付款服务提供商用户角色和访问权限
本文介绍如何在Microsoft Dynamics 365欺诈保护中配置支付服务提供商(PSP)角色的用户访问权限。
付款服务提供商(PSP)可以根据逻辑或功能角色,向用户授予Microsoft Dynamics 365欺诈保护各种级别的访问权限。 PSP 可以包括向其他组织(也称为“支付网关”、“付款处理者”等)提供付款服务的任何组织。 本文适用于 PSP 加入欺诈保护的 PSP 和商家。
重要
本文中的信息随时可能会更改。
分配 PSP 角色
用户通过分配Microsoft Entra 租户进行管理。
可将角色分配给以下任一类型的用户:
- 组织 Azure 租户中的用户
- 组织 Azure 租户外部的用户,受邀以来宾用户身份加入租户
重要
组织 Azure 租户中的用户谁是成员用户可以查看租户中所有其他用户的列表。 相比之下,作为来宾用户加入的租户外部的用户只能查看他们有权访问的同一欺诈保护环境中的用户。 根据业务隐私要求向用户分配成员或来宾角色。
有关如何将用户作为成员或非用户直接添加到 Microsoft Entra 租户的详细信息,请参阅 在 Microsoft Entra ID 中创建用户帐户。
将 PSP 角色分配给欺诈保护中的用户
若要将 PSP 角色分配给欺诈保护中的用户,请执行以下步骤。
- 打开欺诈保护门户页面。
- 在左侧导航窗格中,选择“设置”,然后选择“用户访问”。
- 选择“ 分配角色”。
- 输入要向其分配欺诈保护 PSP 角色的人员或组的名称或电子邮件地址。
注意
在 Azure 租户中,键入时会显示用户的建议。 如果建议与要向其分配用户角色的用户匹配,请选择建议。 否则,消息会通知你,邀请电子邮件将发送给你输入的人员或组,以便该人员或组可以加入欺诈保护环境。
- 在“ 角色 ”字段中,选择要分配给用户的一个或多个已定义角色。
- 选择“ 分配角色”。
注意
Azure 租户外部的用户将作为来宾用户加入租户,并在他们接受发送给他们的邀请并完成登录/注册过程后显示在 用户访问 网格中。
编辑分配的角色
若要在欺诈保护中编辑分配给用户的角色,请在成员列表中选择该用户,然后选择“编辑”。
在此页面的此部分中,可以添加或删除用户的角色。 如果你编辑自己的帐户(例如,如果删除自己的管理角色),你的编辑可能会干扰你使用欺诈保护的某些功能的能力。 如果必须还原权限,可以在Azure 门户中重置这些权限。
若要详细了解可用的 PSP 角色,请参阅本文的 PSP 用户角色和访问 部分。
撤销用户对环境的访问权限
若要撤销用户对当前环境的访问权限,请在成员列表中选择该用户,然后选择“ 撤销访问权限”。
重要
撤消用户访问权限时,将从当前环境中删除该用户。 但是,它们可能仍有权访问层次结构中的其他环境。 若要完全删除用户对欺诈保护的访问权限, 请从 Microsoft Entra 租户中删除该用户。 这样,即可完全删除用户对租户及其关联的应用程序或服务的访问权限。
PSP 用户角色和访问权限
欺诈保护提供一组定义的用户角色,每个角色都有权访问特定特性和功能。 将用户分配到系统时,可以选择相应的角色。 以下角色可用:
- PSP 管理员 – 此角色是一个高级管理帐户,可完全访问所有与 PSP 相关的功能。 此角色中的用户可以管理 PSP 及其商家客户的欺诈保护。
- 欺诈经理 – 此角色是 PSP 中的内部角色。 此角色中的用户旨在管理 PSP 商家客户的欺诈保护。
- 欺诈主管 – 此角色在 PSP 的商家客户中提供最高级别的授权。 此角色中的用户可以访问 PSP 向其委托的面向商家的函数。
- 欺诈分析师 – 此角色适用于运行分析和报告的 PSP 商家客户。 此角色中的用户对商家客户数据具有只读访问权限。
- 手动评审代理 – 此角色中的用户负责评审单个事务并批准或拒绝它们。 尽管手动评审代理无权直接访问“支持列表”页,但它们可以通过“事务搜索”页修改支持列表中的条目的状态。
- 技术开发人员 – 此角色中的用户负责管理 PSP 欺诈保护实例的技术配置和集成。
- 客户服务支持 – 此角色中的用户可以查看事务详细信息,并提供处理客户查询所需的信息。
- 报告 - 此角色中的用户可以查看报表和访问活动日志。
注意
如果显示的角色选择不同于下面详述的角色,则可以使用欺诈保护的标准版本。 改为转到 “配置用户角色和访问权限 ”。
权限
成员可以通过访问 https://dfp.microsoft.com/ 和使用 Microsoft Entra 帐户登录来访问欺诈保护。 下表描述了不同角色对欺诈保护中各种功能的权限。
摘要报告、规则报告、威胁报告和监视
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管、欺诈分析师、报告 |
| 无访问权限 | 手动评审代理、技术开发人员、客户服务支持 |
评分报告
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、欺诈经理、报告 |
| 无访问权限 | 欺诈主管、欺诈分析师、手动评审代理、技术开发人员、客户服务支持 |
搜索、查看事务详细信息和导出
