Konfigurowanie zabezpieczeń użytkownika w środowisku

Microsoft Dataverse wykorzystuje model zabezpieczeń oparty na rolach do kontrolowania dostępu do bazy danych i jej zasobów w środowisku. Role zabezpieczeń służą do konfigurowania dostępu do wszystkich zasobów w środowisku lub do określonych aplikacji i danych w środowisku. Połączenie poziomów dostępu i uprawnień w roli zabezpieczeń określa, które aplikacje i dane użytkownicy mogą wyświetlać oraz w jaki sposób mogą wchodzić w interakcje z tymi aplikacjami i danymi.

Środowisko może nie mieć bazy danych lub mieć jedną bazę danych Dataverse. Role zabezpieczeń są przypisywane inaczej dla środowiska, które nie ma bazy danych Dataverse i środowiska, które mają bazę danych Dataverse.

Dowiedz się więcej o środowiskach w Power Platform.

Wstępnie zdefiniowane role zabezpieczeń

Środowiska zawierają predefiniowane role zabezpieczeń, które odzwierciedlają typowe zadania użytkowników. Wstępnie zdefiniowane role bezpieczeństwa są zgodne z najlepszą praktyką bezpieczeństwa "minimalnego wymaganego dostępu": zapewniają najmniejszy dostęp do minimalnych danych biznesowych, których użytkownik potrzebuje do korzystania z aplikacji. Te role zabezpieczeń mogą być przypisane do użytkownika, zespołu właścicieli, oraz grupowego zespołu. Wstępnie zdefiniowane role zabezpieczeń dostępne w środowisku zależą od typu środowiska i zainstalowanych w nim aplikacji.

Kolejny zestaw ról zabezpieczeń jest przypisany do użytkowników aplikacji. Te role zabezpieczeń są instalowane przez usługi i nie można ich zaktualizować.

Środowiska bez bazy danych usługi Dataverse

Twórca środowiska i Administrator środowiska są jedynymi wstępnie zdefiniowanymi rolami w środowiskach nie posiadających bazy danych Dataverse. Role te zostały opisane w poniższej tabeli.

Rola zabezpieczeń opis
Administrator środowiska Rola Environment Admin może wykonywać wszystkie czynności administracyjne w środowisku, w tym:
  • Dodawanie lub usuwanie użytkownika z roli Administrator środowiska lub Twórca środowiska.
  • Utwórz bazę danych Dataverse dla środowiska. Po aprowizacji bazy danych należy przypisać rolę Konfigurator systemu do administratora środowiska, aby zapewnić mu dostęp do danych środowiska.
  • Wyświetlanie wszystkich zasobów utworzonych w środowisku i zarządzanie nimi.
  • Utwórz zasady zapobiegania utracie danych (DLP).
Twórca środowiska Można tworzyć nowe zasoby skojarzone ze środowiskiem, w tym aplikacje, połączenia, niestandardowe interfejsy API, bramy i przepływy, używając Microsoft Power Automate. Jednak ta rola nie ma uprawnień dostępu do danych w środowisku.

Twórcy środowisk mogą również rozprowadzać aplikacje tworzone przez siebie w środowisku do innych użytkowników w organizacji. Aplikacje mogą udostępniać indywidualnym użytkownikom, grupom zabezpieczeń lub wszystkim użytkownikom w organizacji.

Środowiska z bazą danych usługi Dataverse

Jeśli środowisko ma bazę danych Dataverse, użytkownik musi mieć przypisaną rolę administratora systemu zamiast roli administratora środowiska, aby mieć pełne uprawnienia administratora.

Użytkownicy, którzy tworzą aplikacje łączące się z bazą danych i muszą tworzyć lub aktualizować encje i role zabezpieczeń, muszą mieć rolę Konfigurator systemu oprócz roli Twórca środowiska. Rola Twórca środowiska nie ma uprawnień do danych środowiska.

Poniższa tabela opisuje predefiniowane role zabezpieczeń w środowisku z bazą danych Dataverse. Nie można edytować tych ról.

