Konfigurere brugersikkerheden i et miljø

Microsoft Dataverse bruger en rollebaseret sikkerhedsmodel til at styre adgangen til en database og dens ressourcer i et miljø. Sikkerhedsroller kan bruges til at konfigurere adgang til alle ressourcer i miljøet eller til bestemte apps og data i miljøet. Kombinationen af adgangsniveauer og tilladelser i en sikkerhedsrolle definerer, hvilke apps og data brugerne kan se, og hvordan de kan interagere med disse apps og data.

Et miljø kan have ingen eller én Dataverse-database. Du tildeler sikkerhedsroller forskelligt for miljøer uden en Dataverse-database og miljøer med en Dataverse-database.

Få mere at vide om miljøer i Power Platform.

Foruddefinerede sikkerhedsroller

Miljøer indeholder foruddefinerede sikkerhedsroller, der afspejler almindelige brugeropgaver. De foruddefinerede sikkerhedsroller følger den bedste praksis for sikkerhed i forbindelse med "minimumkravet til adgang": giver mindsteadgang til de forretningsdata, en bruger som minimum skal bruge i en app. Disse sikkerhedsroller kan tildeles brugeren, ejerteamet og gruppeteamet. De foruddefinerede sikkerhedsroller, der er tilgængelige i et miljø, afhænger af miljøtypen og de apps, du har installeret i den.

Et andet sæt sikkerhedsroller tildeles programbrugere. Disse sikkerhedsroller installeres af vores services og kan ikke opdateres.

Miljøer uden en Dataverse-database

Miljøopretter og Miljøadministrator er de eneste foruddefinerede roller for miljøer, der ikke har nogen Dataverse-database. Disse roller er beskrevet i nedenstående tabel.

Sikkerhedsrolle Beskrivelse
Miljøadministrator Rollen Miljøadministrator kan udføre alle administrative handlinger i et miljø, herunder følgende:
  • Tilføje eller fjerne en bruger fra rollen miljøadministrator eller miljøbeslutningstager.
  • Klargør en Dataverse-database til miljøet. Når en database er klargjort, skal rollen Systemtilpasser tildeles en miljøadministrator for at give dem adgang til miljøets data.
  • Se og administrere alle ressourcer, der er oprettet i et miljø.
  • Opret DLP-politikker (forebyggelse af datatab).
Miljøopretter Kan oprette nye ressourcer, der er knyttet til et miljø, herunder apps, forbindelser, brugerdefinerede API'er, gateways og processer ved hjælp af Microsoft Power Automate. Denne rolle har dog ikke adgangsrettigheder til data i et miljø.

Miljøoprettere kan også distribuere de apps, de opbygger i et miljø, til andre brugere i organisationen. De kan dele appen med individuelle brugere, sikkerhedsgrupper eller alle brugere i organisationen.

Miljøer med en Dataverse-database

Hvis miljøet har en Dataverse-database, skal en bruger tildeles rollen Systemadministrator i stedet for rollen Miljøadministrator for at få fuldstændige administratorrettigheder.

Brugere, der opretter apps, som opretter forbindelse til databasen, og som skal oprette eller opdatere objekter og sikkerhedsroller, skal have rollen Systemtilpasser ud over rollen Miljøopretter. Rollen Miljøopretter har ikke rettigheder til miljøets data.

I følgende tabel beskrives de foruddefinerede sikkerhedsroller i et miljø, der har en Dataverse-database. Du kan ikke redigere disse roller.

Sikkerhedsrolle Beskrivelse
Appåbner Har minimumrettigheder til almindelige opgaver Denne rolle bruges primært som skabelon til at oprette en brugerdefineret sikkerhedsrolle til modelbaserede apps. Den har ikke rettigheder til de primære forretningstabeller, f.eks. Firma, Kontakt og Aktivitet. Det har dog læseadgang på niveauet Organisation til systemtabeller, f.eks. Proces, for at understøtte læsning af systemleverede arbejdsgange. Bemærk, at denne sikkerhedsrolle bruges ved oprettelse af ny, brugerdefineret sikkerhedsrolle.
Basisbruger Kun standardobjekter kan køre en app i miljøet og udføre almindelige opgaver for de poster, de ejer. Den har rettigheder til de primære forretningstabeller, f.eks. Firma, Kontakt og Aktivitet.

