Benutzersicherheit in einer Umgebung konfigurieren
Microsoft Dataverse verwendet ein rollenbasiertes Sicherheitsmodell, um den Zugriff auf eine Datenbank und ihre Ressourcen in einer Umgebung zu steuern. Verwenden Sie Sicherheitsrollen zur Konfiguration des Zugriffs auf alle Ressourcen in einer Umgebung oder auf bestimmte Apps und Daten in der Umgebung. Eine Kombination aus Zugriffsebenen und Berechtigungen in einer Sicherheitsrolle bestimmt, welche Apps und Daten Benutzer anzeigen und wie sie mit diesen Apps und Daten interagieren können.
Eine Umgebung kann keine oder eine Dataverse-Datenbank haben. Sie weisen Sicherheitsrollen anders für Umgebungen zu, die keine Dataverse-Datenbank und Umgebungen, die eine Dataverse-Datenbank haben.
Weitere Informationen zu Umgebungen in Power Platform.
Vordefinierte Sicherheitsrollen
Umgebungen umfassen vordefinierte Sicherheitsrollen, die allgemeine Benutzeraufgaben widerspiegeln. Die vordefinierten Sicherheitsrollen folgen der Best Practices für die Sicherheit beim „mindestens erforderlichen Zugriff“: Geben Sie die mindestens erforderliche Zugriffsebene auf die Mindestmenge an Geschäftsdaten, die ein Benutzer für die Nutzung einer App benötigt. Diese Sicherheitsrollen können einem Benutzer, Besitzer-Team und Gruppen-Team zugewiesen werden. Die vordefinierten Sicherheitsrollen, die in einer Umgebung verfügbar sind, hängen vom Umgebungstyp und den Apps ab, die Sie darin installiert haben.
Ein weiterer Satz von Sicherheitsrollen wird Anwendungsbenutzern zugewiesen. Diese Sicherheitsrollen werden von unseren Diensten installiert und können nicht aktualisiert werden.
Umgebungen ohne eine Dataverse-Datenbank
Umgebungsersteller und Umgebungsadministrator sind die einzigen vordefinierten Rollen für Umgebungen ohne Dataverse-Datenbank. Diese Rollen sind in der folgenden Tabelle aufgeführt.
| Sicherheitsrolle | Beschreibung |
|---|---|
| Umgebungsadministrator | Die Rolle Umgebungsadministrator kann alle administrativen Aktionen in einer Umgebung ausführen, einschließlich:
|
| Umgebungserstellung | Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs, Gateways und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben. |
Umgebungen mit einer Dataverse-Datenbank
Wenn die Umgebung eine Dataverse-Datenbank hat, muss einem Benutzer die Rolle des Systemadministrators statt der Rolle des Umgebungsadministrators für volle Administratorberechtigung zugewiesen werden.
Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle haben. Die Umgebungserstellerrolle hat keine Berechtigungen für die Umgebungsdaten.
In der folgenden Tabelle werden die vordefinierten Sicherheitsrollen in einer Umgebung beschrieben, die über eine Dataverse-Datenbank verfügt. Sie können diese Rollen nicht bearbeiten.
