Налаштування безпеки користувачів у середовищі
Microsoft Dataverse Використовує рольову модель безпеки для контролю доступу до бази даних та її ресурсів у середовищі. Використовуйте ролі безпеки, щоб налаштувати доступ до всіх ресурсів у середовищі або до певних програм і даних у середовищі. Комбінація рівнів доступу та дозволів у роль безпеки визначає, які програми та дані користувачі можуть переглядати та як вони можуть взаємодіяти з цими програмами та даними.
Середовище може не мати або мати одну Dataverse базу даних. Ролі безпеки призначаються по-різному для середовищ, які не Dataverse мають бази даних, і середовищ, які мають базу даних Dataverse .
Дізнайтеся більше про середовища в Power Platform.
Попередньо визначені ролі безпеки
Середовища містять попередньо визначені ролі безпеки, які відображають типові завдання користувача. Попередньо визначені ролі безпеки відповідають найкращій практиці безпеки "мінімально необхідного доступу": надають найменший доступ до мінімальної кількості бізнес-даних, потрібних користувачеві для використання програми. Ці ролі безпеки можуть бути призначені користувачеві, команді власників і груповій команді. Попередньо визначені ролі безпеки, доступні в середовищі, залежать від типу середовища та програм, інстальованих у ньому.
Ще один набір ролей безпеки призначається користувачам програми. Ці ролі безпеки встановлюються нашими службами та не можуть бути оновлені.
Середовища без бази даних Dataverse
Розробник середовища та адміністратор середовища – це єдина попередньо визначена роль для середовищ без бази даних Dataverse. Ці ролі описані в наступній таблиці.
| Роль безпеки | Опис |
|---|---|
| Адміністратор середовища | Роль адміністратора середовища може виконувати всі адміністративні дії в середовищі, зокрема:
|
| Відповідальний для середовища | Може створювати ресурси, пов’язані із середовищем, включно з програмами, підключеннями, настроюваними API, шлюзами й потоками за допомогою Microsoft Power Automate. Однак ця роль не має привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
Середовища з базою даних Dataverse
Якщо середовище має базу Dataverse даних, користувачеві має бути призначено роль системного адміністратора замість ролі адміністратора середовища, щоб мати повні права адміністратора.
Користувачі, які створюють програми, що підключаються до бази даних і потребують створення або оновлення сутностей і ролей безпеки, повинні мати роль настроювача системи на додаток до ролі Environment Maker. Роль Environment Maker не має привілеїв щодо даних середовища.
У наведеній нижче таблиці описано попередньо визначені ролі безпеки в середовищі, яке має базу Dataverse даних. Ці ролі не можна редагувати.
| Роль безпеки | Опис |
|---|---|
| Засіб для відкриття програм | Має мінімальні привілеї для типових завдань. Ця роль в основному використовується як шаблон для створення власного роль безпеки для додатків на основі моделі. Він не має жодних привілеїв до основних бізнес-таблиць, таких як «Обліковий запис», «Контактна особа» та «Активність». Однак він має доступ для читання на рівні організації до системних таблиць, таких як Process, для підтримки читання робочих процесів, наданих системою. Зауважте, що цей роль безпеки використовується при створенні нового, нетипового роль безпеки. |
| Базовий користувач | Лише для готових сутностей можуть запускати програму в середовищі та виконувати типові завдання з документами, якими вони володіють. Він має привілеї до основних бізнес-таблиць, таких як «Обліковий запис», «Контактна особа» та «Активність». Примітка: Userроль безпеки було перейменовано на Common Data Service Basic User. Було змінено лише назву; Привілеї користувача та призначення ролей однакові. Якщо у вас є рішення з Common Data Service User роль безпеки, вам слід оновити рішення, перш ніж імпортувати його знову. Інакше ви можете ненавмисно змінити ім’я роль безпеки назад на User під час імпорту рішення. |
