Konfiguracija varnosti uporabnikov v okolju

  • Članek

Microsoft Dataverse Uporablja varnostni model na podlagi vlog za nadzor dostopa do zbirke podatkov in njenih virov v okolju. Z varnostnimi vlogami konfigurirajte dostop do vseh virov v okolju ali do določenih aplikacij in podatkov v okolju. Kombinacija ravni dostopa in dovoljenj v varnostna vloga določa, katere aplikacije in podatke si lahko uporabniki ogledajo ter kako lahko komunicirajo s temi aplikacijami in podatki.

Okolje ne more imeti nobene ali ene Dataverse zbirke podatkov. Varnostne vloge dodeljujete drugače za okolja, ki nimajo Dataverse zbirke podatkov, in okolja, ki imajo zbirko podatkov Dataverse .

Preberite več o okoljih v Power Platform.

Vnaprej določene varnostne vloge

Okolja vključujejo vnaprej določene varnostne vloge, ki odražajo pogosta uporabniška opravila. Vnaprej določene varnostne vloge upoštevajo najboljši varnostni postopek »minimalnega zahtevanega dostopa«: zagotavljajo najmanjši dostop do minimalnih poslovnih podatkov, ki jih uporabnik potrebuje za uporabo aplikacije. Te varnostne vloge je mogoče dodeliti uporabniku, ekipi lastnika in skupini skupine. Vnaprej določene varnostne vloge, ki so na voljo v okolju, so odvisne od vrste okolja in aplikacij, ki ste jih v njem namestili.

Uporabnikom aplikacije je dodeljenše en nabor varnostnih vlog. Te varnostne vloge namestijo naše storitve in jih ni mogoče posodobiti.

Okolja brez zbirke podatkov Dataverse

Ustvarjalec okolja in skrbnik okolja sta edini vnaprej določeni vlogi za okolja brez zbirke podatkov Dataverse. Te vloge so opisane v spodnji tabeli.

Varnostna vloga Description
Skrbnik okolja Vloga skrbnika okolja lahko izvaja vsa skrbniška dejanja v okolju, vključno s temi:
  • Uporabniku dodate ali odstranite vlogo »Skrbnik okolja« ali »Ustvarjalec okolja«.
  • Omogočite uporabo zbirke podatkov storitve Dataverse za okolje. Ko je zbirka podatkov omogočena, dodelite vlogo prilagojevalca sistema skrbniku okolja, da mu omogočite dostop do podatkov okolja.
  • Oglejte si in upravljajte vse vire, ustvarjene v okolju.
  • Ustvarite pravilnike za preprečitev izgube podatkov.
Ustvarjalec okolja Z orodjem Microsoft Power Automate lahko ustvari nove vire, povezne z okoljem, vključno z aplikacijami, povezavami, API-ji po meri, prehodi in poteki. Vendar ta vloga nima pravic za dostop do podatkov v okolju.

Izdelovalci okolja lahko aplikacije, ki jih ustvarijo v okolju, distribuirajo tudi drugim uporabnikom v vaši organizaciji. Aplikacijo lahko delijo s posameznimi uporabniki, varnostnimi skupinami ali vsemi uporabniki v organizaciji.

Okolja z zbirko podatkov Dataverse

Če ima okolje zbirko Dataverse podatkov, mora biti uporabniku dodeljena vloga skrbnika sistema namesto vloge skrbnika okolja, če želi imeti polne skrbniške pravice.

Uporabniki, ki ustvarjajo aplikacije, ki se povezujejo z zbirko podatkov in morajo ustvariti ali posodobiti entitete in varnostne vloge, morajo poleg vloge Izdelovalec okolja imeti vlogo prilagojevalca sistema. Vloga izdelovalca okolja nima pravic do podatkov okolja.

V spodnji tabeli so opisane vnaprej določene varnostne vloge v okolju, ki ima zbirko Dataverse podatkov. Teh vlog ni mogoče urejati.

