Конфигуриране на защитата на потребителите в среда
Microsoft Dataverse използва ролеви базиран модел за защита, за да контролира достъпа до база данни и нейните ресурси в среда. Използвайте роли за достъп, за да конфигурирате достъпа до всички ресурси в дадена среда или до конкретни приложения и данни в средата. Комбинация от нива на достъп и разрешения в права за достъп определя кои приложения и данни потребителите могат да преглеждат и как могат да взаимодействат с тези приложения и данни.
Една среда може да има никаква или една Dataverse база данни. Присвоявате роли за достъп по различен начин за среди, които нямат Dataverse база данни, и среди, които имат база данни Dataverse .
Научете повече за околната среда в Power Platform.
Предварително определени права за достъп
Средите включват предварително дефинирани права за достъп, които отразяват често срещани потребителски задачи. Предварително дефинираните роли за защита следват най-добрата практика за сигурност на "минимален необходим достъп": осигуряват най-малък достъп до минималните бизнес данни, от които потребителят се нуждае, за да използва приложение. Тези права за достъп могат да бъдат присвоени на потребител, екип собственик иекип на група. Предварително дефинираните права за достъп, които са налични в дадена среда, зависят от типа на средата и приложенията, които сте инсталирали в нея.
Друг набор от права за достъп се присвоява на потребителите на приложения. Тези права за достъп са инсталирани от нашите услуги и не могат да бъдат актуализирани.
Среди без база данни на Dataverse
Създател на среда и Администратор на среда са единствените предварително дефинирани роли за среди, които нямат база данни на Dataverse. Тези роли са описани в следващата таблица.
Права за достъп | Описание |
---|---|
Администратор на среда | Ролята на администратор на околната среда може да изпълнява всички административни действия върху дадена среда, включително:
|
Създател на среда | Може да създава нови ресурси, свързани със среда, включително приложения, връзки, персонализирани API, шлюзове и потоци с помощта на Microsoft Power Automate. Тази роля обаче няма привилегии за достъп до данни в среда. Създателите на околната среда могат също да разпространяват приложенията, които изграждат в дадена среда, на други потребители във вашата организация. Те могат да споделят приложението с отделни потребители, групи за защита или всички потребители в организацията. |
Среди с база данни Dataverse
Ако средата има база данни, на потребителя трябва да бъде присвоена ролята на системен администратор вместо ролята на администратор на средата, за да има Dataverse пълни привилегии на администратор.
Потребителите, които създават приложения, които се свързват с базата данни и трябва да създават или актуализират обекти и права за защита, трябва да имат ролята на системен персонализатор в допълнение към ролята на създател на среда. Ролята на Environment Maker няма привилегии върху данните на околната среда.
Следващата таблица описва предварително дефинираните права за достъп в среда, която има Dataverse база данни. Не можете да редактирате тези роли.
