Share via

Przypisywanie roli zabezpieczeń do użytkownika

  • Artykuł

O rolach zabezpieczeń

  • Role zabezpieczeń kontrolują dostęp użytkownika do danych poprzez zbiór poziomów dostępu i uprawnień. Kombinacja poziomów dostępu i uprawnień, które są zawarte w konkretnych rolach zabezpieczeń, określa limity wglądu użytkownika w dane i interakcji użytkownika z tymi danymi.
  • Usługa Dataverse oferuje domyślny zestaw ról zabezpieczeń. Jeśli to konieczne dla organizacji, można utworzyć nowe role zabezpieczeń poprzez edycję jednej z domyślnych ról zabezpieczeń, a następnie zapisanie jej pod nową nazwą. See Wstępnie zdefiniowane role zabezpieczeń.
  • Jednemu użytkownikowi można przypisać więcej niż jedną rolę zabezpieczeń. Efekt stosowania kilku ról zabezpieczeń jest zbiorczy, co oznacza, że użytkownik ma uprawnienia skojarzone ze wszystkimi rolami zabezpieczeń, które mu przypisano.
  • Role zabezpieczeń są skojarzone z jednostkami biznesowymi. Jeśli utworzono jednostki biznesowe, tylko te role zabezpieczeń, które są skojarzone z tymi jednostkami biznesowymi, są dostępne dla użytkowników w jednostce biznesowej. Można użyć tej funkcji, aby ograniczyć dostęp do danych do danych będących własnością jednostki biznesowej.
  • Gdy opcja Zezwalaj na własność rekordów w różnych jednostkach biznesowych jest włączona, można przypisywać użytkownikom role zabezpieczeń z różnych jednostek biznesowych niezależnie od tego, do której jednostki biznesowej należą użytkownicy.
  • Aby przypisać użytkownikowi role zabezpieczeń, należy mieć odpowiednie uprawnienia (minimalne uprawnienia to Odczyt i Przypisywanie w tabeli Rola zabezpieczeń). Aby zapobiec podwyższeniu uprawnień roli zabezpieczeń, osoba przypisująca rola zabezpieczeń nie może przypisać kogoś innego do roli zabezpieczeń z większymi uprawnieniami niż osoba przypisująca. Na przykład Menedżer działu obsługi klienta nie może przypisać innego użytkownika do roli Administrator systemu. Ta weryfikacja uprawnień obejmuje sprawdzenie wszystkich uprawnień, które ma osoba przypisująca na poziomie głębokości uprawnień i jednostki biznesowej. Na przykład nie można przypisać uprawnienia roli zabezpieczeń z innej jednostki biznesowej do innego użytkownika, jeśli nie ma uprawnienia roli zabezpieczeń z odpowiednim poziomem uprawnień przypisanym z tej jednostki biznesowej.

Uwaga

Domyślnie rola zabezpieczeń administratora systemu posiada wszystkie wymagane uprawnienia do przypisywania ról zabezpieczeń do dowolnych użytkowników, w tym do przypisywania roli zabezpieczeń administratora systemu. Jeśli musisz zezwolić osobom innym niż administratorzy systemu na przypisywanie ról zabezpieczeń, należy rozważyć utworzenie niestandardowej roli zabezpieczeń z wszystkimi uprawnieniami wymienionymi w części Tworzenie użytkownika administracyjnego i zapobieganie podwyższaniu uprawnień roli zabezpieczeń. Przypisz niestandardową role zabezpieczeń i wszystkie role zabezpieczeń, które osoba inna niż administrator systemu może przypisać do innych użytkowników, do osoby niebędącej administratorem systemu. To rola zabezpieczeń jest wymagana również w przypadku, gdy osoby niebędące administratorami systemu mogą zarządzać członkami zespołu w zespołach właścicieli.

Aby dowiedzieć się więcej o różnicach między rolami administratorów w Microsoft Online Services a rolami zabezpieczeń, zobacz Udzielanie użytkownikom dostępu.

Napiwek

Zapoznaj się z następującym filmem wideo: Przypisywanie ról zabezpieczeń w centrum administracyjnym Power Platform.

Wykonaj te kroki, aby przypisać rolę zabezpieczeń.

  1. Zaloguj się do Centrum administracyjnego Power Platform jako system Administrator.

  2. Wybierz pozycję Środowiska, a następnie wybierz środowisko z listy.

  3. Wybierz Ustawienia.

  4. Wybierz pozycję Użytkownicy i uprawnienia, a następnie wybierz pozycję Użytkownicy.

  5. Na stronie Użytkownicy wybierz użytkownika, a następnie wybierz Zarządzaj rolami zabezpieczeń.

    Zarządzaj rolami zabezpieczeń.

  6. Zaznaczanie i usuwanie zaznaczenia ról zabezpieczeń. Jeśli użytkownik ma już przypisane role. Po zakończeniu wybierz Zapisz. Po zapisaniu wszystkie wybrane role stają się bieżącymi rolami przypisanymi użytkownikowi. Role, które nie zostały wybrane, nie są przypisywane.