| Sicherheitsrolle | Beschreibung |
|---|---|
| App-Öffner | Hat minimale Berechtigungen für häufige Aufgaben. Diese Rolle wird hauptsächlich als Vorlage zum Erstellen einer benutzerdefinierten Sicherheitsrolle für modellgesteuerte Apps verwendet. Es hat keine Berechtigungen für die wichtigsten Geschäftstabellen wie „Konto“, „Kontakt“ und „Aktivität“. Es verfügt jedoch über Lesezugriff auf Systemtabellen auf Organisationsebene, z. B. Prozesse, um das Lesen von über das System bereitgestellten Workflows zu unterstützen.. Beachten Sie, dass diese Sicherheitsrolle verwendet wird, wenn eine neue, benutzerdefinierte Sicherheitsrolle erstellt wird. |
| Basisbenutzer | Nur bei sofort einsatzbereiten Entitäten kann eine App in der Umgebung ausgeführt werden sowie allgemeine Aufgaben im Hinblick auf die eigenen Datensätze ausführen. Es gibt Berechtigungen für die wichtigsten Geschäftstabellen wie „Konto“, „Kontakt“ und „Aktivität“. Hinweis: Die Common Data Service Benutzer-Sicherheitsrolle wurde in Basic-Benutzer umbenannt. Lediglich der Name wurde geändert; Benutzerrechte und Rollenzuweisung sind gleich. Wenn Sie eine Lösung mit der Common Data Service Benutzer-Sicherheitsrolle haben, sollten Sie die Lösung aktualisieren, bevor Sie sie erneut importieren. Andernfalls könnten Sie beim Importieren der Lösung versehentlich den Namen „Sicherheitsrolle“ wieder in Benutzer ändern. |
| Delegieren | Ermöglicht die Ausführung von Code als Identitätswechsel oder als anderer Benutzer. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen. |
| Dynamics 365-Administrator | Dynamics 365-Administrator ist eine Microsoft Power Platform-Dienst-Admin-Rolle. Diese Rolle kann Administratorfunktionen in Microsoft Power Platform ausführen, da sie über die Systemadministratorrolle verfügen. |
| Umgebungserstellung | Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs, Gateways und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben. |
| Globaler -Administrator | Global Administrator ist eine Microsoft 365-Administratorrolle. Jemand, der das Microsoft-Business-Abonnement kauft, ist ein globaler Administrator und hat uneingeschränkte Kontrolle über die Produkte im Abonnement und Zugriff auf die meisten Daten. |
| Globaler Leser | Die Rolle Globaler Leser wird noch nicht im Power Platform Admin Center unterstützt. |
| Office-Projektmitarbeiter | Hat Leseberechtigung für Tabellen, in denen ein Datensatz für die Organisation freigegeben wurde. Hat keinen Zugriff auf andere Kern‑ und benutzerdefinierte Tabellendatensätze. Diese Rolle wird dem Office-Projektmitarbeiter-Besitzerteam und nicht einem einzelnen Benutzer zugewiesen. |
| Power Platform Administrator | Power Platform-Administrator ist eine Microsoft Power Platform-Dienstadministratorrolle. Diese Rolle kann Admininistratorfunktionen auf Microsoft Power Platform ausführen, da sie die Systemadmininistratorrolle hat. |
| Dienst gelöscht | Verfügt über die vollständige Löschberechtigung für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Löschen von Datensätzen in allen Entitäten. Diese Rolle kann keinem Benutzer oder Team zugewiesen werden. |
| Serviceleser | Verfügt über vollständige Leseberechtigungen für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Lesen aller Entitäten. Diese Rolle kann keinem Benutzer oder Team zugewiesen werden. |
| Service-Schreiber | Verfügt über vollständige Berechtigungen Erstellen, Lesen und Schreiben für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Erstellen und Aktualisieren von Datensätzen. Diese Rolle kann keinem Benutzer oder Team zugewiesen werden. |
| Supportbenutzer | Verfügt über eine vollständige Leseberechtigung für Anpassungs- und Geschäftsverwaltungseinstellungen, die es den Support-Mitarbeitern ermöglichen, Probleme mit der Umgebungskonfiguration zu beheben. Diese Rolle hat keinen Zugriff auf Kerndatensätze. Diese Rolle kann keinem Benutzer oder Team zugewiesen werden. |
| Systemadministrator | Verfügt über uneingeschränkte Berechtigung zum Anpassen oder Verwalten der Umgebung, darunter Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung einsehen. |
| Systemanpasser | Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Kann ich alle angepassten Tabellendaten in der Umgebung anzeigen. Benutzer mit dieser Rolle können nur Datensätze anzeigen, die Sie in Konten, Kontakt oder Aktivitätstabellen erstellen. |
| Website-App-Besitzer | Ein Benutzender, welcher der Besitzende einer Websiteanwendungsregistrierungs im Azure-Portal ist. |
| Besitzer der Website | Der Benutzende, der die Power Pages-Website erstellt hat. Diese Rolle ist verwaltet und kann nicht geändert werden. |
Neben den beschriebenen vordefinierten Sicherheitsrollen für Dataverse, sind unter Umständen andere Sicherheitsrollen in Ihrer Umgebung verfügbar, je nachdem, welche Power Platform-Komponenten – Power Apps, Power Automate, Power Virtual Agents – Sie haben. Die folgende Tabelle enthält Links zu weiteren Informationen.
