קביעת תצורה של אבטחת משתמש למשאבים בסביבה
Microsoft Dataverse משתמש במודל אבטחה מבוסס-תפקידים כדי לסייע באבטחת גישה למסד הנתונים. מאמר זה מסביר כיצד ליצור את תוצרי האבטחה החיוניים לאבטחת משאבים בסביבה. ניתן להשתמש בתפקידי אבטחה כדי לקבוע תצורה של גישה בסביבה כולה לכל המשאבים בסביבה, או כדי לקבוע תצורה של גישה ליישומים ונתונים ספציפיים בסביבה. תפקידי אבטחה מפקחים על גישה של משתמש למשאבי סביבה באמצעות קבוצה של רמות גישה והרשאות. השילוב של רמות גישה והרשאות הכלולים בתפקיד אבטחה ספציפי מכתיב את המגבלות על תצוגת המשתמש של יישומים ומידע ועל האינטראקציה של המשתמש עם נתונים אלה.
סביבה יכולה לכלול מסד נתונים אחד של Dataverse או לא לכלול אף מסד נתונים. התהליך של הקצאת תפקידי אבטחה עבור סביבות ללא מסד נתונים של Dataverse שונה מהתהליך עבור סביבה שאין לה מסד נתונים של Dataverse.
תפקידי אבטחה מוגדרים מראש
סביבות כוללות תפקידי אבטחה מוגדרים מראש שמשקפים משימות נפוצות של המשתמש עם רמות גישה שהוגדרו להתאמה ליעד האבטחה המומלץ של מתן גישה לכמות המינימלית של נתונים עסקיים הדרושים כדי להשתמש ביישום.
ניתן להקצות תפקידי אבטחה אלה למשתמש, לצוות בעלים ולצוות קבוצה.
יש קבוצה נוספת של תפקידי אבטחה שמוקצה למשתמשי יישומים. תפקידי אבטחה אלה מותקנים על ידי השירותים שלנו ולא ניתן לעדכן אותם.
תפקידי האבטחה המוגדרים מראש הזמינים בסביבה שלך תלויים בסוג הסביבה.
סביבות ללא מסד נתונים של Dataverse
יוצר סביבה ומנהל סביבה הם התפקידים היחידים המוגדרים מראש עבור לסביבות שאין לה מסד נתונים של Dataverse. תפקידים אלה מוגדרים בטבלה הבאה.
| תפקיד אבטחה | הרשאות מסד נתונים* | תיאור |
|---|---|---|
| מנהל סביבה | יצירה, קריאה, כתיבה, מחיקה, התאמות אישיות, תפקידי אבטחה | התפקיד 'מנהל סביבה' יכול לבצע את כל הפעולות הניהוליות בסביבה, כולל את הפעילויות הבאות:
|
| יוצר סביבה | התאמות אישיות | באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית, שערים וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בתוך סביבה. מידע נוסף: מבט כולל על סביבות יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון. מידע נוסף: שיתוף יישום ב- Power Apps |
*הטווח של הרשאות אלו הוא טווח כללי, אלא אם צוין אחרת.
סביבות עם מסד נתונים Dataverse
אם הסביבה כוללת מסד נתונים של Dataverse, יש להקצות למשתמש את התפקיד 'מנהל מערכת' במקום את התפקיד 'מנהל סביבה' עבור הרשאות ניהול מלאות, כמתואר בטבלה הבאה.
למשתמשים שמייצרים אפליקציות המתחברות למסד הנתונים וצריכים ליצור או לעדכן ישויות ותפקידי אבטחה, עליך להקצות את התפקיד Customizer System בנוסף לתפקיד יוצר סביבות. זה הכרחי מכיוון שלתפקיד יוצר סביבות אין הרשאות על נתוני הסביבה.
| תפקיד אבטחה | הרשאות מסד נתונים* | תיאור |
|---|---|---|
| יוצר סביבה | התאמות אישיות | באפשרותך ליצור משאבים חדשים המשויכים לסביבה, כולל יישומים, חיבורים, ממשקי API מותאמים אישית, שערים וזרימות באמצעות Microsoft Power Automate. עם זאת, לתפקיד זה אין הרשאות גישה לנתונים בתוך סביבה. מידע נוסף: מבט כולל על סביבות יוצרי הסביבות יכולים גם להפיץ את היישומים שהם בונים בסביבה למשתמשים אחרים בארגון שלך. הם יכולים לשתף את היישום עם משתמשים בודדים, קבוצות אבטחה או כל המשתמשים בארגון. מידע נוסף: שיתוף יישום ב- Power Apps |
| מנהל מערכת | יצירה, קריאה, כתיבה, מחיקה, התאמות אישיות, תפקידי אבטחה | יש הרשאה מלאה להתאים אישית או לנהל את הסביבה, כולל יצירה, שינוי והקצאה של תפקידי אבטחה. ניתן להציג את כל הנתונים בסביבה. מידע נוסף: הרשאות הדרושות להתאמה אישית |
| אחראי על התאמה אישית של המערכת | יצירה (עצמית), קריאה (עצמית), כתיבה (עצמית), מחיקה (עצמית), התאמות אישיות | יש הרשאה מלאה לבצע התאמה אישית של הסביבה אך משתמשים בעלי תפקיד זה יכולים להציג רק רשומות עבור ישויות סביבה שהוא יוצר. מידע נוסף: הרשאות הדרושות להתאמה אישית |