    Strona Zarządzaj rolami zabezpieczeń.

Po włączeniu opcji umożliwiaj posiadanie zapisów przez różne jednostki organizacyjne można wybrać role zabezpieczeń z innej jednostki biznesowej.

Ważne

Każdemu użytkownikowi należy przypisać co najmniej jedną rolę zabezpieczeń bezpośrednio lub pośrednio jako członek zespołu grupy. Usługa nie zezwala na dostęp użytkownikom, którzy nie mają co najmniej jednej roli zabezpieczeń.

Uprawnienia do ustawień użytkownika dotyczące własności rekordów w różnych jednostkach biznesowych

Jeśli włączono opcję umożliwiaj posiadanie zapisów przez różne jednostki organizacyjne, użytkownicy mogą uzyskiwać dostęp do danych w innych jednostkach biznesowych, mając przypisaną im bezpośrednio rolę zabezpieczeń z tych innych jednostek biznesowych. Użytkownik potrzebuje również roli zabezpieczeń przypisanej z jednostki biznesowej użytkownika z uprawnieniami z poniższych tabel, aby zaktualizować ustawienia interfejsu użytkownika:

  • Ustawienia użytkownika karty akcji
  • Zapisany widok
  • Wykres użytkownika
  • Pulpit nawigacyjny użytkownika
  • Dane wystąpienia encji użytkownika
  • Ustawienia interfejsu użytkownika encji użytkownika
  • Metadane aplikacji użytkownika

Aby przypisać role zabezpieczeń użytkownikom danego środowiska, które ma zero lub jedną Microsoft Dataverse, zobacz Konfigurowanie zabezpieczeń użytkownika dot. zasobów w środowisku.

(Opcjonalnie) Przypisywanie roli administratora

Zadania administrowania środowiskiem w witrynie Microsoft Online Services można udostępniać kilku osobom, przypisując role administratora środowiska w witrynie Microsoft Online Services użytkownikom wybranym do wypełnienia każdej roli. Możesz zdecydować, aby przypisać rolę administratora globalnego drugiej osobie w organizacji na okresy, gdy Ty nie możesz się tym zajmować.

Istnieje pięć ról środowiska Microsoft Online Services Administrator o różnym poziomie uprawnień. Na przykład rola administratora Resetowanie hasła może tylko resetować hasło użytkownika, rola administratora Zarządzanie użytkownikami może resetować hasła użytkowników, a także dodawać, edytować lub usuwać konta użytkowników, a rola administratora globalnego może dodawać subskrypcje usługi online dla organizacji i zarządzać wszystkimi aspektami subskrypcji. Aby uzyskać szczegółowe informacje o rolach administratorów w usługach Microsoft Online Services, zobacz Przypisywanie ról administratorów.

Uwaga

Role administratora środowiska Microsoft Online Services są ważne tylko do zarządzania aspektami subskrypcji usługi online. Role te nie wpływają na uprawnienia w usłudze.

Automatyczne przydzielanie ról

Kiedy użytkownicy są dodawani do Dataverse, role są przypisywane automatycznie na podstawie następujących kryteriów:

  1. Wszyscy administratorzy Microsoft Entra ID (administrator dzierżawy, administrator Power Platform, administrator usługi Dynamics 365) otrzymują rolę administratora systemu w Dataverse.

    Ważne

    Rola Administrator systemu nie jest usuwana automatycznie, jeśli rola administratora Microsoft Entra zostanie usunięta. Ponieważ nie ma mechanizmu pozwalającego śledzić, czy rola została przypisana przez system automatycznie czy przez administratora, zalecamy, aby administrator ręcznie usunął rolę administratora systemu po usunięciu roli Microsoft Entra.

  2. Użytkownicy z prawidłową licencją mogą automatycznie przypisywać im zamapowane role. Usunięcie odpowiedniej licencji powoduje automatyczne usunięcie roli. Licencjonowane zarządzanie rolami domyślnymi nie ma zastosowania dla użytkowników w tych typach środowisk: Dataverse for Teams, Trial i Developer.

  3. Dla domyślnego typu środowiska role Użytkownik wersji Basic i Twórca środowiska są przypisywane automatycznie do wszystkich użytkowników dodanych do aplikacji Dataverse.

  4. W środowisku połączonym z finansami i operacjami z bazą danych Dataverse rola zabezpieczeń użytkownika podstawowego finansów i operacji jest automatycznie przypisywana do wszystkich aktywnych użytkowników w Dataverse.

Licencja na mapowanie ról

Jeśli ta funkcja jest zdefiniowana w środowisku, pewne role są przypisywane automatycznie do użytkowników — na podstawie przypisanych do nich licencji — gdy są oni dodawani do usługi Dataverse. Licencje na mapowanie ról w środowisku można wyświetlić, przechodząc do strony Licencja na mapowanie ról w centrum administracyjnym Power Platform.

Przejdź do Środowiska> > [wybierz środowisko] > >Ustawienia>Użytkownicy + Uprawnienia>Licencja na mapowanie ról.

Zobacz też

Wprowadzenie do ról zabezpieczeń w usłudze Dataverse