Настройка безопасности пользователей в среде

  • Статья

Microsoft Dataverse использует модель безопасности на основе ролей для управления доступом к базе данных и ее ресурсам в среде. Используйте роли безопасности для настройки доступа ко всем ресурсам в среде или к определенным приложениям и данным в среде. Сочетание уровней доступа и разрешений в роли безопасности определяет, какие приложения и данные пользователи могут просматривать и как они могут взаимодействовать с этими приложениями и данными.

Среда может не иметь баз данных или иметь одну базу данных Dataverse. Роли безопасности назначаются по разному для сред без базы данных Dataverse и сред с базой данных Dataverse.

Дополнительные сведения о средах в Power Platform.

Стандартные роли безопасности

Среды включают предопределенные роли безопасности, которые отражают общие задачи пользователей. Предопределенные роли безопасности следуют рекомендации по обеспечению безопасности «минимально необходимый доступ»: предоставляют наименьший доступ к минимальным бизнес-данным, которые необходимы пользователю для использования приложения. Эти роли безопасности могут быть назначены пользователю, рабочей группе-владельцу и рабочей группе группы. Предопределенные роли безопасности, доступные в среде, зависят от типа среды и установленных в ней приложений.

Другой набор ролей безопасности назначается пользователям приложения. Эти роли безопасности устанавливаются нашими службами и не могут быть обновлены.

Среды без базы данных Dataverse

Создатель среды и администратор среды — единственные предопределенные роли для сред без базы данных Dataverse. Эти роли описаны в следующей таблице.

Роль безопасности Описание:
Администратор окружения Роль администратора среды может выполнять все административные действия в среде, включая:
  • Добавление или удаление пользователя из роли администратора среди или создателя среды.
  • Подготовка базы данных Dataverse для среды. После того, как база данных подготовлена, назначьте роль "Настройщик системы" администратору среды, чтобы предоставить ему доступ к данным среды.
  • Просмотр и управление всеми ресурсами, созданными в среде.
  • Создайте политики защиты от потери данных.
Создатель среды Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API, шлюзы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет прав получения доступа к данным в среде.

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.

Среды с базой данных Dataverse

Если среда имеет базу данных Dataverse, пользователю должна быть назначена роль системного администратора вместо роли администратора среды для получения полных привилегий администратора.

Пользователи, которые создают приложения, которые подключаются к базе данных и нуждаются в создании или обновлении сущностей и ролей безопасности, должны иметь роль "Настройщик системы" в дополнение к роли "Создатель среды". Роль "Создатель среды" не имеет привилегий для данных среды.

В следующей таблице описаны предопределенные роли безопасности в среде с базой данных Dataverse. Вы не можете изменять эти роли.

Роль безопасности Описание:
Открыватель приложений Имеет минимальные привилегии для стандартных задач. Эта роль в основном используется в качестве шаблона для создания пользовательской роли безопасности для приложений на основе модели. У него нет никаких привилегий для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие». Однако он имеет доступ на чтение на уровне Организация к системным таблицам, например Процесс, для поддержки чтения рабочих процессов, предоставленных системой. Обратите внимание, что эта роль безопасности используется при создании новой пользовательской роли безопасности.
Обычный пользователь Только для готовых сущностей можно запустить приложение в среде и выполнять общие задачи с записями, за которые он отвечает. У него есть привилегии для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие».

Примечание. Роль безопасности Common Data Service Пользователь была переименована в Обычный пользователь. Только имя было изменено; привилегии пользователя и назначение ролей одинаковы. Если у вас есть решение с ролью безопасности Common Data Service Пользователь, вам следует обновить его перед повторным импортом. В противном случае вы можете случайно изменить имя роль безопасности обратно на Пользователь при импорте решения.
Делегирование Позволяет коду олицетворять, или выполняться от лица другого пользователя. Обычно используется с другой ролью безопасности для обеспечения доступа к записям.
Администратор Dynamics 365 Администратор Dynamics 365 — это роль администратора службы Microsoft Power Platform. Эта роль может выполнять функции администрирования в Microsoft Power Platform, поскольку у него будет роль системного администратора.
Создатель среды Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API, шлюзы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде.