Varnostna vloga Description
Odpiralnik aplikacij Ima minimalne pravice za pogosta opravila. Ta vloga se uporablja predvsem kot predloga za ustvarjanje varnostna vloga po meri za aplikacije, ki temeljijo na modelu. Nima nobenih pravic za osnovne poslovne tabele, kot so kupec, stik in dejavnost. Vendar pa ima dostop za branje na ravni organizacije do sistemskih tabel, kot je Proces, za podporo potekom dela, ki jih zagotavlja sistem branja. Upoštevajte, da se ta varnostna vloga uporablja, ko se ustvari nov varnostna vloga po meri.
Osnovni uporabnik Samo za vnaprej pripravljene entitete lahko zaženejo program v okolju in izvajajo pogosta opravila v zapisih, katerih lastniki so. Ima pravice za osnovne poslovne tabele, kot so kupec, stik in dejavnost.

Opomba: Uporabnik Common Data Service # varnostna vloga se je preimenoval v Osnovni uporabnik. Spremenjeno je bilo samo ime; Uporabniške pravice in dodeljevanje vlog so enake. Če imate rešitev z Common Data Service User varnostna vloga, posodobite rešitev, preden jo znova uvozite. V nasprotnem primeru lahko pri uvozu rešitve nenamerno spremenite ime varnostna vloga nazaj na Uporabnik .
Pooblaščenec Omogoča, da se koda lažno predstavlja ali izvaja kot drug uporabnik. Običajno se uporablja z drugo varnostno vlogo za omogočanje dostopa do zapisov.
Skrbnik programa Dynamics 365 Skrbnik za Dynamics 365 je vloga skrbnika storitve Microsoft Power Platform. V tej vlogi so lahko vklopljene Microsoft Power Platform skrbniške funkcije, ker imajo vlogo skrbnika sistema.
Ustvarjalec okolja Z orodjem Microsoft Power Automate lahko ustvari nove vire, povezne z okoljem, vključno z aplikacijami, povezavami, API-ji po meri, prehodi in poteki. Vendar ta vloga nima pravic za dostop do podatkov v okolju.

Izdelovalci okolja lahko aplikacije, ki jih ustvarijo v okolju, distribuirajo tudi drugim uporabnikom v vaši organizaciji. Aplikacijo lahko delijo s posameznimi uporabniki, varnostnimi skupinami ali vsemi uporabniki v organizaciji.
Globalni skrbnik storitve Globalni skrbnik je vloga skrbnika Microsoft 365 . Oseba, ki kupi naročnino Microsoft za podjetja, je globalni skrbnik in ima neomejen nadzor nad izdelki v naročnini in dostopom do večine podatkov.
Globalni bralnik Vloga Global Uporabnik z dovoljenjem za branje še ni podprta Power Platform v skrbniškem središču.
Sodelavec, ki uporablja Office Ima dovoljenje za branje za tabele, v katerih je bil zapis v skupni rabi z organizacijo. Nima dostopa do drugih zapisov jedra in tabele po meri. Ta vloga je dodeljena ekipi lastnika Sodelavci, ki uporabljajo Office, in ne posameznemu uporabniku.
Skrbnik storitve Power Platform Power Platform Skrbnik je Microsoft Power Platform vloga skrbnika storitve. Ta vloga lahko izvaja skrbniške funkcije Microsoft Power Platform , ker imajo vlogo skrbnika sistema.
Storitev izbrisana Ima polno dovoljenje za brisanje za vse entitete, vključno z entitetami po meri. To vlogo uporablja predvsem storitev in zahteva brisanje zapisov v vseh entitetah. Te vloge ni mogoče dodeliti uporabniku ali ekipi.
Bralec storitev Ima polno dovoljenje za branje za vse entitete, vključno z entitetami po meri. To vlogo uporablja predvsem storitev in zahteva branje vseh entitet. Te vloge ni mogoče dodeliti uporabniku ali ekipi.
Zapisovalec storitev Ima polno dovoljenje za ustvarjanje, branje in pisanje za vse entitete, vključno z entitetami po meri. To vlogo uporablja predvsem storitev in zahteva ustvarjanje in posodabljanje zapisov. Te vloge ni mogoče dodeliti uporabniku ali ekipi.
Uporabnik podpore Ima polno dovoljenje za branje za nastavitve prilagajanja in poslovnega upravljanja, ki podpornemu osebju omogočajo odpravljanje težav s konfiguracijo okolja. Ta vloga nima dostopa do osnovnih zapisov. Te vloge ni mogoče dodeliti uporabniku ali ekipi.
Skrbnik sistema Ima polno dovoljenje za prilagajanje ali upravljanje okolja, vključno z ustvarjanjem, spreminjanjem in dodeljevanjem varnostnih vlog. Ogleda si lahko vse podatke v okolju.
Prilagojevalnik sistema Ima polno dovoljenje za prilagajanje okolja. Lahko si ogleda vse podatke tabele po meri v okolju. Vendar si lahko uporabniki s to vlogo ogledajo le zapise, ki jih ustvarijo v tabelah »Kupec«, »Stik« in »Dejavnost«.
Lastnik aplikacije spletnega mesta Uporabnik, ki je lastnik registracije spletnega programa na portalu Azure.
Lastnik spletnega mesta Uporabnik, ki je Power Pages ustvaril spletno mesto. Ta vloga je upravljana in je ni mogoče spremeniti.

