Konfigurieren der Benutzersicherheit für Ressourcen in einer Umgebung

Common Data Service verwendet ein rollenbasiertes Sicherheitsmodell, um den sicheren Zugriff auf die Datenbank sicherzustellen. In diesem Thema wird erläutert, wie Sie die Sicherheitsartefakte erstellen, die Sie zur Sicherung von Ressourcen in einer Umgebung benötigen. Sicherheitsrollen können zur Konfiguration des umgebungsweiten Zugriffs auf alle Ressourcen in der Umgebung oder zur Konfiguration des Zugriffs auf bestimmte Apps und Daten in der Umgebung verwendet werden. Sicherheitsrollen steuern den Zugriff eines Benutzers auf Ressourcen einer Umgebung durch eine Reihe von Zugriffsebenen und Berechtigungen. Die Kombination von Zugriffsebenen und Berechtigungen, die in einer bestimmten Sicherheitsrolle enthalten sind, regelt die Einschränkungen der Sicht des Benutzers auf die Apps und Daten und der Interaktionen des Benutzers mit diesen Daten.

Eine Umgebung kann eine Null- oder eine Common Data Service-Datenbank haben. Das Verfahren für die Zuweisung von Sicherheitsrollen für Umgebungen ohne Common Data Service-Datenbank unterscheidet sich von dem Verfahren für jene Umgebung mit einer Common Data Service-Datenbank.

Vordefinierte Sicherheitsrollen

Umgebungen umfassen vordefinierte Sicherheitsrollen, die allgemeine Benutzeraufgaben mit Zugriffsebenen widerspiegeln, die so definiert sind, dass sie dem Ziel der besten Sicherheitspraxis entsprechen, den Zugriff auf die für die Nutzung der App erforderliche Mindestmenge an Geschäftsdaten zu ermöglichen.

Sicherheitsrolle Datenbankberechtigungen* Beschreibung
Umgebungsadministrator Erstellen, Lesen, Schreiben, Löschen, Anpassungen, Sicherheitsrollen Die Rolle des Environment Admin kann alle administrativen Aktionen in einer Umgebung ausführen, einschließlich der folgenden
  • Hinzufügen oder Entfernen eines Benutzers entweder von der Umgebungsadministrator- oder Umgebungsersteller-Rolle.
  • Eine Common Data Service-Datenbank für die Umgebung bereitstellen. Nachdem die Datenbank bereitgestellt ist, sollte die Rolle des Systemanpassers auch einem Umgebungs-Admin zugewiesen werden, damit dieser Zugriff auf die Daten der Umgebung hat.
  • Anzeige und Verwaltung aller Ressourcen, die in einer Umgebung erstellt wurden.
  • Richtlinien zur Verhinderung von Datenverlust festlegen. Weitere Informationen: Richtlinien zur Vermeidung von Datenverlusten
Umgebungserstellung Anpassungen Kann neue Ressourcen erstellen, die mit der Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs, Gateways und Flows mit Microsoft Power Automate. Hat aber keine Rechte für den Zugriff auf Daten innerhalb einer Umgebung. Weitere Informationen: Umgebungsübersicht
Systemadministrator Erstellen, Lesen, Schreiben, Löschen, Anpassungen, Sicherheitsrollen Hat volle Berechtigung zum Anpassen oder Verwalten der Umgebung, einschließlich dem Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung anzeigen Weitere Informationen: Erforderliche Rechte für Anpassungen
Systemanpasser Erstellen (selbst), Lesen (selbst), Schreiben (selbst), Löschen (selbst), Anpassungen Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Benutzer mit dieser Rolle können jedoch nur von ihm erstellte Datensätze für Umgebungsentitäten einsehen. Weitere Informationen: Erforderliche Rechte für Anpassungen
Common Data Service-Benutzer Lesen (selbst) Erstellen (selbst), Schreiben (selbst), Löschen (selbst) Kann eine App in der Umgebung ausführen sowie allgemeine Aufgaben im Hinblick auf seine eigenen Datensätze ausführen. Dies gilt nur für nicht benutzerdefinierte Entitäten. Weitere Information finden Sie unter Erstellen oder Konfigurieren einer benutzerdefinierten Sicherheitsrolle
Delegieren Vorgänge im Namen anderer Benutzer ausführen Ermöglicht die Ausführung von Code als anderer Benutzer oder den Identitätswechsel. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen. Weitere Informationen: Annehmen der Identität eines anderen Benutzers

*Recht hat globalen Umfang, soweit nicht anders angegeben.

