Настройка безопасности пользователей для ресурсов в среде

Microsoft Dataverse использует модель безопасности на основе ролей, чтобы обеспечить безопасный доступ к базе данных. В этой статье вы узнаете, как создавать артефакты безопасности, которые необходимы для защиты ресурсов в среде. Роли безопасности можно использовать для настройки доступа ко всем ресурсам среды или для настройки доступа к определенным приложениям и данным в среде. Роли безопасности определяют доступ пользователя к ресурсам среды с помощью набора уровней доступа и разрешений. Сочетание уровней доступа и разрешений в определенной роли безопасности определяет ограничения доступа пользователя на просмотр данных и взаимодействие с ними.

Среда может иметь ноль или одну базу данных Dataverse. Процесс назначения ролей безопасности для сред без базы данных Dataverse отличается от такового для среды с базой данных Dataverse.

Стандартные роли безопасности

Среды включают набор предопределенных ролей безопасности, отражающий общие задачи с уровнями доступа, определенными в соответствии с целевой оптимальной методикой безопасности по предоставлению доступа к минимальному объему бизнес-данных, необходимых, чтобы использовать приложение.

Эти роли безопасности могут быть назначены пользователю, команда владельцев и группе команды.

Есть еще один набор ролей безопасности, который назначается пользователям приложения. Эти роли безопасности устанавливаются нашими службами и не могут быть обновлены.

Какие предопределенные роли безопасности доступны в вашей среде, зависит от типа среды.

Среды без базы данных Dataverse

Создатель среды и администратор среды — единственные предопределенные роли для сред без базы данных Dataverse. Эти роли заданы в данной таблице.

Роль безопасности Привилегии базы данных* Описание
Администратор среды Создание, чтение, запись, удаление, настройка, роли безопасности Роль администратора среды может выполнять все административные действия в среде, включая следующие:
  • Добавление или удаление пользователя из роли администратора среди или создателя среды.
  • Подготовка базы данных Dataverse для среды. После того, как база данных подготовлена, роль "Настройщик системы" также должна быть назначена администратору среды, чтобы предоставить им доступ к данным среды.
  • Просмотр и управление всеми ресурсами, созданными в среде.
  • Задайте политики предотвращения потери данных. Дополнительные сведения: Политики защиты от потери данных
Создатель среды Настройки Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API, шлюзы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде. Дополнительные сведения: Обзор сред

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации. Дополнительные сведения: Совместное использование приложения в Power Apps

*Область этих привилегий глобальная, если иное не указано явно.

Среды с базой данных Dataverse

Если в среде есть база данных Dataverse, пользователю должна быть назначена роль системного администратора вместо роли администратора среды для получения полных прав администратора, как описано в следующей таблице.

Для пользователей, которые создают приложения, которые подключаются к базе данных и нуждаются в создании или обновлении сущностей и ролей безопасности, вам необходимо назначить роль "Настройщик системы" в дополнение к роли "Создатель среды". Это необходимо, потому что роль "Создатель среды" не имеет привилегий для данных среды.

Роль безопасности Привилегии базы данных* Описание
Создатель среды Настройки Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API, шлюзы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде. Дополнительные сведения: Обзор сред

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации. Дополнительные сведения: Совместное использование приложения в Power Apps
Системный администратор Создание, чтение, запись, удаление, настройка, роли безопасности Имеет полное разрешение на настройку или управление средой, в том числе создание, изменение и назначение ролей безопасности. Может просматривать все данные в среде. Дополнительные сведения: Разрешения, необходимые для выполнения настройки
Настройщик системы Создание (свои), чтение (свои), запись (свои), удалении (свои), настройки Имеет полное разрешение для настройки среды. Однако пользователи с этой ролью могут просматривать только записи для создаваемых ими самими сущностей среды. Дополнительные сведения: Разрешения, необходимые для выполнения настройки
Обычный пользователь Чтение (свои), создание (свои), запись (свои), удаление (свои) Можно запустить приложение в среде и выполнять общие задачи для записей, за которые он отвечает. Обратите внимание, что это относится только к ненастраиваемым сущностям. Больше информации: Создание или настройка пользовательской роли безопасности

