Делите путем

Додељивање безбедносне улоге кориснику

  • Чланак

О безбедносним улогама

  • Безбедносне улоге контролишу кориснички приступ подацима користећи скуп нивоа и дозвола приступа. Комбинација нивоа приступа и дозвола који су укључени у одређену безбедносну улогу ограничава приказ података за корисника, као и интеракцију са тим подацима.
  • Dataverse обезбеђује подразумевани скуп безбедносних улога. Ако је неопходно за организацију, можете да креирате нове безбедносне улоге тако што ћете уредити неку од подразумеваних безбедносних улога и сачувати је под другим именом. Погледајте унапред дефинисане безбедносне улоге.
  • Кориснику можете да доделите више безбедносних улога. Утицај више безбедносних улога је кумулативан, што значи да корисник има дозволе повезане са свим безбедносним улогама које су му додељене.
  • Безбедносне улоге су повезане са пословним јединицама. Ако сте креирали пословне јединице, само безбедносне улоге које су повезане са пословном јединицом су расположиве за кориснике у тој пословној јединици. Можете да користите ову функцију да бисте ограничили приступ подацима само на податке у власништву пословне јединице.
  • Када је омогућена дозвола власништва над записима у пословним јединицама, корисницима можете доделити безбедносне улоге из различитих пословних јединица без обзира којој пословној јединици припадају корисници.
  • Да бисте кориснику доделили безбедносне улоге, потребно је да имате одговарајуће привилегије (минималне привилегије су "Прочитај " и "Додели < ДИЦТ__безбедносна улога > Сецуритy Роле могуће). Да би се спречило < ДИЦТ__безбедносна улога > Сецуритy Роле привилегија, особа која додељује < ДИЦТ__безбедносна улога > Сецуритy Роле не може да додели неког другог < ДИЦТ__безбедносна улога > Сецуритy Роле који има више привилегија од додељивача. На пример, ЦСР Менаџер не може да додели другог корисника улози администратора система. Ова провера ваљаности привилегија укључује проверу сваке привилегије коју додељивач има на дубинском нивоу привилегија и пословној јединици. На пример, не можете да доделите < ДИЦТ__безбедносна улога > Сецуритy Роле из друге пословне јединице другом кориснику ако немате < ДИЦТ__безбедносна улога > Сецуритy Роле са одговарајућим нивоом привилегија додељеним из те пословне јединице.

Белешка

Подразумевано, администратор система < ДИЦТ__безбедносна улога > Сецуритy Роле све потребне привилегије за додељивање безбедносних улога било ком кориснику, укључујући додељивање администратора < ДИЦТ__безбедносна улога > Сецуритy Роле. Ако имате потребу да дозволите администраторима који нису администратори система да додељују безбедносне улоге, требало би да размислите о креирању прилагођеног < ДИЦТ__безбедносна улога > Сецуритy Роле са свим привилегијама наведеним у фасцикли Креирање административног корисника и спречавање подизања < ДИЦТ__безбедносна улога > Сецуритy Роле привилегија. Доделите прилагођене < ДИЦТ__безбедносна улога > Сецуритy Роле и све безбедносне улоге које администратор који није администратор система може доделити другим корисницима администратору који није систем. Овај < ДИЦТ__безбедносна улога > Сецуритy Роле захтев је такође потребан ако администраторима који нису системски дозволите да управљају члановима тима у власничким тимовима .

Више информација о разликама између улога Microsoft Online Services администратора и безбедносних улога потражите у чланку Додељивање приступа корисницима.

Савет

Погледајте следећи видео: Додељивање безбедносних улога у Power Platform центру администрације.

Следите ове кораке за додељивање безбедносне улоге.

  1. Пријавите се у Power Platform центар администрације као администратор система.

  2. Изаберите Окружења, а затим на листи изаберите окружење.

  3. Изаберите Поставке.

  4. Изаберите Корисници + дозволе, а затим изаберите Корисници.

  5. На страници Корисници изаберите корисника, а затим изаберите Управљање безбедносним улогама.

    Управљајте безбедносним улогама.

  6. Изаберите или опозовите избор безбедносних улога. Ако корисник има већ додељене улоге. Када завршите, изаберите Сачувај. Након чувања, све изабране улоге постају тренутно додељене улоге за корисника. Неизабране улоге нису додељене.