Rola zabezpieczeń opis
Moduł otwierania aplikacji Ma Minimalne uprawnienia do wykonywania typowych zadań. Ta rola jest głównie używana jako szablon do tworzenia niestandardowej roli zabezpieczeń dla aplikacji opartych na modelach. Nie ma żadnych uprawnień do podstawowych tabel biznesowych, takich jak Klient, Kontakt i Działanie. Ma jednak dostęp do odczytu na poziomie organizacji do tabel systemowych, takich jak proces, w celu obsługi odczytu systemowych- dostarczonych przepływów pracy. Pamiętaj, że ten rola zabezpieczeń jest używany podczas tworzenia nowego, niestandardowego rola zabezpieczeń.
Użytkownik podstawowy Tylko dla encji standardowych, mogą uruchomić aplikację w środowisku i wykonywać typowe zadania na rekordach, których są właścicielami. Ma uprawnienia do podstawowych tabel biznesowych, takich jak Klient, Kontakt i Działanie.

Uwaga: Rola zabezpieczeń usługi Common Data Service Użytkownik została przemianowana na Użytkownik podstawowy. Zmieniona została tylko nazwa; uprawnienia użytkowników i przypisanie ról pozostały takie same. W przypadku rozwiązania z rolą zabezpieczeń Common Data Service Użytkownik należy zaktualizować rozwiązanie przed jego ponownym zaimportowaniem. W przeciwnym razie można nieumyślnie zmienić nazwę roli zabezpieczeń z powrotem na Użytkownik podczas importowania rozwiązania.
Delegat Umożliwia, aby kod podszywał się pod kogoś innego lub działał jako inny użytkownik. Zazwyczaj używane z inną rolą zabezpieczeń, aby zezwolić na dostęp do rekordów.
Administrator usługi Dynamics 365 Administrator Dynamics 365 to rola administratora usługi Microsoft Power Platform. Ta rola może pełnić funkcje administratora w Microsoft Power Platform, ponieważ ma rolę administrator systemu.
Twórca środowiska Można tworzyć nowe zasoby skojarzone ze środowiskiem, w tym aplikacje, połączenia, niestandardowe interfejsy API, bramy i przepływy, używając Microsoft Power Automate. Jednak ta rola nie ma uprawnień dostępu do danych w środowisku.

Twórcy środowisk mogą również rozprowadzać aplikacje tworzone przez siebie w środowisku do innych użytkowników w organizacji. Aplikacje mogą udostępniać indywidualnym użytkownikom, grupom zabezpieczeń lub wszystkim użytkownikom w organizacji.
Globalny administrator usługi Globalny administrator to rola administratora Microsoft 365. Osoba, która kupuje subskrypcję firmy Microsoft, jest globalnym administratorem i ma nieograniczoną kontrolę nad produktami w ramach subskrypcji i dostęp do większości danych.
Czytelnik globalny Rola Czytelnik globalny nie jest jeszcze obsługiwana w centrum administracyjnym Power Platform.
Współpracownic używający Office Ma uprawnienia do odczytu tabel, w których rekord został udostępniony organizacji. Nie ma dostępu do innych rekordów tabeli podstawowej i niestandardowej. Ta rola jest przypisana do zespołu właścicieli współpracowników Office, a nie do pojedynczego użytkownika.
Administrator Power Platform Administrator Power Platform to rola globalnego administratora Microsoft Power Platform. Ta rola może wykonywać funkcje administratora w Microsoft Power Platform, ponieważ ma rolę administrator systemu.
Usługa Usuwania Ma pełne uprawnienia do usuwania dla wszystkich encji, w tym encji niestandardowych. Ta rola jest używana głównie przez usługę i wymaga usunięcia rekordów we wszystkich encjach. Roli tej nie można przypisać do użytkownika ani zespołu.
Czytelnik usługi Ma pełne uprawnienia do odczytu dla wszystkich encji, w tym encji niestandardowych. Rola ta jest wykorzystywana głównie przez usługę i wymaga odczytu wszystkich encji. Roli tej nie można przypisać do użytkownika ani zespołu.
Osoba zapisująca w usłudze Ma pełne uprawnienia do tworzenia, odczytu i zapisu dla wszystkich encji, w tym encji niestandardowych. Ta rola jest wykorzystywana głównie przez usługę i wymaga tworzenia i aktualizowania rekordów. Roli tej nie można przypisać do użytkownika ani zespołu.
Pracownik pomocy technicznej Ma pełne uprawnienia do odczytu do dostosowywania i ustawień zarządzania biznesowego, aby umożliwić personelowi pomocy technicznej rozwiązywanie problemów z konfiguracją środowiska. Ta rola nie ma dostępu do podstawowych rekordów. Roli tej nie można przypisać do użytkownika ani zespołu.
Administrator systemu Ma pełne uprawnienia do dostosowywania środowiska lub administrowania nim, w tym tworzenia, modyfikowania i przypisywania ról zabezpieczeń. Może przeglądać wszystkie dane w środowisku
Konfigurator systemu Posiada pełne uprawnienia do dostosowywania środowiska. Może wyświetlać wszystkie dane tabeli niestandardowej w środowisku. Użytkownicy z tą rolą mogą jednak wyświetlać tylko rekordy utworzone przez siebie w tabelach Konto, Kontakt, Aktywność.
Właściciel aplikacji witryny internetowej Użytkownik, który jest właścicielem rejestracji aplikacji sieci web w portalu Azure Portal.
Właściciel witryny internetowej Użytkownik, który utworzył witrynę Power Pages. Ta rola jest zarządzana i nie można jej zmienić.

