Конфигуриране на защитата на потребителите в среда

  • Статия

Microsoft Dataverse използва ролеви базиран модел за защита, за да контролира достъпа до база данни и нейните ресурси в среда. Използвайте роли за достъп, за да конфигурирате достъпа до всички ресурси в дадена среда или до конкретни приложения и данни в средата. Комбинация от нива на достъп и разрешения в права за достъп определя кои приложения и данни потребителите могат да преглеждат и как могат да взаимодействат с тези приложения и данни.

Една среда може да има никаква или една Dataverse база данни. Присвоявате роли за достъп по различен начин за среди, които нямат Dataverse база данни, и среди, които имат база данни Dataverse .

Научете повече за околната среда в Power Platform.

Предварително определени права за достъп

Средите включват предварително дефинирани права за достъп, които отразяват често срещани потребителски задачи. Предварително дефинираните роли за защита следват най-добрата практика за сигурност на "минимален необходим достъп": осигуряват най-малък достъп до минималните бизнес данни, от които потребителят се нуждае, за да използва приложение. Тези права за достъп могат да бъдат присвоени на потребител, екип собственик иекип на група. Предварително дефинираните права за достъп, които са налични в дадена среда, зависят от типа на средата и приложенията, които сте инсталирали в нея.

Друг набор от права за достъп се присвоява на потребителите на приложения. Тези права за достъп са инсталирани от нашите услуги и не могат да бъдат актуализирани.

Среди без база данни на Dataverse

Създател на среда и Администратор на среда са единствените предварително дефинирани роли за среди, които нямат база данни на Dataverse. Тези роли са описани в следващата таблица.

Права за достъп Описание
Администратор на среда Ролята на администратор на околната среда може да изпълнява всички административни действия върху дадена среда, включително:
  • Добавяне или премахване на потребител от ролята Администратор на среда или Създател на среда.
  • Осигурете база данни на Dataverse за средата. След като се осигури база данни, задайте ролята на System Customizer на администратор на средата, за да му дадете достъп до данните на средата.
  • Преглед и управление на всички ресурси, създадени в дадена среда.
  • Създаване на политики за предотвратяване на загуба на данни.
Създател на среда Може да създава нови ресурси, свързани със среда, включително приложения, връзки, персонализирани API, шлюзове и потоци с помощта на Microsoft Power Automate. Тази роля обаче няма привилегии за достъп до данни в среда.

Създателите на околната среда могат също да разпространяват приложенията, които изграждат в дадена среда, на други потребители във вашата организация. Те могат да споделят приложението с отделни потребители, групи за защита или всички потребители в организацията.

Среди с база данни Dataverse

Ако средата има база данни, на потребителя трябва да бъде присвоена ролята на системен администратор вместо ролята на администратор на средата, за да има Dataverse пълни привилегии на администратор.

Потребителите, които създават приложения, които се свързват с базата данни и трябва да създават или актуализират обекти и права за защита, трябва да имат ролята на системен персонализатор в допълнение към ролята на създател на среда. Ролята на Environment Maker няма привилегии върху данните на околната среда.

Следващата таблица описва предварително дефинираните права за достъп в среда, която има Dataverse база данни. Не можете да редактирате тези роли.

Права за достъп Описание
Инструмент за отваряне на приложения Има минимални привилегии за общи задачи. Тази роля се използва предимно като шаблон за създаване на персонализиран права за достъп за приложения, задвижвани от модели. Той няма никакви привилегии за основните бизнес таблици, като например "Партньор", "Контакт" и "Активност". Той обаче има достъп за четене на организационно ниво до системни таблици, като например "Процес", за да поддържа четене на предоставените от системата работни потоци. Обърнете внимание, че този права за достъп се използва, когато се създава нов, персонализиранправа за достъп.
Основен потребител Само за готови обекти могат да изпълняват приложение в средата и да изпълняват общи задачи върху записите, които притежават. Той има привилегии за основните бизнес таблици, като например "Партньор", "Контакт" и "Дейност".

