在環境中設定使用者安全性
Microsoft Dataverse 使用角色型安全性模型來控制對環境中資料庫及其資源的存取。 使用安全性角色來設定對環境中所有資源,或環境中特定應用程式和資料的存取權。 安全性角色中的存取層級和權限組合,會決定使用者可以查看哪些應用程式和資料,以及他們如何與這些應用程式和資料互動。
環境會有零個或一個 Dataverse 資料庫。 為沒有 Dataverse 資料庫的環境和有 Dataverse 資料庫的環境指派不同的安全性角色。
預先定義的資訊安全角色
環境包括反映一般使用者工作的預先定義資訊安全角色。 預先定義的資訊安全角色必須遵循「最低要求存取權」的安全性最佳做法:提供對使用者使用應用程式所需的最少商務資料的最少存取權。 這些資訊安全角色可指派給使用者、所有人團隊和群組團隊。 環境中可用的預先定義資訊安全角色,是根據環境類型和您在其中安裝的應用程式而定。
系統會指派另一組資訊安全角色給應用程式使用者。 那些資訊安全角色經由我們的服務安裝,而且無法更新。
不包含 Dataverse 資料庫的環境
環境創造者和環境管理員是唯一沒有 Dataverse 資料庫的環境的預先定義角色。 這些值在下表說明。
| 資訊安全角色 | 描述: |
|---|---|
| 環境管理員 | 環境管理員角色可在環境上執行所有的系統管理動作,包括:
|
| 環境製作者 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API,及使用 Microsoft Power Automate 的流程。 不過,此角色沒有權限可以存取環境中的資料。 環境建立者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 |
包含 Dataverse 資料庫的環境
如果環境有 Dataverse 資料庫,使用者必須指派為系統管理員角色,而不是完整管理員權限的環境管理員角色。
要製作連接至資料庫的應用程式,且需要建立或更新實體和資訊安全角色的使用者,必須具有系統自訂員角色以及環境創造者角色。 環境建立者角色對環境的資料沒有權限。
下表說明在具有 Dataverse 資料庫的環境中,預先定義的資訊安全角色。 您無法編輯這些角色。
| 資訊安全角色 | 描述: |
|---|---|
| 應用程式開啟工具 | 具有一般工作的最低權限。 此角色主要是做為建立模型導向應用程式的自訂資訊安全角色的範本。 這對核心商務資料表 (例如客戶、連絡人和活動) 沒有任何權限。 但是,它具有對系統資料表 (例如程序)的組織層級讀取存取權,以支援讀取系統提供的工作流程。 請注意,當建立新的自訂資訊安全角色時,將使用此資訊安全角色。 |
| 基本使用者 | 僅適用於現成的實體,可以執行環境中的應用程式,並對其所擁有的一般記錄執行工作。 這對核心商務資料表 (例如客戶、連絡人和活動) 有權限。 注意: Common Data Service User 資訊安全角色已重命名 為 Basic User。 只會變更名稱; 使用者權限和角色指派是相同的。 如果您有一個具有 Common Data Service 使用者資訊安全角色的解決方案,則應在重新匯入之前,先更新該解決方案。 否則,當您匯入解決方案時,可能會無意中將資訊安全角色名稱改回使用者。 |
| 代理人 | 允許程式碼模擬,或以其他使用者身分來執行。 通常與其他資訊安全角色搭配用來允許存取記錄。 |
| Dynamics 365 系統管理員 | Dynamics 365 系統管理員 是 Microsoft Power Platform 服務管理員角色。 此角色的使用者在自我提升為系統管理員角色後,可以在 Microsoft Power Platform 執行管理功能。 |
| 環境製作者 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API,及使用 Microsoft Power Automate 的流程。 不過,此角色沒有任何權限可以存取環境中的資料。 環境建立者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 |
| 全域系統管理員 | 全域系統管理員 是一個 Microsoft 365 系統管理員角色。 購買 Microsoft 企業訂閱的人員是全球系統管理員,可以無限制地控制訂閱中的產品和訪問大多數數據。 此角色的使用者必須自行提升為系統管理員角色。 |
| 全域讀者 | 全域讀者角色在 Power Platform 系統管理中心尚未受到支援。 |
| Office 共同作業者 | 對其中的記錄與組織共用的資料表具有讀取權限。 無權存取任何其他核心和自訂資料表記錄。 此角色會指派給 Office 共同作業者擁有者團隊,而非分配給單一使用者。 |
