予的特权。
下表介绍了您可以在安全角色中授予的表特权。 在所有情况下,特权适用于哪些记录取决于在安全角色中定义的权限的访问级别。
| 特权 | 描述 |
|---|---|
| 创建 | 创建新记录时需要本特权 |
| 阅读 | 打开记录以查看内容时需要本特权 |
| 写 | 对记录进行更改时需要本特权 |
| Delete | 永久删除记录时需要本特权 |
| 追加 | 将当前记录与另一个记录关联时需要;例如,如果用户对注释具有“追加”权限,可以将注释附加到商机 对于多对多关系,用户必须具有关联或解除关联的两个表的追加特权。 |
| 追加到 | 将记录与当前记录关联时需要;例如,如果用户对商机具有“追加到”权限,可以将注释添加到商机 |
| 分配 | 将一条记录的所有权授予另一个用户时需要本特权 |
| 共享 | 向另一个用户授予对某记录的访问权限,同时保持自己的访问权限,则需要本特权 |
访问级别
每个特权有一个菜单,允许您定义它的访问级别。 访问级别确定用户在业务部门层次结构中执行特权的深度。
下表介绍了访问级别。 对于组织负责的表,其他特权和与隐私相关的特权仅具有组织或无访问级别。
| 类型 | 描述 |
|---|---|
| 组织 | 用户可以访问组织中的所有记录,不论它们或环境属于哪个业务部门层次级别。 具有组织访问权限的用户同时自动具有所有其他类型的访问权限。 由于具有此级别的用户可以访问整个组织内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理整个组织的经理。 |
| 上级:下级业务部门 | 用户可以访问其业务部门及其下属的所有业务部门中的记录。 具有此访问权限的用户自动具有业务部门和用户访问权限。 由于具有此级别的用户可以访问整个业务部门以及下属业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理多个业务部门的经理。 |
| 业务部门 | 用户可以访问其业务部门中的记录。 具有业务部门访问权限的用户自动具有用户访问权限。 由于具有此访问级别的用户可以访问整个业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理一个业务部门的经理。 |
| User | 用户可以访问他们自己的记录、与组织共享的对象、与他们共享的对象以及与他们所属的团队共享的对象。 这是销售和服务代表的典型访问级别。 |
| None | 禁止访问。 |
对于每个表,请选择每项特权的适当类型。 在您完成时选择保存。
复制表权限
在应用中设置每个表的特权可能既耗时又乏味。 为了更轻松,您可以将权限从一个表复制到一个或多个其他表。
选择表,然后选择复制表权限
搜索并选择要将权限复制到的一个或多个表。
请记住,新配置将覆盖所有以前的设置。
选择保存。
我们更进一步地了解一下复制表权限如何与特权和访问级别一起工作。
对于同时存在于源表和目标表的权限:
如果目标中存在源权限设置深度,复制将成功。
如果目标中不存在源权限设置深度,复制将失败并显示错误消息。
对于仅存在于源表或目标表的权限:
如果权限存在于源中,但不存在于目标中,它在目标中将被忽略。 其余权限的复制将成功。
如果权限不存在于源中,但存在于目标中,权限的深度将保留在目标中。 其余权限的复制将成功。
权限设置
另一种加快表权限配置的方法是使用预定义的权限组并将其分配给表。
下表介绍了您可以分配的权限设置组。
| 权限设置 | 详细信息 |
|---|---|
| 无访问权限 | 没有用户可以访问此表。 |
| 完全访问权限 | 用户可以查看和编辑表中的所有记录。 |
| 协作 | 用户可以查看所有记录,但只能编辑自己的记录。 |
| 专用 | 用户只能查看和编辑自己的记录。 |
| 参考 | 用户只能查看记录,不能编辑记录。 |
| 自定义 | 表示已从默认值更改权限设置。 |
选择一个表,然后在命令栏中选择权限设置,或选择更多操作 (…) >权限设置。
选择适当的设置。
请记住,新配置将覆盖所有以前的设置。
选择保存。
安全角色和旧 UI
安全角色定义不同用户如何访问不同类型的记录。 要控制对数据和资源的访问,可以创建或修改安全角色,并更改分配给用户的安全角色。
用户可以具有多个安全角色。 安全角色权限是累积的。 用户会被授予在分配给他们的每个角色中可用的特权。
查看环境中安全角色的列表(旧版 UI)
登录 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。
选择设置>用户 + 权限>安全角色。
定义安全角色的特权和属性(旧版 UI)
在您创建了安全角色之后,或者在您编辑安全角色时,设置与其关联的特权。
安全角色包含记录级别的特权和基于任务的特权。
记录级别的特权定义具有记录访问权限的用户可以执行哪些任务,例如读取、创建、删除、写入、分派、共享、追加和追加到。 追加系指为一个记录附加另一个记录,例如活动或注释。 追加到系指为一个记录附加记录。 详细了解记录级别特权。
其他特权(或称基于任务的特权)使用户有权执行其他特定(非记录)任务,如发布文章或激活业务规则。 详细了解其他特权。
安全角色设置页面中的彩色圆圈标识分配给每个特权的访问级别。 访问级别确定用户在业务部门层次结构中执行特权的深度。
下表介绍了访问级别。
| Icon | 说明 |
|---|---|
|