Примечание. Роль безопасности пользователя Common Data Service была переименована в "Обычный пользователь". Никаких действий не требуется — это просто измененное имя, которое не влияет на права пользователя или назначение ролей. Если у вас есть решение с ролью безопасности пользователя Common Data Service, вы можете случайно обновить имя роль безопасности обратно на "пользователь Common Data Service" при импорте решения. Обновите решение перед повторным импортом.
Средство чтения службы Читать Имеет полное разрешение на чтение для всех сущностей, включая настраиваемые. Это в основном используется серверной службой, которая требует чтения всех сущностей.
Средство записи службы Создание, чтение, запись Имеет разрешение на создание, чтение и запись для всех сущностей, включая настраиваемые. Это в основном используется серверной службой, которая требует создания и обновления записей.
Делегирование Действовать от лица другого пользователя Позволяет коду выполняться как бы от лица другого пользователя или олицетворять. Обычно используется с другой ролью безопасности для обеспечения доступа к записям. Дополнительные сведения: Олицетворение другого пользователя
Пользователь поддержки Чтение настроек, чтение настроек управления бизнесом Имеет полное разрешение на чтение для настройки и управления бизнесом, что позволяет сотрудникам службы поддержки устранять неполадки конфигурации среды. Не имеет доступа к основным записям.
Глобальный читатель Роль Глобальный читатель еще не поддерживается в центре администрирования Power Platform.

*Область этих привилегий глобальная, если иное не указано явно.

Другие имеющиеся у вас роли безопасности, которых нет в приведенной выше таблице, могли быть предоставлены при установке приложений Dynamics 365.

Среды: Dataverse for Teams

Для получения информации о ролях безопасности среды Dataverse for Teams, см. Доступ пользователей к среде Dataverse for Teams.

Роли безопасности для конкретного приложения

Если вы развертываете приложения Dynamics 365 в своей среде Dataverse, например Dynamics 365 Sales или Dynamics 365 Field Service, дополнительные роли безопасности добавляются в результате развертывания этих приложений. Для получения информации об этих дополнительных ролях безопасности см. документацию по соответствующим приложениям:

Приложение Dynamics 365 Документы по ролям безопасности
Dynamics 365 Sales Назначение роли безопасности пользователю
Dynamics 365 Marketing Управление учетными записями пользователей, лицензиями пользователей и ролями безопасности
Управление ролями в рабочей группе
Разрешение пользователям работать с соединителем LinkedIn Lead Gen
Dynamics 365 Field Service Настройка пользователей и профилей безопасности Dynamics 365 Field Service
Роли безопасности для Connected Field Service
Назначение ролей безопасности мобильному приложению Field Service
Dynamics 365 Customer Service Назначьте роли и включите пользователей для многоканального взаимодействия для обслуживания клиентов
Управление пользователями в приложении "Многоканальное взаимодействие для Customer Engagement"
Диспетчер профилей приложений Роли и привилегии, связанные с диспетчером профилей приложений

Сводка ресурсов, доступных для предопределенных ролей безопасности

В следующей таблице описано, какие ресурсы могут быть созданы каждой ролью безопасности.

Ресурс Создатель среды Администратор среды Настройщик системы Системный администратор
Приложение на основе холста X X - X
Облачный поток X (не зависит от решения) X X (зависит от решения) X
Соединитель X X - X
Подключение X X - X
Шлюз данных X X - X
Поток данных X X - X
Таблицы Dataverse - - X X
Приложение на основе модели - - X X
Платформа решений - - X X
Классический поток - - X X
AI Builder - - X X

Назначьте роли безопасности пользователям в среде без базы данных Dataverse

Для сред без базы данных Dataverse роли безопасности можно назначать отдельным пользователям или группам из Azure AD. Эти шаги может выполнить пользователь с ролью администратора среды в среде.

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите  Среды > [выберите среду].

  3. В плитке Доступ выберите Показать все для параметра Администратор среды или Создатель среды для добавления или удаления пользователей для любой из этих ролей.

    Выберите роль.

  4. Выберите Добавьте пользователей, затем укажите имя или адрес электронной почты одного или нескольких пользователей или групп из Azure AD для назначения этой роли.

    Выберите действие.

Назначьте роли безопасности пользователям в среде с базой данных Dataverse

Роли безопасности могут быть назначены владельцам рабочих групп и  рабочим группам групп Azure AD в дополнение к отдельным пользователям. Прежде чем назначить роль пользователю, убедитесь, что пользователь присутствует в среде во включенном состоянии. Добавьте пользователя в среду или исправьте их статус, чтобы он стал включенным, перед назначением им роли. Вы сможете назначить роль в процессе добавления пользователя.

