Configurare la sicurezza degli utenti in un ambiente

Microsoft Dataverse utilizza un modello di sicurezza basato su ruoli per controllare l'accesso a un database e alle relative risorse in un ambiente. Usa i ruoli di sicurezza per configurare l'accesso a tutte le risorse in un ambiente o ad app e dati specifici nell'ambiente. Una combinazione di livelli di accesso e autorizzazioni in un ruolo di sicurezza determina le app e i dati che gli utenti possono visualizzare e con cui possono interagire.

Un ambiente non può avere più di un database Dataverse. L'assegnazione dei ruoli di sicurezza avviene differentemente per gli ambienti che non hanno database Dataverse e per gli ambienti che hanno un database Dataverse.

Scopri di più sugli ambienti in Power Platform.

Ruoli di sicurezza predefiniti

Gli ambienti includono ruoli di sicurezza predefiniti che riflettono le attività utente comuni. I ruoli di sicurezza predefiniti seguono la procedura consigliata di sicurezza dell'"accesso minimo richiesto": forniscono l'accesso di base ai dati aziendali minimi di cui un utente ha bisogno per usare un'app. Questi ruoli di sicurezza possono essere assegnati a un utente, un team proprietario e un team di gruppo. I ruoli di sicurezza predefiniti disponibili in un ambiente dipendono dal tipo di ambiente e dalle app che hai installato nell'ambiente.

Un altro set di ruoli di sicurezza è assegnato agli utenti delle applicazioni. Questi ruoli di sicurezza vengono installati dai nostri servizi e non possono essere aggiornati.

Ambienti senza un database Dataverse

Autore dell'ambiente e Amministratore dell'ambiente sono gli unici ruoli predefiniti per gli ambienti senza database Dataverse. Questi ruoli sono descritti nella tabella seguente.

Ruolo di sicurezza Description
Amministratore dell'ambiente Il ruolo Amministratore dell'ambiente può eseguire tutte le azioni amministrative in un ambiente, comprese le seguenti:
  • Aggiungere o rimuovere un utente dal ruolo Amministratore dell'ambiente o Autore dell'ambiente.
  • Effettuare il provisioning di un database Dataverse per l'ambiente. Dopo aver effettuato il provisioning di un database, assegnare il ruolo Addetto alla personalizzazione del sistema a un amministratore dell'ambiente per consentirgli l'accesso ai dati dell'ambiente.
  • Visualizzare e gestire tutte le risorse create in un ambiente.
  • Creare criteri di prevenzione della perdita dei dati.
Creazione ambiente Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate, gateway e flussi che usano Microsoft Power Automate. Tuttavia questo ruolo non dispone dei privilegi di accesso ai dati in un ambiente.

Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione.

Ambienti con un database Dataverse

Se l'ambiente ha un database Dataverse, a un utente deve essere assegnato il ruolo Amministratore di sistema anziché il ruolo Amministratore dell'ambiente per disporre di privilegi di amministratore completi.

Gli utenti che creano app che si connettono al database e devono creare o aggiornare entità e ruoli di sicurezza, devono disporre del ruolo Addetto alla personalizzazione del sistema oltre al ruolo Autore dell'ambiente. il ruolo Autore dell'ambiente non ha privilegi per i dati dell'ambiente.

La tabella seguente descrive i ruoli di sicurezza predefiniti in un ambiente che ha un database Dataverse. Non puoi modificare questi ruoli.

Ruolo di sicurezza Description
Apertura app Ha privilegi minimi per le attività comuni. Questo ruolo viene utilizzato principalmente come modello per creare un ruolo di sicurezza personalizzato per le app basate su modello. Non ha alcun privilegio per le tabelle aziendali principali, come Account, Contatto e Attività. Tuttavia, dispone di accesso in lettura a livello di Organizzazione alle tabelle di sistema, come Processo, per supportare la lettura dei flussi di lavoro forniti dal sistema. Tieni presente che questo ruolo di sicurezza viene utilizzato quando viene creato un nuovo ruolo di sicurezza personalizzato.
Utente Basic Solo per le entità predefinite, può eseguire un'app nell'ambiente e attività comuni per i record di sua proprietà. Ha privilegi per le tabelle aziendali principali, come Account, Contatto e Attività.

