보안 역할 및 권한

데이터 액세스를 제어하려면 중요한 데이터를 보호하면서 공동 작업할 수 있도록 하는 조직 구조를 설정해야 합니다. 사업부, 보안 역할 및 필드 보안 프로필을 설정하여 이를 수행할 수 있습니다.

보안 역할을 설정하는 방법 비디오를 확인하십시오.

보안 역할

보안 역할에는 영업 직원과 같은 여러 사용자가 여러 레코드 종류에 액세스하는 방법이 정의됩니다. 데이터 액세스를 제어하려면 기존 보안 역할을 수정하거나 새 보안 역할을 만들거나 각 사용자에게 할당된 보안 역할을 변경하면 됩니다. 각 사용자에게 여러 보안 역할을 할당할 수 있습니다.

보안 역할 권한은 누적됩니다. 즉, 둘 이상의 보안 역할이 있는 사용자에게는 모든 역할에 사용 가능한 모든 권한이 주어집니다.

각 보안 역할은 레코드 수준 권한 및 작업 기반 권한으로 구성됩니다.

레코드 수준 권한에서는 읽기, 만들기, 삭제, 쓰기, 할당, 공유, 추가, 다른 레코드에 추가 등 레코드에 액세스할 수 있는 사용자가 수행할 수 있는 작업을 정의합니다. 추가는 활동 또는 메모와 같은 다른 레코드를 레코드에 첨부하는 것을 의미합니다. 다른 레코드에 추가는 레코드에 첨부됨을 의미합니다. 추가 정보: 레코드 수준 권한.

양식의 아래쪽에 있는 작업 기반 권한은 문서 게시와 같은 특정 작업을 수행할 수 있는 권한을 사용자에게 제공합니다.

보안 역할 설정 페이지의 다양한 색의 원은 해당 권한의 액세스 수준을 정의합니다. 액세스 수준은 조직의 사업부 계층 구조에서 사용자가 지정된 권한을 수행할 수 있는 수준을 결정합니다. 다음 표는 사용자가 가장 많은 액세스를 제공하는 수준부터 시작하여 앱의 액세스 수준을 나열합니다.

아이콘 설명
액세스 수준 전역 전역. 이 액세스 수준은 환경 또는 사용자가 속한 사업부 계층 수준에 관계 없이 조직 내의 모든 레코드에 사용자 액세스를 부여합니다. 전역 액세스를 가진 사용자는 자동으로 전체, 로컬 및 기본 액세스도 갖습니다.

이 액세스 수준은 조직 전체의 정보에 대한 액세스를 제공하므로 조직의 데이터 보안 계획과 일치하도록 제한해야 합니다. 이 액세스 수준은 일반적으로 조직에 대한 권한을 가진 관리자를 위해 예약되어 있습니다.

응용 프로그램에서는 이 액세스 수준을 조직이라고 합니다.
액세스 수준 깊이 전체. 이 액세스 수준은 사용자의 사업부와 해당 사업부의 모든 종속 사업부에 속하는 레코드에 대한 액세스를 사용자에게 부여합니다.

전체 액세스를 가진 사용자는 자동으로 로컬 및 기본 액세스도 갖습니다.

이 액세스 수준은 사업부와 종속 사업부 전체의 정보에 대한 액세스를 제공하므로 조직의 데이터 보안 계획과 일치하도록 제한해야 합니다. 이 액세스 수준은 일반적으로 사업부에 대한 권한을 가진 관리자를 위해 예약되어 있습니다.

응용 프로그램에서는 이 액세스 수준을 상위 및 하위 사업부 모두 포함이라고 합니다.
액세스 수준 로컬 로컬. 이 액세스 수준은 사용자의 사업부에 속하는 레코드에 대한 액세스를 사용자에게 부여합니다.

로컬 액세스를 가진 사용자는 자동으로 기본 액세스도 갖습니다.

이 액세스 수준은 사업부 전체의 정보에 대한 액세스를 제공하므로 조직의 데이터 보안 계획과 일치하도록 제한해야 합니다. 이 액세스 수준은 일반적으로 사업부에 대한 권한을 가진 관리자를 위해 예약되어 있습니다.

