Microsoft Dataverse 使用基于角色的安全模型来控制对环境中数据库及其资源的访问。 使用安全角色可配置对环境中所有资源的访问,或对环境中特定应用和数据的访问。 安全角色中的访问级别和权限的组合确定用户可以查看哪些应用和数据,以及他们如何与这些应用和数据交互。
环境可以没有或有一个 Dataverse 数据库。 对于没有 Dataverse 数据库的环境和有 Dataverse 数据库的环境,您可以分别分配不同的安全角色。
了解角色类型
Microsoft Power Platform在不同的范围内使用不同的角色类型。 了解区别有助于确定要为给定方案分配的角色。
| 角色类型 | 示例 | Scope | 典型使用 |
|---|---|---|---|
| 租户级管理员角色 | Power Platform 管理员、Dynamics 365管理员、全局管理员 | 整个租户(所有环境) | 管理整个组织的环境、策略和平台设置。 在 Microsoft 365 管理中心中分配。 |
| 环境级别角色 | 环境管理员、环境创建者 | 单一环境(不含 Dataverse) | 在没有 Dataverse 数据库的环境中创建和管理应用、流和连接等资源。 |
| Dataverse 安全角色 | 系统管理员、系统定制员、基本用户 | 单一环境(使用 Dataverse) | 控制对具有 Dataverse 数据库的环境中的 Dataverse 表、应用和数据的访问。 |
| 特定于应用的角色 | Dynamics 365 Sales 角色,客户服务角色 | 单一环境(使用 Dataverse) | 提供对特定Dynamics 365或 Power Platform 应用中的功能的访问权限。 |
Important
租户级管理员角色(如 Power Platform administrator 和 Dynamics 365 administrator)在Microsoft 365 管理中心中分配,并跨环境授予管理访问权限。 但是,这些角色不会自动授予 Dataverse 数据访问权限。 若要在 Dataverse 环境中处理数据,租户管理员还必须在该特定环境中分配 系统管理员 Dataverse 安全角色。 在 “使用服务管理员角色管理租户”中了解详细信息。
使用本文可了解内置角色以及它们如何应用于不同的环境类型。 若要分配角色,请参阅 在环境中配置用户安全性。 如果用户遇到访问错误,请参阅 “排查用户访问问题”。
预定义的安全角色
环境包括反映常见用户任务的预定义安全角色。 预定义的安全角色遵从“最低必需访问权限”的最佳安全做法:为用户使用应用所需的最低业务数据提供最低访问权限。 可以将这些安全角色分配给用户、负责人组和组团队。 环境中可用的预定义安全角色取决于环境类型和其中安装的应用。
另一组安全角色将分配给应用程序用户。 这些安全角色由我们的服务安装,不能更新。
没有 Dataverse 数据库的环境
对于没有 Dataverse 数据库的环境,环境创建者和环境管理员是仅有的预定义角色。 若要了解有关这些角色的详细信息,请参阅下表。
| 安全角色 | Description |
|---|---|
| 环境管理员 | 环境管理员角色能够对环境执行所有管理操作,包括:
|
| 环境创建者 | 可以使用 Microsoft Power Automate 创建与环境关联的新资源,包括应用、连接、自定义 API 和流。 但是,此角色不具有访问环境中的数据的权限。 环境创建者还可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与个人用户、安全组或组织中的所有用户共享该应用。 |
有 Dataverse 数据库的环境
如果环境有 Dataverse 数据库,则必须为用户分配系统管理员角色而不是环境管理员角色,以获得完全管理员权限。
注释
环境管理员角色仅适用于没有 Dataverse 数据库的环境。 在具有 Dataverse 数据库的环境中,使用 系统管理员 角色进行完全管理访问权限。 租户级角色(如 Power Platform 管理员 )授予环境管理功能,但需要单独的 系统管理员 角色分配来直接访问 Dataverse 数据。 在 “使用服务管理员角色管理租户”中了解详细信息。
开发连接到数据库并需要创建或更新实体的应用的用户,除了环境创建者角色外,还必须有系统定制员角色。 环境创建者角色对环境的数据没有权限。 这些安全角色没有创建或更新安全角色的权限。
以下列表在具有 Dataverse 数据库的环境中提供预定义的安全角色。 您无法编辑这些角色。
- 应用打开者
- 基本用户
- 代理
- Dynamics 365管理员
- 环境创建者
- 全局管理员
- 全球阅读器
- Office 协作者
- Power Platform 管理员
- 已删除服务
- 服务读取者
- 服务编写者
- 支持用户
- 系统管理员
- 系统定制员
- 网站应用负责人
