Varnostne vloge in pravice
Če želite nadzorovati dostop do podatkov, morate nastaviti organizacijsko strukturo, ki ščiti občutljive podatke in omogoča sodelovanje. To naredite z nastavitvijo poslovnih enot, varnostnih vlog in varnostnih profilov polj.
Nasvet
Oglejte si naslednji videoposnetek: Nastavitev varnostnih vlog.
Varnostne vloge
Varnostna vloga določa, kako različni uporabniki, npr. prodajalci, dostopajo do različnih vrst zapisov. Če želite nadzirati dostop do podatkov, lahko spremenite obstoječe varnostne vloge, ustvarite nove, ali spremenite katere varnostne vloge so dodeljene kateremu uporabniku. Vsak uporabnik ima lahko več varnostnih vlog. Glejte Vnaprej določene varnostne vloge.
Pravice varnostne vloge so kumulativne: če ima uporabnik več varnostnih vlogo, ima vse pravice, na voljo v vseh vlogah.
Vsaka varnostna vloga je sestavljena iz pravic na ravni zapisa in opravilnih pravic.
Pravice na ravni zapisa določajo, katera opravila lahko izvaja uporabnik z dostopom do zapisa, na primer branje, ustvarjanje, brisanje, pisanje, dodeljevanje, skupna raba, dodajanje in dodajanje v. Dodajanje pomeni pripenjanje drugega zapisa, na primer dejavnosti ali opombe, temu zapisu. Dodajanje v pomeni, da je element pripet zapisu. Več informacij: Pravice na ravni zapisa.
Opravilne pravice na dnu obrazca uporabniku omogočajo pravice za izvajanje določenih opravil, kot je objavljanje člankov.
Obarvani krogi na strani z nastavitvami varnostne vloge določajo raven dostopa za to pravico. Ravni dostopa določajo, do katere ravni v hierarhiji organizacijske poslovne enote lahko uporabnik izvaja določeno pravico. Spodnja razpredelnica prikazuje ravni dostopa v aplikaciji; najprej je prikazana raven, ki uporabniku omogoča največ dostopa.
| Icon | Opis |
|---|---|
 |
Globalno. Ta raven dostopa uporabniku omogoča dostop do vseh zapisov v organizaciji, ne glede na hierarhično stopnjo poslovne enote, ki ji okolje ali uporabnik pripada. Uporabniki z globalnim dostopom imajo samodejno tudi globok, lokalni in osnovni dostop. Ker ta raven omogoča dostop do informacij v celotni organizaciji, mora biti omejena v skladu z načrtom za varnost podatkov v organizaciji. To raven dostopa ima običajno samo vodstvo, ki upravlja organizacijo. V programu je ta raven dostopa poimenovana Organizacija. |
 |
Globoko. Ta raven dostopa uporabniku omogoča dostop do zapisov v njegovi poslovni enoti in vseh poslovnih enotah, ki so podrejene njegovi poslovni enoti. Uporabniki z globokim dostopom imajo samodejno tudi lokalni in osnovni dostop. Ker ta raven omogoča dostop do informacij v celotni poslovni enoti in podrejenih poslovnih enotah, mora biti omejena v skladu z načrtom za varnost podatkov v organizaciji. To raven dostopa ima običajno samo vodstvo, ki upravlja poslovne enote. V programu je ta raven dostopa poimenovana Nadrejene/podrejene poslovne enote. |
 |
Lokalno. Ta raven dostopa omogoča uporabniku dostop do zapisov v njegovi poslovni enoti. Uporabniki z lokalnim dostopom imajo samodejno tudi osnovni dostop. Ker ta raven omogoča dostop do informacij v celotni poslovni enoti, mora biti omejena v skladu z načrtom za varnost podatkov v organizaciji. To raven dostopa ima običajno samo vodstvo, ki upravlja poslovno enoto. V programu je ta raven dostopa poimenovana Poslovna enota. |
 |
Osnovno. Ta raven dostopa uporabniku omogoča dostop do zapisov v njegovi lasti, elementov, ki so v skupni rabi z organizacijo, elementov, ki so v skupni rabi z uporabnikom, in elementov, ki so v skupni rabi z ekipo, katere član je uporabnik. To je običajna raven dostopa za prodajne zastopnike in zastopnike za stranke. V programu je ta raven dostopa poimenovana Uporabnik. |
 |
Brez. Dostop ni dovoljen. |
Pomembno
Če želite zagotoviti, da lahko uporabniki prikažejo in imajo dostop do vseh območij v spletni aplikaciji, kot so obrazci tabele, vrstica za krmarjenje ali ukazna vrstica, morajo vse varnostne vloge v organizaciji vključevati pravico za branje v tabeli Web Resource. Brez dovoljenj za branje uporabnik na primer ne bo mogel odpreti obrazca, ki vsebuje spletni vir, prikazalo pa se mu bo sporočilo o napaki, podobno temu: »Manjkajoča pravica za prvReadWebResource«. Več informacij: Ustvarjanje ali urejanje varnostne vloge
Pravice na ravni zapisa
PowerApps in aplikacije za interakcijo s strankami (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing in Dynamics 365 Project Service Automation) uporabljajo osem različnih pravic na ravni zapisa, ki določajo raven dostopa uporabnika do določenega zapisa ali vrste zapisa.
