Konfigurera användarsäkerhet för resurser i en miljö
Microsoft Dataverse använder en rollbaserad säkerhetsmodell för att skydda åtkomsten till databasen. Den här artikeln beskriver hur du skapar de säkerhetsartefakter som du behöver för att skydda resurser i en miljö. Säkerhetsroller kan användas för att konfigurera miljöomfattande åtkomst till alla resurser i miljön eller för att konfigurera åtkomst till specifika program och data i miljön. Säkerhetsroller styr en användares åtkomst till en miljös resurser genom en uppsättning åtkomstnivåer och behörigheter. Kombinationen av åtkomstnivåer och behörigheter som ingår i en viss säkerhetsroll styr begränsningarna för användarens vy över program och data, samt över användarens interaktion med dessa data.
En miljö kan ha noll eller en enda Dataverse-databas. Processen för att tilldela säkerhetsroller för miljöer utan Dataverse-databaser skiljer sig från processen för miljöer med en Dataverse-databas.
Fördefinierade säkerhetsroller
Miljöer innehåller fördefinierade säkerhetsroller som motsvarar vanliga användaruppgifter med åtkomstnivåer som definierats för att matcha metodtipsmålet för säkerhet av att ge tillgång till den minsta mängden verksamhetsdata som krävs för att använda programmet.
Dessa säkerhetsroller kan tilldelas användaren, ägarteamet och gruppteamet.
Det finns en annan uppsättning säkerhetsroller som tilldelas programanvändarna. Dessa säkerhetsroller installeras av våra tjänster och kan inte uppdateras.
Vilka fördefinierade säkerhetsroller som är tillgängliga i miljön beror på miljötypen.
Miljöer utan en Dataverse-databas
Miljöutvecklare och miljöadministratör är de enda fördefinierade rollerna för miljöer utan Dataverse-databas. Dessa roller definieras i följande tabell.
| Säkerhetsroll | Databasprivilegier* | Beskrivning |
|---|---|---|
| Miljöadministratör | Skapa, läsa, skriva, ta bort, anpassningar, säkerhetsroller | Rollen Miljöadministratör kan utföra alla administrativa åtgärder i en miljö, bland annat följande:
|
| Miljöutvecklare | Anpassningar | Kan skapa nya resurser kopplade till en miljö, inklusive program, anslutningar, anpassade API:er, gateways och flöden med hjälp av Microsoft Power Automate. Den här rollen har inte privilegier att komma åt data i en miljö. Mer information: Miljö, översikt Miljöutvecklarna kan också distribuera de program de bygger i en miljö för andra användare i organisationen. De kan dela programmet med enskilda användare, säkerhetsgrupper eller alla användare i organisationen. Mer information: Dela ett program i Power Apps |
*Omfånget för privilegiet är globalt om inget annat anges.
Miljöer med en Dataverse-databas
Om miljön har en Dataverse-databas måste en användare tilldelas rollen systemadministratör i stället för rollen miljöadministratör för fullständiga administratörsprivilegier enligt beskrivningen i följande tabell.
För användare som skapar program som ansluter till databasen och behöver skapa eller uppdatera entiteter och säkerhetsroller måste du tilldela rollen systemanpassare utöver rollen som miljötillverkare. Detta är nödvändigt eftersom rollen som miljöutvecklare inte har privilegier för miljöns data.
| Säkerhetsroll | Databasprivilegier* | Beskrivning |
|---|---|---|
| Miljöskapare | Anpassningar | Kan skapa nya resurser kopplade till en miljö, inklusive program, anslutningar, anpassade API:er, gateways och flöden med hjälp av Microsoft Power Automate. Den här rollen har inte privilegier att komma åt data i en miljö. Mer information: Miljö, översikt Miljöutvecklarna kan också distribuera de program de bygger i en miljö för andra användare i organisationen. De kan dela programmet med enskilda användare, säkerhetsgrupper eller alla användare i organisationen. Mer information: Dela ett program i Power Apps |
| Systemadministratör | Skapa, läsa, skriva, ta bort, anpassningar, säkerhetsroller | Har fullständig behörighet att anpassa eller administrera miljön, inklusive att skapa, ändra och tilldela säkerhetsroller. Kan visa alla data i miljön. Mer information: Behörigheter som krävs för anpassning |
| Systemanpassare | Skapa (själv), läsa (själv), skriva (själv), ta bort (själv), anpassningar | Har fullständig behörighet att anpassa miljön. Användare med den här rollen kan bara visa poster för miljöentiteter som de skapar. Mer information: Behörigheter som krävs för anpassning |
| Vanlig användare | Läsa (själv), skapa (själv), skriva (själv), ta bort (själv) | Kan köra ett program i miljön och utföra vanliga uppgifter för poster som de äger. Observera att detta endast gäller icke-anpassade entiteter. Mer information: skapa eller konfigurera en anpassad säkerhetsroll Obs! Common Data Service Användarens säkerhetsroll ändrades till Grundläggande användare. Ingen åtgärd krävs – det här är bara ett namn som har ändrats och det påverkar inte användarprivilegier eller rolltilldelning. Om du har en lösning med Common Data Service användarens säkerhetsroll kan du oavsiktligt uppdatera säkerhetsrollens namn till Common Data Service användare när du importerar lösningen. Uppdatera lösningen innan du importerar den igen. |
