Configurer la sécurité des utilisateurs dans un environnement
Microsoft Dataverse utilise un modèle de sécurité basé sur les rôles pour contrôler l’accès à une base de données et à ses ressources dans un environnement. Utilisez les rôles de sécurité pour configurer l’accès à toutes les ressources d’un environnement ou à des applications et des données spécifiques dans l’environnement. Une combinaison de niveaux et d’autorisations d’accès dans un rôle de sécurité détermine quelles applications et données les utilisateurs peuvent afficher et comment ils peuvent interagir avec ces applications et données.
Un environnement peut n’avoir aucune ou qu’une seule base de donnée Dataverse. Vous attribuez des rôles de sécurité différemment pour les environnements sans base de données Dataverse et les environnements avec une base de données Dataverse.
En savoir plus sur les environnements dans Power Platform.
Rôles de sécurité prédéfinis
Les environnements comprennent des rôles de sécurité prédéfinis qui reflètent les tâches courantes de l’utilisateur. Les rôles de sécurité prédéfinis suivent les meilleures pratiques de sécurité de « l’accès minimal requis » : ils fournissent l’accès minimal aux données métier minimales dont un utilisateur a besoin pour utiliser une application. Ces rôles de sécurité peuvent être attribués à un utilisateur, à l’équipe propriétaire et à l’équipe de groupe. Les rôles de sécurité prédéfinis disponibles dans un environnement dépendent du type d’environnement et des applications que vous y avez installées.
Un autre ensemble de rôles de sécurité est attribué aux utilisateurs de l’application. Ces rôles de sécurité sont installés par nos services et ne peuvent pas être mis à jour.
Environnements sans base de données Dataverse
Créateur d’environnement et Administrateur d’environnement sont les seuls rôles prédéfinis pour les environnements sans base de données Dataverse. Ces rôles sont décrits dans le tableau suivant.
| Rôle de sécurité | Description |
|---|---|
| Administrateur de l’environnement | Le rôle Administrateur d’environnement peut effectuer toutes les actions d’administration sur un environnement, y compris les suivantes :
|
| Créateur d’environnement | Peut créer des ressources associées à un environnement, incluant des applications, des connexions, des API personnalisées, des passerelles, et des flux à l’aide de Microsoft Power Automate. Cependant, ce rôle ne dispose pas de privilèges pour accéder aux données d’un environnement. Les créateurs d’environnement peuvent également distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs de votre organisation. Ils peuvent partager l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation. |
Environnements avec une base de données Dataverse
Si l’environnement a une base de données Dataverse, un utilisateur doit recevoir le rôle Administrateur système au lieu du rôle Administrateur d’environnement pour avoir des privilèges d’administrateur complets.
Les utilisateurs qui créent des applications qui se connectent à la base de données et qui doivent créer ou mettre à jour des entités et des rôles de sécurité doivent avoir le rôle Personnalisateur du système en sus du rôle Créateur d’environnement. Le rôle Créateur d’environnement ne dispose pas de privilèges sur les données de l’environnement.
Le tableau suivant décrit les rôles de sécurité prédéfinis dans un environnement avec une base de données Dataverse. Vous ne pouvez pas modifier ces rôles.
| Rôle de sécurité | Description |
|---|---|
| Lanceur d’application | A des privilèges minimum pour les tâches courantes. Ce rôle est principalement utilisé comme modèle pour créer un rôle de sécurité personnalisé pour les applications pilotées par modèle. Il n’a aucun privilège sur les tables d’activité principales, telles que Compte, Contact et Activité. Cependant, il dispose d’un accès en lecture au niveau de l’organisation aux tables système, telles que Processus, pour prendre en charge la lecture des workflows fournis par le système. Notez que ce rôle de sécurité est utilisé lorsqu’un nouveau rôle de sécurité personnalisé est créé. |
| Utilisateur de base | Pour les entités prédéfinies uniquement, peut exécuter une application dans l’environnement et effectuer des tâches courantes sur les enregistrements dont il est propriétaire. Il a des privilèges sur les tables d’activité principales, telles que Compte, Contact et Activité. Remarque : le rôle de sécurité Utilisateur de Common Data Service a été renommé Utilisateur de base. Seul le nom a été modifié ; les privilèges de l’utilisateur et l’attribution de rôle sont les mêmes. Si vous avez une solution avec le rôle de sécurité Utilisateur de Common Data Service, vous devez mettre à jour la solution avant de l’importer à nouveau. Sinon, vous risquez de modifier par inadvertance le nom du rôle de sécurité en Utilisateur lorsque vous importez la solution. |
