创建或编辑安全角色以管理访问

  • 项目

创建安全角色或编辑与现有安全角色关联的特权,以适应业务要求的改变。 您可以将更改导出为解决方案以进行备份或在其他实现中使用。

先决条件

确保您具有系统管理员权限。 如果没有,请与系统管理员联系。

创建安全角色

  1. 登录到 Power Platform 管理中心,选择一个环境。

  2. 选择设置>用户 + 权限>安全角色

  3. 选择 + 新建角色

  4. 输入角色名称。

  5. 选择业务部门。

  6. 要允许团队成员在将此角色分配给团队时继承其权限,请接受默认的成员权限继承设置,即直接用户(基本)访问级别和团队权限

  7. 要使用新角色运行模型驱动应用,请接受默认的包括运行模型驱动应用的应用程序打开者权限设置,这设置为

  8. 使用体验为安全角色指定特权。

  9. 选择保存。 将显示新角色的属性。

    备注

    您必须将应用程序的表权限授予此新创建的安全角色。 您还需要检查和更新从应用程序打开者安全角色的常见任务最低权限复制的默认权限。 有些权限被授予组织级别的读取访问权限,例如进程(流),允许用户运行系统提供的流。 如果您的应用程序或用户不需要运行系统提供的流,您可以将此权限更改为用户(基本)级别。

  10. 搜索输入字段中输入您的表名称,以查找您的应用程序表。

  11. 选择您的表并设置权限设置。 然后选择保存按钮。

    备注

    如果您的应用程序中有多个表,您可能需要重复此过程的最后两步。

按复制角色创建安全角色

  1. 登录到 Power Platform 管理中心,选择一个环境。

  2. 选择设置>用户 + 权限>安全角色

  3. 选择要复制的安全角色。

  4. 选择复制

  5. 输入新角色的名称。

  6. 选择确定

  7. 使用体验为安全角色指定特权。

  8. 选择保存 + 关闭

编辑安全角色

在编辑安全角色之前,请确保您了解控制数据访问的原则。

备注

不能编辑系统管理员安全角色。 而是复制系统管理员安全角色并对新角色进行更改。

  1. 登录到 Power Platform 管理中心,选择一个环境。

  2. 选择设置>用户 + 权限>安全角色

  3. 选择要编辑的安全角色。

  4. 使用体验为安全角色指定特权。

  5. 选择保存 + 关闭

常见任务的最低权限

确保您的用户具有安全角色,该角色具有打开模型驱动应用等常见任务所需的最低权限。

不要使用 Microsoft 下载中心中提供的应用使用的最低权限角色。 此角色即将停用。 而应使用或复制预定义的安全角色应用打开者,然后设置相应的特权。

  • 要允许用户打开模型驱动应用或任何 Dynamics 365 customer engagement 应用,分配应用打开者角色。

  • 要允许用户查看表,分配以下特权:

    • 核心记录:读取表的特权、读取已保存视图、创建/读取/写入用户实体 UI 设置,在“业务管理”选项卡上分配以下特权:读取用户。

  • 登录到 Dynamics 365 for Outlook 时:

  • 若要为客户互动应用和所有按钮呈现导航:为用户分配最低权限应用程序使用安全角色或该安全角色的副本

  • 呈现表网格:对表分配读取权限

  • 若要呈现表:分配对表的读取权限

隐私声明

通过使用适用于手机和其他客户端的 Dynamics 365,自动授权具有特定安全角色的 Dynamics 365 Online 许可用户访问该服务。 授权角色的示例包括:CEO、业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁。

管理员可以在用户安全角色级别或实体级别完全控制与手机客户端相关的访问权限以及授权访问级别。 随后,用户可以使用适用于手机的 Dynamics 365 访问 Dynamics 365 Online。 客户数据将在运行特定客户端的设备上缓存。

根据用户安全和实体级别的特定设置,可从 Dynamics 365 Online 导出这些类型的客户数据。 可在最终用户设备上缓存的数据包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

适用于平板电脑和手机的 Dynamics 365 和适用于 Dynamics 365 的 Project Finder(以下简称“应用”)使用户能够通过平板电脑或手机设备访问其 Microsoft Dynamics CRM 或 Dynamics 365 实例。 为了提供此服务,本应用将处理和存储相关信息,例如用户的凭据以及用户在 Microsoft Dynamics CRM 或 Dynamics 365 中处理的数据。 本应用仅供属于 Microsoft Dynamics CRM 或 Dynamics 365 授权用户的 Microsoft 客户的最终用户使用。 本应用代表适用的 Microsoft 客户处理用户的信息,如果为用户提供对 Microsoft Dynamics CRM 或 Dynamics 365 的访问权限的组织给出指示,Microsoft 可能会披露本应用处理的信息。 Microsoft 不会将用户通过本应用程序处理的信息用于任何其他目的。

如果用户使用本应用连接到 Microsoft Dynamics CRM (online) 或 Dynamics 365,则安装本应用即表示用户同意将其组织分派的 ID、最终用户分派的 ID 以及设备 ID 传输至 Microsoft,以用于跨多台设备启用连接或改进 Microsoft Dynamics CRM (online)、Dynamics 365 或本应用。