Hinweis

  • Umgebungserstellung und Umgebungsadministrator sind die einzigen vordefinierten Rollen für Umgebungen ohne Common Data Service-Datenbank.
  • Die Rolle vom Umgebungsentwickler kann Ressourcen in einer Umgebung, einschließlich Apps, Verbindungen, benutzerdefinierte Konnektoren, Gateways und Flows mithilfe von Power Automate erstellen. Umgebungsersteller können die Apps, die sie in einer Umgebung erstellt haben, auch an andere Benutzer in Ihrer Organisation verteilen. Sie können die App mit einzelnen Benutzern, Sicherheitsgruppen oder allen Benutzer in der Organisation freigeben. Weitere Informationen: Freigeben einer App in Power Apps
  • Für Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle zuweisen. Dies ist erforderlich, da die Umgebungserstellerrolle keine Berechtigungen für die Umgebungsdaten besitzt.
  • Wenn die Umgebung eine Common Data Service-Datenbank hat, muss einem Benutzer die Rolle des Systemadministrators statt der Rolle des Umgebungs-Admins für volle Admin-Rechte zugewiesen werden, wie in der obigen Tabelle beschrieben.

Sicherheitsrollen einem Benutzer in einer Umgebung zuweisen, die keine Common Data Service-Datenbank hat

Ein Benutzer, der bereits die Rolle des Environment Admin in der Umgebung innehat, kann diese Schritte unternehmen.

Hinweis

Rollen können nicht nur einzelnen Benutzern, sondern auch Besitzerteams und Azure AD Gruppen-Teams zugewiesen werden.

  1. Wählen Sie im Power Apps Admin Center die Umgebung, für die Sie eine Sicherheitsrolle aktualisieren möchten.

    Umgebung auswählen

  2. Wählen Sie die Registerkarte Sicherheit.

  3. Wählen Sie entweder die Rolle  Umgebung Admin oder  Umgebung Ersteller aus.

    Wählen Sie eine Rolle

  4. Geben Sie die Namen eines oder mehrerer Benutzer oder Sicherheitsgruppen von Azure AD an oder geben Sie an, dass Sie die gesamte Organisation hinzufügen möchten.

    Benutzerinformationen eingeben

  5. Klicken Sie auf Speichern.

Benutzern in einer Umgebung mit einer Common Data Service Datenbank eine Sicherheitsrolle zuweisen

Prüfen Sie, dass der Benutzer, dem Sie eine Sicherheitsrolle zuweisen möchten, in der Umgebung vorhanden ist. Falls er nicht vorhanden ist, fügen Sie den Benutzer zur Umgebung hinzu. Sie können im Rahmen des Hinzufügens des Benutzers ein Sicherheitsrolle zuweisen. Weitere Informationen: Benutzer einer Umgebung hinzufügen

Im Allgemeinen kann eine Sicherheitsrolle nur Benutzern im Zustand Aktiviert zugewiesen werden. Wenn Sie jedoch Benutzern im deaktivierten Zustand eine Sicherheitsrolle zuweisen müssen, können Sie dies tun, indem Sie die allowRoleAssignmentOnDisabledUsers in den OrgDBOrgSettings aktivieren.

So fügen Sie einem Benutzer, der sich bereits in einer Umgebung befindet, eine Sicherheitsrolle hinzu:

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Umgebungen > [Umgebung auswählen] > Einstellungen > Benutzer + Berechtigungen > Benutzer.

  3. Wählen Sie Benutzer in Dynamics 365 verwalten.

    Benutzer in Dynamics 365 verwalten auswählen

  4. Wählen Sie den Benutzer aus der Liste der Benutzer in der Umgebung und wählen Sie dann Rollen verwalten.

    Auswahl Rollen verwalten

  5. Weisen Sie dem Benutzer eine oder mehrere Sicherheitsrollen zu.

    Benutzerrollen verwalten

  6. Klicken Sie auf OK.

Erstellen oder Konfigurieren einer benutzerdefinierten Sicherheitsrolle

Wenn Ihre App eine benutzerdefinierte Entität verwendet, müssen ihre Berechtigungen in einer Sicherheitsrolle explizit erteilt werden, bevor Ihre App verwendet werden kann. Sie können diese Berechtigungen entweder einer vorhandenen Sicherheitsrolle hinzufügen oder eine benutzerdefinierte Sicherheitsrolle erstellen.