| Power Platform-Komponente | Information |
|---|---|
| Power Apps | Vordefinierte Sicherheitsrollen für Umgebungen mit einer Dataverse Datenbank |
| Power Automate | Sicherheit und Datenschutz |
| Power Pages | Für die Websiteverwaltung erforderliche Rollen |
| Power Virtual Agents | Umgebungssicherheitsrollen zuweisen |
Dataverse for Teams Umgebungen
Weitere Informationen über Sicherheitsrollen in Dataverse for Teams-Umgebungen.
App-spezifische Sicherheitsrollen
Wenn Sie Dynamics 365-Apps in Ihrer Umgebung bereitstellen, werden weitere Sicherheitsrollen hinzugefügt. Die folgende Tabelle enthält Links zu weiteren Informationen.
| Dynamics 365-App | Sicherheitsrollendokumentation |
|---|---|
| Dynamics 365 for Sales | Vordefinierte Sicherheitsrollen für Sales |
| Dynamics 365 Marketing | Von Dynamics 365 Marketing hinzugefügte Sicherheitsrollen |
| Dynamics 365 Field Service | Dynamics 365 Field Service-Rollen + -Definitionen |
| Dynamics 365 Customer Service | Rollen in Omnichannel for Customer Service |
| Dynamics 365 Customer Insights | Customer Insights-Rollen |
| App-Profilmanager | Mit dem App-Profilmanager verknüpfte Rollen und Berechtigungen |
| Dynamics 365 Finance | Sicherheitsrollen im öffentlichen Sektor |
| Finanz- und Betriebs-Apps | Sicherheitsrollen in Microsoft Power Platform |
Zusammenfassung der verfügbaren Ressourcen für vordefinierte Sicherheitsrollen
In der folgenden Tabelle wird beschrieben, welche Ressourcen jede Sicherheitsrolle erstellen kann.
| Ressource | Umgebungserstellung | Umgebungsadministrator | Systemanpasser | Systemadministrator |
|---|---|---|---|---|
| Canvas App | X | X | X | X |
| Cloud-Flow | X (nicht-lösungsfähig) | X | X | X |
| Konnektor | X (nicht-lösungsfähig) | X | X | X |
| Verbindung* | X | X | X | X |
| Datengateway | X | X | - | X |
| Dataflow | X | X | - | X |
| Dataverse-Tabellen | - | - | X | X |
| Modellbasierte App | X | - | X | X |
| Lösungsframework | X | - | X | X |
| Desktop-Flow** | - | - | X | X |
| AI Builder | - | - | X | X |
*Verbindungen werden in Canvas-Apps und Power Automate verwendet.
**Dataverse for Teams-Benutzende erhalten standardmäßig keinen Zugriff auf Desktop-Flows. Sie müssen Ihre Umgebung auf die vollständigen Dataverse-Funktionen aktualisieren und Desktop-Flow-Lizenzpläne erwerben, um Desktop-Flows zu verwenden.
Sicherheitsrollen Benutzern in einer Umgebung zuweisen, die keine Dataverse-Datenbank hat
Für Umgebungen ohne Dataverse-Datenbank kann ein Benutzer, der in der Umgebung über die Rolle „Umgebungsadministrator“ verfügt, einzelnen Benutzern oder Gruppen von Microsoft Entra ID aus Sicherheitsrollen zuweisen.
Melden Sie sich beim Power Platform Admin Center an.
Wählen Sie Umgebungen> [Eine Umgebung auswählen].