- 网站负责人
若要详细了解这些角色,包括其说明、适用对象,以及可访问的表特权摘要,请参阅 安全角色的角色名称和说明。
除了 Dataverse 所述的预定义安全角色之外,环境中可能还有其他安全角色,具体取决于你拥有的 Power Platform 组件(Power Apps、Power Automate、Microsoft Copilot Studio)。 下表提供了指向更多信息的链接。
| Power Platform 组件 | 信息 |
|---|---|
| Power Apps | 具有 Dataverse 数据库的环境的预定义安全角色 |
| Power Automate | 安全性和隐私 |
| Power Pages | 网站管理所需的角色 |
| Microsoft Copilot Studio | 分配环境安全角色 |
Dataverse for Teams 环境
进一步了解 Dataverse for Teams 环境中预定义的安全角色。
特定于应用的安全角色
如果您在环境中部署 Dynamics 365 应用,将添加其他安全角色。 每个应用都会安装自己的角色集,这些角色记录在特定于应用的文章中。 下表提供了指向更多信息的链接。
| Dynamics 365 应用 | 安全角色文档 |
|---|---|
| Dynamics 365 Sales | 预定义的销售安全角色 |
| Dynamics 365 Marketing | Dynamics 365 Marketing 添加的安全角色 |
| Dynamics 365 Field Service | Dynamics 365 Field Service 角色 + 定义 |
| Dynamics 365 客户服务 | 全渠道客户服务中的角色 |
| Dynamics 365 Customer Insights | Customer Insights 角色 |
| 应用配置文件管理器 | 与应用配置文件管理器相关联的角色和特权 |
| Dynamics 365 Finance | 公共部门中的安全角色 |
| 财务和运营应用 | Microsoft Power Platform 中的安全角色 |
可用于预定义安全角色的资源的摘要
下表介绍了每个安全角色可以创作哪些资源。
| 资源 | 环境创建者 | 环境管理员 | 系统定制员 | 系统管理员 |
|---|---|---|---|---|
| 画布应用 | X | X | X | X |
| 云端流 | X(非解决方案感知) | X | X | X |
| 连接器 | X(非解决方案感知) | X | X | X |
| 连接* | X | X | X | X |
| 数据网关 | - | X | - | X |
| 数据流 | X | X | X | X |
| Dataverse 数据表 | - | - | X | X |
| 模型驱动应用 | X | - | X | X |
| 解决方案框架 | X | - | X | X |
| 桌面流** | - | - | X | X |
| AI Builder | - | - | X | X |
*连接用于画布应用和 Power Automate。
**Dataverse for Teams 用户默认无法访问桌面流。 您需要将您的环境升级到完整的 Dataverse 功能并获得桌面流许可证计划才能使用桌面流。
常见问题
下表介绍了常见的安全角色问题以及如何解决这些问题。
| 症状 | 原因 | 解决方案 |
|---|---|---|
| 由于你在此环境中的当前权限,一个或多个命令不可用 | 您的安全角色未包含执行您尝试进行的操作所需的权限。 | 要求系统管理员分配具有所需权限的安全角色。 对于与解决方案相关的操作,可能需要系统定制器或环境创建者角色。 通过安全角色和特权了解详细信息。 |
| 无法访问环境 | 你的用户帐户在该环境中没有分配安全角色,或者环境需要 Dataverse 许可证。 | 要求环境管理员或系统管理员 分配安全角色。 验证是否具有所需的 许可证。 |
| 无法分配或修改安全角色 | 只有具有系统管理员角色或租户级管理员角色的用户才能管理安全角色分配。 | 请联系组织的系统管理员或Microsoft 365管理员请求角色更改。 在 环境中配置用户安全性中了解详细信息。 |
| 无法复制安全角色 | 安全角色是无法编辑或复制的预定义角色,或者您没有足够的权限。 | 验证你是否具有系统管理员角色。 无法复制某些预定义角色。 请改为尝试 创建自定义安全角色 。 |
如果这些步骤无法解决此问题,请参阅排查用户访问问题,了解更多场景。 如果需要访问更改,请联系相应的管理员:
- 环境访问:与环境管理员或在该环境中具有系统管理员角色的用户联系。
- Dataverse 表或应用访问权限:请与该环境中的系统管理员联系以分配或更新安全角色。
- 租户范围内的管理员访问权限:联系 Microsoft 365 管理员或全局管理员。