Poleg vnaprej določenih varnostnih vlog, opisanih za Dataverse, so v vašem okolju morda na voljo tudi druge varnostne vloge, odvisno od komponent, Power Platform Power Apps Power Automate ki Power Virtual Agentsjih imate. V spodnji tabeli so povezave do več informacij.

Komponenta Power Platform Informacije
Power Apps Vnaprej določene varnostne vloge za okolja z zbirko podatkov Dataverse
Power Automate Varnost in zasebnost
Power Pages Vloge, potrebne za skrbništvo spletnega mesta
Power Virtual Agents Dodelitev varnostnih vlog za okolje

Okolja: Dataverse for Teams

Preberite več o vnaprej določenih varnostnih vlogah v Dataverse for Teams okoljih.

Varnostne vloge, specifične aplikaciji

Če uvedete aplikacije Dynamics 365 v svojem okolju, so dodane druge varnostne vloge. V spodnji tabeli so povezave do več informacij.

Aplikacija Dynamics 365 Dokumenti za varnostne vloge
Dynamics 365 Sales Vnaprej določene varnostne vloge za Sales
Dynamics 365 Marketing Varnostne vloge, ki jih doda Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service Vloge + definicije
Dynamics 365 Customer Service Vloge v dodatku Vsi kanali za Customer Service
Dynamics 365 Customer Insights Vloge Customer Insights
Upravitelj profilov aplikacije Vloge in pravice, povezane z upraviteljem profilov aplikacije
Dynamics 365 Finance Varnostne vloge v javnem sektorju
Aplikacije za finance in postopke Varnostne vloge v Microsoft Power Platform

Povzetek virov, ki so na voljo za vnaprej določene varnostne vloge

V spodnji tabeli je opisano, katere vire lahko ustvari vsak varnostna vloga.

Vir Ustvarjalec okolja Skrbnik okolja Prilagojevalnik sistema Skrbnik sistema
Aplikacija delovnega območja X X X X
Tok za oblak X (ki se ne zaveda rešitve) X X X
Povezovalnik X (ki se ne zaveda rešitve) X X X
Povezava* X X X X
Prehod za podatke X X - X
Podatkovni tok X X - X
Tabele Dataverse - - X X
Aplikacija, ki temelji na modelu X - X X
Okvir rešitve X - X X
Potek namizja** - - X X
AI Builder - - X X

* Povezave se uporabljajo v aplikacijah delovnega območja in Power Automate.