Права за достъп | Описание |
---|---|
Инструмент за отваряне на приложения | Има минимални привилегии за общи задачи. Тази роля се използва предимно като шаблон за създаване на персонализиран права за достъп за приложения, задвижвани от модели. Той няма никакви привилегии за основните бизнес таблици, като например "Партньор", "Контакт" и "Активност". Той обаче има достъп за четене на организационно ниво до системни таблици, като например "Процес", за да поддържа четене на предоставените от системата работни потоци. Обърнете внимание, че този права за достъп се използва, когато се създава нов, персонализиранправа за достъп. |
Основен потребител | Само за готови обекти могат да изпълняват приложение в средата и да изпълняват общи задачи върху записите, които притежават. Той има привилегии за основните бизнес таблици, като например "Партньор", "Контакт" и "Дейност". Забележка: Потребителятправа за достъп е преименуван Common Data Service на Basic User . Променено е само името; Потребителските привилегии и присвояването на роли са едни и същи. Ако имате решение с Common Data Service User права за достъп, трябва да актуализирате решението, преди да го импортирате отново. В противен случай може по невнимание да промените името права за достъп обратно на Потребител , когато импортирате решението. |
Представител | Позволява кодът да се представя за друг потребител или дасе изпълнява като него. Обикновено се използва с друга роля на защита за разрешаване на достъп до записи. |
Dynamics 365 Администратор | Администраторът на Dynamics 365 е роля на администратор на услуга на Microsoft Power Platform. Тази роля може да изпълнява функции на администратор, защото те имат ролята на Microsoft Power Platform системен администратор. |
Създател на среда | Може да създава нови ресурси, свързани със среда, включително приложения, връзки, персонализирани API, шлюзове и потоци с помощта на Microsoft Power Automate. Тази роля обаче няма никакви привилегии за достъп до данни в среда. Създателите на околната среда могат също да разпространяват приложенията, които изграждат в дадена среда, на други потребители във вашата организация. Те могат да споделят приложението с отделни потребители, групи за защита или всички потребители в организацията. |
Глобален администратор на | Глобалният администратор е администраторска Microsoft 365 роля. Лице, което закупува бизнес абонамента на Microsoft, е глобален администратор и има неограничен контрол върху продуктите в абонамента и достъп до повечето данни. |
Глобален четец | Ролята Global Reader все още не се поддържа в центъра за Power Platform администриране. |
Сътрудник на Office | Има разрешение за четене на таблици, в които е споделен запис с организацията. Няма достъп до други основни и потребителски таблични записи. Тази роля се възлага на екипа на собствениците на Office Collaborators, а не на отделен потребител. |
Администратор на Power Platform | Power Platform Администраторът е роля на администратор на Microsoft Power Platform услуги. Тази роля може да изпълнява функции на администратор, защото те имат ролята на Microsoft Power Platform системен администратор. |
Услугата е изтрита | Има пълно разрешение за изтриване за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква изтриване на записи във всички обекти. Тази роля не може да бъде присвоена на потребител или екип. |
Четец на услуги | Има пълно разрешение за четене за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква четене на всички обекти. Тази роля не може да бъде присвоена на потребител или екип. |
Писател на услуга | Има пълно разрешение за създаване, четене и писане за всички обекти, включително персонализирани обекти. Тази роля се използва предимно от услугата и изисква създаване и актуализиране на записи. Тази роля не може да бъде присвоена на потребител или екип. |
Поддържащ потребител | Има пълно разрешение за четене на настройките за персонализиране и управление на бизнеса, които позволяват на помощния персонал да отстранява проблеми с конфигурацията на средата. Тази роля няма достъп до основните записи. Тази роля не може да бъде присвоена на потребител или екип. |
Системен администратор | Има пълно разрешение за персонализиране или администриране на средата, включително създаване, модифициране и присвояване на права за достъп. Може да вижда всички данни в средата. |
Системен персонализатор | Има пълно разрешение за персонализиране на средата. Може да преглежда всички данни от таблици по избор в средата. Потребителите с тази роля обаче могат да преглеждат само записите, които създават в таблиците "Партньор", "Контакт", "Активност". |
Собственик на приложение за уеб сайт | Потребител, който притежава регистрацията на приложението за уеб сайт в портала Azure. |
Собственик на уеб сайт | Потребителят, който е създал Power Pages сайта. Тази роля се управлява и не може да бъде променяна. |
В допълнение към предварително дефинираните права за достъп, описани за Dataverse, други права за достъп може да са налични във вашата среда в зависимост от компонентите Power Platform –,,Power Apps, Power Automate – Power Virtual Agents които имате. Следващата таблица предоставя връзки към повече информация.
Компонент на Power Platform | Информация |
---|---|
Power Apps | Предварително дефинирани роли за сигурност за среди с база данни Dataverse |
Power Automate | Защита и поверителност |
Power Pages | Роли, необходими за администриране на уеб сайт |
Power Virtual Agents | Задаване на роли за сигурност на средата |
Dataverse for Teams среди
Научете повече за предварително дефинираните права за достъп в Dataverse for Teams среди.