Note: il ruolo di sicurezza Utente di Common Data Service è stato rinominato Utente Basic. Solo il nome è stato cambiato; i privilegi utente e l'assegnazione dei ruoli sono identici. Se hai una soluzione con il ruolo di sicurezza Utente di Common Data Service, devi aggiornare la soluzione prima di importarla di nuovo. In caso contrario, potresti inavvertitamente modificare nuovamente il nome del ruolo di sicurezza in Utente quando importi la soluzione.
Delegato Consente al codice di rappresentare un altro utente o di essere eseguito come tale. In genere viene in genere usato con un altro ruolo di sicurezza per consentire l'accesso ai record.
Amministratore di Dynamics 365 Amministratore di Dynamics 365 è un ruolo di amministratore del servizio Microsoft Power Platform. Questo ruolo può eseguire le funzioni di amministratore in Microsoft Power Platform perché dispone del ruolo di amministratore di sistema.
Creazione ambiente Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate, gateway e flussi che usano Microsoft Power Automate. Questo ruolo non dispone tuttavia dei privilegi di accesso ai dati in un ambiente.

Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione.
Amministratore globale di Amministratore globale è un ruolo di amministratore di Microsoft 365. Una persona che acquista l'abbonamento a Microsoft Business è un amministratore globale e ha il controllo illimitato sui prodotti inclusi nell'abbonamento e l'accesso alla maggior parte dei dati.
Lettore globale Il ruolo Lettore globale non è ancora supportato nell'interfaccia di amministrazione di Power Platform.
Collaboratore di Office Dispone dell'autorizzazione di lettura per le tabelle in cui un record è stato condiviso con l'organizzazione. Non ha accesso ad altri record tabella principali e personalizzati. Questo ruolo viene assegnato al team proprietario dei Collaboratori di Office e non a un singolo utente.
Amministratore Power Platform Amministratore di Power Platform è un ruolo di amministratore del servizio di Microsoft Power Platform. Questo ruolo può eseguire le funzioni di amministratore in Microsoft Power Platform perché dispone del ruolo di amministratore di sistema.
Servizio eliminato Ha l'autorizzazione per l'eliminazione completa di tutte le entità, comprese le entità personalizzate. È utilizzato principalmente dal servizio e richiede l'eliminazione di record in tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team.
Lettore servizi Dispone delle autorizzazioni di lettura complete per tutte le entità, incluse quelle personalizzate. È utilizzato principalmente dal servizio e richiede la lettura di tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team.
Writer servizio Dispone delle autorizzazioni di creazione, lettura e scrittura per tutte le entità, incluse le entità personalizzate. È utilizzato principalmente dal servizio e richiede la creazione e l'aggiornamento di record. Questo ruolo non può essere assegnato a un utente o a un team.
Utente di supporto Ha l'autorizzazione di lettura completa per le impostazioni relative a personalizzazioni e gestione aziendale che consente al personale del supporto di risolvere i problemi di configurazione dell'ambiente. Non ha accesso ai record principali. Questo ruolo non può essere assegnato a un utente o a un team.
Amministratore sistema Ha autorizzazioni complete per personalizzare o amministrare l'ambiente, incluse quelle per creare, modificare e assegnare ruoli di sicurezza. Può visualizzare tutti i dati nell'ambiente.
Addetto personalizzazione del sistema Ha autorizzazioni complete per personalizzare l'ambiente. Può visualizzare tutti i dati della tabella personalizzata nell'ambiente. Tuttavia, gli utenti con questo ruolo possono visualizzare i record che creano nelle tabelle Account, Contatti, Impegni.
Proprietario app del sito Web Un proprietario dell'app del portale è un utente che possiede la registrazione dell'applicazione del sito Web nel portale di Azure.
Proprietario sito Web Utente che ha creato il sito Web Power Pages. Questo ruolo è gestito e non può essere modificato.

Oltre ai ruoli di sicurezza predefiniti appena descritti per Dataverse, potrebbero essere disponibili altri ruoli di sicurezza nell'ambiente a seconda dei componenti di Power Platform, ovvero Power Apps, Power Automate, Power Virtual Agents, a tua disposizione. La tabella seguente fornisce collegamenti a ulteriori informazioni.

Componente di Power Platform Informazioni
Power Apps Ruoli di sicurezza predefiniti per ambienti con un database Dataverse
Power Automate Sicurezza e privacy
Power Pages Ruoli richiesti per l'amministrazione del sito Web
Power Virtual Agents Assegnare ruoli di sicurezza dell'ambiente

Dataverse for Teams ambienti

Scopri di più sui ruoli di sicurezza predefiniti negli ambienti Dataverse for Teams.

Ruoli di sicurezza specifici dell'app

Se distribuisci le app Dynamics 365 nel tuo ambiente, vengono aggiunti altri ruoli di sicurezza. La tabella seguente fornisce collegamenti a ulteriori informazioni.