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.
Глобальный администратор Глобальный администратор — это роль администратора Microsoft 365. Лицо, приобретающее бизнес-подписку Майкрософт, является глобальным администратором и имеет неограниченный контроль над продуктами в рамках подписки и доступ к большинству данных.
Глобальный читатель Роль Глобальный читатель еще не поддерживается в центре администрирования Power Platform.
Участник совместной работы Office Имеет разрешение на чтение для таблиц, в которых запись была разрешена для доступа организации. Не имеет доступа ни к каким другим записям основных и настраиваемых таблиц. Эта роль назначается группе владельцев-участников совместной работы Office, а не отдельному пользователю.
Администратор Power Platform Администратор Power Platform — это роль администратора службы Microsoft Power Platform. Эта роль может выполнять функции администрирования в Microsoft Power Platform, поскольку у нее будет роль системного администратора.
Сервис удален Имеет полное разрешение на удаление для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует удаления записей во всех сущностях. Эту роль нельзя назначить пользователю или рабочей группе.
Читатель статей по обслуживанию Имеет полное разрешение на чтение для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует чтения всех сущностей. Эту роль нельзя назначить пользователю или рабочей группе.
Автор статей по обслуживанию Имеет полное разрешение на создание, чтение и запись для всех сущностей, включая настраиваемые сущности. Эта роль в основном используется сервисом и требует создания и обновления записей. Эту роль нельзя назначить пользователю или рабочей группе.
Пользователь поддержки Имеет полное разрешение на чтение для настройки и управления бизнесом, что позволяет сотрудникам службы поддержки устранять неполадки конфигурации среды. Эта роль не имеет доступа к основным записям. Эту роль нельзя назначить пользователю или рабочей группе.
Системный администратор Имеет полное разрешение на настройку или администрирование среды, в том числе создание, изменение и назначение ролей безопасности. Может просматривать все данные в среде.
Настройщик системы Имеет полное разрешение для настройки среды. Может просматривать все пользовательские табличные данные в среде. Однако пользователи с этой ролью могут просматривать только записи для создаваемых ими в таблицах организация, контакт, действие.
Владелец приложения веб-сайта Пользователь, которому принадлежит веб-сайт регистрации приложения на портале Azure.
Владелец веб-сайта Пользователь , создавший веб-сайт Power Pages. Эта ролью управляемая и ее нельзя изменить.

В дополнение к предопределенным ролям безопасности, описанным для Dataverse, в вашей среде могут быть доступны другие роли безопасности в зависимости от компонентов Power Platform — Power Apps, Power Automate, Power Virtual Agents, — которые есть у вас. В следующей таблице приведены ссылки на дополнительную информацию.

Компонент Power Platform Информация
Power Apps Предопределенные роли безопасности для сред с базой данных Dataverse
Power Automate Безопасность и конфиденциальность
Power Pages Роли, необходимые для администрирования веб-сайта
Power Virtual Agents Назначение ролей безопасности среды

Среды: Dataverse for Teams

Узнайте больше о ролях безопасности и предопределенных ролях безопасности в средах Dataverse for Teams.

Роли безопасности для конкретного приложения

Если вы развертываете приложения Dynamics 365 в своей среде, добавляются другие роли безопасности. В следующей таблице приведены ссылки на дополнительную информацию.

Приложение Dynamics 365 Документы по ролям безопасности
Dynamics 365 Sales Предопределенные роли безопасности для Sales
Dynamics 365 Marketing Роли безопасности, добавленные приложением Dynamics 365 Marketing
Dynamics 365 Field Service Роли Dynamics 365 Field Service + определения
Dynamics 365 Customer Service Роли в многоканальном взаимодействии для Customer Service
Dynamics 365 Customer Insights Роли Customer Insights
Диспетчер профилей приложений Роли и привилегии, связанные с диспетчером профилей приложений
Dynamics 365 Finance Роли безопасности в государственном секторе
Приложения для управления финансами и операциями Роли безопасности в Microsoft Power Platform

Сводка ресурсов, доступных для предопределенных ролей безопасности

В следующей таблице описано, какие ресурсы могут разрабатываться каждой ролью безопасности.

Resource Создатель среды Администратор окружения Настройщик системы Системный администратор
Приложение на основе полотна X X X X
Облачный поток X (не зависит от решения) X X X
Connector X (не зависит от решения) X X X
Подключение* X X X X
Шлюз данных X X - X
Поток данных X X - X
Таблицы Dataverse - - X X
Приложение на основе моделей X - X X
Платформа решений X - X X
Классический поток** - - X X
AI Builder - - X X

*Подключения используются в приложениях на основе холста и Power Automate.

**Пользователи Dataverse for Teams по умолчанию не получают доступ к классическим потокам. Вам необходимо обновить среду до полных возможностей Dataverse и приобрести планы лицензий для классических потоков для использования классических потоков.

Назначение ролей безопасности пользователям в среде без базы данных Dataverse

Для сред без базы данных Dataverse пользователь с ролью администратора среды в среде может назначать роли безопасности отдельным пользователям или группам из Microsoft Entra ID.

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Среды> [выберите среду].

  3. В плитке Доступ выберите Показать все для параметра Администратор среды или Создатель среды для добавления или удаления пользователей для любой из этих ролей.

    Снимок экрана выбора роли безопасности в центре администрирования Power Platform.

  4. Выберите Добавить пользователей, затем укажите имя или адрес электронной почты одного или нескольких пользователей или групп из Microsoft Entra ID.

    Снимок экрана добавления пользователей к роли создателя среды в центре администрирования Power Platform.

  5. Выберите Добавить.