In der Kachel Zugriff wählen Sie Alle anzeigen für Umgebungsadministrator oder Umgebungsersteller, um Personen für eine Rolle hinzuzufügen oder zu entfernen.
Wählen Sie Personen hinzufügen und geben Sie dann den Namen oder die E-Mail-Adresse eines oder mehrerer Benutzer oder Gruppen von Microsoft Entra ID an.
Wählen Sie Hinzufügen aus.
Benutzern in einer Umgebung mit einer Dataverse Datenbank eine Sicherheitsrolle zuweisen
Sicherheitsrollen können einzelnen Benutzern, Besitzerteams und Microsoft Entra-Gruppenteams zugewiesen werden. Bevor Sie einem Benutzer eine Rolle zuweisen, müssen Sie sicherstellen, dass das Konto des Benutzers in der Umgebung hinzugefügt wurde und dort aktiviert ist.
Im Allgemeinen kann eine Sicherheitsrolle nur Benutzern zugewiesen werden, deren Konten in der Umgebung aktiviert sind. Um eine Sicherheitsrolle einem Benutzerkonto zuzuweisen, das in der Umgebung deaktiviert ist, aktivieren Sie allowRoleAssignmentOnDisabledUsers in den OrgDBOrgSettings aktivieren.
Melden Sie sich beim Power Platform Admin Center an.
Wählen Sie Umgebungen> [Eine Umgebung auswählen].
Wählen Sie in der Kachel Zugriff die Option Alle anzeigen unter Sicherheitsrollen aus.
Stellen Sie sicher, dass die richtige Unternehmenseinheit in der Liste ausgewählt ist, und wählen Sie dann eine Rolle aus der Liste der Rollen in der Umgebung aus.
Wählen Sie Personen hinzufügen und geben Sie dann den Namen oder die E-Mail-Adresse eines oder mehrerer Benutzer oder Gruppen von Microsoft Entra ID an.
Wählen Sie Hinzufügen aus.
Erstellen, bearbeiten oder kopieren Sie eine Sicherheitsrolle mit der neuen, modernen Benutzeroberfläche
Sie können ganz einfach eine Sicherheitsrolle erstellen, bearbeiten oder kopieren und sie an Ihre Bedürfnisse anpassen.
Gehen Sie zum Power Platform Admin Center und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.
Wählen Sie Einstellungen aus.
Erweitern Sie Benutzer und Berechtigungen.
Wählen Sie Sicherheitsrollen aus.
Schließen Sie die entsprechende Aufgabe ab:
Eine Sicherheitsrolle erstellen
Wählen Sie auf der Befehlsleiste Neue Rolle aus.
Geben Sie im Feld Rollenname einen Namen für die neue Rolle ein.
Wählen Sie im Feld Unternehmenseinheit die Unternehmenseinheit aus, zu der die Rolle gehört.
Wählen Sie aus, ob Teammitglieder die Rolle übernehmen sollen.
Wenn diese Einstellung aktiviert ist und die Rolle einem Team zugewiesen ist, übernehmen alle Teammitglieder alle mit der Rolle verbundenen Berechtigungen.
Wählen Sie Speichern.
Definieren Sie die Rechte und Eigenschaften der Sicherheitsrolle.
Bearbeiten einer Sicherheitsrolle
Wählen Sie entweder den Rollennamen oder die Zeile aus und wählen Sie dann Bearbeiten. Dann definieren Sie die Berechtigungen und Eigenschaften der Sicherheitsrolle.
Einige vordefinierte Sicherheitsrollen können nicht bearbeitet werden. Wenn Sie versuchen, diese Rollen zu bearbeiten, sind die Schaltflächen Speichern und Speichern und schließen nicht verfügbar.
Sicherheitsrolle kopieren
Wählen Sie Sicherheitsrolle und dann Kopieren aus. Geben Sie der Rolle einen neuen Namen. Die Sicherheitsrolle bei Bedarf bearbeiten.
Es werden nur die Berechtigungen kopiert, keine zugewiesenen Mitglieder und Teams.