| Délégué | Autorise le code à emprunter une identité ou à s’exécuter en tant qu’un autre utilisateur. Généralement utilisé avec un autre rôle de sécurité pour autoriser l’accès aux enregistrements. |
| Administrateur Dynamics 365 | Administrateur Dynamics 365 est un rôle d’administrateur de service Microsoft Power Platform. Ce rôle peut assurer les fonctions d’administration de Microsoft Power Platform car il dispose du rôle d’administrateur système. |
| Créateur d’environnement | Peut créer des ressources associées à un environnement, incluant des applications, des connexions, des API personnalisées, des passerelles, et des flux à l’aide de Microsoft Power Automate. Cependant, ce rôle ne dispose d’aucun privilège pour accéder aux données d’un environnement. Les créateurs d’environnement peuvent également distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs de votre organisation. Ils peuvent partager l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation. |
| Administrateur général | Administrateur général est un rôle d’administrateur Microsoft 365. Une personne qui achète l’abonnement d’entreprise Microsoft est un administrateur général et a un contrôle illimité sur les produits de l’abonnement et un accès à la plupart des données. |
| Lecteur global | Le rôle Lecteur général n’est pas encore pris en charge dans le centre d’administration Power Platform. |
| Collaborateur Office | Dispose d’une autorisation de lecture sur les tables dans lesquelles un enregistrement a été partagé avec l’organisation. N’a accès à aucun autre enregistrement de table de base ou personnalisée. Ce rôle est attribué à l’équipe propriétaire des collaborateurs Office et non à un utilisateur individuel. |
| Administrateur Power Platform | Administrateur Power Platform est un rôle d’administrateur de service Microsoft Power Platform. Ce rôle peut assurer les fonctions d’administration de Microsoft Power Platform car il dispose du rôle d’administrateur système. |
| Service supprimé | Dispose d’une autorisation de suppression complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la suppression d’enregistrements dans toutes les entités. Ce rôle ne peut pas être attribué à un utilisateur ou à une équipe. |
| Lecteur de services | Dispose d’une autorisation de lecture complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la lecture de toutes les entités. Ce rôle ne peut pas être attribué à un utilisateur ou à une équipe. |
| Rédacteur de service | Dispose d’une autorisation de création, de lecture et d’écriture complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la création ou la mise à jour d’enregistrements. Ce rôle ne peut pas être attribué à un utilisateur ou à une équipe. |
| Utilisateur de support | Dispose d’une autorisation de lecture complète sur les paramètres de personnalisation et de gestion d’entreprise, qui permettent au personnel du support de résoudre les problèmes de configuration de l’environnement. Ce rôle n’a pas accès aux enregistrements de base. Ce rôle ne peut pas être attribué à un utilisateur ou à une équipe. |
| Administrateur du système | Dispose d’une autorisation complète pour personnaliser ou administrer l’environnement, notamment pour créer, modifier et attribuer des rôles de sécurité. Peut afficher toutes les données de l’environnement. |
| Personnalisateur système | Dispose d’une autorisation complète pour personnaliser l’environnement. Peut visualiser toutes les données des tables personnalisées dans l’environnement. Cependant, les utilisateurs dotés de ce rôle ne peuvent qu’afficher les enregistrements qu’ils créent dans les tables Compte, Contact et Activité. |
| Propriétaire de l’application du site Web | Un utilisateur qui possède l’enregistrement de l’application du site Web dans le portail Azure. |
| Propriétaire du site Web | L’utilisateur qui a créé le site Web Power Pages. Ce rôle est géré et ne peut pas être modifié. |
Outre les rôles de sécurité prédéfinis décrits pour Dataverse, d’autres rôles de sécurité peuvent être disponibles dans votre environnement en fonction des composants Power Platform (Power Apps, Power Automate, Power Virtual Agents) dont vous disposez. Le tableau suivant fournit des liens vers d’autres informations.
| Composant Power Platform | Information |
|---|---|
| Power Apps | Rôles de sécurité prédéfinis pour les environnements avec une base de données Dataverse |
| Power Automate | Sécurité et confidentialité |
| Power Pages | Rôles requis pour l’administration du site web |
| Power Virtual Agents | Attribuer des rôles de sécurité d’un environnement |
Dataverse for Teams environnements
En savoir plus sur les rôles de sécurité prédéfinis dans les environnements Dataverse for Teams.
