为用户分派安全角色
请考虑以下有关安全角色的信息:
- 安全角色通过一组访问级别和权限来控制用户对数据的访问。 包括在特定安全角色中的访问级别和权限的组合对用户查看数据以及与该数据交互设置了限制。
- Dataverse 提供默认的安全角色集。 如果组织需要,您可以通过编辑默认安全角色并使用新名称进行保存来创建新的安全角色。 请参阅预定义的安全角色。
- 您可以将多个安全角色分派给用户。 多个安全角色的影响可以累积,这意味着用户具有与分配给用户的所有安全角色相关联的权限。
- 安全角色和业务部门关联。 如果您已经创建业务部门,则只有那些与该业务部门关联的安全角色可供业务部门的用户使用。 您可以使用此功能将数据访问权限限制为访问业务部门拥有的数据。
- 启用允许跨业务部门的记录所有权后,您可以将来自不同业务部门的安全角色分配给您的用户,而不管用户属于哪个业务部门。
- 为了向用户分配安全角色,您需要具有适当的权限(至少要具有安全角色表上的读取和分配权限)。 为防止安全角色特权提升,分配安全角色的人员不能分配具有比分配者更多特权的安全角色的另一个人。 例如,CSR 经理不能将系统管理员角色分配给另一个用户。 此特权验证包括检查分配者在特权深度级别和业务部门具有的每个特权。 例如,如果您没有被分配该业务部门的具有适当特权级别的安全角色,则无法将来自不同业务部门的安全角色分配给另一个用户。
备注
默认情况下,系统管理员安全角色具有将安全角色分配给任何用户所需的权限,包括分配系统管理员安全角色。 如果需要允许非系统管理员分配安全角色,应该考虑创建一个具有创建管理用户并防止提升安全角色权限中列出的所有权限的自定义安全角色。 为非系统管理员分配自定义安全角色,以及非系统管理员可以分配给其他用户的所有安全角色。 如果您允许非系统管理员管理所有者团队中的团队成员,也需要此安全角色要求。
有关 Online Services 管理员角色和安全角色之间 Microsoft 差异的更多信息,请参阅 授予用户访问权限。
小费
查看以下视频:在 Power Platform 管理中心分配安全角色。
按照以下步骤分派安全角色。
以系统管理员身份登录到 Power Platform 管理中心。
选择环境,然后从列表中选择一个环境。
选择设置。
选择用户 + 权限,然后选择用户。
在用户页面上,选择用户,然后选择管理安全角色。
选择或取消选择安全角色。 完成后,选择保存。 保存后,所有选择的角色将成为用户的当前已分派角色。 将不会分派取消选择的角色。
启用允许跨业务部门的记录所有权后,您可以选择不同业务部门的安全角色。
重要提示
您必须为直接或间接作为组团队成员的每个用户至少分配一个安全角色。 该服务不允许向一个安全角色都没有的用户授予访问权限。
跨业务部门的记录所有权的用户设置特权
如果您启用了允许跨业务部门的记录所有权,则您的用户可以通过拥有从这些其他业务部门直接分配给他们的安全角色来访问其他业务部门中的数据。 还需要从用户业务部门为用户分配具有下表中的特权的安全角色,以便更新用户 UI 设置:
- 操作卡用户设置
- 已保存的视图
- 用户图表
- 用户仪表板
- 用户实体实例数据
- 用户实体 UI 设置
- 用户应用程序元数据
若要向具有零个或一个 Microsoft Dataverse 数据库的环境中的用户分配安全角色,请参阅在环境中为资源配置用户安全性。
(可选)分派管理员角色
通过将 Online Services 环境管理员角色分配给 Microsoft 您选择来填补每个角色的用户,您可以在多个人之间共享 Microsoft Online Services 环境管理任务。 有关 Online Services 管理员角色的详细信息 Microsoft ,请参阅 分配管理员角色。
备注
Microsoft 联机服务环境管理员角色仅对管理联机服务订阅的各个方面有效。 这些角色不会影响服务中的权限。
自动角色分配
将用户添加到 Dataverse 后,他们将根据以下条件自动进行角色分配:
具有有效许可的用户将自动获得分配给他们的相应的映射角色。 删除相应的许可证将导致自动删除角色。 基于许可证的默认角色管理不适用于以下类型环境中的用户:Dataverse for Teams、试用和开发人员。
对于默认环境类型,Basic User 和 Environment Maker 角色将自动分配给 Dataverse 中添加的所有用户。
在带有 Dataverse 数据库的财务和运营链接环境中,财务和运营基本用户安全角色会自动分配给 Dataverse 中的所有活动用户。
备注
以前, Microsoft Entra ID 管理员(包括 Power Platform 管理员和 Dynamics 365 服务管理员)会自动分配系统管理员角色 Dataverse。 现在情况已不再如此。 但是,如果之前为管理员分配了角色 Dataverse,则将其从 Power Platform 管理员和 Dynamics 365 服务管理员角色中删除不会自动删除其系统管理员角色 Dataverse。 目前无法确定角色是由系统自动分配的还是由管理员手动分配的。 因此,我们建议管理员在删除系统管理员角色后 Microsoft Entra 手动删除该角色。
许可证到角色映射
如果在您的环境中定义了某些角色,在根据用户被分配的许可证将用户添加到 Dataverse 时,会自动为用户分配这些角色。 您可以通过导航到 Power Platform 管理中心的“许可证到角色映射”页面来查看环境中的许可证到角色映射。
转到环境> [选择环境] >设置>用户 + 权限>许可证到角色映射。