Обычно роль безопасности можно назначить только пользователям, которые находятся во включенном состоянии. Но если требуется назначить роль безопасности пользователям, которые имеют статус "Отключен", сделайте это посредством включения параметра allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.

Чтобы добавить роль безопасности в рабочую группу владельца, рабочую группу группы или пользователю с включенным статусом в среде:

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите  Среды > [выберите среду].

  3. На плитке Доступ выберите Показать все в разделе "Роли безопасности".

    Просмотр всех ролей безопасности.

  4. Убедитесь, что в раскрывающемся списке выбрано нужное бизнес-подразделение, и выберите роль из списка ролей в среде.

    Выберите бизнес-единицу.

  5. Выберите Добавить пользователей, чтобы добавить к роли пользователя, рабочую группу владельцев или рабочую группу группы. Если вы не нашли пользователя или рабочую группу для назначения роли, убедитесь, что пользователь или рабочая группа присутствует в среде и пользователь имеет включенный статус, прежде чем назначать им роль.

    Добавьте пользователей.

Создание или настройка настраиваемой роли безопасности

Если ваше приложение использует настраиваемую сущность, его привилегии должны быть явно предоставлены в роли безопасности, прежде чем ваше приложение можно будет использовать. Вы можете добавить эти привилегии в существующую роль безопасности или создать собственную роль безопасности.

Примечание

Каждая роль безопасности должна включать минимальный набор привилегий, прежде чем ее можно будет использовать. Они описаны далее в этой статье.

Совет

Среда может хранить записи, которые могут использоваться несколькими приложениями, поэтому для доступа к данным с разными привилегиями может потребоваться несколько ролей безопасности. Например:

  • Некоторым пользователям (назовем их "тип А") нужно только считывать, обновлять и добавлять записи, поэтому их роль безопасности будет иметь привилегии на чтение, запись и добавление.
  • Другим пользователям могут понадобиться все привилегии, которыми обладают пользователи типа А, а также возможность создавать, добавлять, удалять и делиться. Роль безопасности таких пользователи будет предоставлять разрешения на создание, чтение, запись, добавление, удаление, назначение, присоединение и предоставление общего доступа.

Дополнительные сведения о разрешениях доступа и области действия см. в разделе  Роли безопасности и привилегии.

  1. Выполните вход в центр администрирования Power Platform и выберите среду, для которой вы хотите обновить роль безопасности.

  2. Выберите URL-адрес среды.

    Выберите URL-адрес среды.

  3. Если вы видите опубликованные приложения и плитки, выберите значок шестеренки (Параметры.) в правом верхнем углу, а затем выберите Дополнительные параметры.

  4. В строке меню выберите Параметры > Безопасность.

    Выберите Роли безопасности.

  5. Выберите Создать.

  6. В конструкторе ролей безопасности введите имя роли на вкладке Подробнее. На других вкладках вы выберете действия и область действия для выполнения этого действия.

  7. Выберите вкладку и найдите свою сущность. Например, выберите вкладку Настраиваемые сущности, чтобы установить разрешения для настраиваемой сущности.

  8. Выберите привилегии Чтение, запись, добавление.

  9. Выберите Сохранить и закрыть.

Минимальные привилегии для запуска приложения

Когда вы создаете настраиваемую роль безопасности, вам нужно включить набор минимальных привилегий в роль безопасности, чтобы пользователь мог запустить приложение. Мы создали решение, которое можно импортировать, предоставляющее роль безопасности с минимальными требуемыми привилегиями.

Сначала загрузите решение из центра загрузи: Роль безопасности с минимальными привилегиями Dataverse.

Затем следуйте этим указаниям для импорта решения: Импорт решений.

При импорте решения оно создает роль минимальные профессиональное использование приложений, которую можно копировать (см. раздел Создание роли безопасности путем копирования роли). После завершения процесса копирования роли перейдите на каждую из вкладок, а именно —Базовые записи, Управление бизнесом, Настройка и т. д — и задайте соответствующие привилегии.

Важно!

Необходимо попробовать решение в среде разработки, прежде чем импортировать его в производственную среду.

См. также

Предоставление пользователям доступа
Управление доступом пользователей к средам: группы безопасности и лицензии
Способы определения доступа к записи