| משתמש בסיסי | קריאה (עצמית), יצירה (עצמית), כתיבה (עצמית), מחיקה (עצמית) | יכול להפעיל יישום בתוך הסביבה ולבצע משימות נפוצות עבור הרשומות בבעלותו. שים לב שהדבר חל רק על ישויות שאינן מותאמות אישית. מידע נוסף: צור או הגדר תפקיד אבטחה מותאם אישית הערה: שמו של תפקיד האבטחה של משתמש Common Data Service שונה ל'משתמש בסיסי'. אין שום פעולה נדרשת - זהו רק שינוי שם והוא אינו משפיע על הרשאות המשתמש או על הקצאת התפקידים. אם יש לך פתרון עם תפקיד האבטחה 'משתמש Common Data Service', באפשרותך לעדכן בשוגג את שם תפקיד האבטחה בחזרה ל'משתמש Common Data Service' כאשר אתה מייבא את הפתרון. עדכן את הפתרון לפני הייבוא מחדש. |
| קריאת שירות | קרא | בעל הרשאת קריאה מלאה לכל היישויות כולל ישויות מותאמות אישית. זה נמצא בעיקר בשימוש של שירות עורפי הדורש קריאת כל היישויות. |
| כותב שירות | יצירה, קריאה, כתיבה | בעל הרשאת יצירה, קריאה וכתיבה מלאה לכל הישויות, כולל ישויות מותאמות אישית. זה נמצא בעיקר בשימוש של שירות עורפי הדורש יצירה ועדכון של רשומות. |
| הקצה | לפעול בשם משתמש אחר | מאפשר לקוד לפעול כמשתמש אחר או להתחזות. בדרך כלל משמש עם תפקיד אבטחה אחר כדי לאפשר גישה לרשומות. מידע נוסף: להתחזות למשתמש אחר |
| משתמש תמיכה | הגדרות קריאת התאמות אישיות, קריאת ניהול עסקי | בעל הרשאת קריאה מלאה להגדרות התאמה אישית וניהול עסקי כדי לאפשר לצוות התמיכה לפתור בעיות בתצורת הסביבה. אין לו גישה לרשומות הליבה. |
| משתף פעולה ב- Office | קריאה (עצמית) | בעל הרשאת קריאה לטבלאות שבהן שותפה רשומה מטבלאות אלה עם הארגון. אין לו גישה לרשומות ליבה אחרות ולרשומות טבלה מותאמות אישית. תפקיד זה מוקצה לצוות הבעלים של 'משתפי פעולה ב- Office' ולא למשתמש בודד. |
| קורא כללי | עדיין לא קיימת תמיכה בתפקיד הקורא הכללי במרכז הניהול של Power Platform. |
*הטווח של הרשאות אלו הוא טווח כללי, אלא אם צוין אחרת.
ייתכן שתפקידי אבטחה אחרים שיש לך שאינם מופיעים בטבלה לעיל סופקו כאשר התקנת את יישומי Dynamics 365.
Dataverse for Teams סביבות
לקבלת מידע על תפקידי האבטחה של סביבת Dataverse for Teams, ראה גישת משתמשים לסביבות Dataverse for Teams.
תפקידי אבטחה ספציפיים ליישום
אם אתה פורס יישומי Dynamics 365 בסביבת Dataverse, כגון Dynamics 365 Sales או Dynamics 365 Field Service, תפקידי אבטחה נוספים מתווספים כתוצאה מפריסת יישומים אלה. לקבלת מידע אודות תפקידי אבטחה נוספים אלה, עיין בתיעוד של היישומים המתאימים:
| יישום Dynamics 365 | מסמכי תפקיד אבטחה |
|---|---|
| Dynamics 365 Sales | הקצאת תפקיד אבטחה למשתמש |
| Dynamics 365 Marketing | נהל חשבונות משתמשים, רישיונות משתמשים ותפקידי אבטחה נהל תפקידים בצוות אפשר למשתמשים לעבוד עם מחבר LinkedIn Lead Gen |
| Dynamics 365 Field Service | הגדר משתמשים ופרופילי אבטחה של Dynamics 365 Field Service תפקידי אבטחה עבור Connected Field Service הקצה תפקידי אבטחה ליישום למכשירים ניידים Field Service |
| Dynamics 365 Customer Service | הקצאת תפקידים והפיכת משתמשים לזמינים עבור 'ריבוי ערוצים לשירות לקוחות' ניהול משתמשים ביישום 'ריבוי ערוצים לשירות לקוחות' |
| מנהל פרופילי יישומים | תפקידים והרשאות הקשורים למנהל פרופיל יישום |
סיכום המשאבים הזמינים לתפקידי אבטחה מוגדרים מראש
הטבלה הבאה מתארת אילו משאבים ניתן לחבר על ידי כל תפקיד אבטחה.
| משאב | יוצר סביבה | מנהל סביבה | אחראי על התאמה אישית של המערכת | מנהל מערכת |
|---|---|---|---|---|
| יישום בד ציור | X | X | - | X |
| זרימת ענן | X (לא מודע לפתרון) | X | X (מודע לפתרון) | X |
| מחבר | X | X | - | X |
| חיבור | X | X | - | X |
| שער נתונים | X | X | - | X |
| זרימת נתונים | X | X | - | X |
| Dataverse טבלאות | - | - | X | X |
| יישום מונחה-דגמים | - | - | X | X |
| מסגרת הפתרון | - | - | X | X |
| זרימת שולחן עבודה | - | - | X | X |
| AI Builder | - | - | X | X |
הקצאת תפקידי אבטחה למשתמשים בסביבה שלא כוללת מסד נתונים של Dataverse
לסביבות ללא מסד נתונים Dataverse, ניתן להקצות תפקידי אבטחה למשתמשים בודדים או לקבוצות מ- Azure AD. משתמש שיש לו את תפקיד מנהל מערכת הסביבה בסביבה יכול לנקוט בצעדים אלה.
היכנס אל מרכז הניהול של Power Platform.
בחר סביבות > [בחר סביבה].
באריח גישה, בחר הצג הכל עבור מנהל סביבה או יוצר סביבה כדי להוסיף או להסיר אנשים עבור כל אחד מהתפקידים.