Специфични за приложението роли на защита
Ако разположите приложения на Dynamics 365 във вашата среда, се добавят други права за достъп. Следващата таблица предоставя връзки към повече информация.
Приложение на Dynamics 365 | Документи за роли на защита |
---|---|
Продажби в Dynamics 365 | Предварително дефинирани роли за сигурност за Sales |
Dynamics 365 Marketing | Права за достъп, добавени от Dynamics 365 Marketing |
Dynamics 365 Field Service | Dynamics 365 Field Service роли + дефиниции |
Dynamics 365 Customer Service | Роли в Омниканал за Customer Service |
Dynamics 365 Customer Insights | Роли на Customer Insights |
Диспечер на профил на приложение | Роли и привилегии, свързани с диспечер на профили на приложения |
Dynamics 365 Finance | Роли в сигурността в публичния сектор |
Приложения за финанси и операции | Роли на защита в Microsoft Power Platform |
Обобщение на наличните ресурси за предварително дефинирани права за достъп
Следващата таблица описва кои ресурси може да създаде всеки права за достъп.
Ресурс | Създател на среда | Администратор на среда | Системен персонализатор | Системен администратор |
---|---|---|---|---|
Приложение за платно | X | X | X | X |
Поток за облак | X (не-решение-наясно) | X | X | X |
Конектор | X (не-решение-наясно) | X | X | X |
Връзка* | X | X | X | X |
Шлюз за данни | X | X | - | X |
Поток от данни | X | X | - | X |
Таблици на Dataverse | - | - | X | X |
Приложение, управлявано от модел | X | - | X | X |
Рамка за решения | X | - | X | X |
Поток на работния плот** | - | - | X | X |
AI Builder | - | - | X | X |
* Връзките се използват в платно приложения и Power Automate.
**Dataverse for Teams Потребителите не получават достъп до потоците на работния плот по подразбиране. Трябва да надстроите средата си до пълни Dataverse възможности и да придобиете лицензионни планове за десктоп поток, за да използвате потоците на работния плот.
Присвоете роли на защита на потребителите в среда без база данни на Dataverse
За среди без Dataverse база данни потребител, който има ролята на администратор на средата в средата, може да присвоява права за достъп на отделни потребители или групи от Microsoft Entra ИД.
Избор на Среди> [избор на среда].
В плочката достъп изберете Вижте всички за Администратор на среда или Създател на среда за добавяне или премахване на хора за всяка една от ролите.
Изберете Добавяне на хора и след това задайте името или имейл адреса на един или повече потребители или групи от Microsoft Entra ИД.
Избери Добавяне.
Присвоете роли на защита на потребителите в среда с база данни на Dataverse
Ролите за достъп могат да бъдат присвоени на отделни потребители, екипи собственици игрупови екипи Microsoft Entra . Преди да присвоите роля на потребител, проверете дали акаунтът на потребителя е добавен към и е разрешен в средата.
По принцип права за достъп може да бъде присвоен само на потребители, чиито акаунти са разрешени в околната среда. За да присвоите права за достъп на потребителски акаунт, който е забранен в средата, включете allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.
Избор на Среди> [избор на среда].
В плочката Access изберете Виж всички под Права за достъп.
Уверете се, че правилната бизнес единица е избрана в списъка, и след това изберете роля от списъка с роли в средата.
Изберете Добавяне на хора и след това задайте името или имейл адреса на един или повече потребители или групи от Microsoft Entra ИД.
Избери Добавяне.
Създаване, редактиране или копиране на права за достъп с помощта на новия, модерен потребителски интерфейс
Можете лесно да създавате, редактирате или копирате права за достъп и да го персонализирате, за да отговаря на вашите нужди.
Отидете в центъра Power Platform за администриране, изберете Средив навигационния екран и след това изберете среда.
Изберете Настройки.