位置数据。 如果用户请求在本应用程序中启用基于位置的服务或功能,则本应用程序可能会收集并使用关于其位置的精确数据。 精确位置数据可以是全球定位系统 (GPS) 数据以及用于识别附近手机信号塔和 Wi-Fi 热点的数据。 本应用可能会将位置数据发送至 Microsoft Dynamics CRM 或 Dynamics 365。 本应用可能会将位置数据发送至必应地图和其他第三方地图服务(如 Google Maps 和 Apple Maps),以及用户手机中指定的用户,以便处理本应用内的用户位置数据。 用户可关闭位置服务或关闭本应用程序对位置服务的访问,以禁用基于位置的服务或功能或者禁用本应用程序对用户位置的访问。 用户对必应地图的使用受必应地图最终用户使用条款(可从 https://go.microsoft.com/?linkid=9710837 访问)和必应地图隐私声明(可从 https://go.microsoft.com/fwlink/?LinkID=248686 访问)的约束。 用户使用第三方地图服务,以及用户向第三方地图服务提供的任何信息均受特定于这些服务的最终用户条款和隐私声明的约束。 用户应仔细查看这些其他最终用户条款和隐私声明。

本应用可能包含指向其他 Microsoft 服务和第三方服务的链接,这些服务的隐私和安全实践可能与 Microsoft Dynamics CRM 或 Dynamics 365 的不同。  如果用户向其他 MICROSOFT 服务或第三方服务提交了数据,则此类数据将受到这些服务各自的隐私声明的约束。 为了避免引起疑虑,用户的 Microsoft Dynamics CRM 或 Dynamics 365 协议或者适用的 Microsoft Dynamics 信任中心将不涉及在 Microsoft Dynamics CRM 或 Dynamics 365 之外共享的数据。 Microsoft 鼓励用户仔细查看此类其他隐私声明。

通过使用适用于平板电脑的 Dynamics 365 以及其他客户端,可以自动授权具有特定安全角色(CEO - 业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁)的许可的 Dynamics 365 联机用户访问该服务。

管理员对于与平板电脑客户端相关的访问能力以及授权访问级别具有完全控制权限(在用户安全角色级别或实体级别)。 随后,用户可以使用适用于平板电脑的 Dynamics 365 访问 Dynamics 365 (online),客户数据将在运行特定客户端的设备上缓存。

基于用户安全和实体级别的特定设置,可从 Dynamics 365 (online) 导出并在最终用户设备上缓存的客户数据的类型包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

如果您使用 Microsoft Dynamics 365 for Outlook,则在脱机时,将在本地计算机上创建并存储正在处理的数据的副本。 通过使用安全连接可将数据从 Dynamics 365 (online) 传输到计算机上,并可在本地副本和 Dynamics 365 Online 之间保持链接。 下次登录到 Dynamics 365 (online) 时,本地数据将与 Dynamics 365 (online) 同步。

管理员可以通过使用安全角色来确定是否允许组织用户脱机使用 Microsoft Dynamics 365 for Outlook。

用户和管理员可以通过使用选项对话框中的同步筛选器设置来配置通过脱机同步下载哪些实体。 或者,用户和管理员还可以通过使用同步筛选器对话框中的高级选项来配置下载(和上载)哪些字段。

如果您使用 Dynamics 365 (online),在使用“与 Outlook 同步”功能时,您同步的 Dynamics 365 数据将“导出”到 Outlook。 可在 Outlook 的信息和 Dynamics 365 (online) 信息之间保持链接,以确保两者之间的信息是最新的。 Outlook Sync 仅下载相关 Dynamics 365 记录 ID,在用户尝试针对 Outlook 项进行跟踪和设置时使用。 公司数据不存储在设备中。

管理员可以通过使用安全角色来确定是否允许组织用户将 Dynamics 365 数据同步到 Outlook。

如果您使用 Microsoft Dynamics 365 (online),则在将数据导出到一个静态工作表时,将在计算机上创建并存储正在导出的数据的本地副本。 通过使用安全连接可将数据从 Dynamics 365 (online) 传输到计算机上,但不会在本地副本和 Dynamics 365 (online) 之间保持连接。

当导出到动态工作表或数据透视表时,将保持 Excel 工作表和 Dynamics 365 (online) 之间的链接。 每次刷新动态工作表或数据透视表时,都将使用您的凭据向 Dynamics 365 (online) 验证您的身份。 您将能查看您有权查看的数据。

管理员可以通过使用安全角色来确定是否允许组织用户将数据导出到 Excel。

当 Dynamics 365 (online) 用户打印 Dynamics 365 数据时,他们正在将此数据从 Dynamics 365 (online) 提供的安全边界“导出”到相对较不安全的环境(在这里是一张纸)。

管理员对于可以提取的数据具有完全控制权限(在用户安全角色级别或实体级别)。 但是,在数据被提取后,它不再受 Dynamics 365 (online) 提供的安全边界的保护,而是由客户直接控制。

另请参见

安全概念预定义的安全角色复制安全安全角色