| Делегат | Дозволяє коду видавати себе за іншого користувача або запускатисявід його імені. Зазвичай використовується з іншої ролі безпеки, що дає змогу отримати доступ до записів. |
| Адміністратор Dynamics 365 | Адміністратор Dynamics 365 – це роль адміністратора служби Microsoft Power Platform. Ця роль може виконувати функції Microsoft Power Platform адміністратора, оскільки вона має роль системного адміністратора. |
| Відповідальний для середовища | Може створювати ресурси, пов’язані із середовищем, включно з програмами, підключеннями, настроюваними API, шлюзами й потоками за допомогою Microsoft Power Automate. Однак ця роль не має жодних привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
| Глобальний адміністратор | Глобальний адміністратор – це Microsoft 365 роль адміністратора. Особа, яка купує передплату Microsoft для бізнесу, є глобальним адміністратором і має необмежений контроль над продуктами в передплаті та доступом до більшості даних. |
| Глобальний читач | Роль глобального читача поки що не підтримується в Power Platform центрі адміністрування. |
| Співробітник Office | Має дозвіл на читання таблиць, у яких запис було надано спільно з організацією. Не має доступу до інших основних і настроюваних записів таблиці. Ця роль призначається робочій групі відповідальних Співробітників Office, а не окремому користувачу. |
| Адміністратор Power Platform | Power Platform Адміністратор — це Microsoft Power Platform роль адміністратора служби. Ця роль може виконувати функції Microsoft Power Platform адміністратора, оскільки вони мають роль системного адміністратора. |
| Послугу видалено | Має повний дозвіл на видалення для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується службою і вимагає видалення записів у всіх сутностях. Цю роль не можна призначити користувачеві або команді. |
| Читач служби | Має повний дозвіл на читання для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується сервісом і вимагає зчитування всіх сутностей. Цю роль не можна призначити користувачеві або команді. |
| Автор служби | Має повний дозвіл на створення, читання та запис для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується службою і вимагає створення та оновлення записів. Цю роль не можна призначити користувачеві або команді. |
| Користувач підтримки | Має повний дозвіл на читання налаштувань і керування бізнесом, які дозволяють персоналу служби підтримки усувати проблеми з конфігурацією середовища. Ця роль не має доступу до основних записів. Цю роль не можна призначити користувачеві або команді. |
| системного адміністратора | Має повний дозвіл на налаштування або адміністрування середовища, включаючи створення, модифікацію та призначення ролей безпеки. Може переглядати всі дані середовища. |
| Системний настроювач | Має повний дозвіл на налаштування середовища. Може переглядати всі користувацькі дані таблиці в середовищі. Однак користувачі з цією роллю можуть переглядати лише створені ними записи в таблицях «Обліковий запис», «Контактна особа», «Активність». |
| Власник веб-сайту | Користувач, який є власником веб-сайту, реєстрації програми на порталі Azure. |
| Власник веб-сайту | Користувач, Power Pages який створив веб-сайт. Ця роль керується і не може бути змінена. |
На додачу до попередньо визначених ролей безпеки, описаних для Dataverse, у вашому середовищі можуть бути доступні й інші ролі безпеки, залежно від наявних Power Platform у вас компонентівPower Apps Power Automate Power Virtual Agents. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Компонент Power Platform | Докладно |
|---|---|
| Power Apps | Попередньо визначені ролі безпеки для середовищ із базою даних Dataverse |
| Power Automate | Безпека та конфіденційність |
| Power Pages | Ролі, необхідні для адміністрування веб-сайту |
| Power Virtual Agents | Призначення ролей безпеки середовища |
Середовища: Dataverse for Teams
Дізнайтеся більше про попередньо визначені ролі безпеки в Dataverse for Teams середовищах.
