Umgebungsrollen verstehen
Sie können die Sicherheit auf Umgebungsebene verwalten, indem Sie Rollen verwenden, der Umgebung dann Benutzer hinzufügen und Benutzern Rollen zuweisen. Eine Rolle verfügt über bestimmte Berechtigungen, die ihr zugeordnet sind, und Sie können einem Benutzer eine oder mehrere Rollen zuordnen. Stellen Sie sich Rollen als eine Sammlung von Rechten vor. Umgebungen verfügen über zwei vordefinierte Rollen, die Zugriff auf Berechtigungen innerhalb einer Umgebung bieten. Sie weisen Benutzern einer dieser beiden Rollen zu, wenn Sie überlegen, welche Berechtigungen Sie einem Benutzer in einer Umgebung geben wollen. Wenn die Umgebung jedoch über eine Dataverse‑Datenbank verfügt, werden weitere Rollen hinzugefügt und die Berechtigungsoptionen werden erweitert.
Jede Umgebung enthält diese vordefinierten Rollen:
Umgebungsadministrator
Umgebungsersteller
Wichtig
Ein Benutzer wird automatisch der Rolle des Umgebungserstellers zugeordnet, wenn er einer Umgebung hinzugefügt wird.
Rolle „Umgebungsadministrator“
Bevor Ihre Dataverse-Datenbank Ihrer Umgebung hinzugefügt wird, kann die Rolle Umgebungsadministrator alle administrativen Aktionen in einer Umgebung ausführen, einschließlich der folgenden:
Einem Benutzer oder einer Gruppe die Rolle eines Umgebungsadministrators oder Umgebungserstellers zuordnen oder entziehen.
Eine Dataverse-Datenbank für die Umgebung bereitstellen
Alle Ressourcen, die in der Umgebung erstellt wurden, anzeigen und verwalten
Richtlinien zur Verhinderung von Datenverlust festlegen
Rolle „Umgebungsersteller“
Mit der Rolle Umgebungsersteller können Ressourcen in einer Umgebung erstellt werden, z. B. Apps, Verbindungen, benutzerdefinierte Verbindungen, Gateways und Flows, die Power Automate verwenden. Für Mitglieder der Rolle „Umgebungsersteller“ gelten folgende Regeln:
Umgebungsersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer innerhalb eines Unternehmens verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben.
Benutzern oder Gruppen, die diesen Umgebungsrollen zugewiesen sind, wird nicht automatisch Zugriff auf die Datenbank der Umgebung gewährt (sofern vorhanden). Ein Datenbankbesitzer muss ihnen separat Zugriff gewähren.
Immer wenn sich ein neuer Benutzer bei Power Apps anmeldet, wird er automatisch der Erstellerrolle der Standardumgebung hinzugefügt.
Umgebungen mit einem Dataverse-Datenspeicher
Wenn die Umgebung über einen Dataverse-Datenspeicher verfügt, muss Benutzern die Systemadministratorrolle anstelle der Umgebungsadministratorrolle zugewiesen werden, um die vollständigen Administratorrechte zu erhalten, wie in der folgenden Tabelle beschrieben.
Für Benutzer, die Apps erstellen, die eine Verbindung zu Dataverse herstellen und Tabellen und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle zuweisen. Dies ist erforderlich, da die Umgebungserstellerrolle keine Berechtigungen für die Umgebungsdaten besitzt.