    Управљајте страницом безбедносних улога.

Када омогућите дозволу за власништво над записима у свим пословним јединицама, можете изабрати безбедносне улоге из друге пословне јединице.

Важно

Сваком кориснику морате директно или индиректно доделити најмање једну безбедносну улогу као члану групног тима. Услуга не дозвољава приступ корисницима који немају најмање једну безбедносну улогу.

Привилегије поставки корисника за власништво над записима у више пословних јединица

Ако сте омогућили да дозволите власништво над записима у пословним јединицама, корисници могу да приступе подацима у другим пословним јединицама тако што ће им безбедносна улога из ових других пословних јединица бити директно додељена. Кориснику је такође потребна безбедносна улога додељена из пословне јединице корисника са привилегијама из следећих табела да би се ажурирале поставке корисничког интерфејса тог корисника:

  • Корисничке поставке картице радње
  • Сачуван приказ
  • Графикон корисника
  • Контролна табла корисника
  • Подаци инстанце ентитета корисника
  • Поставке корисничког интерфејса ентитета корисника
  • Метаподаци корисничке апликације

Да бисте доделили безбедносне улоге корисницима у окружењу које нема ниједну или једну Microsoft Dataverse базу података, погледајте чланак Конфигурисање безбедности корисника према ресурсима у окружењу.

(опционално) Додела администраторске улоге

Можете да делите задатке администрације окружења Microsoft Online Services између неколико особа тако што ћете доделити улоге администратора окружења Microsoft Online Services корисницима које изаберете за извршавање сваке улоге. Можда ћете одлучити да доделите глобалну администраторску улогу другој особи у организацији онда када ви нисте доступни.

Постоји пет улога администратора окружења Microsoft Online Services са различитим нивоима дозвола. На пример, администраторска улога за ресетовање лозинке може да ресетује само корисничке лозинке; администраторска улога за управљање корисницима може да ресетује лозинке, али и да додаје, уређује или брише корисничке налоге; а улога глобалног администратора може да додаје претплате за услугу на мрежи за организацију и да управља свим аспектима претплата. Детаљне информације о улогама администратора Microsoft Online Services потражите у чланку Додељивање улога администратора.

Белешка

Улоге администратора окружења Microsoft Online Services су важеће само за аспекте управљања претплатама на услуге на мрежи. Ове улоге не утичу на дозволе у оквиру услуге.

Аутоматска додела улога

Када се корисницима додају Dataverse, улоге се додељују аутоматски на основу следећих критеријума:

  1. Сви Microsoft Entra администратори ИД-а (администратор закупаца, Power Platform администратор, Дyнамицс 365 администратор услуге) добијају улогу администратора система Dataverse.

    Важно

    Улога администратора система се не уклања аутоматски ако се уклони Microsoft Entra улога администратора. Пошто не постоји механизам за праћење да ли је улогу систем доделио аутоматски или администратор, препоручујемо администратору да ручно уклони улогу администратора система када Microsoft Entra се улога уклони.

  2. Корисници, са важећом лиценцом, аутоматски добијају одговарајуће мапиране улоге које су им додељене. Уклањање одговарајуће лиценце резултира аутоматским уклањањем улога. Подразумевано управљање улогама засновано на лиценци није применљиво за кориснике у овим типовима окружења: Dataverse for Teams, Триал и Девелопер.

  3. За подразумевани тип окружења,улоге основног корисника и програма Енвиронмент Макер аутоматски се додељују свим корисницима који су додати . Dataverse

  4. У окружењу повезаним са финансијама и операцијама Dataverse са базом података, финансије и операције Основни корисник < ДИЦТ__безбедносна улога > Сецуритy Роле се аутоматски додељује свим активним корисницима у Dataverse.

Мапирање лиценце на улогу

Ако су дефинисане у вашем окружењу, одређене улоге се аутоматски додељују корисницима када се корисници додају у Dataverse, на основу лиценце која им је додељена. Лиценцу за мапирање улога можете погледати у окружењу тако што ћете отићи на страницу Лиценцирање мапирања улога у Power Platform центру администрације.

Идите на Окружења> [изаберите окружење] >Поставке>Корисници и дозволе>Мапирање лиценце на улогу.

Погледајте и

Први кораци са безбедносним улогама у услузи Dataverse