Rôles de sécurité spécifiques aux applications
Si vous déployez les applications Dynamics 365 dans votre environnement, d’autres rôles de sécurité sont ajoutés. Le tableau suivant fournit des liens vers d’autres informations.
| Application Dynamics 365 | Documents du rôle de sécurité |
|---|---|
| Dynamics 365 Sales | Rôles de sécurité prédéfinis pour Sales |
| Dynamics 365 Marketing | Rôles de sécurité ajoutés par Dynamics 365 Marketing |
| Dynamics 365 Field Service | Rôles + définitions Dynamics 365 Field Service |
| Dynamics 365 Customer Service | Rôles dans Omnichannel for Customer Service |
| Dynamics 365 Customer Insights | Rôles Customer Insights |
| Gestionnaire de profil d’application | Rôles et privilèges associés au gestionnaire de profil d’application |
| Dynamics 365 Finance | Rôles de sécurité dans le secteur public |
| Applications de finances et d’opérations | Rôles de sécurité dans Microsoft Power Platform |
Récapitulatif des ressources disponibles pour les rôles de sécurité prédéfinis
Le tableau suivant décrit les ressources que chaque rôle de sécurité peut créer.
| Ressource | Créateur d’environnement | Administrateur de l’environnement | Personnalisateur du système | Administrateur système |
|---|---|---|---|---|
| Application canevas | X | X | X | X |
| Flux cloud | X (non compatible avec la solution) | X | X | X |
| Connector | X (non compatible avec la solution) | X | X | X |
| Connexion* | X | X | X | X |
| Passerelle de données | X | X | - | X |
| Flux de données | X | X | - | X |
| Tables Dataverse | - | - | X | X |
| Application pilotée par modèle | X | - | X | X |
| Framework de la solution | X | - | X | X |
| Flux de bureau** | - | - | X | X |
| AI Builder | - | - | X | X |
*Les connexions sont utilisées dans les applications canevas et Power Automate.
**Les utilisateurs Dataverse for Teams n’ont pas accès aux flux de bureau par défaut. Vous devez mettre à niveau votre environnement pour bénéficier des fonctionnalités complètes de Dataverse et acquérir des plans de licence de flux de bureau pour utiliser les flux de bureau.
Attribuez des rôles de sécurité aux utilisateurs dans un environnement sans une base de données Dataverse
Pour les environnements sans base de données Dataverse, un utilisateur doté du rôle Administrateur d’environnement dans l’environnement peut attribuer des rôles de sécurité à des utilisateurs individuels ou à des groupes de Microsoft Entra ID.
Connectez-vous au centre d’administration Power Platform.
Sélectionnez Environnements> [sélectionnez un environnement].
Dans la vignette Accès, sélectionnez Afficher tout pour que l’Administrateur de l’environnement ou le Créateur de l’environnement ajoute ou supprime des personnes pour l’un ou l’autre rôle.
Sélectionnez Ajouter des personnes, puis spécifiez le nom ou l’adresse e-mail d’un ou de plusieurs utilisateurs ou groupes de Microsoft Entra ID.
Sélectionnez Ajouter.
Attribuez des rôles de sécurité aux utilisateurs dans un environnement avec une base de données Dataverse
Les rôles de sécurité peuvent être attribués aux utilisateurs individuels, aux équipes propriétaires et aux équipes de groupe Microsoft Entra Avant d’attribuer un rôle à un utilisateur, vérifiez que le compte de l’utilisateur a été ajouté et est activé dans l’environnement.
En général, un rôle de sécurité ne peut être attribué qu’aux utilisateurs dont les comptes sont activés dans l’environnement. Pour attribuer un rôle de sécurité à un compte d’utilisateur désactivé dans l’environnement, activez allowRoleAssignmentOnDisabledUsers dans OrgDBOrgSettings.
Connectez-vous au centre d’administration Power Platform.
Sélectionnez Environnements> [sélectionnez un environnement].
Dans la vignette Accès, cliquez sur Afficher tout sous Rôles de sécurité.
Assurez-vous que la division correcte est sélectionnée dans la liste, puis sélectionnez un rôle dans la liste des rôles dans l’environnement.
Sélectionnez Ajouter des personnes, puis spécifiez le nom ou l’adresse e-mail d’un ou de plusieurs utilisateurs ou groupes de Microsoft Entra ID.
Sélectionnez Ajouter.
Créer, modifier ou copier un rôle de sécurité à l’aide de la nouvelle interface utilisateur moderne
Vous pouvez facilement créer, modifier ou copier un rôle de sécurité et le personnaliser selon vos besoins.
Accédez au Centre d’administration Power Platform, sélectionnez Environnements dans le volet de navigation, puis sélectionnez un environnement.
Sélectionnez Paramètres.
Développez Utilisateurs + autorisations.
Sélectionnez Rôles de sécurité.
Complétez la tâche appropriée :
Créer un rôle de sécurité
Sélectionnez Nouveau rôle depuis la barre de commandes.
Dans le champ Nom du rôle, saisissez un nom pour le nouveau rôle.