| Sicherheitsrolle | Datenbankrechte* | Beschreibung |
|---|---|---|
| App-Öffner | Erstellen (eigene), Lesen, Schreiben (eigene), Löschen (eigene) | Hat minimale Berechtigungen für allgemeine Aufgaben. Dies wird hauptsächlich beim Erstellen einer neuen Sicherheitsrolle für modellgesteuerte Apps genutzt, bei denen eine Kopie der Rolle erstellt wird, bevor der Datenzugriff auf Ihre Tabellen angewendet wird. Diese Rolle ist geschützt, und sie kann nicht aktualisiert werden. |
| Umgebungsersteller | Anpassungen | Kann neue Ressourcen erstellen, die einer Umgebung zugeordnet sind, einschließlich Apps, Verbindungen, benutzerdefinierter APIs, Gateways und Abläufe, die auf Microsoft Power Automate zurückgreifen. Diese Rolle hat jedoch keine Berechtigungen für den Zugriff auf Daten innerhalb einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben. |
| Systemadministrator | Erstellen, Lesen, Schreiben, Löschen, Anpassungen, Sicherheitsrollen | Verfügt über uneingeschränkte Berechtigung zum Anpassen oder Verwalten der Umgebung, darunter Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung einsehen. |
| Systemanpasser | Erstellen, Lesen, Schreiben, Löschen, Anpassungen | Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Kann alle angepassten Tabellendaten in der Umgebung anzeigen. Benutzer mit dieser Rolle können nur Zeilen (Datensätze) anzeigen, die Sie in Konten, Kontakt oder Aktivitätstabellen erstellen. |
| Basic-Benutzer | Lesen (eigene), Erstellen (eigene), Schreiben (eigene), Löschen (eigene) | Kann eine App in der Umgebung ausführen sowie allgemeine Aufgaben im Hinblick auf seine eigenen Datensätze ausführen. Dies gilt nur für noncustom-Tabellen. |
| Dienstlöscher | Löschen | Verfügt über vollständige Berechtigungen zum Löschen für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Löschen von Datensätzen in allen Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein. |
| Serviceleser | Lesen | Verfügt über vollständige Leseberechtigungen für alle Tabellen, einschließlich benutzerdefinierter Tabellen. Dies wird hauptsächlich vom Back-End-Dienst verwendet, für den das Lesen aller Tabellen erforderlich ist. |
| Service-Schreiber | Erstellen, Lesen, Schreiben | Verfügt über vollständige Berechtigungen Erstellen, Lesen und Schreiben für alle Tabellen, einschließlich benutzerdefinierter Tabellen. Dies wird hauptsächlich vom Back-End-Dienst verwendet, für den das Erstellen und Aktualisieren von Datensätzen erforderlich ist. |
| Stellvertretung | Vorgänge im Namen anderer Benutzer ausführen | Ermöglicht die Ausführung von Code als anderer Benutzer oder den Identitätswechsel. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen. |
| Dynamics 365-Admin | Dynamics 365-Administrator ist eine Microsoft Power Platform-Serviceadministratorrolle. Diese Rolle kann Administratorfunktionen auf Microsoft Power Platform ausführen, da sie die Rolle des Systemadministrators haben. | |
| Supportbenutzer | Anpassungen und Geschäftsverwaltungseinstellungen lesen | Verfügt über die vollständige Leseberechtigung für Anpassungs‑ und Geschäftsverwaltungseinstellungen für Supportmitarbeiter |
| Office-Projektmitarbeiter | Lesen (selbst) | Hat Leseberechtigung für Tabellen, in denen ein Datensatz aus diesen Tabellen mit der Organisation geteilt wurde. Hat keinen Zugriff auf andere Kern‑ und benutzerdefinierte Tabellendatensätze. Diese Rolle wird dem Office-Projektmitarbeiter-Besitzerteam und nicht einem einzelnen Benutzer zugewiesen. |
| Globaler Administrator | Eine Microsoft 365-Administratorrolle Eine Person, die das Microsoft-Business-Abonnement erwirbt, ist ein globaler Administrator und hat uneingeschränkte Kontrolle über die Produkte im Abonnement und Zugriff auf die meisten Daten. | |
| Globaler Leser | Die Rolle „Globaler Leser“ wird noch nicht im Power Platform Admin Center unterstützt. | |
| Website-App-Besitzer | Ein Benutzer, der die Website-Anwendungsregistrierung im Azure-Portal besitzt. | |
| Website-Besitzer | Der Benutzer, der die Power Pages-Website erstellt hat. Diese Rolle wird verwaltet und kann nicht geändert werden. |
*Der Umfang dieser Berechtigungen ist global, sofern nicht anders angegeben.
Zusammenfassung von verfügbaren Ressourcen für vordefinierte Sicherheitsrollen
Die folgende Tabelle sollte Ihnen dabei helfen, zu ermitteln, welche Rollen Sie den Ressourcen zuweisen müssen, auf die diese Rolle Zugriff hat.
| Ressource | Umgebungsersteller | Umgebungsadministrator | Systemanpasser | Systemadministrator |
|---|---|---|---|---|
| Canvas-App | X | X | X | X |
| Cloud-Flow | X (nicht lösungsorientiert) | X | X (lösungsorientiert) | X |
| Konnektor | X | X | - | X |
| Verbindung | X | X | - | X |
| Datengateway | X | X | - | X |
| Dataflow | X | X | - | X |
| Dataverse-Tabellen | - | - | X | X |
| Modellgesteuerte App | X | - | X | X |
| Lösungsrahmen | X | - | X | X |
| *Desktop-Flow | - | - | X | X |
| AI Builder | - | - | X | X |
*Dataverse for Teams-Benutzer erhalten nicht standardmäßig Zugriff auf Desktop-Flows. Sie müssen Ihre Umgebung auf volle Dataverse-Funktionen aktualisieren und Desktop-Flow-Lizenzpläne erwerben, um Desktop-Flows zu verwenden.