Gebruikersbeveiliging configureren in een omgeving

  • Artikel

Microsoft Dataverse gebruikt een op rollen gebaseerd beveiligingsmodel om de toegang tot een database en de bijbehorende resources in een omgeving te regelen. Gebruik beveiligingsrollen om de toegang tot alle resources in een omgeving of de toegang tot specifieke apps en gegevens in de omgeving te configureren. Een combinatie van toegangsniveaus en machtigingen in een beveiligingsrol bepaalt welke apps en gegevens kunnen worden bekeken door gebruikers en welke interacties deze kunnen hebben met die apps en gegevens.

Een omgeving kan geen of één Dataverse-database hebben. Het proces voor het toewijzen van beveiligingsrollen voor omgevingen zonder Dataverse-database verschilt van dat voor omgevingen met een Dataverse-database.

Meer informatie over omgevingen in Power Platform.

Vooraf gedefinieerde beveiligingsrollen

Omgevingen bevatten vooraf gedefinieerde beveiligingsrollen die algemene gebruikerstaken weerspiegelen. De vooraf gedefinieerde beveiligingsrollen volgen de best practice op het gebied van beveiliging van "minimaal vereiste toegang": bieden de minste toegang tot de minimale zakelijke gegevens die een gebruiker nodig heeft om een app te gebruiken. Deze beveiligingsrollen kunnen worden toegewezen aan een gebruiker, eigenaarsteam en groepsteam. De vooraf gedefinieerde beveiligingsrollen die in een omgeving beschikbaar zijn, zijn afhankelijk van het omgevingstype en de apps die u erin hebt geïnstalleerd.

Er wordt nog een set beveiligingsrollen toegewezen aan toepassingsgebruikers. Deze beveiligingsrollen worden door onze services geïnstalleerd en kunnen niet worden bijgewerkt.

Omgevingen zonder een Dataverse-database

Omgevingsmaker en Omgevingsbeheerder zijn de enige vooraf gedefinieerde rollen voor omgevingen die geen Dataverse-database hebben. Deze rollen worden beschreven in de onderstaande tabel.

Beveiligingsrol Omschrijving
Omgevingsbeheerder De rol Omgevingsbeheerder kan alle beheeracties uitvoeren in een omgeving, waaronder:
  • Een gebruiker of groep toevoegen aan, of verwijderen uit, de rol Omgevingsbeheerder of Omgevingsmaker.
  • Een Dataverse-database inrichten voor de omgeving. Nadat een database is ingericht, wijst u de rol Systeemaanpasser toe aan een omgevingsbeheerder om hem of haar toegang te geven tot de gegevens van de omgeving.
  • Alle resources die in een omgeving zijn gemaakt, weergeven en beheren.
  • Beleid voor preventie van gegevensverlies maken.
Omgevingsmaker Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's, gateways en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving.

Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie.

Omgevingen met een Dataverse-database

Als de omgeving een Dataverse-database heeft, moet een gebruiker die volledige beheerdersrechten nodig heeft de rol van Systeembeheerder krijgen in plaats van de rol Omgevingsbeheerder.

Gebruikers die apps bouwen die verbinding maken met de database en entiteiten en beveiligingsrollen moeten maken of bijwerken, moeten de rol van Systeemaanpasser hebben naast de rol van Environment Maker. De rol van Omgevingsmaker heeft geen bevoegdheden voor de gegevens van de omgeving.

In de volgende tabel worden de vooraf gedefinieerde beveiligingsrollen in een omgeving met een Dataverse-database beschreven. U kunt deze rollen niet bewerken.

Beveiligingsrol Omschrijving
App-opener Heeft minimumbevoegdheden voor algemene taken. Deze rol wordt voornamelijk gebruikt als sjabloon om een aangepaste beveiligingsrol te maken voor modelgestuurde apps. Het heeft geen bevoegdheden voor de kernbedrijfstabellen, zoals Account, Contactpersoon en Activiteit. De rol heeft echter leestoegang op niveau van Organisatie tot systeemtabellen, zoals Verwerken, om voor het leessysteem geleverde werkstromen te ondersteunen. Houd er rekening mee dat deze beveiligingsrol wordt gebruikt wanneer een nieuwe, aangepaste beveiligingsrol wordt gemaakt.
Basic-gebruiker Alleen voor kant-en-klare entiteiten kan een app in de omgeving worden uitgevoerd en kunnen veelvoorkomende taken worden uitgevoerd voor de records waarvan ze eigenaar zijn. Het heeft bevoegdheden voor de kernbedrijfstabellen, zoals Account, Contactpersoon en Activiteit.

