Power Platform 管理中心的基于角色的访问控制（预览版）

[本文是预发行文档，可能会有所更改。]

Microsoft Power Platform 管理中心中基于角色的访问控制（RBAC）是一种安全模型，旨在帮助组织自信且灵活地管理 谁可以在其 Power Platform 资源中做什么。 RBAC 提供了访问管理的新式方法，使用户、组和软件自动化的分配和强制权限更加轻松。

重要

使用 Power Platform RBAC，管理员可以：

RBAC 在 Power Platform API 层运行，表示对资源的管理控制，而 Dataverse 继续为环境中的业务数据提供自己的基础 RBAC。

注释

目前，RBAC 正在致力于扩展对 Power Platform API 和各种管理 SDK 的服务主体和托管标识支持。 Power Platform 管理中心用户体验中，低于租户级别的范围所分配的只读权限及读写权限已在规划中，但尚未完成。

Power Platform RBAC 的优点

安全主体是Microsoft Entra ID中的实体，可通过 RBAC 角色分配授予访问权限。支持的安全主体包括：

用户主体：在 Microsoft Entra ID 中，使用电子邮件地址的人类用户。
Groups： Microsoft Entra ID 中已启用安全性的组，使用其组 ID。
服务主体/托管标识： Microsoft Entra ID 中的应用程序注册，以及系统和用户定义的托管标识。使用各自的 Enterprise 对象 ID 进行分配。

这是进行分配的层次结构级别。

更高级别的权限分配将自动继承至下级范围，除非被明确覆盖。

角色分配是安全主体、内置角色定义和作用域之间的链接。示例分配包括：将整个环境组的管理权限委托给其他人员或托管标识，从而释放中央 IT 部门管理租户其余部分的时间。

可以通过 Power Platform API 和 SDK 管理 RBAC 分配。这些 API 和 SDK 提供用于管理角色的编程选项，适用于大型组织中的自动化和集成。有关分步演练，请参阅教程：将基于角色的访问控制角色分配给服务主体。

角色定义和分配安全地集中存储给租户，并在区域同步，以确保可靠的强制和全局访问。

角色定义是描述允许的行为权限集合。可分配的范围由每个内置角色确定。客户无法自定义或修改角色。

以下内置角色可用于分配给 Power Platform RBAC 中的用户、组和服务主体：

角色名称	角色 ID	可分配的范围	Permissions
Power Platform 角色访问控制管理员	95e94555-018c-447b-8691-bdac8e12211e	/租户/{0}	所有以 .Read、Authorization.RoleAssignments.Write、Authorization.RoleAssignments.Delete 结尾的权限。
Power Platform 读取器	c886ad2e-27f7-4874-8381-5849b8d8a090	/租户/{0}	以 .Read 结尾的所有权限。
Power Platform 贡献者	ff954d61-a89a-4fbe-ace9-01c367b89f87	/租户/{0}	可以管理和读取所有资源，但无法做出或更改角色分配
Power Platform 所有者	0cb07c69-1631-4725-ab35-e59e001c51ea	/租户/{0}	所有权限

有关权限、角色和集成的详细参考，请参阅 Power Platform API 参考。若要了解如何以编程方式分配这些角色，请参阅教程：向服务主体分配基于角色的访问控制角色。

此页面是否有帮助？