**Dataverse for Teams Uporabniki privzeto nimajo dostopa do tokov namizja. Če želite uporabljati namizne tokove, morate nadgraditi okolje na polne Dataverse zmogljivosti in pridobiti licenčne pakete za potek namizja.

Dodeljevanje varnostnih vlog uporabnikom v okolju brez zbirke podatkov Dataverse

Za okolja brez Dataverse zbirke podatkov lahko uporabnik, ki ima vlogo skrbnika okolja v okolju, dodeli varnostne vloge posameznim uporabnikom ali skupinam iz Microsoft Entra ID-ja.

  1. Vpišite se v skrbniško središče za Power Platform.

  2. Izberite Okolja> [izberite okolje].

  3. V ploščici Dostop izberite možnost Prikaži vse za uporabnika Skrbnik okolja ali Ustvarjalec okolja, če želite dodati ali odstraniti ljudi za katero od vlog.

    Posnetek zaslona z izbiro varnostna vloga v Power Platform skrbniškem središču.

  4. Izberite Dodaj osebe in nato v ID-ju določite ime ali e-poštni naslov enega ali več uporabnikov ali skupin Microsoft Entra .

    Posnetek zaslona dodajanja uporabnikov v vlogo programa Izdelovalec okolja v Power Platform skrbniškem središču.

  5. Izberite Dodaj.

Dodeljevanje varnostnih vlog uporabnikom v okolju z zbirko podatkov Dataverse

Varnostne vloge je mogoče dodeliti posameznim uporabnikom, ekipam lastnikov inskupinskim skupinam Microsoft Entra . Preden dodelite vlogo uporabniku, preverite, ali je bil uporabniški račun dodan v okolje in omogočen v njem.

Na splošno je varnostna vloga mogoče dodeliti samo uporabnikom, katerih računi so omogočeni v okolju. Če želite dodeliti varnostna vloga uporabniškemu računu, ki je onemogočen v okolju, v nastavitvah OrgDBOrgSettings vklopite allowRoleAssignmentOnDisabledUsers .

  1. Vpišite se v skrbniško središče za Power Platform.

  2. Izberite Okolja> [izberite okolje].

  3. Na ploščici Dostop v razdelku Varnostne vloge izberite Prikaži vse.

    Posnetek zaslona z možnostjo za ogled vseh varnostnih vlog v Power Platform skrbniškem središču.

  4. Prepričajte se, da je na seznamu izbrana prava poslovna enota, nato pa izberite vlogo na seznamu vlog v okolju.

  5. Izberite Dodaj osebe in nato v ID-ju določite ime ali e-poštni naslov enega ali več uporabnikov ali skupin Microsoft Entra .

  6. Izberite Dodaj.

Ustvarjanje, urejanje ali kopiranje varnostna vloga z novim, sodobnim uporabniškim vmesnikom

Preprosto lahko ustvarite, uredite ali kopirate varnostna vloga in ga prilagodite svojim potrebam.

  1. Odprite skrbniško središče Power Platform , v podoknu za krmarjenje izberite Okolja in nato izberite okolje.

  2. Izberite Nastavitve.

  3. Razširite možnost Uporabniki + dovoljenja.

  4. Izberite Varnostne vloge.

  5. Dokončajte ustrezno nalogo:

Ustvarjanje varnostne vloge

  1. V ukazni vrstici izberite Nova vloga .

  2. V polje Ime vloge vnesite ime nove vloge.

  3. V polju Poslovna enota izberite poslovno enoto , ki ji vloga pripada.

  4. Izberite, ali naj člani skupine podedujejo vlogo.

    Če je ta nastavitev omogočena in je vloga dodeljena ekipi, vsi člani ekipe podedujejo vse pravice, povezane z vlogo.

  5. Izberite možnost Shrani.

  6. Določite pravice in lastnosti varnostna vloga.

Urejanje varnostne vloge

Izberite ime vloge ali izberite vrstico in nato izberite Uredi. Nato določite privilegije in lastnosti varnostna vloga.