Ролі безпеки для певних програм
Якщо ви розгортаєте програми Dynamics 365 у своєму середовищі, додаються інші ролі безпеки. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Програма Dynamics 365 | Документи щодо ролей безпеки |
|---|---|
| Dynamics 365 for Sales | Попередньо визначені ролі безпеки для Sales |
| Dynamics 365 Marketing | Спеціалізовані ролі безпеки в Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service Ролі + визначення |
| Dynamics 365 Customer Service | Ролі в омніканальності для Customer Service |
| Dynamics 365 Customer Insights | Ролі Customer Insights |
| Диспетчер профілів програм | Ролі та права, зв'язані з менеджером профілів програми |
| Dynamics 365 Finance | Ролі безпеки в державному секторі |
| Програми для фінансів і операцій | Ролі безпеки в Microsoft Power Platform |
Зведені ресурси, доступні для попередньо визначених ролей безпеки
У наведеній нижче таблиці описано, які ресурси може створювати кожен роль безпеки.
| Ресурс | Відповідальний для середовища | Адміністратор середовища | Системний настроювач | Системний адміністратор |
|---|---|---|---|---|
| Компонована програма | X | X | X | X |
| Хмарний цикл | X (необізнаний з рішенням) | X | X | X |
| З’єднувач | X (необізнаний з рішенням) | X | X | X |
| Підключення* | X | X | X | X |
| Шлюз даних | X | X | - | X |
| Потік даних | X | X | - | X |
| Dataverse таблиці | - | - | X | X |
| Модельна програма | X | - | X | X |
| Структура рішень | X | - | X | X |
| Потік робочого столу** | - | - | X | X |
| AI Builder | - | - | X | X |
* З’єднання використовуються в програмах canvas та Power Automate.
**Dataverse for Teams Користувачі за замовчуванням не мають доступу до ланцюжків робочого столу. Вам потрібно оновити своє середовище до повних Dataverse можливостей і придбати плани ліцензування desktop flow, щоб використовувати потоки робочого столу.
Призначення ролі безпеки користувачам у середовищі, яке не має бази даних Dataverse
Для середовищ без Dataverse бази даних користувач, який має роль адміністратора середовища в середовищі, може призначати ролі безпеки окремим користувачам або групам за ідентифікатором Microsoft Entra .
Увійдіть у центр адміністрування Power Platform.
Виберіть Середовища> [виберіть середовище].
На плитці Доступ виберіть Переглянути усі для Адміністратор середовища або Автор середовища, щоб додати або видалити осіб для кожної з ролей.
Виберіть пункт Додати людей, а потім укажіть ім’я або адресу електронної пошти одного або кількох користувачів або груп за допомогою Microsoft Entra ідентифікатора.
Виберіть Додати.
Призначення ролей безпеки користувачам у середовищі, яке має базу даних Dataverse
Ролі безпеки можуть бути призначені окремим користувачам,командам власників ігруповим командам Microsoft Entra . Перш ніж призначити роль користувачеві, переконайтеся, що обліковий запис користувача додано до середовища та ввімкнено в ньому.
Загалом, роль безпеки можна призначити лише користувачам, чиї облікові записи увімкнено у середовищі. Щоб призначити роль безпеки обліковому запису користувача, який вимкнено в середовищі, увімкніть allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.
Увійдіть у центр адміністрування Power Platform.
Виберіть Середовища> [виберіть середовище].
На плитці Access виберіть пункт Переглянути всі в розділі Ролі безпеки.
Переконайтеся, що в списку вибрано правильну структурну одиницю, а потім виберіть роль зі списку ролей у середовищі.
Виберіть пункт Додати людей, а потім укажіть ім’я або адресу електронної пошти одного або кількох користувачів або груп за допомогою Microsoft Entra ідентифікатора.
Виберіть Додати.
Створюйте, редагуйте або копіюйте роль безпеки за допомогою нового, сучасного інтерфейсу користувача
Ви можете легко створити, відредагувати або скопіювати роль безпеки і налаштувати його відповідно до своїх потреб.
Перейдіть до Power Platform центру адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть Настройки.
Розгорніть розділ Користувачі + дозволи.
Виберіть Ролі безпеки.
Виконайте відповідне завдання:
Створіть роль безпеки
Виберіть Нова роль на панелі команд.