| Pravica | Opis |
|---|---|
| Ustvari | Potrebna za ustvarjanje novega zapisa. Zapisi, ki jih lahko ustvarite, so določeni v skladu z ravnjo dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Branje | Potrebna za odpiranje zapisa in ogleda njegove vsebine. Zapisi, ki jih lahko preberete, so določeni v skladu z ravnjo dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Pisanje | Potrebna za spreminjanje zapisa. Zapisi, ki jih lahko spremenite, so določeni v skladu z ravnjo dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Brisanje | Potrebna za trajno odstranitev zapisa. Zapisi, ki jih lahko izbrišete, so določeni v skladu z ravnjo dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Prilaganje | Potrebna za povezovanje trenutnega zapisa z drugim zapisom. Uporabnik lahko na primer priložnosti doda opombo, če ima za pravice za dodajanje opombe. Katerim zapisom lahko dodajate elemente, je odvisno od ravni dostopa dovoljenja, ki je določena v vaši varnostni vlogi. V primeru odnosov »mnogo proti mnogo« morate imeti pravico za prilaganje, če sta obe tabeli povezani ali ločeni. |
| Prilaganje k | Potrebna za povezovanje zapisa s trenutnim zapisom. Uporabnik lahko na primer priložnosti doda opombo, če ima za priložnost pravice za dodajanje. Katerim zapisom lahko dodajate elemente, je odvisno od ravni dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Dodeljevanje | Potrebna za podelitev lastništva nad zapisom drugemu uporabniku. Zapisi, ki jih lahko dodelite, so določeni v skladu z ravnjo dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
| Skupna raba | Potrebna za dodelitev dostopa do zapisa drugemu uporabniku, medtem ko obdržite svoj dostop. Katere zapise lahko daste v skupno rabo, je odvisno od ravni dostopa dovoljenja, ki je določena v vaši varnostni vlogi. |
Preglasitev varnostnih vlog
Lastnik zapisa ali oseba, ki ima pravico dajanja v skupno rabo za zapis, lahko doda zapis v skupno rabo z drugimi uporabniki ali ekipami. Z dodajanjem v skupno rabo lahko dodate pravice za branje, pisanje, brisanje, dodajanje, dodeljevanje in dajanje v skupno rabo za določene zapise.
Ekipe se uporabljajo predvsem za skupno rabo zapisov, do katerih člani ekipe običajno ne bi imeli dostopa. Več informacij: Upravljanje varnosti, uporabnikov in ekip
Dostopa za določen zapis ni mogoče odstraniti. Kakršna koli sprememba pravic varnostne vloge velja za vse zapise te vrste zapisov.
Dedovanje pravic člana ekipe
Pravice uporabnikov in skupin
- Pravice uporabnikov : uporabniku so te pravice dodeljene neposredno, ko mu je dodeljena varnostna vloga. Uporabnik lahko ustvari in dostopa do zapisov, ki jih je ustvaril/imel v lasti uporabnik, ko je bila dodeljena osnovna stopnja dostopa za ustvarjanje in branje. To je privzeta nastavitev za nove varnostne vloge.
