Säkerhetsroller och privilegier
Du kan styra åtkomsten till data genom att först upprätta en organisationsstruktur som både skyddar data och tillåter samarbete. Det gör du genom att konfigurera affärsenheter, säkerhetsroller och fältsäkerhetsprofiler.
Tips
Se följande videoklipp: Hur du konfigurerar säkerhetsroller.
Säkerhetsroller
En säkerhetsroll definierar hur en viss kategori användare, till exempel säljpersonal, får åtkomst till olika typer av poster. Du kan styra åtkomsten till data genom att ändra befintliga säkerhetsroller, skapa nya säkerhetsroller eller ändra vilka säkerhetsroller som tilldelas varje användare. En användare kan ha flera säkerhetsroller. Se Fördefinierade säkerhetsroller.
Säkerhetsrollens privilegier är kumulativa: en användare som har fler än en säkerhetsroll får alla privilegier som finns för alla roller.
Varje säkerhetsroll består av privilegier på postnivå och uppgiftsbaserade privilegier.
Privilegier på postnivå avgör vilka uppgifter en användare med åtkomst till posten kan utföra, till exempel Läsa, Skapa, Ta bort, Skriva, Tilldela, Dela, Lägga till och Tillägg till. Lägga till innebär att bifoga en annan post, till exempel en aktivitet eller en anteckning till en post. Tillägg till innebär att bifoga till en post. Mer information: Privilegier på postnivå
Uppgiftsbaserade privilegier längst ned i formuläret ger en användare behörighet att utföra vissa uppgifter, till exempel publicera artiklar.
De färgade cirklarna på inställningssidan för säkerhetsroller definierar åtkomstnivån för den behörigheten. Åtkomstnivåer bestämmer hur långt eller hög i organisatoriska företagshierarki användaren kan utföra angivet privilegium. I följande tabell visas åtkomstnivåerna i appen, med början på den nivå som ger användarna största möjliga åtkomst.
| Icon | Beskrivning |
|---|---|
 |
Global. Den här åtkomstnivån ger en användare åtkomst till alla poster inom organisationen oavsett vilken hierarkisk tillhörighet i affärsenheten som miljön eller användaren har. Användare som har global åtkomst har automatiskt också djup, lokal och grundläggande behörighet. Eftersom den här åtkomstnivån ger tillgång till information i hela organisationen bör den vara begränsad till att matcha organisationens datasäkerhetsplan. Den här åtkomstnivån är vanligen reserverad för chefer med behörighet över organisationen. Programmet refererar till den här åtkomstnivån som Organisation. |
 |
Djup. Den här åtkomstnivån ger användaren åtkomst till poster i användarens affärsenhet och alla affärsenheter som är underordnade användarens affärsenhet. Användare som har djup åtkomst har automatiskt också lokal och grundläggande behörighet. Eftersom den här åtkomstnivån ger tillgång till information i hela affärsenheten och underordnade affärsenheter bör den vara begränsad till att matcha organisationens datasäkerhetsplan. Den här åtkomstnivån är vanligen reserverad för chefer med behörighet över affärsenheter. Programmet refererar till den här åtkomstnivån som Överordnad: underordnade affärsenheter. |
 |
Lokal. Den här åtkomstnivån ger användaren åtkomst till poster i användarens affärsenhet. Användare som har lokal åtkomst har automatiskt också grundläggande behörighet. Eftersom den här åtkomstnivån ger tillgång till information i hela affärsenheten bör den vara begränsad till att matcha organisationens datasäkerhetsplan. Den här åtkomstnivån är vanligen reserverad för chefer med behörighet över affärsenheten. Programmet refererar till den här åtkomstnivån som Affärsenhet. |
 |
Grundläggande. Den här åtkomstnivån ger användaren åtkomst till poster som användaren äger, objekt som delas med organisationen, objekt som delas med användaren och objekt som delas med ett team som användaren tillhör. Detta är den typiska åtkomstnivån för försäljnings- och servicerepresentanter. Programmet refererar till den här åtkomstnivån som Användare. |
 |
Inga. Ingen åtkomst tillåten. |
Viktigt
För att säkerställa att användarna kan visa och komma åt alla delar av webbprogrammet för tabellformulär, navigeringsfönstret eller kommandofältet måste alla säkerhetsroller i organisationen innehålla läsprivilegiet i tabellen Web Resource. En användare utan läsbehörighet kommer till exempel inte att kunna öppna ett formulär som innehåller en webbresurs utan får i stället se ett felmeddelande som liknar följande: "Saknat prvReadWebResource-privilegium." Mer information: Skapa eller redigera en säkerhetsroll
Privilegier på postnivå
PowerApps och appar för kundengagemang (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing och Dynamics 365 Project Service Automation), använder åtta olika privilegier på postnivå som avgör vilken åtkomstnivå en användare har till en viss post eller posttyp.