Oprócz wstępnie zdefiniowanych ról zabezpieczeń właśnie opisanych dla Dataverse, w środowisku mogą być dostępne inne role zabezpieczeń w zależności od posiadanych składników Power Platform — Power Apps, Power Automate, Power Virtual Agents. Poniższa tabela zawiera linki do dalszych informacji.

Składnik Power Platform Informacja
Power Apps Wstępnie zdefiniowane role zabezpieczeń dla środowisk z bazą danych Dataverse
Power Automate Bezpieczeństwo i prywatność
Power Pages Role wymagane do administrowania witryną internetową
Power Virtual Agents Przypisz role zabezpieczeń środowiska

Środowiska: Dataverse for Teams

Dowiedz się więcej o predefiniowanych rolach zabezpieczeń w środowiskach Dataverse for Teams.

Role zabezpieczeń dostępne w danej aplikacji

W przypadku wdrożenia aplikacji Dynamics 365 w środowisku dodawane są inne role zabezpieczeń. Poniższa tabela zawiera linki do dalszych informacji.

Aplikacja usługi Dynamics 365 Dokumenty dotyczące ról zabezpieczeń
Dynamics 365 — sprzedaż Wstępnie zdefiniowane role zabezpieczeń dotyczące sprzedaży
Dynamics 365 Marketing Role zabezpieczeń dodawane przez Dynamics 365 Marketing
Dynamics 365 Field Service Role Dynamics 365 Field Service + definicje
Rozwiązanie Dynamics 365 Customer Service Role w aplikacji Obsługa wielokanałowa dla Customer Service
Dynamics 365 Customer Insights Role aplikacji Customer Insights
Menedżer profilów aplikacji Role i uprawnienia skojarzone z menedżerem profilu aplikacji
Dynamics 365 Finance Role zabezpieczeń w sektorze publicznym
Aplikacje finansowe i operacyjne Role zabezpieczeń w Microsoft Power Platform

Podsumowanie zasobów dostępnych dla predefiniowanych ról zabezpieczeń

W poniższej tabeli opisano, które zasoby może autoryzować każda rola zabezpieczeń.

Zasób Twórca środowiska Administrator środowiska Konfigurator systemu Administrator systemu
Aplikacja kanwy X X X X
Przepływ w chmurze X (bez świadomości rozwiązania) X X X
Łącznik X (bez świadomości rozwiązania) X X X
Połączenie* X X X X
Brama danych X X - X
Przepływ danych X X - X
Tabele Dataverse - - X X
Aplikacja oparta na modelu X - X X
Struktury rozwiązań X - X X
Przepływ pulpitu** - - X X
AI Builder - - X X

*Połączenia są używane w aplikacjach kanw i Power Automate.

**Użytkownicy Dataverse for Teams domyślnie nie mają dostępu do przepływów pulpitów. Aby korzystać z przepływów pulpitu, należy zaktualizować środowisko do pełnych możliwości Dataverse i nabyć plany licencyjne przepływów pulpitu.