Sicherheitsrollen prüfen
Sicherheitsrollen prüfen, um Änderungen an der Sicherheit in Ihrer Power Platform-Umgebung besser zu verstehen.
Erstellen oder Konfigurieren einer benutzerdefinierten Sicherheitsrolle
Wenn Ihre App eine benutzerdefinierte Entität verwendet, müssen ihre Berechtigungen in einer Sicherheitsrolle explizit erteilt werden, bevor Ihre App verwendet werden kann. Sie können diese Berechtigungen entweder einer vorhandenen Sicherheitsrolle hinzufügen oder eine benutzerdefinierte Sicherheitsrolle erstellen.
Jede Sicherheitsrolle muss einen Mindestsatz von Berechtigungen enthalten, bevor sie verwendet werden kann. Weitere Informationen über Sicherheitsrollen und Berechtigungen.
Tipp
Die Umgebung verwaltet möglicherweise Datensätze, die von mehreren Apps verwendet werden können. Möglicherweise benötigen Sie mehrere Sicherheitsrollen, die unterschiedliche Berechtigungen gewähren. Zum Beispiel:
- Einige Benutzer (Editoren genannt) müssen möglicherweise andere Einträge nur lesen, aktualisieren oder anfügen können. Daher sind die Berechtigungen ihrer Sicherheitsrolle auch nur auf diese Vorgänge beschränkt.
- Andere Benutzer benötigen möglicherweise alle Berechtigungen, über die Editoren verfügen, sowie die Fähigkeit zum Erstellen, Anhängen, Löschen und Freigeben. Darum verfügt die Sicherheitsrolle für diese Benutzer über Berechtigungen zum Erstellen, Lesen, Schreiben, Anfügen, Löschen, Zuweisen, Anfügen an und Freigeben.
Erstellen Sie eine benutzerdefinierte Sicherheitsrolle mit minimalen Berechtigungen zum Ausführen einer App
Melden Sie sich im Power Platform Admin Center an und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.
Wählen Sie Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen aus.
Wählen Sie die Rolle App-Öffner und dann Kopieren aus.
Geben Sie den Namen der benutzerdefinierten Rolle ein, und wählen Sie dann Kopieren aus.
Wählen Sie aus der Liste der Sicherheitsrollen die neue Rolle und dann Mehr Aktionen (…) >Bearbeiten aus.
Wählen Sie im Rolleneditor die Registerkarte Benutzerdefinierte Entitäten aus.
Suchen Sie in der Liste Ihre benutzerdefinierte Tabelle und wählen Sie die Berechtigungen Lesen, Schreiben und Anfügen aus.
Wählen Sie Speichern und Schließen.
Benutzerdefinierte Sicherheitsrolle neu erstellen
Melden Sie sich im Power Platform Admin Center an und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.
Wählen Sie Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen aus.
Wählen Sie Neue Rolle aus.
Geben Sie den Namen der neuen Rolle auf der Registerkarte Details ein.
Suchen Sie auf den anderen Registerkarten nach Ihrer Entität und wählen Sie dann Aktionen und den Umfang für deren Ausführung aus.
Wählen Sie eine Registerkarte aus, und suchen Sie nach Ihrer Entität. Wählen Sie zum Beispiel die Benutzerdefinierte Entitäten Registerkarte zum Festlegen von Berechtigungen für eine benutzerdefinierte Entität.
Wählen Sie die Berechtigungen Lesen, Schreiben, Anfügen aus.
Klicken Sie auf Speichern und schließen.
Mindestberechtigungen zum Ausführen einer App
Wenn Sie eine benutzerdefinierte Sicherheitsrolle erstellen, muss die Rolle eine Reihe von Mindestberechtigungen haben, damit ein Benutzer eine App ausführen kann. Weitere Informationen über die erforderlichen Mindestberechtigungen.
Siehe auch
Benutzern Zugriff gewähren
Steuern des Benutzerzugriffs auf Umgebungen: Sicherheitsgruppen und Lizenzen
Wie der Zugriff auf einen Datensatz bestimmt wird