Bemærk: Common Data Service-sikkerhedsrollen Bruger er omdøbt til Basisbruger. Det er kun navnet, der er ændret. Brugerrettigheder og rolletildeling er de samme. Hvis du har en løsning med Common Data Service-sikkerhedsrollen Bruger, skal du opdatere løsningen, før du importerer den igen. Ellers kan du utilsigtet ændre navnet på sikkerhedsrollen tilbage til Bruger, når du importerer løsningen.
Deleger Gør det muligt for kode at repræsentere eller køre som en anden bruger. Normalt bruges sammen med en anden sikkerhedsrolle for at give adgang til poster.
Dynamics 365-administrator Dynamics 365-administrator er en Microsoft Power Platform-tjenesteadministratorrolle. Denne rolle kan udføre administratorfunktioner i Microsoft Power Platform, fordi de har systemadministratorrollen.
Miljøopretter Kan oprette nye ressourcer, der er knyttet til et miljø, herunder apps, forbindelser, brugerdefinerede API'er, gateways og processer ved hjælp af Microsoft Power Automate. Denne rolle har dog ikke adgangsrettigheder til data i et miljø.

Miljøoprettere kan også distribuere de apps, de opbygger i et miljø, til andre brugere i organisationen. De kan dele appen med individuelle brugere, sikkerhedsgrupper eller alle brugere i organisationen.
- global administrator Global administrator er en Microsoft 365-administratorrolle. En person, der køber Microsoft-erhvervsabonnementet, er en global administrator og har ubegrænset kontrol over produkter i abonnementet og adgang til de fleste data.
Global læser Rollen Global læser understøttes endnu ikke i Power Platform Administration.
Office-samarbejdspartner Har læsetilladelse til tabeller, hvor en post blev delt med organisationen. Har ikke adgang til andre kerneposter og brugerdefinerede tabelposter. Denne rolle tildeles til ejerteamet af Office-samarbejdspartnere og ikke til de enkelte brugere.
Power Platform-administrator Power Platform-administrator er en Microsoft Power Platform-tjenesteadministratorrolle. Denne rolle kan udføre administratorfunktioner i Microsoft Power Platform, fordi den har systemadministratorrollen.
Service slettet Har fuld slettetilladelse til alle objekter, herunder brugerdefinerede objekter. Denne rolle bruges primært af tjenesten, og kræver sletning af poster i alle objekter. Denne rolle kan ikke tildeles til en bruger eller et team.
Tjenestelæser Har fuld læsetilladelse til alle objekter, herunder brugerdefinerede objekter. Denne rolle bruges primært af tjenesten og kræver læsning af alle objekter. Denne rolle kan ikke tildeles til en bruger eller et team.
Writer til tjeneste Har fuld tilladelse til at oprette, læse og skrive til alle objekter, herunder brugerdefinerede objekter. Denne rolle bruges primært af tjenesten og kræver, at poster oprettes og opdateres. Denne rolle kan ikke tildeles til en bruger eller et team.
Supportbruger Har fuld læsetilladelse til indstillinger for tilpasnings-og forretningsstyring, som gør det muligt for supportmedarbejdere at løse problemer med konfiguration af miljøet. Denne rolle har ikke adgang til kerneposter. Denne rolle kan ikke tildeles til en bruger eller et team.
Systemadministrator Har fuld tilladelse til at tilpasse og administrere miljøet, herunder oprette, redigere og tildele sikkerhedsroller. Kan få vist alle data i miljøet.
Systemtilpasser Har de fulde rettigheder til at tilpasse miljøet. Kan se alle brugerdefinerede tabeldata i miljøet. Brugere med denne rolle kan dog kun få vist de poster, som de opretter i tabellerne Firma, Kontakt og Aktivitet.
Ejer af webstedsapp En bruger, der ejer -webstedsprogramregistrering i Azure-portalen.
Webstedsejer Den bruger, som oprettede Power Pages webstedet. Denne rolle er administreret og kan ikke ændres.

Foruden de foruddefinerede sikkerhedsroller, der er beskrevet for Dataverse, kan der være andre sikkerhedsroller tilgængelige i miljøet, afhængigt af Power Platform-komponenterne – Power Apps, Power Automate, Power Virtual Agents – du har. Du kan finde flere oplysninger via links i følgende tabel.

Power Platform-komponent Information
Power Apps Foruddefinerede sikkerhedsroller for miljøer med en Dataverse-database
Power Automate Sikkerhed og personlige oplysninger
Power Pages Roller, der kræves til webstedsadministration
Power Virtual Agents Tildel sikkerhedsroller til et miljø

Dataverse for Teams miljøer

Få mere at vide om foruddefinerede sikkerhedsroller i Dataverse for Teams-miljøer.