Забележка: Потребителятправа за достъп е преименуван Common Data Service на Basic User . Променено е само името; Потребителските привилегии и присвояването на роли са едни и същи. Ако имате решение с Common Data Service User права за достъп, трябва да актуализирате решението, преди да го импортирате отново. В противен случай може по невнимание да промените името права за достъп обратно на Потребител , когато импортирате решението.
Представител Позволява кодът да се представя за друг потребител или дасе изпълнява като него. Обикновено се използва с друга роля на защита за разрешаване на достъп до записи.
Dynamics 365 Администратор Администраторът на Dynamics 365 е роля на администратор на услуга на Microsoft Power Platform. Тази роля може да изпълнява функции на администратор, защото те имат ролята на Microsoft Power Platform системен администратор.
Създател на среда Може да създава нови ресурси, свързани със среда, включително приложения, връзки, персонализирани API, шлюзове и потоци с помощта на Microsoft Power Automate. Тази роля обаче няма никакви привилегии за достъп до данни в среда.

Създателите на околната среда могат също да разпространяват приложенията, които изграждат в дадена среда, на други потребители във вашата организация. Те могат да споделят приложението с отделни потребители, групи за защита или всички потребители в организацията.
Глобален администратор на Глобалният администратор е администраторска Microsoft 365 роля. Лице, което закупува бизнес абонамента на Microsoft, е глобален администратор и има неограничен контрол върху продуктите в абонамента и достъп до повечето данни.
Глобален четец Ролята Global Reader все още не се поддържа в центъра за Power Platform администриране.
Сътрудник на Office Има разрешение за четене на таблици, в които е споделен запис с организацията. Няма достъп до други основни и потребителски таблични записи. Тази роля се възлага на екипа на собствениците на Office Collaborators, а не на отделен потребител.
Администратор на Power Platform Power Platform Администраторът е роля на администратор на Microsoft Power Platform услуги. Тази роля може да изпълнява функции на администратор, защото те имат ролята на Microsoft Power Platform системен администратор.
Услугата е изтрита Има пълно разрешение за изтриване за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква изтриване на записи във всички обекти. Тази роля не може да бъде присвоена на потребител или екип.
Четец на услуги Има пълно разрешение за четене за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква четене на всички обекти. Тази роля не може да бъде присвоена на потребител или екип.
Писател на услуга Има пълно разрешение за създаване, четене и писане за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква създаване и актуализиране на записи. Тази роля не може да бъде присвоена на потребител или екип.
Поддържащ потребител Има пълно разрешение за четене на настройките за персонализиране и управление на бизнеса, които позволяват на помощния персонал да отстранява проблеми с конфигурацията на средата. Тази роля няма достъп до основните записи. Тази роля не може да бъде присвоена на потребител или екип.
Системен администратор Има пълно разрешение за персонализиране или администриране на средата, включително създаване, модифициране и присвояване на права за достъп. Може да вижда всички данни в средата.
Системен персонализатор Има пълно разрешение за персонализиране на средата. Може да преглежда всички данни от таблици по избор в средата. Потребителите с тази роля обаче могат да преглеждат само записите, които създават в таблиците "Партньор", "Контакт", "Активност".
Собственик на приложение за уеб сайт Потребител, който притежава регистрацията на приложението за уеб сайт в портала Azure.
Собственик на уеб сайт Потребителят, който е създал Power Pages сайта. Тази роля се управлява и не може да бъде променяна.

В допълнение към предварително дефинираните права за достъп, описани за Dataverse, други права за достъп може да са налични във вашата среда в зависимост от компонентите Power Platform –,,Power Apps, Power Automate – Power Virtual Agents които имате. Следващата таблица предоставя връзки към повече информация.

Компонент на Power Platform Информация
Power Apps Предварително дефинирани роли за сигурност за среди с база данни Dataverse
Power Automate Защита и поверителност
Power Pages Роли, необходими за администриране на уеб сайт
Power Virtual Agents Задаване на роли за сигурност на средата

Dataverse for Teams среди

Научете повече за предварително дефинираните права за достъп в Dataverse for Teams среди.