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员, PSP 管理员, 欺诈经理, 欺诈主管, 欺诈分析师, 手动评审代理, 客户服务支持 |
| 无访问权限 | 技术开发人员,报告 |
备注
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管、手动评审代理、客户服务支持 |
| 只读 | 欺诈分析师 |
| 无访问权限 | 技术开发人员,报告 |
决策规则、分支、函数和速度
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理 |
| 只读 | 欺诈主管、欺诈分析师 |
| 无访问权限 | 手动评审代理、技术开发人员、客户服务支持、报告 |
自定义列表和支持列表
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 只读 | 欺诈分析师 |
| 无访问权限 | 手动评审代理、技术开发人员、客户服务支持、报告 |
注意
具有“手动审阅年龄”角色的用户可以在“事务详细信息”页上的“支持”列表中添加或删除项目。 但是,他们无法访问完整的 支持列表 页面。
外部调用和事件跟踪
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
路由规则
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 只读 | 欺诈分析师 |
| 无访问权限 | 手动评审代理、技术开发人员、客户服务支持、报告 |
队列
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 只读 | 欺诈分析师,手动审查代理 |
| 无访问权限 | 技术开发人员、客户服务支持、报告 |
注意
具有手动评审代理角色的用户可以在队列中做出决策(例如,批准、拒绝或发送回队列)。 但是,它们无法修改队列设置。
将用户分配到队列
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 无访问权限 | 欺诈分析师,手动评审代理,技术开发人员,客户服务支持,报告 |
案例评审
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管、手动评审代理 |
| 只读 | 欺诈分析师 |
| 无访问权限 | 技术开发人员、客户服务支持、报告 |
案例评审报告
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 无访问权限 | 欺诈分析师,手动评审代理,技术开发人员,客户服务支持,报告 |
数据上传
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理 |
| 无访问权限 | 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
API 管理
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、技术开发人员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 客户服务支持, 报告 |
模板
| 模板类型 | 权限 | 角色 |
|---|---|---|
| 规则 | 读/写/导出 | 产品管理员、PSP 管理员、欺诈经理 |
| 规则 | 无访问权限 | 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
| 环境 | 读/写/导出 | 产品管理员、PSP 管理员 |
| 环境 | 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
注意
- 若要从资源创建模板,用户必须对资源具有读取权限,以及对模板具有写入权限。
- 若要使用模板创建资源,用户必须对资源具有写入权限,以及对模板具有读取权限。
集成 - 仪表板
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、技术开发人员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 客户服务支持, 报告 |
集成 - Entra 应用程序和 SSL 证书
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、技术开发人员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 客户服务支持, 报告 |
注意
若要创建Microsoft Entra 应用程序,还必须在 Microsoft Entra 租户中为用户分配应用程序管理员、云应用程序管理员或全局管理员角色。
设置 - 使用情况
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
设置 - 活动日志
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、报告 |
| 无访问权限 | 欺诈经理、欺诈主管、欺诈分析师、手动评审代理、技术开发人员、客户服务支持 |