Назначьте роли безопасности пользователям в среде с базой данных Dataverse

Роли безопасности могут быть назначены отдельным пользователям, владельцам рабочих групп и рабочим группам групп Microsoft Entra. Прежде чем назначить роль пользователю, убедитесь, что учетная запись пользователя была добавлена в среду и включена в среде.

Как правило, роль безопасности можно назначить только пользователям, учетные записи которых включены в среде. Чтоб назначить роль безопасности учетным записям пользователей, которые отключены в среде, включите параметр allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Среды> [выберите среду].

  3. На плитке Доступ выберите Показать все в разделе Роли безопасности.

    Снимок экрана с возможностью просмотра всех ролей безопасности в центре администрирования Power Platform.

  4. Убедитесь, что в списке выбрано нужное бизнес-подразделение, затем выберите роль из списка ролей в среде.

  5. Выберите Добавить пользователей, затем укажите имя или адрес электронной почты одного или нескольких пользователей или групп из Microsoft Entra ID.

  6. Выберите Добавить.

Создание, изменение или копирование роли безопасности с помощью нового современного пользовательского интерфейса

Вы можете легко создавать, редактировать или копировать роль безопасности, а также настраивать ее в соответствии со своими потребностями.

  1. Перейдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры.

  3. Разверните Пользователи + разрешения.

  4. Выберите Роли безопасности.

  5. Выполните соответствующую задачу:

Создание роли безопасности

  1. На панели команд выберите Создать роль.

  2. В поле Имя роли введите имя новой роли.

  3. В поле Подразделение выберите подразделение, которому принадлежит роль.

  4. Выберите, должны ли участники рабочей группы наследовать роль.

    Если этот параметр включен и роль назначена рабочей группе, все участники рабочей группы наследуют все привилегии, связанные с этой ролью.

  5. Выберите Сохранить.

  6. Определите привилегии и свойства роли безопасности.

Изменение роли безопасности

Выберите имя роли или выберите строку, затем выберите Изменить. Затем определите привилегии и свойства роли безопасности.

Некоторые предопределенные роли безопасности нельзя редактировать. Если вы попытаетесь изменить эти роли, кнопки Сохранить и Сохранить + Закрыть будут недоступны.

Копирование роли безопасности

Выберите роль безопасности, затем выберите Копировать. Дайте роли новое имя. Измените роль безопасности, если требуется.

Копируются только привилегии, а не назначенные участники и рабочие группы.

Аудит ролей безопасности

Аудит ролей безопасности позволяет лучше понять изменения, внесенные в роли безопасности в среде Power Platform.

Создание или настройка настраиваемой роли безопасности

Если ваше приложение использует настраиваемую сущность, его привилегии должны быть явно предоставлены в роли безопасности, прежде чем ваше приложение можно будет использовать. Вы можете добавить эти привилегии в существующую роль безопасности или создать собственную роль безопасности.

Каждая роль безопасности должна включать минимальный набор привилегий. Подробнее о ролях безопасности и привилегиях.

Совет

В среде могут храниться записи, которые могут использоваться несколькими приложениями. Вам может понадобиться несколько ролей безопасности, предоставляющих разные привилегии. Например:

  • Некоторым пользователям (назовем их редакторами) может быть нужно только считывать, обновлять и добавлять другие записи, поэтому их роль безопасности будет иметь привилегии на чтение, запись и добавление.
  • Другим пользователям могут понадобиться все привилегии, которыми обладают редакторы, а также возможность создавать, добавлять, удалять и делиться. Роль безопасности таких пользователи будет предоставлять разрешения на создание, чтение, запись, добавление, удаление, назначение, присоединение и предоставление общего доступа.

Создание пользовательской роли безопасности с минимальными привилегиями для запуска приложения

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите роль Открытие приложения, затем выберите Копировать.

  4. Введите имя пользовательской роли, затем выберите Копировать.

  5. В списке ролей безопасности выберите новую роль, затем выберите Больше действий () >Изменить.

  6. В редакторе ролей выберите вкладку Пользовательские сущности.

  7. Найдите свою настраиваемую таблицу в списке и выберите привилегии Чтение, Запись и Добавление.

  8. Выберите Сохранить и закрыть.

Создание настраиваемой роли безопасности с нуля

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите Создать роль.

  4. Введите имя новой роли на вкладке Сведения.

  5. На других вкладках найдите свою сущность, затем выберите действия и область их выполнения.

  6. Выберите вкладку и найдите свою сущность. Например, выберите вкладку Настраиваемые сущности, чтобы установить разрешения для настраиваемой сущности.

  7. Выберите привилегии Чтение, Запись, Добавление.

  8. Выберите Сохранить и закрыть.

Минимальные привилегии для запуска приложения

Когда вы создаете настраиваемую роль безопасности, роль должна иметь набор минимальных привилегий, чтобы пользователь мог запустить приложение. Подробнее об обязательных минимальных привилегиях.

См. также

Предоставление пользователям доступа
Управление доступом пользователей к средам: группы безопасности и лицензии
Способы определения доступа к записи