| Serviceläsare | Lästa | Har fullständig läsbehörighet till alla entiteter, även anpassade entiteter. Det används i första hand av serverdelstjänsten som kräver att alla entiteter läses. |
| Skapare av serviceåtgärd | Skapa, läsa, skriva | Har fullständig skapa-, läs- och skrivbehörighet till alla enheter inklusive anpassade enheter. Det används i första hand av serverdelstjänsten som kräver att du skapar och uppdaterar poster. |
| Delegera | Agera å en annan användares vägnar | Gör att koden körs som en annan användare eller personifiera. Oftast används den med en befintlig säkerhetsroll för att få tillgång till poster. Mer information: Personifiera som en annan användare |
| Supportanvändare | Läsa anpassningar, läsa inställningar för affärshantering | Har fullständig läsbehörighet för inställningar för anpassning och verksamhetsstyrning för att hjälpa supportpersonalen möjlighet att felsöka konfigurationsproblem i miljön. Har inte åtkomst till kärnposter. |
| Office-medarbetare | Läsa (själv) | Har läsbehörighet till tabeller där en post från dessa tabeller delades med organisationen. Har inte åtkomst till några andra kärn- eller anpassade tabellposter. Den här rollen tilldelas ägarteamet för kontorsmedarbetare och inte till en enskild användare. |
| Global läsare | Rollen Global läsare stöds ännu inte i administrationscentret för Power Platform. |
*Omfånget för dessa privilegier är globalt om inget annat anges.
Förutom de fördefinierade säkerhetsrollerna för Dataversesom anges ovan kan det finnas andra säkerhetsroller tillgängliga i miljön beroende på vilka Power Platform-komponenter (Power Apps, Power Automate, Power Virtual Agents) du har.
| Power Platform-komponent | Information |
|---|---|
| Power Apps | Fördefinierade säkerhetsroller för miljöer med en Dataverse-databas |
| Power Automate | Säkerhet och sekretess |
| Power Virtual Agents | Tilldela miljösäkerhetsroller |
Dataverse for Teams-miljöer
Information om Dataverse for Teams-miljösäkerhetsroller finns i Användaråtkomst till Dataverse for Teams-miljöer.
Appspecifika säkerhetsroller
Om du distribuerar Dynamics 365-program i din -miljö, till exempel Dynamics 365 Sales eller Dynamics 365 Field Service, läggs ytterligare säkerhetsroller till som ett resultat av att dessa program distribueras. Mer information om dessa ytterligare säkerhetsroller finns i respektive programs dokumentation:
| Dynamics 365-programmet | Säkerhetsrollsdokument |
|---|---|
| Dynamics 365 Sales | Fördefinierade säkerhetsroller för Sales |
| Dynamics 365 Marketing | Säkerhetsroller som läggs till av Dynamics 365 Marketing |
| Dynamics 365 Field Service | Roller + definitioner för Dynamics 365 Field Service |
| Dynamics 365 Customer Service | Roller i Flerkanal för Customer Service |
| Dynamics 365 Customer Insights | Customer Insights-roller |
| Programprofilhanterare | Roller och privilegier som är associerade med programprofilhanteraren |
| Dynamics 365 Finance | Säkerhetsroller inom offentlig sektor |
| Program för ekonomi och drift | Säkerhetsroller i Microsoft Power Platform |
Sammanfattning av tillgängliga resurser för fördefinierade säkerhetsroller
I följande tabell beskrivs vilka resurser som kan redigeras av varje säkerhetsroll.
| Resurs | Miljöskapare | Miljöadministratör | Systemanpassare | Systemadministratör |
|---|---|---|---|---|
| Arbetsyteapp | X | X | X | X |
| Molnflöde | X (inte lösningsmedveten) | X | X (lösningsmedveten) | X |
| Koppling | X | X | - | X |
| Anslutning | X | X | - | X |
| Data-gateway | X | X | - | X |
| Dataflöde | X | X | - | X |
| Dataverse-tabeller | - | - | X | X |
| Modellbaserat program | X | - | X | X |
| Lösningsramverk | X | - | X | X |
| *Datorflöde | - | - | X | X |
| AI Builder | - | - | X | X |
*Dataverse for Teams-användare får inte åtkomst till datorflöde som standard. Du måste uppgradera din miljö till fullständiga Dataverse funktioner och skaffa licensplaner för datorflöde för att kunna använda datorflöden.
Tilldela säkerhetsroller till användare i en miljö som inte har en Dataverse-databas
För miljöer utan Dataverse-databaser kan säkerhetsroller tilldelas enskilda användare eller grupper från Azure AD. En användare med rollen miljöadministratör i miljön kan utföra de här stegen.
Logga in på Power Platform administrationscenter.
Välj Miljöer > [välj en miljö].
Via ikonen Åtkomst väljer du Visa alla för Miljöadministratör eller Miljöskapare för att lägga till eller ta bort personer för respektive roll.