Opmerking: de Common Data Service-beveiligingsrol Gebruiker is hernoemd in Basisgebruiker. Alleen de naam is gewijzigd; gebruikersrechten en roltoewijzing zijn hetzelfde. Als u een oplossing hebt met de Common Data Service-beveiligingsrol Gebruiker, moet u de oplossing bijwerken voordat u deze opnieuw importeert. Anders kunt u per ongeluk de naam beveiligingsrol weer wijzigen in Gebruiker wanneer u de oplossing importeert.
Gemachtigde Hiermee kan code een andere gebruiker imiteren of worden uitgevoerd als een andere gebruiker. Deze rol wordt doorgaans gebruikt met een andere beveiligingsrol zodat toegang tot records kan worden verkregen.
Dynamics 365-beheerder Dynamics 365-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Deze rol kan beheerdersfuncties uitvoeren in Microsoft Power Platform omdat hij of zij de rol van systeembeheerder heeft.
Omgevingsmaker Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's, gateways en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving.

Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie.
Globale beheerder Globale beheerder is een Microsoft 365-beheerdersrol. Een persoon die het zakelijke Microsoft-abonnement koopt, is een globale beheerder en heeft onbeperkte controle over producten in het abonnement en toegang tot de meeste gegevens.
Algemene lezer De rol Algemene lezer wordt nog niet ondersteund in het Power Platform-beheercentrum.
Office-samenwerker Heeft leesmachtiging voor tabellen waarin een record is gedeeld met de organisatie. Heeft geen toegang tot andere kern- en aangepaste tabelrecords. Deze rol is toegewezen aan het team van eigenaren van Office-samenwerkers en niet aan een individuele gebruiker.
Power Platform-beheerder Power Platform-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Deze rol kan beheerdersfuncties uitvoeren in Microsoft Power Platform omdat hij of zij de rol van systeembeheerder heeft.
Service verwijderd Heeft volledige machtiging Verwijderen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het verwijderen van records in alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team.
Servicelezer Heeft volledige machtiging Lezen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het lezen van alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team.
Serviceschrijver Heeft volledige machtigingen Maken, Lezen en Schrijven voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het maken en bijwerken van records. Deze rol kan niet worden toegewezen aan een gebruiker of team.
Ondersteuningsgebruiker Heeft volledige machtiging Lezen voor aanpassingen en instellingen voor bedrijfsbeheer, waarmee ondersteuningspersoneel problemen met de omgevingsconfiguratie kan oplossen. Deze rol heeft geen toegang tot basisrecords. Deze rol kan niet worden toegewezen aan een gebruiker of team.
systeembeheerder Heeft volledige machtiging voor het aanpassen of beheren van de omgeving, inclusief het maken, wijzigen en toewijzen van beveiligingsrollen. Hiermee kunt u alle gegevens in de omgeving weergeven.
systeemaanpasser Heeft volledige machtiging voor het aanpassen van de omgeving. Hiermee kunt u alle aangepaste tabelgegevens in de omgeving weergeven. Gebruikers met deze rol kunnen echter alleen records weergeven die zij maken in de tabellen Account, Contactpersoon en Activiteit.
Eigenaar van website-app Een gebruiker die eigenaar is van de toepassingsregistratie voor websites in de Azure-portal.
Website-eigenaar De gebruiker die de Power Pages-website heeft gemaakt. Deze rol wordt beheerd en kan niet worden gewijzigd.

Naast de vooraf gedefinieerde beveiligingsrollen die zijn beschreven voor Dataverse, zijn er mogelijk andere beveiligingsrollen beschikbaar in uw omgeving, afhankelijk van de Power Platform-onderdelen (Power Apps, Power Automate, Power Virtual Agents) die u hebt. De volgende tabel biedt koppelingen naar meer informatie.

Power Platform-onderdeel Gegevens
Power Apps Vooraf gedefinieerde beveiligingsrollen voor omgevingen met een Dataverse-database
Power Automate Beveiliging en privacy
Power Pages Rollen vereist voor websitebeheer
Power Virtual Agents Beveiligingsrollen voor omgeving toewijzen

Dataverse for Teams-omgevingen

Meer informatie over vooraf gedefinieerde beveiligingsrollen in in Dataverse for Teams-omgevingen.

App-specifieke beveiligingsrollen

Als u Dynamics 365-apps in uw omgeving implementeert, worden andere beveiligingsrollen toegevoegd. De volgende tabel biedt koppelingen naar meer informatie.