| Power Platform系統管理員 | Power Platform 系統管理員是一個 Microsoft Power Platform 服務系統管理員角色。 此角色的使用者在自我提升為系統管理員角色後,可以在 Microsoft Power Platform 執行管理功能。 |
| 服務已刪除 | 對所有實體 (包括自訂實體) 具有完全刪除權限。 該角色主要由服務使用,需要刪除所有實體中的記錄。 此角色不能分配給用戶或團隊。 |
| 服務讀取器 | 對所有實體 (包括自訂實體) 具有完全讀取權限。 此角色主要由服務使用,需要讀取所有實體。 此角色不能分配給用戶或團隊。 |
| 服務寫入器 | 擁有所有實體的完整建立、讀取及寫入權限,包括自訂實體。 此角色主要由服務使用,並需要建立和更新記錄。 此角色不能分配給用戶或團隊。 |
| 支援使用者 | 擁有自訂化和商業管理設定的完整讀取權限,讓支援人員可以解決環境組態問題。 此角色無法存取核心記錄。 此角色不能分配給用戶或團隊。 |
| 系統管理員 | 有完整權限可以自訂或管理環境,包括建立、修改和指派資訊安全角色。 可以檢視環境中的所有資料。 |
| 系統自訂員 | 有完整權限可以自訂環境。 可以檢視環境中的所有自訂資料表資料。 不過,具有此角色的使用者只能檢視他們在客戶、連絡人、活動表中所建立的環境實體的記錄。 |
| 網站應用程式負責人 | 在 Azure 入口網站擁有網站應用程式註冊的使用者。 |
| 網站負責人 | 建立 Power Pages 網站的使用者。 此角色是託管角色,無法更改。 |
除了中描述的 Dataverse預定義安全角色之外,您的環境中可能還有其他安全角色可用,具體取決於您擁有的元件 Power Platform Power Apps Power Automate Microsoft Copilot Studio。 下表提供其他資訊的連結。
| Power Platform 元件 | 資訊 |
|---|---|
| Power Apps | 具有 Dataverse 資料庫的環境的預定義安全角色 |
| Power Automate | 安全和隱私 |
| Power Pages | 網站管理所需的角色 |
| Microsoft Copilot Studio | 分配環境安全角色 |
Dataverse for Teams 環境
瞭解有關環境中 Dataverse for Teams 預定義安全角色的更多資訊。
應用程式特定資訊安全角色
如果您在環境中部署 Dynamics 365 應用程式,則會新增其他資訊安全角色。 下表提供其他資訊的連結。
| Dynamics 365 應用程式 | 資訊安全角色文件 |
|---|---|
| Dynamics 365 Sales | Sales 的預定義安全角色 |
| Dynamics 365 Marketing | Dynamics 365 Marketing 添加的安全角色 |
| Dynamics 365 Field Service | Dynamics 365 Field Service 角色 + 定義 |
| Dynamics 365 Customer Service | Customer Service 全通路中的角色 |
| Dynamics 365 Customer Insights | Customer Insights 角色 |
| 應用程式設定檔管理員 | 與 App Profile Manager 關聯的角色和許可權 |
| Dynamics 365 Finance | 公共部門中的安全角色 |
| 財務和營運應用程式 | 中的安全角色 Microsoft Power Platform |
可用於預先定義資訊安全角色的資源摘要
下表說明每個資訊安全角色可以撰寫的資源。
| 資源 | 環境製作者 | 環境管理員 | 系統自訂員 | 系統管理員 |
|---|---|---|---|---|
| 畫布應用程式 | X | X | X | X |
| 雲端流程 | X (非解決方案感知) | X | X | X |
| Connector | X (非解決方案感知) | X | X | X |
| 連線* | X | X | X | X |
| 資料閘道 | - | X | - | X |
| 資料流程 | X | X | X | X |
| Dataverse 資料表 | - | - | X | X |
| 模型導向應用程式 | X | - | X | X |
| 解決方案框架 | X | - | X | X |
| 桌面流程** | - | - | X | X |
| AI Builder | - | - | X | X |