设置 - 访问控制 (用户和条目组)
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管 |
| 无访问权限 | 欺诈分析师,手动评审代理,技术开发人员,客户服务支持,报告 |
注意
- PSP 管理员可以分配除产品管理员之外的所有角色。
- 欺诈管理器可以分配除产品管理员、PSP 管理员和报告之外的所有角色。
- 欺诈主管可以分配除产品管理员、PSP 管理员、报告和欺诈管理器之外的所有角色。
设置 - 访问控制 (Microsoft Entra 应用程序的 API 角色)
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员 |
| 只读 | PSP 管理员、技术开发人员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 客户服务支持, 报告 |
设置 - 主题请求
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
设置 - 事务接受提升器
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
通知
| 通知类型 | 有权查看和关闭的角色 |
|---|---|
| 环境管理、事件跟踪、订阅到期、使用者请求、SSL 证书和外部调用 | 产品管理员、PSP 管理员 |
| 操作 | 产品管理员、PSP 管理员、欺诈经理、欺诈主管、欺诈分析师 |
| 搜索和备注 | 产品管理员, PSP 管理员, 欺诈经理, 欺诈主管, 欺诈分析师, 手动评审代理, 客户服务支持 |
管理环境 - 创建和删除根环境
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员 |
| 无访问权限 | PSP 管理员、欺诈经理、欺诈主管、欺诈分析师、手动评审代理、技术开发人员、客户服务支持、报告 |
注意
PSP 管理员无法创建或删除根环境(顶级)环境。 它们只能创建或删除子环境。
管理环境 - 更新根环境
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员、欺诈经理 |
| 无访问权限 | 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
注意
更新包括更新名称和标记,以及分配 API。
管理环境 - 创建、更新和删除非根环境
| 权限 | 角色 |
|---|---|
| 读取/写入 | 产品管理员、PSP 管理员Provisioning_API(在根环境中,Entra 应用程序获得授权) |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
注意
可以使用具有分配Provisioning_API角色的 Entra 应用程序通过 API 调用创建、更新或删除非根环境。 若要了解如何将 API 角色分配给 Entra 应用程序,请参阅“ 配置Microsoft Entra 应用访问 ”一文。
管理员设置 - 订阅
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员 |
| 无访问权限 | PSP 管理员、欺诈经理、欺诈主管、欺诈分析师、手动评审代理、技术开发人员、客户服务支持、报告 |
管理员设置 - 配置
| 权限 | 角色 |
|---|---|
| 只读 | 产品管理员、PSP 管理员 |
| 无访问权限 | 欺诈经理, 欺诈主管, 欺诈分析师, 手动审查代理, 技术开发人员, 客户服务支持, 报告 |
成员访问
成员可以使用Microsoft帐户登录来访问 https://dfp.microsoft.com/ 欺诈保护。
来宾用户访问权限
来宾用户可以在接受电子邮件邀请并注册(或登录)后访问欺诈保护。 若要接受欺诈保护邀请,请执行以下步骤。
- 检查电子邮件收件箱中是否有主题行“<>已邀请你访问其组织内应用程序的名称”的电子邮件。
- 选择“ 接受邀请”。
- 如果现有Microsoft帐户或相关帐户使用电子邮件地址,系统会提示使用该帐户登录。 否则,请按照设置过程注册新帐户。 完全登录后,应有权访问欺诈保护。
- 返回到邀请电子邮件,并记下或为文本“如果你接受此邀请,将发送给你...”后显示的确切链接。此链接采用格式
https://dfp.microsoft.com/.../...。 每次访问欺诈保护时,都必须使用此确切链接。 - 若要获得将来的访问权限,请转到 https://dfp.microsoft.com/ 来宾用户帐户并登录。
在租户之间切换
可以使用租户选取器选择要加入的租户,前提是已预配了多个租户并设置了欺诈保护。
可以通过选择仪表板右上角的配置文件符号,然后选择“切换租户” 来找到租户选取器。 租户选取器提供一组可供选择的选项。 这些选项只是你作为来宾或管理员有权访问的租户。 若要更改为其他租户,请选择要重定向的租户名称。
如果收到错误,指出需要全局管理员权限,请选择 屏幕底部的“切换租户 ”。 此时会打开租户选取器,你可以选择适当的租户。