У полі «Ім’я ролі» введіть назву нової ролі.
У полі «Структурна одиниця » виберіть підрозділ, до якого належить роль.
Виберіть, чи повинні учасники команди успадкувати роль.
Якщо цей параметр увімкнено, а роль призначено команді, усі учасники команди успадковують усі привілеї, пов’язані з роллю.
Виберіть Зберегти.
Змінення ролі безпеки
Виберіть назву ролі або виберіть рядок, а потім натисніть кнопку Редагувати. Потім визначте привілеї та властивості роль безпеки.
Деякі попередньо визначені ролі безпеки не можна редагувати. Якщо ви спробуєте відредагувати ці ролі, кнопки «Зберегти» та «Зберегти +Закрити » будуть недоступні.
Копіювання ролі безпеки
Виберіть роль безпеки, а потім натисніть Копіювати. Дайте ролі нову назву. Відредагуйте роль безпеки за потреби.
Копіюються лише привілеї, а не призначені учасники та команди.
Відстеження ролей безпеки
Перевіряйте ролі безпеки, щоб краще зрозуміти зміни, внесені до безпеки у вашому Power Platform середовищі.
Створення та налаштування спеціальної ролі безпеки
Якщо програма використовує спеціальну сутність, права доступу для неї мають бути явно надані в ролі безпеки, перш ніж можна буде використовувати програму. Ви можете додати ці права до наявної ролі безпеки або створити спеціальну роль безпеки.
Кожен роль безпеки повинен включати мінімальний набір привілеїв. Докладніше про ролі та привілеї безпеки.
Порада
Середовище може зберігати записи, які можуть використовуватися кількома програмами. Можливо, вам знадобиться кілька ролей безпеки, які надають різні привілеї. Приклад.
- Деяким користувачам (назвемо їх редакторами) може знадобитися лише читання, оновлення та прикріплення інших записів, тому їх роль безпеки матимуть права читання, запису та додавання.
- Іншим користувачам можуть знадобитися всі привілеї, які мають редактори, а також можливість створювати, додавати, видаляти та поширювати. Роль безпеки для цих користувачів містить такі права: створення, читання, запис, додавання, видалення, призначати, додавання до, а також надання доступу.
Створіть власний роль безпеки з мінімальними привілеями для запуску програми
Увійдіть у Power Platform Центр адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть елементи Настройки>Користувачі та дозволи>Ролі безпеки.
Виберіть роль App Opener , а потім натисніть кнопку Копіювати.
Введіть ім’я настроюваної ролі, а потім натисніть кнопку Копіювати.
У списку ролей безпеки виберіть нову роль, а потім натисніть кнопку Інші дії (...) >Редагувати.
У редакторі ролей виберіть вкладку «Настроювані сутності ».
Знайдіть у списку власну таблицю та виберіть привілеї «Читання», «Запис» і «Додавання ».
Виберіть елемент Зберегти й закрити.
Створіть власний роль безпеки з нуля
Увійдіть у Power Platform Центр адміністрування, виберіть Середовища в області переходів, а потім виберіть середовище.
Виберіть елементи Настройки>Користувачі та дозволи>Ролі безпеки.
Виберіть Нова роль.
Введіть назву нової ролі на вкладці Відомості .
На інших вкладках знайдіть свою сутність, а потім виберіть дії та область їх виконання.
Знайдіть вкладку, а потім виберіть потрібну сутність. Наприклад, виберіть вкладку Настроювані сутності, щоб вказати дозволи для настроюваної сутності.
Виберіть привілеї Читання, Запис, Додати.
Виберіть Зберегти й закрити.
Мінімальні права для виконання програми
Коли ви створюєте власний роль безпеки, роль повинна мати набір мінімальних привілеїв, щоб користувач міг запускати додаток. Докладніше про обов’язкові мінімальні привілеї.
Див. також
Надання доступу користувачам
Керування доступом користувачів до середовищ: групи безпеки та ліцензії
Як визначається доступ до запису