Специфични за приложението роли на защита

Ако разположите приложения на Dynamics 365 във вашата среда, се добавят други права за достъп. Следващата таблица предоставя връзки към повече информация.

Приложение на Dynamics 365 Документи за роли на защита
Продажби в Dynamics 365 Предварително дефинирани роли за сигурност за Sales
Dynamics 365 Marketing Права за достъп, добавени от Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service роли + дефиниции
Dynamics 365 Customer Service Роли в Омниканал за Customer Service
Dynamics 365 Customer Insights Роли на Customer Insights
Диспечер на профил на приложение Роли и привилегии, свързани с диспечер на профили на приложения
Dynamics 365 Finance Роли в сигурността в публичния сектор
Приложения за финанси и операции Роли на защита в Microsoft Power Platform

Обобщение на наличните ресурси за предварително дефинирани права за достъп

Следващата таблица описва кои ресурси може да създаде всеки права за достъп.

Ресурс Създател на среда Администратор на среда Системен персонализатор Системен администратор
Приложение за платно X X X X
Поток за облак X (не-решение-наясно) X X X
Конектор X (не-решение-наясно) X X X
Връзка* X X X X
Шлюз за данни X X - X
Поток от данни X X - X
Таблици на Dataverse - - X X
Приложение, управлявано от модел X - X X
Рамка за решения X - X X
Поток на работния плот** - - X X
AI Builder - - X X

* Връзките се използват в платно приложения и Power Automate.

**Dataverse for Teams Потребителите не получават достъп до потоците на работния плот по подразбиране. Трябва да надстроите средата си до пълни Dataverse възможности и да придобиете лицензионни планове за десктоп поток, за да използвате потоците на работния плот.

Присвоете роли на защита на потребителите в среда без база данни на Dataverse

За среди без Dataverse база данни потребител, който има ролята на администратор на средата в средата, може да присвоява права за достъп на отделни потребители или групи от Microsoft Entra ИД.

  1. Влезте в центъра за администриране на Power Platform.

  2. Избор на Среди> [избор на среда].

  3. В плочката достъп изберете Вижте всички за Администратор на среда или Създател на среда за добавяне или премахване на хора за всяка една от ролите.

    Екранна снимка на избора на права за достъп в центъра за Power Platform администриране.

  4. Изберете Добавяне на хора и след това задайте името или имейл адреса на един или повече потребители или групи от Microsoft Entra ИД.

    Екранна снимка на добавянето на потребители към ролята на Environment Maker в центъра за Power Platform администриране.

  5. Избери Добавяне.

Присвоете роли на защита на потребителите в среда с база данни на Dataverse

Ролите за достъп могат да бъдат присвоени на отделни потребители, екипи собственици игрупови екипи Microsoft Entra . Преди да присвоите роля на потребител, проверете дали акаунтът на потребителя е добавен към и е разрешен в средата.

По принцип права за достъп може да бъде присвоен само на потребители, чиито акаунти са разрешени в околната среда. За да присвоите права за достъп на потребителски акаунт, който е забранен в средата, включете allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.

  1. Влезте в центъра за администриране на Power Platform.

  2. Избор на Среди> [избор на среда].

  3. В плочката Access изберете Виж всички под Права за достъп.

    Екранна снимка на опцията за преглед на всички права за достъп в центъра за Power Platform администриране.

  4. Уверете се, че правилната бизнес единица е избрана в списъка, и след това изберете роля от списъка с роли в средата.

  5. Изберете Добавяне на хора и след това задайте името или имейл адреса на един или повече потребители или групи от Microsoft Entra ИД.

  6. Избери Добавяне.

Създаване, редактиране или копиране на права за достъп с помощта на новия, модерен потребителски интерфейс

Можете лесно да създавате, редактирате или копирате права за достъп и да го персонализирате, за да отговаря на вашите нужди.

  1. Отидете в центъра Power Platform за администриране, изберете Средив навигационния екран и след това изберете среда.

  2. Изберете Настройки.

  3. Разгъване на Потребители + Разрешения.

  4. Изберете Права за достъп.