| Privilegium | Beskrivning |
|---|---|
| Skapa | Krävs för att skapa en ny post. Vilka poster som kan skapas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Läsa | Krävs för att öppna en post för att visa innehållet. Vilka poster som kan läsas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Skriva | Krävs för att permanent göra ändringar i en post. Vilka poster som kan ändras beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Ta bort | Krävs för att permanent ta bort en post. Vilka poster som kan tas bort beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Lägga till | Krävs för att koppla en aktuell post till en annan post. En anteckning kan exempelvis läggas till i ett affärstillfälle om användaren har tilläggsrättigheter för anteckningen. Poster som kan läggas till beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. När det gäller många till många-relationer måste du ha tillägg privilegier för att båda tabellerna ska associeras eller avassocieras. |
| Lägga till i | Krävs för att associera en post med den aktuella posten. Om en användare till exempel har behörigheter tilläggsrättigheter för en affärsmöjlighet, kan användaren lägga till en anteckning i en affärsmöjlighet. Poster som kan läggas till beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Tilldela | Krävs för att tilldela en användare ägandeskap för en post. Vilka poster som kan tilldelas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
| Dela | Krävs för att ge en användare åtkomst till en post samtidigt som du behåller din egen åtkomst. Vilka poster som kan delas beror på åtkomstnivån för den behörighet som definierats för säkerhetsrollen. |
Åsidosätta säkerhetsroller
Ägaren till en post, eller en person som har privilegiet Dela för en post, kan dela en post med andra användare eller team. Delning kan lägga till privilegierna Läsa, Skriva, Ta bort, Lägga till, Tilldela och Dela för specifika poster.
Team används i första hand för att dela poster som teammedlemmar vanligtvis inte har åtkomst till. Mer information: Hantera säkerhet, användare och team.
Det är inte möjligt att ta bort åtkomsten för en viss post. Alla ändringar i en säkerhetsrolls privilegium tillämpas på alla poster för den posttypen.
Teammedlemsprivilegier - arv
Användares och teamens privilegier
- Användarprivilegier: användaren beviljas dessa privilegier direkt när en säkerhetsroll tilldelas användaren. Användaren kan skapa och har tillgång till poster som har skapats/ägs av användaren när grundläggande åtkomstnivå för skapande och läsning angavs. Detta är standardinställningen för nya säkerhetsroller.
- Teamprivilegier: användaren får de här privilegierna som medlemmar i teamet. För teammedlemmar som inte har egna användarprivilegier kan de bara skapa poster med teamet som ägare och de har tillgång till poster som ägs av teamet när grundläggande åtkomstnivå för skapande och läsning angavs.
En säkerhetsroll kan konfigureras så att den ger en gruppmedlem användarbehörighet för åtkomst på grundläggande nivå. En teammedlem kan skapa poster som de äger och poster som har teamet som ägare när den grundläggande åtkomstnivån för Skapa ges. När den grundläggande åtkomstnivån för Läsa ges kan teammedlemmen få tillgång till poster som ägs av både teammedlemmen och teamet.
Den här medlemmens arvsroll gäller ägare och Azure Active Directory (Azure AD) gruppteam
Anteckning
Innan behörighetsarvs-versionen för Team-medlemar släpptes i maj 2019 fungerade säkerhetsroller som Team-behörigheter. Säkerhetsroller som skapats före denna utgåva anges som Team-behörigheter och säkerhets roller som skapats efter denna utgåva anges som standard som Användarbehörigheter.
Skapa en säkerhetsroll med teammedlemmens arvbehörighet
Förutsättningar
Dessa inställningar finns i Power Platform administrationscenter genom att gå till Miljöer > [välj en miljö] > Inställningar > Användare + behörigheter > Säkerhetsroller.
Kontrollera att du har säkerhetsrollen Systemadministratör eller Systemanpassare, eller motsvarande behörighet.
Kontrollera din säkerhetsroll:
- Följ anvisningarna i Visa din användarprofil.
- Har du inte rätt behörighet? Kontakta systemadministratören.
Välj en miljö och gå till Inställningar > Användare + behörigheter > Säkerhetsroller.
Välj Ny i kommandofältet.
Ange ett rollnamn.
Välj listrutan Medlemsprivilegier - arv.
Välj Direkt åtkomstnivå för användare/grundläggande nivå.
Gå till varje flik och ange lämpliga privilegier för varje tabell.
Klicka på symbolen tills du ser den symbol du vill ha om du vill ändra åtkomstnivån för ett privilegium. Vilka åtkomstnivåer som är tillgängliga beror på om posttypen är organisationsägd eller användarägd.
Anteckning
Du kan också ange privilegiets arvegenskap för alla medföljande säkerhetsroller utom rollen systemadministratör. När en användare tilldelas en säkerhetsroll för arvbehörighet för användaren alla privilegier direkt, precis som en säkerhetsroll utan arvbehörigheter.
Du kan bara välja privilegier på grundnivå för medlemmens arv. Om du behöver ge åtkomst till en underordnad affärsenhet måste du höja privilegiet till djup. du måste t. ex tilldela en säkerhetsroll till gruppteamet och du vill att medlemmarna i gruppen ska kunna lägga till i kontot. Du konfigurerar säkerhetsroll med en grundläggande medlems behörighetsarv och i behörigheten att utöka till konto anger du att den är djup. Det beror på att de grundläggande privilegierna endast gäller för den affärsenhet som användaren tillhör.
Se även
Video: Administrera programanvändare, säkerhetsroller, team och användare i administrationscenter för Power Platform
Videoklipp: Kontrollera åtkomstfunktionen