用户角色和访问
本文提供有关角色和用户访问Microsoft Dynamics 365欺诈保护的信息。
Microsoft Dynamics 365欺诈保护提供了一组定义的用户角色,每个角色都有权访问特定特性和功能。 用户以不同的方式访问欺诈保护,具体取决于其在组织的 Azure 租户中的用户角色。 向系统添加新用户时,可以选择将角色分配给用户的角色。 有关如何在欺诈保护中设置用户角色和访问权限的信息,请参阅 “配置用户访问”。
以下列表中的所有角色都命名为生产环境中的名称。 若要授予用户在沙盒环境中对这些角色的访问权限,请选择以“Sandbox_”开头的角色版本。 例如, Sandbox_AllAreas_Admin。
角色
- 产品管理员 – 此顶级管理帐户对欺诈保护实例和层次结构中的所有环境具有完全访问权限。
- AllAreas_Admin – 此高级管理帐户具有对环境及其子环境欺诈保护的完全访问权限。
- AllAreasEditor – 此角色中的用户是一个有权查看所有区域并有权在环境及其子环境中使用关键欺诈防护工具的用户。 但是,此角色不授予进行用户角色分配的访问权限。
- AllAreasViewer – 此角色中的用户可以查看欺诈保护的所有区域并从数据中学习,但不能在环境及其子环境中上传或更改设置。
- SupportAgent – 此角色为与客户合作的支持代理提供对欺诈保护的定制访问权限。 此角色中的用户可以在支持工具中查看和工作,查看本体,并将客户分配到环境及其子环境中的安全列表或阻止列表。
- FraudEngineer – 此角色为组织中与欺诈保护合作的欺诈分析师和工程师提供定制的访问权限。 此角色中的用户对 AllAreasEditor 角色中的用户具有类似的访问权限。 此用户可以访问数据工程信息,但无权访问环境及其子环境中的某些配置选项。
- ManualReviewAnalyst – 此角色中的用户负责查看单个事务并批准或拒绝它们。 手动评审分析师有权访问案例管理中的搜索工具和队列。
- ManualReviewSeniorAnalyst – 除了查看单个事务以及批准或拒绝这些事务外,此角色中的用户还可以设置路由规则。 手动评审高级分析师有权访问案例管理中的搜索工具、队列和路由规则。
- ManualReviewFraudManager – 此角色中的用户旨在管理商家的手动评审操作。 此角色中的用户可以分配用户访问、配置评估规则、创建队列、定义路由规则以及查看性能报告。
- Risk_API – 此角色提供对环境及其子环境的 API 的访问权限,但不能访问面向用户的工具。
权限
成员可以访问其 欺诈保护帐户 ,并使用 Microsoft Entra 帐户登录。 下表描述了不同角色在欺诈保护门户中的各种功能上拥有的权限。
评估
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑、欺诈工程师 |
| 只读 |
所有区域查看器,手动审阅欺诈管理器 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
决策规则、决策操作和分支
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、欺诈工程师、手动评审欺诈管理器 |
| 只读 |
所有区域查看器 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
监视报告 (评估)
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师、手动评审欺诈经理 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
正在报告
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器 |
| 只读 |
所有区域查看器,欺诈工程师,手动审查欺诈经理 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
搜索、查看事务详细信息和导出
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
备注
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
| 只读 |
所有区域查看器 |
案例管理 - 队列
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
| 只读 |
所有区域查看器 |
| 无访问权限 |
支持代理,欺诈工程师 |
案例管理 - 队列:分配用户
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
| 无访问权限 |
所有区域查看器、支持代理、欺诈工程师 |
案例管理 - 查看案例
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
| 只读 |
所有区域查看器 |
| 无访问权限 |
支持代理,欺诈工程师 |
案例管理 - 报告
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、手动评审欺诈管理器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师 |
路由规则、函数、速度、外部调用、外部评估、自定义列表和支持列表
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、欺诈工程师、手动评审欺诈管理器 |
| 只读 |
所有区域查看器 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
注意
支持代理角色无法访问支持列表页,但可以从“购买评估”下的“支持”选项卡修改“交易详细信息”页的列表。
事件跟踪
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员 |
| 只读 |
所有区域编辑器、所有区域查看器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
数据上传
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
API 管理
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
模板
| 模板类型 |
权限 |
角色 |
| 规则 |
读/写/导出 |
产品管理员、所有区域管理员、所有区域编辑器、欺诈工程师、手动评审欺诈管理器 |
| 规则 |
只读 |
所有区域查看器 |
| 规则 |
无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师 |
| 评估 |
读/写/导出 |
产品管理员、所有区域管理员、所有区域编辑器 |
| 评估 |
只读 |
所有区域查看器,手动审阅欺诈管理器 |
| 评估 |
无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师 |
| 环境 |
读/写/导出 |
产品管理员、所有区域管理员、所有区域编辑器 |
| 环境 |
只读 |
所有区域查看器 |
| 环境 |
无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