응용 프로그램에서는 이 액세스 수준을 사업부라고 합니다.
액세스 수준 기본 기본. 이 액세스 수준은 사용자가 담당하는 레코드, 사용자와 공유하는 개체, 사용자가 구성원으로 속한 팀과 공유하는 개체에 대한 액세스를 사용자에게 부여합니다.

이는 영업 및 서비스 담당자의 일반적인 액세스 수준입니다.

응용 프로그램에서는 이 액세스 수준을 사용자라고 합니다.
액세스 수준 없음 None(없음). 액세스가 허용되지 않습니다.

중요

사용자가 웹 응용 프로그램의 모든 영역(예: 엔터티 양식, 탐색 모음 또는 명령 모음)을 보고 액세스할 수 있도록 조직의 모든 보안 역할에는 Web Resource 엔터티에 대한 읽기 권한이 포함되어야 합니다. 예를 들어 읽기 권한이 없으면 사용자는 웹 리소스가 들어 있는 양식을 열 수 없으며 "prvReadWebResource 권한이 없습니다."와 같은 오류 메시지가 표시됩니다. 추가 정보: 보안 역할 만들기 또는 편집

레코드 수준 권한

PowerApps 및 고객 참여 앱(Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing 및 Dynamics 365 Project Service Automation)은 사용자가 특정 레코드 또는 레코드 유형에 대해 가져야 하는 액세스 수준을 결정하는 8가지 레코드 수준 권한을 사용합니다.

Privilege 설명
만들기 새 레코드를 만드는 데 필요합니다. 만들 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
읽기 내용을 보기 위해 레코드를 여는 데 필요합니다. 읽을 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
쓰기 레코드를 변경하는 데 필요합니다. 변경할 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
삭제 레코드를 영구적으로 제거하는 데 필요합니다. 삭제할 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
레코드 추가 현재 레코드를 다른 레코드에 연결하는 데 필요합니다. 예를 들어 사용자가 메모에 대해 다른 레코드에 추가 권한을 갖고 있으면 영업 기회에 메모를 추가할 수 있습니다. 추가할 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
다대다 관계를 사용하는 경우 연결되거나 연결 해제되는 두 엔터티에 대한 추가 권한이 있어야 합니다.
다른 레코드에 추가 현재 레코드에 레코드를 연결하는 데 필요합니다. 예를 들어 영업 기회에 대한 레코드 다른 레코드에 추가 권한이 있는 사용자는 영업 기회에 메모를 추가할 수 있습니다. 추가할 수 있는 대상 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
할당 레코드의 담당 권한을 다른 사용자에게 부여하는 데 필요합니다. 할당할 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.
공유 레코드에 대한 액세스 권한을 다른 사용자에게 부여하면서 사용자 본인의 액세스 권한도 유지하는 데 필요합니다. 공유할 수 있는 레코드는 사용자의 보안 역할에 정의된 사용 권한의 액세스 수준에 따라 달라집니다.

보안 역할 다시 정의

레코드 담당자 또는 레코드에 대해 공유 권한을 가진 사용자는 다른 사용자 또는 팀과 레코드를 공유할 수 있습니다. 공유하면 특정 레코드에 대한 읽기, 쓰기, 삭제, 추가, 할당 및 공유 권한을 추가할 수 있습니다.

팀은 일반적으로 팀 구성원이 액세스할 수 없는 레코드를 공유하는 데 주로 사용됩니다. 추가 정보: 보안, 사용자 및 팀을 관리합니다.

특정 레코드에 대한 액세스는 제거할 수 없습니다. 보안 역할 권한을 변경한 모든 내용은 해당 레코드 종류의 모든 레코드에 적용됩니다.

팀 구성원의 권한 상속

사용자 및 팀 권한

  • 사용자 권한: 보안 역할이 사용자에게 할당되면 사용자에게 이러한 권한이 직접 부여됩니다. 만들기 및 읽기에 대한 기본 액세스 수준이 주어지면 사용자가 만들거나 소유한 레코드에 액세스할 수 있습니다. 이것은 새 보안 역할의 기본 설정입니다.
  • 팀 권한: 사용자에게 팀 구성원으로 이러한 권한이 부여됩니다. 사용자 권한이 없는 팀 구성원의 경우 팀을 소유자로 한 레코드만 만들 수 있으며 만들기 및 읽기에 대한 기본 액세스 수준이 제공되면 팀 소유의 레코드에 액세스할 수 있습니다.