  5. Изпълнете подходящата задача:

Създаване на роля на защита

  1. Изберете Нова роля от командната лента.

  2. В полето Име на роля въведете име за новата роля.

  3. В полето Филиал изберете филиала, към който принадлежи ролята.

  4. Изберете дали членовете на екипа да наследят ролята.

    Ако тази настройка е разрешена и ролята е присвоена на екип, всички членове на екипа наследяват всички привилегии, свързани с ролята.

  5. Изберете Запиши.

  6. Дефиниране на привилегиите и свойствата на права за достъп.

Редактиране на права за достъп

Или изберете името на ролята, или изберете реда и след това изберете Редактиране. След това определете привилегиите и свойствата на права за достъп.

Някои предварително дефинирани права за достъп не могат да се редактират. Ако се опитате да редактирате тези роли, бутоните Запиши и Запиши + Затвори не са налични.

Копиране на права за достъп

Изберете права за достъп и след това изберете Копирай. Дайте на ролята ново име. Редактирайте права за достъп , ако е необходимо.

Копират се само привилегиите, а не назначените членове и екипи.

Проверка на правата за достъп

Проверявайте ролите за сигурност, за да разберете по-добре промените, направени в сигурността във вашата Power Platform среда.

Създаване или конфигуриране на персонализирани права за достъп

Ако приложението ви използва персонализиран обект, неговите привилегии трябва да бъдат изрично предоставени в права за достъп, преди приложението ви да може да бъде използвано. Можете да добавите тези привилегии в съществуващи права за достъп или да създадете персонализирани права за достъп.

Всеки права за достъп трябва да включва минимален набор от привилегии. Научете повече за правата за достъп и привилегиите.

Съвет

Средата може да поддържа записи, които могат да се използват от няколко приложения. Може да се нуждаете от няколко права за достъп, които предоставят различни привилегии. Например:

  • Някои потребители (наричайте ги редактори) може да се наложи само да четат, актуализират и прикачват други записи, така че техните права за достъп ще имат привилегии за четене, писане и добавяне.
  • Другите потребители може да се нуждаят от всички привилегии, които редакторите имат, плюс възможността да създават, добавят, изтриват и споделят. права за достъп за тези потребители ще има права за създаване, четене, писане, добавяне, изтриване, присвояване, добавяне и споделяне.

Създаване на персонализиран права за достъп с минимални привилегии за стартиране на приложение

  1. влезте в центъра Power Platform заадминистриране, изберете Среди в навигационния екран и след това изберете среда.

  2. Изберете Настройки>Потребители + разрешения>Права за достъп.

  3. Изберете ролята на App Opener и след това изберете Копирай.

  4. Въведете името на потребителската роля и след това изберете Копирай.

  5. В списъка с права за достъп изберете новата роля и след това изберете Още действия (...) >Редактиране.

  6. В редактора на роли изберете раздела Обекти по избор.

  7. Намерете вашата таблица по избор в списъка и изберете привилегиите Четене, Писане и Добавяне .

  8. Изберете Запиши и затвори.

Създаване на персонализиран права за достъп от самото начало

  1. влезте в центъра Power Platform заадминистриране, изберете Среди в навигационния екран и след това изберете среда.

  2. Изберете Настройки>Потребители + разрешения>Права за достъп.

  3. Изберете Нова роля.

  4. Въведете името на новата роля в раздела Подробни данни .

  5. В другите раздели намерете вашия обект и след това изберете действия и обхвата за тяхното изпълнение.

  6. Изберете раздел и потърсете обекта си. Например, изберете раздела Персонализирани организации за задаване на разрешения на персонализиран обект.

  7. Изберете привилегиите Четене,Запис,Добавяне.

  8. Изберете Записване и затваряне.

Минимални привилегии за стартиране на приложение

Когато създавате потребителски права за достъп, ролята трябва да има набор от минимални привилегии, за да може потребителят да изпълнява приложение. Научете повече за задължителните минимални привилегии.

Вижте също

Предоставяне на достъп на потребителите
Управление на потребителския достъп до средите: групи за защита и лицензи
Как се определя достъпът до запис