- Pravice ekipe : uporabniku so te pravice dodeljene, ker je član skupine. Člani skupine, ki nimajo lastnih uporabniških pravic, lahko ustvarjajo samo zapise, katerih lastnik je ekipa, pri čemer imajo dostop do zapisov, ki so bili v lasti ekipe, ko so bile samo z ekipo kot lastnikom in imajo dostop do zapisov, ki jih ima ekipa, ko je bila dodeljena osnovna stopnja dostopa za ustvarjanje in branje.
Varnostno vlogo je mogoče nastaviti tako, da članu ekipe omogoča neposredne uporabniške pravice na osnovni ravni dostopa. Člani ekipe lahko ustvarijo zapise, ki so v njihovi lasti, in zapise, katerih lastnik je ekipa, ko je dodeljena osnovna stopnja dostopa za ustvarjanje. Ko je dodeljena osnovna stopnja dostopa za branje, imajo člani ekipe dostop do zapisov, katerih lastniki so sami in katerih lastnik je skupina.
Vloga z dedovanjem pravic tega člana velja za lastnika in Azure Active Directory (Azure AD) ekipa skupine.
Opomba
Pred izdajo dedovanja pravic člana ekipe maja 2019 so se varnostne vloge obnašale kot Pravice ekipe. Varnostne vloge, ustvarjene pred to izdajo, so nastavljene kot Pravice ekipe in varnostne vloge, ustvarjene po tej izdaji, so privzeto nastavljene kot Pravice uporabnikov.
Ustvarjanje varnostne vloge z dedovanjem pravic za člane ekipe
Zahteve
Te nastavitve najdete v skrbniškem središču za Power Platform, in sicer tako, da izberete Okolja > [izbira okolja] > Nastavitve > Uporabniki in dovoljenja > Varnostne vloge.
Preverite, ali imate varnostno vlogo sistemskega skrbnika ali prilagojevalnika sistema oz. enakovredno dovoljenje.
Preverjanje varnostne vloge:
- Upoštevajte korake v razdelku Ogled uporabniškega profila.
- Nimate pravih dovoljenj? Obrnite se na sistemskega skrbnika.
Izberite okolje in se pomaknite na možnost Nastavitve > Uporabniki in dovoljenja > Varnostne vloge.
V ukazni vrstici izberite Novo.
Vnesite ime vloge.
Izberite spustni seznam Dedovanje pravic člana.
Izberite možnost Stopnja dostopa »Neposredni uporabnik/osnovno« in pravice ekipe.
Odprite vsak zavihek in nastavite ustrezne pravice za posamezne tabele.
Če želite za pravico spremeniti raven dostopa, pritiskajte simbol za stopnjo dostopa, dokler se ne prikaže želeni simbol. Razpoložljivost ravni dostopa je odvisna od tega, ali je lastnik vrste zapisa organizacija ali uporabnik.
Opomba
Lastnost dedovanja pravic lahko nastavite tudi za vse vnaprej pripravljene varnostne vloge, razen za vlogo skrbnika sistema. Ko je uporabniku dodeljena varnostna vloga z dedovanjem pravic, uporabnik neposredno dobi vse pravice, tako kot pri varnostni vlogi brez dedovanja pravic.
Izberete lahko samo pravice osnovne ravni v dedovanju pravic člana. Če morate zagotoviti dostop do podrejene poslovne enote, boste morali povišati pravico na globoko; na primer, če morate dodeliti varnostno vlogo ekipi skupine in želite, da lahko člani te skupine pripenjajo v račun. Nastavite varnostno vlogo z dedovanjem pravic člana na osnovni ravni in nastavite pravico pripenjanja v račun na globoko. To je potrebno, ker so osnovne pravice veljavne samo za poslovno enoto uporabnika.
Glejte tudi
Videoposnetek: Upravljanje uporabnikov aplikacij, varnostnih vlog, skupin in uporabnikov v skrbniškem središču Power Platform
Videoposnetek: Funkcija »Preveri dostop«