Przypisywanie ról zabezpieczeń do użytkowników w środowisku, które nie ma bazy danych Dataverse

W przypadku środowisk bez bazy danych Dataverse użytkownik, który ma rolę Environment Admin w środowisku, może przypisywać role zabezpieczeń do poszczególnych użytkowników lub grup z usługi Microsoft Entra ID.

  1. Zaloguj się w Centrum administracyjnym Power Platform.

  2. Wybierz Środowiska> [wybierz środowisko].

  3. W kafelku Dostęp wybierz polecenie Zobacz wszystko dla ról Administratora środowiska lub Twórcy środowiska, aby dodać osobę do jednej z tych dwóch ról lub ją z nich usunąć.

    Zrzut ekranu wyboru roli zabezpieczeń w centrum administracyjnym Power Platform.

  4. Wybierz Dodaj osoby, a następnie określ nazwę lub adres e-mail jednego lub więcej użytkowników lub grup z usługi Microsoft Entra ID.

    Zrzut ekranu dodawania użytkowników do roli Twórcy środowiska w centrum administracyjnym Power Platform.

  5. Wybierz Dodaj.

Przypisywanie ról zabezpieczeń do użytkowników w środowisku, które korzysta z bazy danych Dataverse

Role zabezpieczeń można przypisywać do poszczególnych użytkowników, zespołów właścicieli oraz zespołów grupowych Microsoft Entra. Przed przypisaniem roli do użytkownika należy zweryfikować, czy konto użytkownika zostało dodane do środowiska i jest w nim włączone.

Ogólnie rzecz biorąc, rola zabezpieczeń może być przypisana tylko do użytkowników, których konta są włączone w środowisku. Aby przypisać rolę zabezpieczeń do konta użytkownika, które jest wyłączone w środowisku, włącz allowRoleAssignmentOnDisabledUsers w OrgDBOrgSettings.

  1. Zaloguj się w Centrum administracyjnym Power Platform.

  2. Wybierz Środowiska> [wybierz środowisko].

  3. W kafelku Dostęp zaznacz opcję Zobacz wszystkie w obszarze Role zabezpieczeń.

    Zrzut ekranu opcji wyświetlania wszystkich ról zabezpieczeń w centrum administracyjnym Power Platform.

  4. Upewnij się, że na liście wybrana jest właściwa jednostka biznesowa, a następnie wybierz rolę z listy ról w środowisku.

  5. Wybierz Dodaj osoby, a następnie określ nazwę lub adres e-mail jednego lub więcej użytkowników lub grup z usługi Microsoft Entra ID.

  6. Wybierz Dodaj.

Tworzenie, edytowanie i kopiowanie rola zabezpieczeń przy użyciu nowego, nowoczesnego interfejsu użytkownika

Użytkownik może w łatwy sposób tworzyć, edytować lub kopiować rolę zabezpieczeń i dostosowywać ją do swoich potrzeb.

  1. Przejdź do centrum administracyjnego Power Platform, wybierz Środowiska w okienku nawigacji, a następnie wybierz środowisko.

  2. Wybierz Ustawienia.

  3. Rozwiń węzeł Użytkownicy + uprawnienia.

  4. Wybierz Role zabezpieczeń.

  5. Wykonaj odpowiednie zadanie:

Utwórz rolę zabezpieczeń

  1. Na pasku poleceń wybierz pozycję Nowa rola.

  2. W polu Nazwa roli wprowadź nazwę nowej roli.

  3. W polu Jednostka biznesowa wybierz jednostkę biznesową, do której należy rola.

  4. Wybierz, czy członkowie zespołu powinni dziedziczyć rolę.

    Jeśli to ustawienie jest włączone, a rola jest przypisana do zespołu, wszyscy członkowie zespołu dziedziczą wszystkie uprawnienia związane z rolą.

  5. Wybierz pozycję Zapisz.

  6. Definiowanie uprawnień i właściwości roli zabezpieczeń.

Edytowanie roli zabezpieczeń

Wybierz nazwę roli lub wybierz wiersz, a następnie wybierz Edytuj Następnie zdefiniuj uprawnienia i właściwości roli bezpieczeństwa.

Niektórych predefiniowanych ról zabezpieczeń nie można edytować. Jeśli spróbujesz edytować te role, przyciski Zapisz i Zapisz + Zamknij nie będą dostępne.