Dynamics 365-app Documenten beveiligingsrollen
Dynamics 365 Sales Vooraf gedefinieerde beveiligingsrollen voor Sales
Dynamics 365 Marketing Beveiligingsrollen toegevoegd door Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service-rollen en hun definities
Dynamics 365 Customer Service Rollen in Omnichannel for Customer Service
Dynamics 365 Customer Insights Customer Insights-rollen
App-profielbeheer Rollen en rechten die zijn gekoppeld aan app-profielbeheer
Dynamics 365 Finance Beveiligingsrollen in de openbare sector
Apps voor financiële en bedrijfsactiviteiten Beveiligingsrollen in Microsoft Power Platform

Overzicht van beschikbare resources voor vooraf gedefinieerde beveiligingsrollen

In de volgende tabel wordt beschreven welke resources door elke beveiligingsrol kunnen worden geschreven.

Bron Omgevingsmaker Omgevingsbeheerder systeemaanpasser Systeembeheerder
Canvas-app X X X X
Cloudstroom X (niet-oplossingsbewust) X X X
Verbindingslijn X (niet-oplossingsbewust) X X X
Connection* X X X X
Gegevensgateway X X - X
Gegevensstroom X X - X
Dataverse-tabellen - - X X
Modelgestuurde app X - X X
Oplossingskader X - X X
Bureaubladstroom** - - X X
AI Builder - - X X

*Verbindingen worden gebruikt in canvas-apps en Power Automate.

**Dataverse for Teams-gebruikers krijgen standaard geen toegang tot bureaubladstromen. U moet uw omgeving upgraden naar volledige Dataverse-mogelijkheden en licentieplannen voor bureaubladstromen verwerven om bureaubladstromen te kunnen gebruiken.

Beveiligingsrollen toewijzen aan gebruikers in een omgeving die geen Dataverse-database heeft

Voor omgevingen zonder Dataverse-database kan een gebruiker met de rol Omgevingsbeheerder in de omgeving beveiligingsrollen toewijzen aan individuele gebruikers of groepen vanuit Microsoft Entra ID.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer Omgevingen> [een omgeving selecteren].

  3. Selecteer in de tegel Toegang de optie Alle weergeven voor Omgevingsbeheerder of Omgevingsmaker om personen voor beide rollen toe te voegen of te verwijderen.

    Schermopname van het selecteren van een beveiligingsrol in het Power Platform-beheercentrum.

  4. Selecteer Personen toevoegen en specificeer vervolgens de naam of het e-mailadres van een of meer gebruikers of groepen vanuit Microsoft Entra ID.

    Schermopname van het toevoegen van gebruikers aan de rol Omgevingsmaker in het Power Platform-beheercentrum.

  5. Selecteer Toevoegen.

Beveiligingsrollen toewijzen aan gebruikers in een omgeving met een Dataverse-database

Beveiligingsrollen kunnen worden toegewezen aan individuele gebruikers, eigenaarteams en Microsoft Entra-groepsteams. Voordat u een rol aan een gebruiker toewijst, controleert u of het account van de gebruiker is toegevoegd aan en is ingeschakeld in de omgeving.

In het algemeen kan een beveiligingsrol alleen worden toegewezen aan gebruikers met een account dat is ingeschakeld in de omgeving. Als u een beveiligingsrol wilt toewijzen aan een gebruikersaccount dat is uitgeschakeld in de omgeving, schakelt u allowRoleAssignmentOnDisabledUsers in OrgDBOrgSettings in.

  1. Meld u aan bij het Power Platform-beheercentrum.

  2. Selecteer Omgevingen> [een omgeving selecteren].

  3. Selecteer op de tegel Toegang de optie Alles weergeven onder Beveiligingsrollen.

    Schermopname van de optie om alle beveiligingsrollen te bekijken in het Power Platform-beheercentrum.

  4. Zorg ervoor dat de juiste business unit is geselecteerd in de lijst en selecteer vervolgens een rol uit de lijst met rollen in de omgeving.

  5. Selecteer Personen toevoegen en specificeer vervolgens de naam of het e-mailadres van een of meer gebruikers of groepen vanuit Microsoft Entra ID.

  6. Selecteer Toevoegen.

Een beveiligingsrol maken, bewerken of kopiëren met de nieuwe, moderne gebruikersinterface

U kunt eenvoudig een beveiligingsrol maken, bewerken of kopiëren en deze aanpassen aan uw behoeften.

  1. Ga naar het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.

  2. Selecteer Instellingen.

  3. Vouw Gebruikers en machtigingen uit.

  4. Selecteer Beveiligingsrollen.

  5. Voer de desbetreffende taak uit:

Een beveiligingsrol maken

  1. Selecteer Nieuwe rol vanaf de opdrachtbalk.

  2. Voer in het veld Rolnaam een beschrijvende naam voor de nieuwe rol in.

  3. Selecteer in het veld Business unit de business unit waartoe de rol behoort.

  4. Selecteer of teamleden de rol moeten overnemen.

    Als deze instelling is ingeschakeld en de rol is toegewezen aan een team, nemen alle teamleden alle bevoegdheden ovedr die aan de rol zijn gekoppeld.

