Configurar a seguridade do usuario para os recursos dun contorno

Nota

A partir de novembro de 2020:

  • Common Data Service cambiou de nome a Microsoft Dataverse. Máis información
  • Actualizouse algunha terminoloxía de Microsoft Dataverse. Por exemplo, entidade é agora campo e campo é agora columna. Máis información

Este artigo actualizarase en breve para reflectir a terminoloxía máis recente.

Microsoft Dataverse usa un modelo de seguranza baseado en roles para axudar a protexer o acceso á base de datos. Este tema explica como crear artefactos de seguridade que debe ter para axudar a protexer recursos nun ambiente. Os roles de seguridade pódense usar para configurar o acceso en todo o ambiente a todos os recursos do contorno ou para configurar o acceso a aplicacións e datos específicos do contorno. Os roles de seguranza controlan o acceso dos usuarios a recursos dun ambiente mediante un conxunto de niveis de acceso e permisos. A combinación de niveis de acceso e permisos que se inclúen nun rol de seguranza específico regulan os límites da visualización do usuario de aplicacións e datos e das interaccións do usuario cos datos.

Un ambiente pode ter cero ou unha base de datos de Dataverse. O proceso para asignar roles de seguranza a ambientes sen ningunha base de datos de Dataverse difire do dun ambiente cunha base de datos de Dataverse.

Roles de seguranza predefinidos

Os ambientes inclúen roles de seguranza predefinidos que reflicten tarefas comúns de usuario con niveis de acceso definidos facer coincidir co obxectivo das prácticas recomendadas de seguranza de fornecer acceso á cantidade mínima de datos do negocio necesarios para utilizar a aplicación.

Estas funcións de seguridade pódense asignar ao usuario, equipo propietario e equipo do grupo.

Hai outro conxunto de funcións de seguridade que se asigna a usuarios da aplicación. Eses roles de seguridade son instalados polos nosos servizos e non se poden actualizar.

Rol de seguranza Privilexios da base de datos* Descripción
Administrador do ambiente Crear, Ler, Escribir, Eliminar, Personalizacións, Roles de Seguranza O rol de Administrador do ambiente pode realizar todas as accións administrativas nun ambiente, incluídas as seguintes:
  • Engadir ou eliminar un usuario do rol de Administrador de ambiente ou Creador de ambiente.
  • Fornecer unha base de datos de Dataverse para o ambiente. Unha vez abastecida a base de datos, o rol de Personalizador do sistema tamén debe asignarse a un administrador de ambiente para darlle acceso aos datos do contorno.
  • Consulte e xestione todos os recursos creados nun ambiente.
  • Definir políticas de prevención de perda de datos Máis información: Políticas de prevención de perda de datos
Creador de ambientes Personalizacións Pode crear novos recursos asociados a un ambiente, como aplicacións, conexións, API personalizadas, pasarelas e fluxos mediante Microsoft Power Automate. No entanto, este rol non ten ningún privilexio de acceso aos datos dun ambiente. Máis información: Visión xeral dos ambientes
Administrador do sistema Crear, Ler, Escribir, Eliminar, Personalizacións, Roles de Seguranza Ten permiso completo para personalizar ou administrar o ambiente, como crear, modificar e atribuír roles de seguranza. Pode ver todos os datos no ambiente. Máis información: Privilexios necesarios para a personalización.
Personalizador do sistema Crear (auto), Ler (auto), Escribir (auto), Eliminar (auto), Personalizacións Ten privilexios completos para personalizar o ambiente. No entanto, os usuarios con este rol só poden ver os rexistros das entidades do ambiente que cree. Máis información: Privilexios necesarios para a personalización.
Usuario de Common Data Service Ler (auto), Crear (auto), Escribir (auto), Eliminar (auto) Pode executar unha aplicación no ambiente e realizar tarefas comúns para os rexistros dos que son propietarios. Teña en conta que isto só se aplica a entidades non personalizadas. Máis información: Crear ou configurar un rol de seguranza personalizado
Delegar Actuar en nome doutro usuario Permite executar código como outro usuario ou a suplantación. Utilízase normalmente con outro rol de seguranza para permitir o acceso aos rexistros. Máis información: Suplantar a outro usuario
Usuario de soporte Ler personalizacións, ler configuración de xestión empresarial Ten permiso de lectura completo para a configuración de personalización e xestión empresarial para permitir ao persoal de asistencia solucionar problemas de configuración do contorno. Non ten acceso aos rexistros básicos.

*O ámbito destes privilexios é global a menos que se especifique o contrario.

Nota

  • Creador de ambientes e Administrador de ambientes son os únicos roles predefinidos para ambientes sen ningunha base de datos de Dataverse.
  • O rol de Creador do ambiente pode crear recursos nun ambiente, incluídos conectores personalizados, aplicacións, conexións, pasarelas e fluxos mediante Power Automate. Os Creadores do ambiente tamén poden distribuír as aplicacións que compilan nun ambiente a outros usuarios da organización. Poden compartir a aplicación con usuarios individuais, grupos de seguranza ou todos os usuarios da organización. Máis información: Compartir unha aplicación en Power Apps
  • Para os usuarios que realicen aplicacións que se conectan á base de datos e precisan crear ou actualizar entidades e roles de seguridade, ten que asignar o rol de Personalizador do sistema ademais do papel de Creador de ambientes. Isto é necesario porque o papel de Creador de ambientes non ten privilexios sobre os datos do ambiente.
  • Se o ambiente ten unha base de datos de Dataverse, un usuario debe ter asignado o rol de Administrador do sistema en vez do rol de Administrador de Ambiente para os privilexios de administrador completos, como se indica na táboa anterior.