Nekaterih vnaprej določenih varnostnih vlog ni mogoče urejati. Če poskusite urediti te vloge, gumba Shrani in Shrani + Zapri nista na voljo.

Kopiranje varnostne vloge

Izberite varnostna vloga in nato izberite Kopiraj. Dajte vlogi novo ime. Po potrebi uredite varnostna vloga .

Kopirajo se samo pravice, ne pa dodeljeni člani in ekipe.

Varnostne vloge za spremljanje spremembe

Preglejte varnostne vloge za boljše razumevanje sprememb varnosti v okolju Power Platform .

Ustvarjanje ali konfiguriranje varnostne vloge po meri

Če aplikacija uporablja entiteto po meri, morajo biti pravice zanjo izrecno dodeljene z varnostno vlogo, preden bo aplikacijo mogoče uporabljati. Te pravice lahko dodate v obstoječo varnostno vlogo ali ustvarite varnostno vlogo po meri.

Vsak varnostna vloga mora vključevati minimalni nabor privilegijev. Preberite več o varnostnih vlogah in pravicah.

Nasvet

Okolje lahko ohrani zapise, ki jih lahko uporablja več aplikacij. Morda boste potrebovali več varnostnih vlog, ki podeljujejo različne pravice. Primer:

  • Nekateri uporabniki (imenujejo jih uredniki) bodo morda morali le prebrati, posodobiti in priložiti druge zapise, tako da bo njihov varnostna vloga imel pravice branja, pisanja in dodajanja.
  • Drugi uporabniki bodo morda potrebovali vse pravice, ki jih imajo uredniki, ter možnost ustvarjanja, dodajanja, brisanja in skupne rabe. Varnostna vloga za te uporabnike bo imela pravice za ustvarjanje, branje, pisanje, dodajanje, brisanje, dodeljevanje, dodajanje in skupno rabo.

Ustvarjanje varnostna vloga po meri z minimalnimi pravicami za zagon aplikacije

  1. Prijavite se v skrbniško središče Power Platform , v podoknu za krmarjenje izberite Okolja in nato izberite okolje.

  2. Izberite Nastavitve>Uporabniki + dovoljenja>Varnostne vloge.

  3. Izberite vlogo Odpiranje aplikacij in nato izberite Kopiraj.

  4. Vnesite ime vloge po meri in izberite Kopiraj.

  5. Na seznamu varnostnih vlog izberite novo vlogo in nato izberite Več dejanj (...) >Uredi.

  6. V urejevalniku vlog izberite zavihek Entitete po meri.

  7. Na seznamu poiščite tabelo po meri in izberite pravice za branje, pisanje in dodajanje .

  8. Izberite možnost Shrani in zapri.

Ustvarjanje varnostna vloga po meri od začetka

  1. Prijavite se v skrbniško središče Power Platform , v podoknu za krmarjenje izberite Okolja in nato izberite okolje.

  2. Izberite Nastavitve>Uporabniki + dovoljenja>Varnostne vloge.

  3. Izberite Nova vloga.

  4. Vnesite ime nove vloge na zavihku Podrobnosti .

  5. Na drugih zavihkih poiščite svojo entiteto in nato izberite dejanja in obseg za njihovo izvajanje.

  6. Izberite zavihek in poiščite svojo entiteto. Izberite na primer zavihek Entitete po meri za nastavitev dovoljenj za entiteto po meri.

  7. Izberite pravice Branje , Pisanje, Pripni.

  8. Izberite možnost Shrani in zapri.

Minimalne pravice za zagon aplikacije

Ko ustvarite varnostna vloga po meri, mora imeti vloga nabor minimalnih pravic, da lahko uporabnik zažene aplikacijo. Preberite več o zahtevanih minimalnih pravicah.

Glejte tudi

Dodeljevanje dostopa uporabnikom
Upravljanje uporabniškega dostopa do okolij: varnostne skupine in licence
Določanje dostopa do zapisa