全局。 用户可以访问组织中的所有记录,不论它们或环境属于哪个业务部门层次级别。 具有“全局”访问级别的用户将自动具有“深度”、“本地”和“基本”访问级别。 由于具有此级别的用户可以访问整个组织内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理整个组织的经理。 应用程序将此访问级别称为组织。 |
|
深度。 用户可以访问其业务部门及其下属的所有业务部门中的记录。 具有“深度”访问级别的用户将自动具有“本地”和“基本”访问级别。 由于具有此级别的用户可以访问整个业务部门以及下属业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理多个业务部门的经理。 应用程序将此访问级别称为父:子业务部门。 |
|
本地。 用户可以访问用户业务部门中的记录。 具有“本地”访问级别的用户将自动具有“基本”访问级别。 由于具有此访问级别的用户可以访问整个业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理一个业务部门的经理。 应用程序将此访问级别称为业务部门。 |
|
基本。 用户可以访问他们自己的记录、与组织共享的对象、与他们共享的对象以及与他们所属的团队共享的对象。 这是销售和服务代表的典型访问级别。 应用程序将此访问级别称为用户。 |
|
无。 禁止访问。 |
重要提示
若要确保用户可以查看和访问 Web 应用程序的所有区域(如表窗体、导航栏和命令栏),组织中的所有安全角色必须包括对 Web Resource 表的读取权限。 例如,如果没有读取权限,用户将无法打开包含 Web 资源的窗体,并将看到如下类似的错误消息:“缺少 prvReadWebResource 权限。”了解有关创建或编辑安全角色的详细信息。
记录级别的特权
Power Apps 和 Dynamics 365 customer engagement 应用使用记录级别特权来确定用户对于特定记录或记录类型具有的访问级别。
下表介绍了您可以在安全角色中授予的记录级别特权。 在所有情况下,特权适用于哪些记录取决于在安全角色中定义的权限的访问级别。
| 权限 | 说明 |
|---|---|
| 创建 | 创建新记录时需要本特权 |
| 阅读 | 打开记录以查看内容时需要本特权 |
| 写 | 对记录进行更改时需要本特权 |
| Delete | 永久删除记录时需要本特权 |
| 追加 | 将当前记录与另一个记录关联时需要;例如,如果用户对注释具有“追加”权限,可以将注释附加到商机 对于多对多关系,用户必须具有关联或解除关联的两个表的追加特权。 |
| 追加到 | 将记录与当前记录关联时需要;例如,如果用户对商机具有“追加到”权限,可以将注释添加到商机 |
| 分配 | 将一条记录的所有权授予另一个用户时需要本特权 |
| 共享* | 向另一个用户授予对某记录的访问权限,同时保持自己的访问权限,则需要本特权 |
*记录负责人或者对记录拥有共享特权的人可以与其他用户或团队共享记录。 共享可以为特定记录添加读取、写入、删除、追加、分派和共享特权。 团队主要用于共享团队成员通常无法访问的记录。 了解有关安全、用户和团队的更多信息。
无法移除对特定记录的访问权限。 对一个安全角色特权的任何更改都适用于该类型的所有记录。
团队成员的权限继承
您可以确定当用户作为团队成员或直接作为个人被授予特权时,特权是如何继承的。
用户特权:在分配安全角色时,直接向用户授予这些特权。 用户可以将自己作为负责人来创建记录。 当他们被授予“创建”和“读取”的基本访问级别时,可以访问所创建或负责的记录。 此设置是新安全角色的默认设置。
团队特权:用户作为团队成员被授予这些特权。 没有自己的用户特权的团队成员可以创建以团队为负责人的记录。 当他们被授予“创建”和“读取”的基本访问级别时,可以访问团队负责的记录。
备注
在 2019 年 5 月的团队成员特权继承功能发布之前,安全角色充当团队特权。 此发布之前创建的安全角色设置为团队特权,发布之后创建的安全角色默认设置为用户特权。
安全角色可以设置为向团队成员提供直接的基本级别访问特权。 在为用户分派了权限继承安全角色时,用户将直接获取所有权限,就像没有权限继承的安全角色。 当“创建”的基本访问级别授予团队成员时,团队成员可以创建自己作为负责人的记录,也可以创建团队作为负责人的记录。 在向其授予了读取基本访问级别时,他们可以访问自己和团队负责的记录。 此特权继承角色适用于负责人和 Microsoft Entra ID 组团队。
登录 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。
选择设置>用户 + 权限>安全角色。
选择新建。
输入新安全角色的名称。
选择成员特权继承列表,然后选择直接用户/基本访问级别和团队特权。
转到每个选项卡,在各个表上设置适当的权限。
若要更改特权的访问级别,保持选择访问级别符号,直到看到所需符号。 可用访问级别取决于记录类型是由组织负责还是由用户负责。
您只能在成员的权限继承中选择基本级别特权。 如果您需要提供对下级业务部门的访问权限,将特权提升到“深层”。 例如,您需要为组团队分配一个安全角色,并且您希望组的成员能够追加到客户。 使用基本级别成员的特权继承设置安全角色。 将“追加到客户”特权设置为“深层”。 这是因为基本权限仅适用于用户的业务部门。
备注
自 2024 年 7 月起, 团队成员的角色权限继承 属性不再是 托管属性。 导入具有安全角色的解决方案时,不包括此属性。