安全角色和特权

项目
03/29/2023

备注

如果您已启用仅统一接口模式，则在使用本文中的过程之前，请执行以下操作：

在导航栏上选择 Settings （）。
选择高级设置。

若要控制数据访问，必须设置既能保护敏感数据又能允许协作的组织结构。可通过设置业务部门、安全角色和字段安全配置文件来实现此目的。

小费

查看以下视频：如何在 Dynamics 365 for Customer Engagement 中设置安全角色。

安全角色

安全角色定义不同用户（如销售员）如何访问不同类型的记录。若要控制对数据的访问，可以修改现有的安全角色，创建新的安全角色或者更改分派给每个用户的安全角色。每个用户都可以具有多个安全角色。

安全角色特权可以累积：具有多个安全角色可为用户提供每个角色中可用的每个特权。

每个安全角色都包含记录级别的特权和基于任务的特权。

记录级别的特权定义具有记录访问权限的用户可以执行哪些任务，例如读取、创建、删除、写入、分派、共享、追加和追加到。追加系指为一个记录附加另一个记录，例如活动或注释。 追加到系指为一个记录附加记录。详细信息：记录级别的特权。

窗体底部的基于任务的权限使用户有权执行特定任务，如发布文章。

安全角色设置页面中的彩色圆圈定义该权限的访问级别。访问级别决定用户在组织业务部门层次结构中执行指定权限的深度或高度。以下列表列出了应用中的访问级别，访问最广泛的首先列出。

Icon	说明
	全局。具有此访问级别的用户可以访问组织内的所有记录，无论实例或用户属于哪个业务部门层次级别。具有“全局”访问级别的用户还将自动具有“深度”、“本地”和“基本”访问级别。由于具有此访问级别的用户可以访问整个组织内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理整个组织的经理。应用程序将此访问级别称为组织。
	深度。具有此访问级别的用户可以访问其所在业务部门以及该业务部门的所有下属业务部门中的用户记录。具有“深度”访问级别的用户还将自动具有“本地”和“基本”访问级别。由于具有此访问级别的用户可以访问整个业务部门以及下属业务部门内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理多个业务部门的经理。应用程序将此访问级别称为父：子业务部门。
	本地。具有此访问级别的用户可以访问其所在业务部门内的用户记录。具有“本地”访问级别的用户还将自动具有“基本”访问级别。由于具有此访问级别的用户可以访问整个业务部门内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理一个业务部门的经理。应用程序将此访问级别称为业务部门。
	基本。具有此访问级别的用户可以访问该用户负责的用户记录、与该用户共享的对象以及与该用户所属团队共享的对象。这是销售和服务代表的典型访问级别。应用程序将此访问级别称为用户。
	无。禁止访问。

重要提示

若要确保用户可以查看和访问 Web 应用程序的所有区域（如实体窗体、导航栏或命令栏），组织中的所有安全角色必须包括对 Web Resource 实体的读取权限。例如，如果没有读取权限，用户将无法打开包含 Web 资源的窗体，并将看到如下类似的错误消息：“缺少 prvReadWebResource 权限。” 详细信息：创建或编辑安全角色

记录级别的特权

PowerApps 和 Customer Engagement (on-premises) 使用八个不同的记录级别特权，可决定用户对特定记录或记录类型的访问级别。

权限	说明
创建	创建新记录所需的特权。可创建的记录取决于您的安全角色中所定义权限的访问级别。
读取	打开记录以查看内容所需的特权。可读记录取决于您的安全角色中所定义权限的访问级别。
写入	更改记录所需的特权。可更改的记录取决于您的安全角色中所定义权限的访问级别。
删除	永久移除记录所需的特权。可删除的记录取决于您的安全角色中所定义权限的访问级别。
追加	将当前记录与其他记录关联所需的特权。例如，如果用户对某个注释拥有“追加”权限，即可将该注释附加到商机。可追加的记录取决于您的安全角色中所定义权限的访问级别。如果采用多对多关系，则必须同时具有关联实体或解除关联实体的“追加”权限。
追加到	将某条记录与当前记录关联所需的特权。例如，如果用户对商机具有“追加到”权限，则可以向商机添加注释。可追加到的记录取决于您的安全角色中所定义权限的访问级别。
分派	向其他用户授予记录的所有权所需的特权。可分派的记录取决于您的安全角色中所定义权限的访问级别。
共享	向其他用户授予记录的访问权限同时保留自己的访问权限所需的特权。可共享的记录取决于您的安全角色中所定义权限的访问级别。

替代安全角色

记录负责人或者对记录拥有共享特权的人可以与其他用户或团队共享记录。共享可以为特定记录添加读取、写入、删除、追加、分派和共享特权。

团队主要用于共享团队成员通常无法访问的记录。详细信息：管理安全、用户和团队。

无法移除对特定记录的访问权限。对一个安全角色特权的任何更改都适用于该记录类型的所有记录。

另请参阅

Microsoft Dynamics 365 for Customer Engagement 的安全概念
 管理安全性、用户和团队
 创建或编辑安全角色

Icon	说明
	全局。具有此访问级别的用户可以访问组织内的所有记录，无论实例或用户属于哪个业务部门层次级别。具有“全局”访问级别的用户还将自动具有“深度”、“本地”和“基本”访问级别。由于具有此访问级别的用户可以访问整个组织内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理整个组织的经理。应用程序将此访问级别称为组织。
	深度。具有此访问级别的用户可以访问其所在业务部门以及该业务部门的所有下属业务部门中的用户记录。具有“深度”访问级别的用户还将自动具有“本地”和“基本”访问级别。由于具有此访问级别的用户可以访问整个业务部门以及下属业务部门内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理多个业务部门的经理。应用程序将此访问级别称为父：子业务部门。
	本地。具有此访问级别的用户可以访问其所在业务部门内的用户记录。具有“本地”访问级别的用户还将自动具有“基本”访问级别。由于具有此访问级别的用户可以访问整个业务部门内的信息，因此应该限制此访问级别，以符合组织的数据安全计划。此访问级别通常预留给管理一个业务部门的经理。应用程序将此访问级别称为业务部门。
	基本。具有此访问级别的用户可以访问该用户负责的用户记录、与该用户共享的对象以及与该用户所属团队共享的对象。这是销售和服务代表的典型访问级别。应用程序将此访问级别称为用户。
	无。禁止访问。

通过

安全角色和特权

安全角色

记录级别的特权

替代安全角色

另请参阅

反馈

其他资源