Välj Lägg till personer och ange sedan namnet eller e-postadressen för en eller flera användare eller grupper Azure AD som rollen ska tilldelas.
Tilldela säkerhetsroll till användare i en miljö som har en Dataverse-databas
Säkerhetsroller kan tilldelas till ägarteamoch Azure AD gruppteam, förutom enskilda användare. Innan du tilldelar en användare en roll bör du kontrollera att användaren finns i miljön i aktiverad status. Lägg till användaren i miljön eller korrigera statusen så att den aktiveras innan du tilldelar dem en roll. Du kan tilldela en roll som en del av processen för att lägga till användaren.
I allmänhet kan en säkerhetsroll endast tilldelas användare med statusen Aktiverad. Om du behöver tilldela en säkerhetsroll till användare med statusen Inaktiverad kan du emellertid göra detta genom att aktivera allowRoleAssignmentOnDisabledUsers i OrgDBOrgSettings.
Så här lägger du till en säkerhetsroll till ett ägarteam, gruppteam eller en användare med aktiverad status i en miljö:
Logga in på Power Platform administrationscenter.
Välj Miljöer > [välj en miljö].
I panelen Åtkomst välj Se alla under säkerhetsroller.
Kontrollera att rätt affärsenhet är markerad i listrutan och välj en roll i listan med roller i miljön.
Välj Lägg till personer om du vill lägga till en användare, ett ägarteam eller ett gruppteam i rollen. Om du inte hittar en användare eller ett team som rollen ska tilldelas ska du se till att användaren eller teamet finns i miljön och att användaren har aktiverat status innan du tilldelar dem till dem.
Skapa eller konfigurera en anpassad säkerhetsroll
Om ditt program använder en anpassad entitet måste dess privilegier uttryckligen beviljas i en säkerhetsroll innan programmet kan användas. Du kan antingen lägga till de här privilegierna i en befintlig säkerhetsroll eller skapa en anpassad säkerhetsroll.
Anteckning
Varje säkerhetsroll måste innehålla en minsta mängd privilegier innan den kan användas. Dessa beskrivs senare i den här artikeln.
Tips
Miljön kan behålla de poster som kan användas av flera program, och du kan behöva flera säkerhetsroller för att få åtkomst till data med olika behörigheter. Till exempel:
- Vissa användare (kalla dem typ A) kanske bara behöver kunna läsa, uppdatera och bifoga andra poster, så deras säkerhetsroll har läs-, skriv- och tilläggsbehörigheter.
- Andra användare kan behöva de privilegier som typ A-användare har, samt möjligheten att skapa, lägga till, ta bort och dela. Säkerhetsrollen för dessa användare har behörighet att skapa, läsa, skriva, lägga till, ta bort, tilldela, lägga till i och dela.
För mer information om privilegier för åtkomst och omfång, se Säkerhetsroll och privilegier.
Logga in på administrationscentret för Power Platform och välj den miljö för vilken du vill uppdatera en säkerhetsroll.
Välj URL:en för miljön.
Om du ser publicerade program och brickor väljer du kugghjulsikonen (
) i det övre högra hörnet och välj sedan Avancerade inställningar.I menyraden, markera Inställningar > Säkerhet.
Välj säkerhetsroller
Välj Nytt.
Ange ett rollnamn på säkerhetsrolldesignern på fliken Detaljer. På de andra flikarna väljer du åtgärderna och omfattningarna för att utföra åtgärden.
Välj en flik och sök efter din enhet. Du kan till exempel välja fliken anpassade entiteter du vill ange behörigheter för en egen entitet.
Välj behörigheterna läsa, skriva, tillägga.
Välj Spara och stäng.
Minsta behörigheter för att köra ett program
När du skapar en anpassad säkerhetsroll måste du lägga till en uppsättning minimiprivilegier i säkerhetsroll för att en användare ska kunna köra ett program. Vi har skapat en lösning som du kan importera och som innehåller en säkerhetsroll med minimiprivilegier som krävs.
Börja med att hämta lösningen från Download Center: Dataverse säkerhetsrollen minsta privilegium.
Följ sedan instruktionerna för att importera lösningen: Importera lösningar.
När du importerar lösningen skapar den rollen min pro-appanvändning som du kan kopiera (se: skapa en säkerhetsroll genom att kopiera roll). När processen kopiera roll är klar navigerar du till varje flik—Kärnposter, Verksamhetsstyrning, Anpassning och så vidare—och ställa in lämpliga privilegier.
Viktigt
Du bör testa lösningen i en utvecklingsmiljö innan du importerar den till en produktionsmiljö.
Se även
Tilldela användaråtkomst
Styra användarnas åtkomst till miljöer: säkerhetsgrupper och licenser
Så bestäms åtkomst till en post
Anteckning
Kan du berätta om dina inställningar för dokumentationsspråk? Svara i en kort undersökning. (observera att undersökningen är på engelska)
Undersökningen tar ungefär sju minuter. Inga personuppgifter samlas in (sekretesspolicy).
Feedback
Skicka och visa feedback för