Hinweis

Jedes Sicherheitsrolle muss einen Mindestsatz von Berechtigungen enthalten, bevor es verwendet werden kann. Diese Einschränkungen werden weiter unten in diesem Artikel beschrieben.

Tipp

Die Umgebung verwaltet möglicherweise die Einträge, die von mehreren Apps verwendet werden. Sie benötigen unter Umständen mehrere Sicherheitsrollen, um mit anderen Berechtigungen auf diese Daten zugreifen zu können. Beispiel:

  • Einige Benutzer (Typ A genannt) müssen möglicherweise andere Einträge nur lesen, aktualisieren oder anfügen können. Daher sind die Berechtigungen ihrer Sicherheitsrolle auch nur auf diese Vorgänge beschränkt.
  • Andere Benutzer benötigen möglicherweise alle Berechtigungen, über die Benutzer vom Typ A verfügen, sowie die Fähigkeit zum Erstellen, Anhängen, Löschen und Freigeben. Darum verfügt die Sicherheitsrolle für diese Benutzer über Berechtigungen zum Erstellen, Lesen, Schreiben, Anfügen, Löschen, Zuweisen, Anfügen an und Freigeben.

Weitere Informationen zu Zugriffs- und Umfangsberechtigungen finden Sie unter Sicherheitsrollen und Rechte.

  1. Melden Sie sich beim Power Platform Admin-Zentrum an und wählen Sie dann die Umgebung, für die Sie eine Sicherheitsrolle aktualisieren möchten.

  2. Wählen Sie die URL von der Umgebung.

    Umgebungs-URL auswählen

  3. Wenn Sie veröffentlichte Apps und Kacheln sehen, wählen Sie das Symbol Zahnrad (Einstellungen) in der oberen rechten Ecke aus und wählen Sie dann Erweiterte Einstellungen.

  4. Wählen Sie in der Menüleiste Einstellungen > Sicherheit aus.

    Wählen Sie Einstellungen > Sicherheit

  5. Wählen Sie Sicherheitsrollen aus.

    Sicherheitsrollen auswählen

  6. Wählen Sie Neu.

  7. Geben Sie im Designer Sicherheitsrolle einen Rollennamen in der Registerkarte Einzelheiten ein. Auf den anderen Registerkarten wählen Sie die Aktionen und den Bereich für die Ausführung dieser Aktion aus.

  8. Wählen Sie eine Registerkarte aus, und suchen Sie nach Ihrer Entität. Wählen Sie zum Beispiel die Benutzerdefinierte Entitäten Registerkarte zum Festlegen von Berechtigungen für eine benutzerdefinierte Entität.

  9. Wählen Sie die Rechte Lesen, Schreiben, Anfügen aus.

  10. Klicken Sie auf Speichern und schließen.

Mindestberechtigungen zum Ausführen einer App

Wenn Sie eine benutzerdefinierte Sicherheitsrolle erstellen, müssen Sie der Sicherheitsrolle eine Reihe von Mindestberechtigungen hinzufügen, damit ein Benutzer eine App ausführen kann. Wir haben eine Lösung entwickelt, die Sie importieren können, die eine Sicherheitsrolle mit den erforderlichen Mindestrechten umfasst.

Laden Sie die Lösung zunächst aus dem Download Center herunter: Common Data Service-Mindestrechte-Sicherheitsrolle.

Folgen Sie dann diesen Anweisungen, um die Lösung zu importieren: Lösungen importieren.

Wenn Sie die Lösung importieren, erstellt sie die Rolle min prv apps use, die Sie dann kopieren können (siehe: Erstellen einer Sicherheitsrolle durch das Kopieren von Rollen). Wenn die Kopierfunktion abgeschlossen ist, navigieren Sie zu den einzelnen Registerkarten—Kerndatensätze, Geschäftsverwaltung, Anpassung usw.—und legen Sie die entsprechenden Berechtigungen fest.

Wichtig

Sie müssen die Lösung in einer Entwicklungsumgebung ausprobieren, bevor Sie diese in eine Produktionsumgebung importieren.

Siehe auch

Benutzern Zugriff gewähren
Steuern des Benutzerzugriffs auf Umgebungen: Sicherheitsgruppen und Lizenzen