*連線用於畫布應用程式和 Power Automate。
**Dataverse for Teams 使用者預設無法存取桌面流程。 您必須將環境升級到完整的 Dataverse 功能,並取得桌面程式流程授權方案,才能使用桌面流程。
將資訊資訊安全角色指派給沒有 Dataverse 資料庫的環境使用者
對於不含 Dataverse 資料庫的環境,在環境中具有環境管理角色的使用者,可將資訊安全角色指派給 Microsoft Entra ID 中的個別使用者或群組。
選取環境> [選取一個環境]。
在存取圖格中,環境管理員或環境製造者請選取查看所有,以新增或移除任一角色的人員。
選取新增人員,然後從 Microsoft Entra ID 指定一個或多個使用者或群組名稱或電子郵件地址。
選取新增。
將資訊資訊安全角色指派給具有 Dataverse 資料庫的環境使用者
資訊安全角色可以指派給個人使用者、負責人團隊和 Microsoft Entra 群組團隊。 將角色指派給使用者之前,請確認使用者的帳戶是否已新增到環境中並已在環境中啟用。
通常只能將資訊資訊安全角色指派給在環境中啟用了帳戶的使用者。 若要將資訊資訊安全角色指派給環境中停用的使用者帳戶,您可以在 OrgDBOrgSettings 中啟用 allowRoleAssignmentOnDisabledUsers。
選取環境> [選取一個環境]。
在存取圖標中,選取資訊安全角色 下的查看全部。
請確定已在清單選取正確的業務單位,然後從環境的角色清單中選取角色。
選取新增人員,然後從 Microsoft Entra ID 指定一個或多個使用者或群組名稱或電子郵件地址。
選取新增。
使用新的新式 UI 建立、編輯或複製資訊安全角色
您可以輕鬆地建立、編輯或複製資訊安全角色,並加以自訂來符合您的需求。
移至 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定。
展開使用者 + 權限。
選取資訊安全角色。
完成相應的工作:
建立資訊安全角色
從命令列選取新增角色。
在角色名稱欄位中,輸入新角色的名稱。
在業務單位欄位中,選取角色所屬的業務單位。
選取團隊成員是否應繼承角色。
如果啟用此設定,並將角色指派給團隊,則所有團隊成員都會繼承與該角色關聯的所有權限。
選取儲存。
編輯資訊安全角色
請選取角色名稱或選取該資料列,然後選取編輯。接照定義資訊安全角色的權限和屬性。
某些預先定義的資訊安全角色無法編輯。 如果嘗試編輯這些角色,就無法使用儲存和儲存並關閉按鈕。
複製資訊安全角色
選取資訊安全角色,然後選取複製。 為角色命名新名稱。 根據需要編輯資訊安全角色 。
只會複製權限,而不會複製任何已指派的成員和團隊。
稽核資訊安全角色
審核安全角色 以更好地瞭解對環境中 Power Platform 的安全性所做的更改。
建立或組態自訂資訊安全角色
如果您的應用程式使用自訂實體,則必須在資訊安全角色中明確授予權限,才能使用您的應用程式。 您可以在現有的資訊安全角色中新增這些權限或建立自訂的資訊安全角色。
每個資訊安全角色都必須包含最小的一組權限。 了解有關安全角色和許可權的更多資訊。
提示
環境可能會維護可供多個應用程式使用的記錄。 您可能需要授予不同權限的多個資訊安全角色。 例如:
- 有些使用者 (稱為編輯者) 可能只需要讀取、更新及附加其他記錄,因此其資訊安全角色會具有讀取、寫入和新增權限。
- 其他使用者可能需要編輯者所有的權限,以及建立、附加至、刪除和共用的能力。 這些使用者的資訊安全角色將會有建立、讀取、寫入、附加、刪除、指派、附加至以及共用權限。
建立具有最小權限的自訂資訊安全形角色以執行應用程式
登入 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定>使用者 + 權限>資訊安全角色。
選取應用程式開啟者角色,然後選取複製。
輸入自訂角色的名稱,然後選取複製。
在資訊安全角色清單中,選取新角色,然後選取其他動作 (...) >編輯。
在角色編輯器中,選取自訂實體索引標籤。
在清單中找到您的自訂表格格,並選取讀取、 寫入 及 附加權限。
選取儲存後關閉。
從頭開始建立自訂資訊安全角色
登入 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定>使用者 + 權限>資訊安全角色。
選取新增角色。
在詳細資料索引標籤中,輸入新角色的名稱。
在其他索引標籤上尋找您的實體,然後選取動作以及執行它們的範圍。
選取索引標籤,並搜尋您的實體。 例如,選取自訂實體索引標籤,以設定自訂實體的權限。
選取權限讀取、寫入、附加。
選取儲存後關閉。
執行應用程式所需的最低權限
當您建立自訂資訊安全角色時,該角色必須具有一組最小的權限,使用者才能執行應用程式。 詳細瞭解所需的最低許可權。