בחר 'הוסף אנשים' ולאחר מכן ציין את שם או כתובת הדואר האלקטרוני של משתמש אחד או יותר או קבוצה אחת או יותר מ- Azure AD כדי להקצות את התפקיד הזה.

הקצאת תפקידי אבטחה למשתמשים בסביבה שכוללת מסד נתונים של Dataverse
ניתן להקצות תפקידי אבטחה לבעלי צוותים ו קבוצת צוותים של Azure AD , בנוסף למשתמשים בודדים. לפני שמקצים תפקיד למשתמש, ודא שהמשתמש נמצא בסביבה במצב מופעל. הוסף את המשתמש לסביבה או תקן את הסטטוס שלהם כדי להיות לשנות מצב ל'מופעל' לפני שתקצה להם תפקיד. תוכל להקצות תפקיד כחלק מתהליך הוספת המשתמש.
באופן כללי, ניתן להקצות תפקיד אבטחה רק למשתמשים בעלי סטטוס 'מופעל'. אך אם עליך להקצות תפקיד אבטחה למשתמשים במצב 'לא זמין', תוכל לעשות זאת על-ידי הפעלת allowRoleAssignmentOnDisabledUsers ב- OrgDBOrgSettings.
כדי להוסיף תפקיד אבטחה לבעל הצוות, קבוצת הצוות או משתמש שיש לו מצב 'מופעל' בסביבה:
היכנס אל מרכז הניהול של Power Platform.
בחר סביבות > [בחר סביבה].
באריח 'גישה', בחר 'הצג הכל' תחת 'תפקידי אבטחה'.

וודא כי היחידה העסקית הנכונה נבחרה מהתפריט הנפתח, ובחר תפקיד מרשימת התפקידים בסביבה.