보안 역할을 설정하여 팀 구성원에게 직접 기본 수준 액세스 사용자 권한을 제공할 수 있습니다. 팀 구성원은 자신이 소유한 레코드를 만들고 만들기에 대한 기본 액세스 수준이 주어지면 소유자로서 팀이 소유한 레코드를 만들 수 있습니다. 읽기에 대한 기본 액세스 수준이 주어지면 팀 구성원은 해당 팀 구성원과 팀이 소유한 레코드에 액세스할 수 있습니다.

이 구성원의 권한 상속 역할은 담당자 및 Azure Active Directory(Azure AD) 그룹 팀에 적용됩니다.

참고

2019년 5월 팀 구성원의 권한 상속 릴리스 이전에는 보안 역할이 팀 권한과 같이 작동했습니다. 이 릴리스 이전에 생성된 보안 역할은 팀 권한으로 설정되고 이 릴리스 이후에 생성된 보안 역할은 기본적으로 사용자 권한으로 설정됩니다.

팀 구성원의 권한 상속을 사용하여 보안 역할 만들기

필수 구성 요소

이 설정은 환경 > [환경을 선택] > 설정 > 사용자의 + 권한 > 보안 역할로 이동하여 Power Platform 관리 센터에서 찾을 수 있습니다.

시스템 관리자 또는 시스템 사용자 지정자 보안 역할이나 이와 동급의 권한이 있는지 확인하십시오.

보안 역할 확인:

  • 사용자 프로필 보기의 단계를 따르십시오.
  • 올바른 권한이 없습니까? 시스템 관리자에게 문의하십시오.
  1. 환경을 선택하고 설정 > 사용자의 + 권한 > 보안 역할로 이동합니다.

  2. 명령 모음에서 새로 만들기를 선택합니다.

  3. 역할 이름을 입력합니다.

  4. 구성원의 권한 상속 드롭다운 목록을 선택합니다.

  5. 직접 사용자/기본 액세스 수준 및 팀 권한을 선택합니다.

  6. 각 탭으로 이동하여 각 엔터티에 대해 적절한 권한을 설정합니다.

    권한의 액세스 수준을 변경하려면 원하는 기호가 표시될 때까지 액세스 수준 기호를 선택합니다. 사용 가능한 액세스 수준은 레코드 종류가 조직 담당 또는 사용자 담당인지에 따라 달라집니다.

참고

시스템 관리자 역할을 제외한 모든 기본 보안 역할에 대해 이 권한 상속 속성을 설정할 수도 있습니다. 권한 상속 보안 역할이 사용자에게 할당되면 사용자는 보안 역할처럼 권한 상속 없이 모든 권한을 직접 가져옵니다.

구성원의 권한 상속에서 기본 수준 권한만 선택할 수 있습니다. 하위 사업부에 대한 액세스 권한을 제공해야 하는 경우 권한을 전체로 상승시켜야 합니다. 예를 들어 그룹 팀에 보안 역할을 할당해야 하며 이 그룹의 구성원이 계정에 추가할 수 있기를 원합니다. 보안 역할을 기본 수준 구성원의 권한 상속으로 설정하고 계정에 추가 권한에서 이를 전체로 설정합니다. 기본 권한은 사용자의 사업부에만 적용할 수 있기 때문입니다.

보안 역할 할당

사용자에게 보안 역할을 할당하려면 적절한 권한이 있어야 합니다(최소 권한은 보안 역할 엔터티에 대한 '읽기' 및 '할당'). 보안 역할 권한 상승을 방지하기 위해 보안 역할을 할당하는 사람은 다른 사람에게 할당된 것보다 많은 권한을 가진 보안 역할을 할당할 수 없습니다. 예를 들어 CSR Manager는 다른 사용자에게 시스템 관리자 역할을 할당할 수 없습니다.

기본적으로 시스템 관리자 보안 역할은 시스템 관리자 보안 역할 할당을 포함하여 모든 사용자에게 보안 역할을 할당하는 데 필요한 모든 권한을 가지고 있습니다. 시스템 관리자가 아닌 사용자가 보안 역할을 할당하도록 허용해야 하는 경우 사용자 지정 보안 역할 생성을 고려해야 합니다. 관리 사용자 만들기 및 보안 역할 권한 상승 방지를 참조하십시오.