Asignar roles de seguranza a usuarios nun contorno que non ten unha base de datos de Dataverse

Para ambientes sen base de datos de Dataverse, pódense asignar roles de seguridade a usuarios ou grupos individuais desde Azure AD. Un usuario que teña a función de administrador de ambiente no ambiente pode realizar estes pasos.

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Seleccione Ambientes > [seleccione un ambiente].

  3. No mosaico Acceso, seleccione Ver todo para Administrador de ambiente ou Creador de ambientes para engadir ou eliminar persoas para calquera papel.

    Escoller un rol

  4. Seleccione Engadir xente e, a continuación, especifique o nome ou enderezo de correo electrónico dun ou máis usuarios ou grupos de Azure AD aos que asignar esta función.

    Seleccionar unha acción

Asignar roles de seguranza a usuarios nun contorno que ten unha base de datos de Dataverse

Pódense asignar funcións de seguridade a equipos propietarios e  equipos de grupos de Azure AD, ademais de usuarios individuais. Antes de asignar un rol a un usuario, comprobe que o usuario está presente no contorno en estado Activado. Engada o usuario ao ambiente ou corrixa o seu estado para estar Activado antes de asignarlles un rol. Poderá asignar un rol como parte do proceso de engadir o usuario.

En xeral, un rol de seguridade só se pode asignar aos usuarios cun estado Activado. Pero se precisa asignar un rol de seguridade a usuarios en estado de Desactivado, pode facelo habilitando allowRoleAssignmentOnDisabledUsers en OrgDBOrgSettings.

Para engadir un rol de seguranza a un equipo propietario, equipo de grupo ou un usuario que teña o estado Activado nun ambiente:

  1. Inicie sesión no Centro de administración de Power Platform.

  2. Seleccione Ambientes > [seleccione un ambiente].

  3. No mosaico Acceso, seleccione Ver todo en roles de seguranza.

    Ver todos os roles de seguranza

  4. Asegúrese de seleccionar a unidade comercial correcta no menú despregable e seleccione un rol da lista de funcións do contorno.

    Seleccionar unidade empresarial

  5. Seleccione Engadir xente para engadir un usuario, equipo propietario ou equipo de grupo ao papel. Se non atopa un usuario ou equipo ao que asignar o rol, asegúrese de que o usuario ou equipo estea presente no contorno e que o usuario teña o estado Activado antes de asignarlles un rol.

    Engadir persoas

Crear ou configurar un rol de seguranza personalizado

Se a aplicación usa unha entidade personalizada, os seus privilexios deben concederse explicitamente nun rol de seguranza para poder usar a aplicación. Pode engadir estes privilexios nun rol de seguranza existente ou crear un rol de seguranza personalizado.

Nota

Cada rol de seguranza debe incluír un conxunto mínimo de privilexios antes de que poida utilizarse. Estes son descritos máis tarde neste artigo.

Suxestión

O ambiente pode manter os rexistros que poden ser empregados por varias aplicacións; polo tanto, pode necesitar varios roles de seguridade para acceder aos datos mediante diferentes privilexios. Por exemplo:

  • Algúns usuarios (chamémoslle de tipo A) poden necesitar tan só ler, actualizar e anexar outros rexistros para que o seu rol de seguranza teña privilexios de ler, escribir e anexar.
  • Outros usuarios poden necesitar todos os privilexios que teñen os usuarios de tipo A, ademais da posibilidade de crear, engadir, eliminar e compartir. O rol de seguranza destes usuarios terá privilexios de creación, lectura, escritura, anexar, eliminación, asignar, anexar a e compartir.

Para obter máis información sobre os privilexios de ámbito e acceso, consulte  Roles de seguranza e privilexios.

  1. Inicie sesión no Centro de administración de Power Platform e seleccione o ambiente para o que desexa actualizar un rol de seguranza.

  2. Seleccione o URL do ambiente.

    Seleccionar URL do ambiente

  3. Se ve aplicacións publicadas e mosaicos, seleccione a icona de engrenaxe (Configuración) na esquina superior dereita e logo seleccione Configuración avanzada.

  4. Na barra de menú, seleccione Configuración > Seguranza.

    Seleccionar Configuración > Seguranza

  5. Seleccione Roles de seguranza.

    Seleccionar roles de seguranza

  6. Seleccione Nova.

  7. No deseñador de roles de seguranza, escriba un nome de rol no separador Detalles. Nos outros separadores, seleccionará as accións e o alcance para realizar esa acción.

  8. Seleccione un separador e busque a súa entidade. Por exemplo, seleccione o separador Entidades personalizadas para establecer permisos nunha entidade personalizada.

  9. Seleccione os privilexios Ler, escribir, anexar.

  10. Seleccione Gardar e pechar.

Privilexios mínimos para executar unha aplicación

Ao crear un rol de seguranza personalizado, debe incluír un conxunto de privilexios mínimos no rol de seguranza para que un usuario poida executar unha aplicación. Creamos unha solución que pode importar que fornece un rol de seguranza que inclúe os privilexios mínimos necesarios.

Comece por descargar a solución desde o Centro de descargas: Rol de seguranza de privilexio mínimo de Dataverse.

Despois, siga estas indicacións para importar a solución: Importar solucións.

Cando importe a solución, esta crea o rol uso de aplicacións prv min que pode copiar (consulte: Crear un rol de seguranza mediante Copiar rol). Ao finalizar o proceso Copiar papel, vaia a cada separador—Rexistros principais, Xestión de empresa, Personalización, etc.—e defina os privilexios correspondentes.

Importante

Debe probar a solución nun ambiente de desenvolvemento antes de importa a un ambiente de produción.

Consulte tamén

Conceder acceso a usuarios
Controlar o acceso de usuario a ambientes: grupos de seguranza e licenzas
Como se determina o acceso a un rexistro