Appspecifikke sikkerhedsroller

Hvis du udruller Dynamics 365-apps i dit miljø, tilføjes der andre sikkerhedsroller. Du kan finde flere oplysninger via links i følgende tabel.

Dynamics 365-app Sikkerhedsrolledokumenter
Dynamics 365-salg Foruddefinerede sikkerhedsroller for Salg
Dynamics 365 Marketing Sikkerhedsroller, der er tilføjet af Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service-roller og -definitioner
Dynamics 365 Customer Service Roller i Omnichannel for Customer Service
Dynamics 365 Customer Insights Customer Insights-roller
App-profilstyring Roller og rettigheder, der er knyttet til app-profilstyring
Dynamics 365 Finance Sikkerhedsroller i den offentlige sektor
Finans og drift-apps Sikkerhedsroller i Microsoft Power Platform

Oversigt over ressourcer, der er tilgængelige for foruddefinerede sikkerhedsroller

I følgende tabel beskrives, hvilke ressourcer hver sikkerhedsrolle kan oprette.

Ressource Miljøopretter Miljøadministrator Systemtilpasser Systemadministrator
Lærredapp X X X X
Cloudflow X (ikke-løsningsbaseret) X X X
Connector X (ikke-løsningsbaseret) X X X
Forbindelse* X X X X
Datagateway X X - X
Dataflow X X - X
Dataverse-tabeller - - X X
Modelbaseret app X - X X
Løsningsstruktur X - X X
Skrivebordsflow** - - X X
AI Builder - - X X

*Forbindelser bruges i apps på lærredapps og Power Automate.

**Dataverse for Teams-brugere får som standard ikke adgang til skrivebordsflow. Du skal opgradere miljøet til alle funktioner i Dataverse og købe licensplaner til skrivebordsflow for at kunne bruge skrivebordsflow.

Tildel sikkerhedsroller til brugere i et miljø, der ikke har en Dataverse-database

I miljøer uden Dataverse-database kan en bruger, der har rollen Miljøadministrator i miljøet, tildele sikkerhedsroller til individuelle brugere eller grupper fra Microsoft Entra ID.

  1. Log på Power Platform Administration.

  2. Vælg Miljøer> [vælg et miljø].

  3. I feltet Adgang skal du vælge Se alle for Miljøadministrator eller Miljøopretter for at tilføje eller fjerne personer for de enkelte roller.

    Skærmbillede af valg af en sikkerhedsrolle i Power Platform Administration.

  4. Vælg Tilføj personer, og angiv derefter navnet eller mailadressen på en eller flere brugere eller grupper i Microsoft Entra ID.

    Skærmbillede af tilføjelse af brugere til rollen Miljøopretter i Power Platform Administration.

  5. Vælg Tilføj.

Tildele brugere sikkerhedsroller i et miljø, der har en Dataverse-database

Sikkerhedsroller kan tildeles til individuelle brugere, ejerteams og Microsoft Entra-gruppeteams. Før du tildeler en rolle til en bruger, skal du kontrollere, at brugerens firmakonto er tilføjet og aktiveret i miljøet.

Generelt kan en sikkerhedsrolle kun tildeles brugere, hvis firmakonti er aktiveret i miljøet. Hvis du skal tildele en sikkerhedsrolle til en brugerkonto, der er deaktiveret i miljøet, skal du aktivere allowRoleAssignmentOnDisabledUsers i OrgDBOrgSettings.

  1. Log på Power Platform Administration.

  2. Vælg Miljøer> [vælg et miljø].

  3. Vælg Se alle under Sikkerhedsroller i feltet Adgang.

    Skærmbillede af indstillingen for at få vist alle sikkerhedsroller i Power Platform Administration.

  4. Kontrollér, at den rigtige afdeling er valgt på listen, og vælg en rolle på listen over roller i miljøet.

  5. Vælg Tilføj personer, og angiv derefter navnet eller mailadressen på en eller flere brugere eller grupper i Microsoft Entra ID.

  6. Vælg Tilføj.

Oprette, redigere eller kopiere en sikkerhedsrolle ved hjælp af den nye, moderne brugergrænseflade

Du kan nemt oprette, redigere eller kopiere en sikkerhedsrolle og tilpasse den, så den opfylder dine behov.

