Microsoft Dataverse使用基于角色的安全模型来控制对环境中数据库及其资源的访问。 使用安全角色可配置对环境中所有资源的访问,或对环境中特定应用和数据的访问。 安全角色中的访问级别和权限的组合确定用户可以查看哪些应用和数据,以及他们如何与这些应用和数据交互。
环境可以没有或有一个 Dataverse 数据库。 对于没有 Dataverse 数据库的环境和有 Dataverse 数据库的环境,您可以分别分配不同的安全角色。
预定义的安全角色
环境包括反映常见用户任务的预定义安全角色。 预定义的安全角色遵从“最低必需访问权限”的最佳安全做法:为用户使用应用所需的最低业务数据提供最低访问权限。 可以将这些安全角色分配给用户、负责人组和组团队。 环境中可用的预定义安全角色取决于环境类型和其中安装的应用。
另一组安全角色将分配给应用程序用户。 这些安全角色由我们的服务安装,不能更新。
没有 Dataverse 数据库的环境
对于没有 Dataverse 数据库的环境,环境创建者和环境管理员是仅有的预定义角色。 若要了解有关这些角色的详细信息,请参阅下表。
| 安全角色 | 说明 |
|---|---|
| 环境管理 | 环境管理员角色能够对环境执行所有管理操作,包括:
|
| 环境创建者 | 可以使用Microsoft Power Automate创建与环境关联的新资源,包括应用、连接、自定义 API 和流。 但是,此角色不具有访问环境中的数据的权限。 环境创建者还可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与单个用户、安全组或组织中的所有用户共享应用。 |
有 Dataverse 数据库的环境
如果环境有 Dataverse 数据库,则必须为用户分配系统管理员角色而不是环境管理员角色,以获得完全管理员权限。
开发连接到数据库并需要创建或更新实体的应用的用户,除了环境创建者角色外,还必须有系统定制员角色。 环境创建者角色对环境的数据没有权限。 这些安全角色没有创建或更新安全角色的权限。
以下列表在具有 Dataverse 数据库的环境中提供预定义的安全角色。 您无法编辑这些角色。
- 应用启动器
- 基本用户
- 代理
- Dynamics 365管理员
- 环境创建者
- 全局管理员
- 全局读者
- 办公协作
- Power Platform 管理员
- 已删除服务
- 服务读取器
- 服务编写器
- 支持用户
- 系统管理员
- 系统定制员
- 网站应用负责人
- 网站负责人
若要详细了解这些角色,包括其说明、适用对象,以及可访问的表特权摘要,请参阅 安全角色的角色名称和说明。
除了 Dataverse 所述的预定义安全角色之外,环境中可能还有其他安全角色,具体取决于你拥有的 Power Platform 组件(Power Apps、Power Automate、Microsoft Copilot Studio)。 下表提供了指向更多信息的链接。
| Power Platform 组件 | 信息 |
|---|---|
| Power Apps | 具有 Dataverse 数据库的环境的预定义安全角色 |
| Power Automate(微软自动化流程解决方案) | 安全性和隐私 |
| Power Pages | 网站管理所需的角色 |
| Microsoft Copilot Studio | 分配环境安全角色 |
Dataverse for Teams 环境
进一步了解 Dataverse for Teams 环境中预定义的安全角色。
特定于应用的安全角色
如果在环境中部署Dynamics 365应用,则添加其他安全角色。 下表提供了指向更多信息的链接。
| Dynamics 365应用 | 安全角色文档 |
|---|---|
| Dynamics 365 Sales | 预定义的销售安全角色 |
| Dynamics 365市场营销 | Dynamics 365 Marketing 添加的 安全角色 |
| Dynamics 365 Field Service | Dynamics 365 Field Service 角色 + 定义 |
| Dynamics 365 Customer Service | 全渠道客户服务中的角色 |
| Dynamics 365 Customer Insights | Customer Insights 角色 |
| 应用配置文件管理器 | 与应用配置文件管理器相关联的角色和特权 |
| Dynamics 365 Finance | 公共部门中的安全角色 |
| 财务和运营应用 | Microsoft Power Platform 中的安全角色 |
可用于预定义安全角色的资源的摘要
下表介绍了每个安全角色可以创作哪些资源。
| 资源 | 环境创建者 | 环境管理 | 系统定制员 | 系统管理员 |
|---|---|---|---|---|
| 画布应用程序 | X | X | X | X |
| 云端流 | X(非解决方案感知) | X | X | X |
| 连接器 | X(非解决方案感知) | X | X | X |
| 连接* | X | X | X | X |
| 数据网关 | - | X | - | X |
| 数据流 | X | X | X | X |
| Dataverse 数据表 | - | - | X | X |
| 模型驱动应用 | X | - | X | X |
| 解决方案框架 | X | - | X | X |
| 桌面流** | - | - | X | X |
| AI Builder | - | - | X | X |
*连接用于 canvas 应用和Power Automate。
**Dataverse for Teams 用户默认无法访问桌面流。 您需要将您的环境升级到完整的 Dataverse 功能并获得桌面流许可证计划才能使用桌面流。