Dans le champ Division, sélectionnez la division à laquelle appartient le rôle.
Sélectionnez si les membres de l’équipe doivent hériter du rôle.
Si ce paramètre est activé et que le rôle est attribué à une équipe, tous les membres de l’équipe héritent de tous les privilèges associés au rôle.
Sélectionnez Enregistrer.
Définir les privilèges et les propriétés du rôle de sécurité.
Modifier un rôle de sécurité
Sélectionnez le nom du rôle ou sélectionnez la ligne, puis sélectionnez Modifier. Ensuite, définissez les privilèges et les propriétés du rôle de sécurité.
Certains rôles de sécurité prédéfinis ne peuvent pas être modifiés. Si vous essayez de modifier ces rôles, les boutons Enregistrer et Enregistrer + Fermer ne sont pas disponibles.
Copier un rôle de sécurité
Sélectionnez le rôle de sécurité, puis sélectionnez Copier. Attribuez un nouveau nom au rôle. Modifiez le rôle de sécurité, si nécessaire.
Seuls les privilèges sont copiés, pas les membres et les équipes affectés.
Auditer les rôles de sécurité
Auditez les rôles de sécurité pour mieux comprendre les modifications apportées à la sécurité dans votre environnement Power Platform.
Création ou configurer un rôle de sécurité personnalisé
Si votre application utilise une entité personnalisée, ses privilèges doivent être explicitement accordés dans un rôle de sécurité avant que votre application puisse être utilisée. Vous pouvez ajouter ces privilèges dans un rôle de sécurité existant ou créer un rôle de sécurité personnalisé.
Chaque rôle de sécurité doit comprendre un ensemble minimum de privilèges. En savoir plus sur les rôles de sécurité et les privilèges.
Astuce
L’environnement peut gérer les enregistrements qui peuvent être utilisés par plusieurs applications. Vous pouvez avoir besoin de plusieurs rôles de sécurité qui accordent des privilèges différents. Par exemple :
- Certains utilisateurs (appelons-les éditeurs) peuvent avoir seulement besoin de lire, de mettre à jour ou de joindre d’autres enregistrements, leur rôle de sécurité aura donc des privilèges de lecture, d’écriture et d’ajout.
- D’autres utilisateurs peuvent avoir besoin de tous les privilèges dont disposent les éditeurs, en plus de la possibilité de créer, d’ajouter, de supprimer et de partager. Leur rôle de sécurité aura donc les privilèges de création, de lecture, d’écriture, d’ajout, de suppression, d’affectation, d’ajout à et de partage.
Créer un rôle de sécurité personnalisé avec des privilèges minimum pour exécuter une application
Connectez-vous au Centre d’administration Power Platform, sélectionnez Environnements dans le volet de navigation, puis sélectionnez un environnement.
Sélectionnez Paramètres>Utilisateurs + Autorisations>Rôles de sécurité.
Sélectionnez le rôle Lanceur d’applications, puis sélectionnez Copier.
Saisissez le nom du rôle personnalisé, puis sélectionnez Copier.
Dans la liste des rôles de sécurité, sélectionnez le nouveau rôle, puis sélectionnez Plus d’actions (…) >Modifier.
Dans l’éditeur de rôle, sélectionnez l’onglet Entités personnalisées.
Recherchez votre table personnalisée dans la liste, et sélectionnez les privilèges Lecture, Écriture et Ajout.
Sélectionnez Enregistrer et fermer.
Créer un rôle de sécurité personnalisé à partir de zéro
Connectez-vous au Centre d’administration Power Platform, sélectionnez Environnements dans le volet de navigation, puis sélectionnez un environnement.
Sélectionnez Paramètres>Utilisateurs + Autorisations>Rôles de sécurité.
Sélectionnez Nouveau rôle.
Saisissez le nom du nouveau rôle dans l’onglet Détails.
Dans les autres onglets, recherchez votre entité, puis sélectionnez les actions et la portée pour les exécuter.
Sélectionnez un onglet et recherchez votre entité. Par exemple, sélectionnez l’onglet Entités personnalisées pour définir des autorisations sur une entité personnalisée.
Sélectionnez les privilèges Lecture, Écriture, Ajouter.
Sélectionnez Enregistrer et fermer.
Privilèges minimum pour exécuter une application
Lorsque vous créez un rôle de sécurité personnalisé, le rôle doit avoir un ensemble de privilèges minimum pour qu’un utilisateur puisse exécuter une application. En savoir plus sur les privilèges minimum requis.
Voir aussi
Accorder un accès utilisateur
Contrôle de l’accès des utilisateurs aux environnements : groupes de sécurité et licences
Comment l’accès à un enregistrement est déterminé