Kopiowanie roli zabezpieczeń

Wybierz rola zabezpieczeń a następnie wybierz opcję Kopiuj. Nadaj roli nową nazwę. Edytuj rolę zabezpieczeń w razie potrzeby.

Kopiowane są tylko uprawnienia, a nie przypisani członkowie i zespoły.

Przeprowadzanie inspekcji ról zabezpieczeń

Zbadaj role zabezpieczeń w celu lepszego zrozumienia zmian zabezpieczeń wprowadzonych w środowisku Power Platform.

Tworzenie i konfigurowanie niestandardowej roli zabezpieczeń

Jeśli Twoja aplikacja korzysta z encji niestandardowej, to zanim będzie można używać aplikacji, jej uprawnienia muszą zostać jawnie udzielone w roli zabezpieczeń. Uprawnienia te można dodać w istniejącej roli zabezpieczeń albo utworzyć niestandardową rolę zabezpieczeń.

Każda rola bezpieczeństwa musi zawierać minimalny zestaw uprawnień. Dowiedz się więcej o rolach i uprawnieniach zabezpieczeń.

Napiwek

Środowisko może utrzymywać rekordy, które mogą być używane przez wiele aplikacji. Możesz potrzebować wielu ról zabezpieczeń, które przyznają różne uprawnienia. Na przykład:

  • Niektórzy użytkownicy (edytorzy) mogą potrzebować jedynie odczytywać, aktualizować i dołączać inne rekordy, więc ich rola zabezpieczeń będzie miała uprawnienia do odczytu, zapisu i dołączania.
  • Inni użytkownicy mogą potrzebować wszystkich uprawnień, które mają redaktorzy, a także możliwości tworzenia, dołączania, usuwania i udostępniania. Rola bezpieczeństwa dla tych użytkowników będzie mieć uprawnienia do tworzenia, odczytu, zapisu, dołączania, usuwania, przypisywania, dołączania i udostępniania.

Tworzenie niestandardowego pola roli zabezpieczeń z minimalnymi uprawnieniami do uruchamiania aplikacji

  1. Zaloguj się do centrum administracyjnego Power Platform, wybierz Środowiska w okienku nawigacji, a następnie wybierz środowisko.

  2. Wybierz Ustawienia>Użytkownicy + uprawnienia>Role zabezpieczeń.

  3. Wybierz rolę Otwierający aplikacje, a następnie wybierz Kopij.

  4. Wprowadź nazwę roli niestandardowej, a następnie wybierz opcję Kopiuj.

  5. Na liście ról zabezpieczeń wybierz nową rolę, a następnie wybierz Więcej działań (...) >Edytuj.

  6. W edytorze ról wybierz kartę Encje niestandardowe.

  7. Odszukaj na liście tabelę niestandardową i wybierz uprawnienia Odczyt, Zapis i Dołącz.

  8. Wybierz Zapisz i zamknij.

Tworzenie niestandardowej roli zabezpieczeń od podstaw

  1. Zaloguj się do centrum administracyjnego Power Platform, wybierz Środowiska w okienku nawigacji, a następnie wybierz środowisko.

  2. Wybierz Ustawienia>Użytkownicy + uprawnienia>Role zabezpieczeń.

  3. Wybierz pozycję Nowa rola.

  4. Wprowadź nazwę nowej roli na karcie Szczegóły.

  5. W pozostałych zakładkach znajdź swoją encję, a następnie wybierz akcje i zakres ich wykonywania.

  6. Wybierz kartę i wyszukaj swoją encję. Na przykład wybierz kartę Encje niestandardowe, aby ustawić uprawnienia do encji niestandardowej.

  7. Wybierz uprawnienia Odczyt, Zapis, Dołącz.

  8. Wybierz pozycję Zapisz i zamknij.

Minimalne uprawnienia do uruchomienia aplikacji

Po utworzeniu niestandardowej roli zabezpieczeń rola ta musi mieć zestaw minimalnych uprawnień, aby użytkownik mógł uruchomić aplikację. Dowiedz się więcej o wymaganych minimalnych uprawnieniach.

Zobacz też

Udzielanie użytkownikom dostępu
Kontrolowanie dostępu użytkowników do środowisk: grupy zabezpieczeń i licencje
Jak jest ustalany dostęp do rekordu