Разгъване на Потребители + Разрешения.
Изберете Права за достъп.
Изпълнете подходящата задача:
Създаване на роля на защита
Изберете Нова роля от командната лента.
В полето Име на роля въведете име за новата роля.
В полето Филиал изберете филиала, към който принадлежи ролята.
Изберете дали членовете на екипа да наследят ролята.
Ако тази настройка е разрешена и ролята е присвоена на екип, всички членове на екипа наследяват всички привилегии, свързани с ролята.
Изберете Запиши.
Редактиране на права за достъп
Или изберете името на ролята, или изберете реда и след това изберете Редактиране. След това определете привилегиите и свойствата на права за достъп.
Някои предварително дефинирани права за достъп не могат да се редактират. Ако се опитате да редактирате тези роли, бутоните Запиши и Запиши + Затвори не са налични.
Копиране на права за достъп
Изберете права за достъп и след това изберете Копирай. Дайте на ролята ново име. Редактирайте права за достъп , ако е необходимо.
Копират се само привилегиите, а не назначените членове и екипи.
Проверка на правата за достъп
Проверявайте ролите за сигурност, за да разберете по-добре промените, направени в сигурността във вашата Power Platform среда.
Създаване или конфигуриране на персонализирани права за достъп
Ако приложението ви използва персонализиран обект, неговите привилегии трябва да бъдат изрично предоставени в права за достъп, преди приложението ви да може да бъде използвано. Можете да добавите тези привилегии в съществуващи права за достъп или да създадете персонализирани права за достъп.
Всеки права за достъп трябва да включва минимален набор от привилегии. Научете повече за правата за достъп и привилегиите.
Съвет
Средата може да поддържа записи, които могат да се използват от няколко приложения. Може да се нуждаете от няколко права за достъп, които предоставят различни привилегии. Например:
- Някои потребители (наричайте ги редактори) може да се наложи само да четат, актуализират и прикачват други записи, така че техните права за достъп ще имат привилегии за четене, писане и добавяне.
- Другите потребители може да се нуждаят от всички привилегии, които редакторите имат, плюс възможността да създават, добавят, изтриват и споделят. права за достъп за тези потребители ще има права за създаване, четене, писане, добавяне, изтриване, присвояване, добавяне и споделяне.
Създаване на персонализиран права за достъп с минимални привилегии за стартиране на приложение
влезте в центъра Power Platform заадминистриране, изберете Среди в навигационния екран и след това изберете среда.
Изберете Настройки>Потребители + разрешения>Права за достъп.
Изберете ролята на App Opener и след това изберете Копирай.
Въведете името на потребителската роля и след това изберете Копирай.
В списъка с права за достъп изберете новата роля и след това изберете Още действия (...) >Редактиране.
В редактора на роли изберете раздела Обекти по избор.
Намерете вашата таблица по избор в списъка и изберете привилегиите Четене, Писане и Добавяне .
Изберете Запиши и затвори.
Създаване на персонализиран права за достъп от самото начало
влезте в центъра Power Platform заадминистриране, изберете Среди в навигационния екран и след това изберете среда.
Изберете Настройки>Потребители + разрешения>Права за достъп.
Изберете Нова роля.
Въведете името на новата роля в раздела Подробни данни .
В другите раздели намерете вашия обект и след това изберете действия и обхвата за тяхното изпълнение.
Изберете раздел и потърсете обекта си. Например, изберете раздела Персонализирани организации за задаване на разрешения на персонализиран обект.
Изберете привилегиите Четене,Запис,Добавяне.
Изберете Записване и затваряне.
Минимални привилегии за стартиране на приложение
Когато създавате потребителски права за достъп, ролята трябва да има набор от минимални привилегии, за да може потребителят да изпълнява приложение. Научете повече за задължителните минимални привилегии.
Вижте също
Предоставяне на достъп на потребителите
Управление на потребителския достъп до средите: групи за защита и лицензи
Как се определя достъпът до запис