App Dynamics 365 Documentazione dei ruoli di sicurezza
Dynamics 365 for Sales Ruoli di sicurezza predefiniti per Sales
Dynamics 365 Marketing Ruoli di sicurezza aggiunti da Dynamics 365 Marketing
Dynamics 365 Field Service Ruoli + definizioni di Dynamics 365 Field Service
Dynamics 365 Customer Service Ruoli in Multicanale per Customer Service
Dynamics 365 Customer Insights Ruoli di Customer Insights
Responsabile profilo app Ruoli e privilegi associati alla gestione profilo app
Dynamics 365 Finance Ruoli di sicurezza nel settore pubblico
App per la finanza e le operazioni Ruoli di sicurezza in Microsoft Power Platform

Riepilogo delle risorse disponibili per ruoli di sicurezza predefiniti

La tabella seguente descrive quali risorse possono essere create da ogni ruolo di sicurezza.

Risorsa Creazione ambiente Amministratore dell'ambiente Addetto personalizzazione del sistema Amministratore di sistema
App canvas X X X X
Flusso cloud X (non consapevole della soluzione) X X X
Connector X (non consapevole della soluzione) X X X
Connessione* X X X X
Gateway dati X X - X
Flusso di dati X X - X
Tabelle Dataverse - - X X
App basata su modello X - X X
Framework della soluzione X - X X
Flusso desktop** - - X X
AI Builder - - X X

*Le connessioni sono utilizzate nelle app canvas e Power Automate.

**Gli utenti di Dataverse for Teams non ottengono l'accesso ai flussi desktop per impostazione predefinita. Devi aggiornare il tuo ambiente alle funzionalità Dataverse complete e acquisire piani di licenza del flusso desktop per utilizzare i flussi desktop.

Assegnare ruoli di sicurezza agli utenti in un ambiente senza database Dataverse

Per gli ambienti senza database Dataverse, un utente che dispone del ruolo Amministratore dell'ambiente nell'ambiente può assegnare ruoli di sicurezza a singoli utenti o gruppi da Microsoft Entra ID.

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Seleziona Ambienti> [seleziona un ambiente].

  3. Nel riquadro Accesso seleziona Vedi tutto per Amministratore ambiente o Creatore ambiente per aggiungere o rimuovere le persone per entrambi i ruoli.

    Screenshot della selezione di un ruolo di sicurezza nell'interfaccia di amministrazione di Power Platform.

  4. Seleziona Aggiungi utenti, quindi specifica il nome o l'indirizzo e-mail di uno o più utenti o gruppi di Microsoft Entra ID.

    Screenshot dell'aggiunta di utenti al ruolo Autore dell'ambiente nell'interfaccia di amministrazione di Power Platform.

  5. Seleziona Aggiungi.

Assegnare ruoli di sicurezza agli utenti in un ambiente con un database Dataverse

È possibile assegnare ruoli di sicurezza a singoli utenti, team proprietari e team di gruppo di Microsoft Entra. Prima di assegnare un ruolo a un utente, verifica che l'account dell'utente sia stato aggiunto all'ambiente e abilitato.

In genere, un ruolo di sicurezza può essere assegnato solo a utenti i cui account sono abilitati nell'ambiente. Per assegnare un ruolo di sicurezza a un account utente disabilitato nell'ambiente, attiva allowRoleAssignmentOnDisabledUsers in OrgDBOrgSettings.

  1. Accedi all'interfaccia di amministrazione di Power Platform.

  2. Seleziona Ambienti> [seleziona un ambiente].

  3. Nel riquadro Accesso selezionare Visualizza tutto in Ruoli di sicurezza.

    Screenshot dell'opzione per visualizzare tutti i ruoli di sicurezza nell'interfaccia di amministrazione di  Power Platform.

  4. Assicurati che la Business Unit corretta sia selezionata nell'elenco, quindi seleziona un ruolo nell'elenco di ruoli nell'ambiente.

  5. Seleziona Aggiungi utenti, quindi specifica il nome o l'indirizzo e-mail di uno o più utenti o gruppi di Microsoft Entra ID.

  6. Seleziona Aggiungi.

Crea, modifica o copia un ruolo di sicurezza utilizzando la nuova interfaccia utente moderna

Puoi facilmente creare, modificare o copiare un ruolo di sicurezza e personalizzarlo per soddisfare le tue esigenze.