  5. Selecteer Opslaan.

  6. De bevoegdheden en eigenschappen van een beveiligingsrol definiëren.

Beveiligingsrollen bewerken

Selecteer de rolnaam of selecteer de rij en selecteer vervolgens Bewerken. Vervolgens definieert u de bevoegdheden en eigenschappen van de beveiligingsrol.

Sommige vooraf gedefinieerde beveiligingsrollen kunnen niet worden bewerkt. Als u deze rollen probeert te bewerken, zijn de knoppen Opslaan en Opslaan en sluiten niet beschikbaar.

Een beveiligingsrol kopiëren

Selecteer de beveiligingsrol en selecteer vervolgens Kopiëren. Geef de rol een nieuwe naam. Bewerk de beveiligingsrol indien nodig.

Alleen de bevoegdheden worden gekopieerd, geen toegewezen leden en teams.

Beveiligingsrollen controleren

Controleer beveiligingsrollen om beter inzicht te krijgen in wijzigingen in de beveiliging in uw Power Platform-omgeving.

Een aangepaste beveiligingsrol maken of configureren

Als uw app een aangepaste entiteit gebruikt, moeten de bijbehorende bevoegdheden expliciet worden verleend in een beveiligingsrol voordat uw app kan worden gebruikt. U kunt deze bevoegdheden toevoegen aan een bestaande beveiligingsrol of een aangepaste beveiligingsrol maken.

Elke beveiligingsrol moet een minimaal aantal bevoegdheden bevatten. Meer informatie over beveiligingsrollen en bevoegdheden.

Fooi

De omgeving kan records bijhouden die door meerdere apps kunnen worden gebruikt. Mogelijk hebt u meerdere beveiligingsrollen nodig die verschillende bevoegdheden verlenen. Bijvoorbeeld:

  • Sommige gebruikers (Editors) hebben alleen bevoegdheden nodig voor het lezen, bijwerken en koppelen van andere records. Voor deze gebruikers is een beveiligingsrol nodig met bevoegdheden voor lezen, schrijven en toevoegen.
  • Andere gebruikers hebben mogelijk alle bevoegdheden nodig die Editors hebben, plus de mogelijkheid om te maken, toe te voegen aan, te verwijderen en te delen. De beveiligingsrol voor deze gebruikers zal bevoegdheden hebben voor maken, lezen, schrijven, toevoegen, verwijderen, toewijzen, toevoegen aan en delen.

Een aangepaste beveiligingsrol met minimale rechten maken om een app uit te voeren

  1. Meld u aan bij het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.

  2. Selecteer Instellingen>Gebruikers en machtigingen>Beveiligingsrollen.

  3. Selecteer de rol App-opener en selecteer vervolgens Kopiëren.

  4. Voer de naam van de aangepaste rol in en selecteer vervolgens Kopiëren.

  5. Selecteer in de lijst met beveiligingsrollen de nieuwe rol en selecteer vervolgens Meer acties () >Bewerken.

  6. Selecteer in de roleditor het tabblad Aangepaste entiteiten.

  7. Zoek uw aangepaste tabel in de lijst en selecteer de bevoegdheden Lezen, Schrijven en Toevoegen.

  8. Kies Opslaan en sluiten.

Een volledig nieuwe aangepaste beveiligingsrol maken

  1. Meld u aan bij het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.

  2. Selecteer Instellingen>Gebruikers en machtigingen>Beveiligingsrollen.

  3. Selecteer Nieuwe rol.

  4. Voer de naam van de nieuwe rol in op het tabblad Details.

  5. Zoek op de andere tabbladen uw entiteit en selecteer vervolgens acties en het bereik om ze uit te voeren.

  6. Selecteer een tabblad en zoek naar uw entiteit. Selecteer bijvoorbeeld het tabblad Aangepaste entiteiten om machtigingen in te stellen voor een aangepaste entiteit.

  7. Selecteer de bevoegdheden Lezen, Schrijven, Toevoegen.

  8. Selecteer Opslaan en sluiten.

Minimale bevoegdheden om een app uit te voeren

Wanneer u een aangepaste beveiligingsrol maakt, moet de rol over een aantal minimale bevoegdheden beschikken voor een gebruiker om een app te kunnen uitvoeren. Meer informatie over vereiste minimale bevoegdheden.

Zie ook

Gebruikers toegang verlenen
Gebruikerstoegang tot omgevingen beheren: beveiligingsgroepen en licenties
Hoe toegang tot een record wordt bepaald