  1. Gå til Power Platform Administration, vælg Miljøer i navigationsruden, og vælg derefter et miljø.

  2. Vælg Indstillinger.

  3. Udvid Brugere + tilladelser.

  4. Vælg Sikkerhedsroller.

  5. Udfør den relevante opgave:

Opret en sikkerhedsrolle

  1. Vælg Ny rolle på kommandolinjen.

  2. Indtast et sigende navn til den nye rolle i feltet Rollenavn.

  3. Vælg den afdeling , rollen tilhører, i feltet Afdeling.

  4. Vælg, om teammedlemmer skal arve rollen.

    Hvis denne indstilling er aktiveret, og rollen er tildelt til et team, arver alle teammedlemmer alle de rettigheder, der er knyttet til rollen.

  5. Vælg Gem.

  6. Definer rettighederne og egenskaberne for sikkerhedsrollen.

Redigere en sikkerhedsrolle

Vælg enten rollenavnet, eller markér rækken, og vælg derefter Rediger. Definer rettighederne og egenskaberne for sikkerhedsrollen.

Visse foruddefinerede sikkerhedsroller kan ikke redigeres. Hvis du forsøger at redigere disse roller, er knapperne Gem og Gem + Luk ikke tilgængelige.

Kopiere en sikkerhedsrolle

Vælg sikkerhedsrollen, og vælg derefter Kopiér. Giv rollen et nyt navn. Rediger sikkerhedsrollen efter behov.

Det er kun rettighederne, der kopieres, ikke tildelte medlemmer og teams.

Overvåge sikkerhedsroller

Overvåg sikkerhedsroller for bedre at forstå ændringer, der er foretaget af sikkerhedsroller i Power Platform-miljøet.

Oprette eller konfigurere en brugerdefineret sikkerhedsrolle

Hvis appen bruger et brugerdefineret objekt, skal dens rettigheder eksplicit tildeles i en sikkerhedsrolle, før din app kan bruges. Du kan tilføje disse rettigheder i en eksisterende sikkerhedsrolle eller oprette en brugerdefineret sikkerhedsrolle.

Alle sikkerhedsroller skal inkludere et minimum af rettigheder. Få mere at vide om sikkerhedsroller og rettigheder.

Tip

I miljøet vedligeholdes måske poster, der kan bruges af flere apps. Du skal muligvis bruge flere sikkerhedsroller, der tildeler forskellige rettigheder. Eksempel:

  • Nogle af brugerne (kald dem redaktører) har kun brug for at læse, opdatere og vedhæfte andre poster, så deres sikkerhedsrolle vil have rettigheder til at læse, skrive og vedhæfte.
  • Andre brugere skal måske have alle de rettigheder, som redaktørerne har, samt muligheden for at oprette, tilføje, slette og dele. Sikkerhedsrollen for disse brugere skal være oprette-, læse-, skrive-, tilføje-, slette-, tildele-, vedhæfte- og delerettigheder.

Oprette en brugerdefineret sikkerhedsrolle med minimumrettigheder til at køre en app

  1. Log på Power Platform Administration, vælg Miljøer i navigationsruden, og vælg derefter et miljø.

  2. Vælg Indstillinger>Brugere + tilladelser>Sikkerhedsroller.

  3. Vælg rollen Appåbner, og vælg derefter Kopiér.

  4. Angiv navnet på den tilpassede rolle, og vælg derefter Kopiér.

  5. Vælg den nye rolle på listen over sikkerhedsroller, og vælg derefter Flere handlinger (...) >Rediger.

  6. Vælg fanen Brugerdefinerede objekter i rolleeditoren.

  7. Find din brugerdefinerede tabel på listen, og vælg rettighederne Læs, Skriv og Tilføj.

  8. Vælg Gem og luk.

Oprette en brugerdefineret sikkerhedsrolle fra bunden

  1. Log på Power Platform Administration, vælg Miljøer i navigationsruden, og vælg derefter et miljø.

  2. Vælg Indstillinger>Brugere + tilladelser>Sikkerhedsroller.

  3. Vælg Ny rolle.

  4. Angiv navnet på den nye rolle under fanen Detaljer.

  5. Under de andre faner skal du søge efter objektet og derefter vælge handlinger og omfanget af dem.

  6. Vælg en fane, og søg efter dit objekt. Du kan f.eks. vælge fanen Brugerdefinerede objekter for at angive tilladelser til et brugerdefineret objekt.

  7. Vælg rettighederne Læs, Skriv, Tilføj.

  8. Vælg Gem og luk.

Minimumrettigheder for kørsel af en app

Når du opretter en brugerdefineret sikkerhedsrolle, skal rollen have et sæt minimumsrettigheder, for at en bruger kan køre en app. Få mere at vide om nødvendige minimumrettigheder.

Se også

Give adgang til brugere
Styre brugeradgang til miljøer: sikkerhedsgrupper og licenser
Sådan bestemmes adgang til en post