  1. Vai all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento sinistro, quindi seleziona un ambiente.

  2. Seleziona Impostazioni.

  3. Espandi Utenti e autorizzazioni.

  4. Selezionare Ruoli di sicurezza.

  5. Completa l'attività appropriata:

Crea un ruolo di sicurezza

  1. Nella barra dei comandi, seleziona Nuovo ruolo.

  2. Nel campo Nome ruolo immetti un nome per il nuovo ruolo.

  3. Nel campo Business Unit seleziona la Business Unit a cui appartiene il ruolo.

  4. Specifica se i membri del team devono ereditare il ruolo.

    Se questa impostazione è abilitata e il ruolo è assegnato a un team, tutti i membri del team ereditano tutti i privilegi associati al ruolo.

  5. Seleziona Salva.

  6. Definire i privilegi e le proprietà del ruolo di sicurezza.

Modificare un ruolo di sicurezza

Seleziona il nome del ruolo o la riga e poi Modifica. Quindi definisci i privilegi e le proprietà del ruolo di sicurezza.

Alcuni ruoli di sicurezza predefiniti non possono essere modificati. Se provi a modificare questi ruoli, i pulsanti Salva e Salva + Chiudi non sono disponibili.

Copiare un ruolo di sicurezza

Seleziona il ruolo di sicurezza e quindi Copia. Assegna un nuovo nome al ruolo. Modifica il ruolo di sicurezza come necessario.

Vengono copiati solo i privilegi, non i membri e i team assegnati.

Controllo dei ruoli di sicurezza

Controlla i ruoli di sicurezza per comprendere meglio le modifiche apportate alla sicurezza nel tuo ambiente Power Platform.

Creare o configurare un ruolo di sicurezza personalizzato

Se l'app utilizza un'entità personalizzata, i relativi privilegi devono essere assegnati esplicitamente in un ruolo di sicurezza prima che l'app possa essere utilizzato. È possibile aggiungere i privilegi in un ruolo di sicurezza esistente o creare un ruolo di sicurezza personalizzato.

Ogni ruolo di sicurezza deve includere un set minimo di privilegi. Scopri di più sui ruoli di sicurezza e i privilegi.

Suggerimento

L'ambiente potrebbe conservare record che possono essere usati da più app. Potrebbero essere necessari più ruoli di sicurezza che concedono privilegi differenti. Ad esempio:

  • Per alcuni utenti (ad esempio, gli editori) potrebbe essere sufficiente leggere, aggiornare e aggiungere altri record, quindi il loro ruolo di sicurezza avrà privilegi di lettura, scrittura e aggiunta.
  • Altri utenti potrebbero aver bisogno di tutti i privilegi di cui dispongono gli editori e avere anche la possibilità di creare, aggiungere, eliminare e condividere. Il ruolo di sicurezza per questi utenti avrà i privilegi di creazione, lettura, scrittura, aggiunta, eliminazione, assegnazione, accodamento e condivisione.

Crea un ruolo di sicurezza personalizzato con privilegi minimi per eseguire un'app

  1. Accedi all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento, quindi seleziona un ambiente.

  2. Selezionare Impostazioni>Utenti + autorizzazioni>Ruoli di sicurezza.

  3. Seleziona il ruolo Apertura app, quindi seleziona Copia.

  4. Immetti il nome del ruolo personalizzato e quindi seleziona Copia.

  5. Nell'elenco dei ruoli di sicurezza, seleziona il nuovo ruolo, quindi seleziona Altre azioni (...) >Modifica.

  6. Nell'editor dei ruoli, seleziona la scheda Entità personalizzate.

  7. Trova la tabella personalizzata dall'elenco, seleziona i privilegi Lettura, Scrittura e Aggiunta.

  8. Selezionare Salva e chiudi.

Creare un ruolo di sicurezza da zero

  1. Accedi all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento, quindi seleziona un ambiente.

  2. Selezionare Impostazioni>Utenti + autorizzazioni>Ruoli di sicurezza.

  3. Seleziona Nuovo ruolo.

  4. Nella scheda Dettagli immetti il nome del nuovo ruolo.

  5. Nelle altre schede, trova la tua entità e quindi seleziona le azioni e l'ambito per eseguirle.

  6. Seleziona una scheda e cerca l'entità. Ad esempio, seleziona la scheda Entità personalizzate per impostare le autorizzazioni su un'entità personalizzata.

  7. Selezionare i privilegi Lettura, Scrttura, Aggiunta.

  8. Seleziona Salva e chiudi.

Privilegi minimi per l'esecuzione di un'app

Quando crei un ruolo di sicurezza personalizzato, il ruolo deve disporre di un set di privilegi minimi affinché un utente possa eseguire un'app. Scopri di più sui privilegi minimi necessari.

Vedi anche

Fornire l'accesso agli utenti
Controllare l'accesso utente agli ambienti: gruppi di sicurezza e licenze
Come viene determinato l'accesso a un record