בחר 'הוסף אנשים' כדי להוסיף לתפקיד משתמש, בעל צוות או קבוצת צוות. אם אינך מוצא משתמש או צוות שאליו ניתן להקצות את התפקיד, ודא שהמשתמש או הצוות נמצאים בסביבה והמשתמש נמצא במצב 'מופעל' לפני שתקצה להם תפקיד.

יצירה או הגדרה של תפקיד אבטחה מותאם אישית
אם היישום שלך משתמש בישות מותאמת אישית, יש להעניק את ההרשאות שלו במפורש בתפקיד אבטחה לפני שניתן להשתמש ביישום שלך. באפשרותך להוסיף הרשאות אלה בתפקיד אבטחה קיים או ליצור תפקיד אבטחה מותאם אישית.
הערה
כל תפקיד אבטחה חייב לכלול מערך הרשאות מינימלי לפני שניתן יהיה להשתמש בו. אלה מתוארים בהמשך מאמר זה.
עצה
הסביבה עשויה לשמור על הרשומות שבהן ניתן להשתמש במספר אפליקציות; לפיכך, ייתכן שתזדקק למספר תפקידי אבטחה כדי לגשת לנתונים באמצעות הרשאות שונות. לדוגמה:
- חלק מהמשתמשים (נקרא להפ סוג A) צריכים אולי רק לקרוא, לעדכן ולצרף רשומות אחרות, כך שתפקיד האבטחה שלהם יכלול הרשאות קריאה, כתיבה וצירוף.
- משתמשים אחרים עשויים להזדקק לכל ההרשאות שיש למשתמשים מסוג A, בתוספת היכולת ליצור, להוסיף, למחוק ולשתף. לתפקיד האבטחה של משתמשים אלה יהיו הרשאות ליצור, לקרוא, לכתוב, להוסיף, למחוק, להקצות, להוסיף ולשתף.
לקבלת מידע נוסף על גישה וטווח הרשאות, ראה תפקידי אבטחה והרשאות.
היכנס אל מרכז הניהול של Power Platform ובחר את הסביבה שעבורה ברצונך לעדכן תפקיד אבטחה.
בחר את כתובת ה- URL של הסביבה.

אם אתה רואה יישומים ואריחים שפורסמו, בחר בסמל גלגל השיניים (
) בפינה השמאלית העליונה ולאחר מכן בחר הגדרות מתקדמות.בסרגל התפריטים, בחר הגדרות > אבטחה.

בחר New.
ממעצב תפקיד האבטחה, הזן שם תפקיד בכרטיסיה פרטים. מהכרטיסיות האחרות, בחר את הפעולות ואת היקף ביצוע הפעולה.
בחר כרטיסיה וחפש את הישות שלך. לדוגמה, בחר באפשרות ישויות מותאמות אישית כדי להגדיר הרשאות בישות מותאמת אישית.
בחר את ההרשאות קריאה, כתיבה, צירוף.
בחר שמור וסגור.
הרשאות מינימליות להפעלת אפליקציה
כשאתה יוצר תפקיד אבטחה מותאם אישית, עליך לכלול קבוצה של הרשאות מינימליות בתפקיד האבטחה כדי שמשתמש יוכל להפעיל יישום. יצרנו פתרון שבאפשרותך לייבא, שמספק תפקיד אבטחה עם ההרשאות המינימליות הדרושות.
התחל על-ידי הורדת הפתרון ממרכז ההורדות: תפקיד אבטחה עם הרשאה מינימלית של Dataverse.
לאחר מכן, בצע את ההוראות כדי לייבא את הפתרון: ייבוא פתרונות.
כאשר אתה מייבא את הפתרון, נוצר התפקיד שימוש ביישומים עם הרשאה מינימלית שאותו אפשר להעתיק (ראה: יצירת תפקיד אבטחה על ידי העתקת תפקיד). לאחר סיום העתקת התפקיד, נווט אל כל אחת מהכרטיסיות—רשומות מרכזיות, ניהול עסקי, התאמה אישית וכדומה—והגדר את ההרשאות המתאימות.
חשוב
עליך לנסות את הפתרון בסביבת פיתוח לפני ייבוא שלו לסביבת ייצור.
למידע נוסף
הענקת גישה למשתמשים
בקרה על גישת משתמשים לסביבות: קבוצות אבטחה ורשיונות
כיצד נקבעת גישה לרשומות