注意
- 若要从资源创建模板,用户必须具有对资源的读取权限以及模板的写入权限。
- 若要使用模板创建资源,用户必须对资源具有写入权限,以及对模板具有读取权限。
图表资源管理器
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、支持代理、欺诈工程师 |
| 无访问权限 |
手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
Integration-Dashboard
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
Integration- Entra 应用程序和 SSL 证书
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑、欺诈工程师 |
| 只读 |
所有区域查看器 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
注意
若要创建Microsoft Entra 应用程序,还必须在 Azure 租户中为用户分配应用程序管理员、云应用程序管理员或全局管理员角色。
设置 - 使用情况
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
设置 - 活动日志
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员 |
| 无访问权限 |
所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
设置 - 访问控制(用户和Microsoft条目组)
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、手动评审欺诈管理器 |
| 只读 |
所有区域编辑器、所有区域查看器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师 |
注意
除产品管理员之外,所有区域管理员可以分配所有角色。手动审阅欺诈管理器只能分配以下角色:ManualReviewFraudManager、ManualReviewAnalyst、ManualReviewSeniorAnalyst。
设置 - 访问控制 (Microsoft Entra 应用程序的 API 角色)
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员 |
| 只读 |
所有区域编辑器、所有区域查看器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审欺诈经理、手动评审分析师、手动评审高级分析师 |
设置 - 主题请求:提交新请求
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员、所有区域编辑、欺诈工程师 |
| 无访问权限 |
所有区域查看器、支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
设置 - 主题请求:查看以前的请求
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
设置 - 事务接受提升器
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员 |
| 只读 |
所有区域编辑器、所有区域查看器 |
| 无访问权限 |
支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
通知
| 通知类型 |
有权查看和消除的角色 |
| 环境管理、事件跟踪和订阅过期 |
产品管理员、所有区域管理员 |
| 使用者请求、SSL 证书和外部调用 |
产品管理员、所有区域管理员、所有区域编辑、欺诈工程师 |
| 操作 |
产品管理员、所有区域管理员、所有区域编辑、欺诈工程师 |
| Search |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审欺诈经理、手动评审高级分析师、 |
| 备注 |
产品管理员, PSP 管理员, 欺诈经理, 欺诈主管, 欺诈分析师, 手动评审代理, 客户服务支持 |
管理环境 - 创建和删除根环境
| 权限 |
角色 |
| 读取/写入 |
产品管理员、所有区域管理员 |
| 无访问权限 |
所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
注意
所有区域管理员都无法创建根环境(顶级)环境。 它们只能创建子环境。
管理环境 - 更新根环境
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器 |
| 无访问权限 |
所有区域查看器,支持代理,欺诈工程师,手动评审分析师,手动评审高级分析师,手动评审欺诈经理 |
管理环境 - 创建、更新和删除非根环境
| 权限 |
角色 |
| 读取/写入 |
产品管理员,所有区域管理员,Provisioning_API(在根环境中,Entra 应用程序获得授权) |
| 无访问权限 |
所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
注意
可以使用具有分配Provisioning_API角色的 Entra 应用程序通过 API 调用创建、更新或删除非根环境。 若要了解如何将 API 角色分配给 Entra 应用程序,请参阅 “配置用户访问 ”一文。
管理员设置 - 订阅和计费
| 权限 |
角色 |
| 只读 |
产品管理员 |
| 无访问权限 |
所有区域管理员、所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
管理员设置 - 配置
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员 |
| 无访问权限 |
所有区域编辑器、所有区域查看器、支持代理、欺诈工程师、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
丢失防护
| 权限 |
角色 |
| 只读 |
产品管理员、所有区域管理员、所有区域编辑器、所有区域查看器、欺诈工程师 |
| 无访问权限 |
支持代理、手动评审分析师、手动评审高级分析师、手动评审欺诈经理 |
来宾用户访问权限
来宾用户可以在接受电子邮件邀请并注册或登录后访问欺诈保护。 若要接受欺诈保护邀请,请执行以下步骤。
- 检查电子邮件收件箱中是否有主题行“<>已邀请你访问其组织内应用程序的名称”的电子邮件。
- 选择“ 接受邀请”。
- 如果现有Microsoft帐户或相关帐户使用电子邮件地址,系统会提示使用该帐户登录。 否则,请按照步骤注册新帐户。 登录后,应有权访问欺诈保护。
- 返回到邀请电子邮件,并记下或为文本后面的确切链接添加书签,“如果你接受此邀请,将发送给你...”。此链接采用格式
https://dfp.microsoft.com/.../...。
每次访问欺诈保护时,都必须使用此确切链接。
其他资源
配置用户访问。
付款服务提供商用户角色和访问权限
在 Microsoft Entra ID 中创建用户帐户
将用户帐户分配给企业应用程序