組態環境中的使用者對資源的安全性
Microsoft Dataverse使用角色型安全性模型來協助安全存取資料庫。 本文會說明如何建立協助保護環境中資源所需的安全性構件。 資訊資訊安全角色可用來組態環境中對所有資源的存取權,或組態對環境中特定應用程式和資料的存取權。 資訊資訊安全角色是透過一組存取層級和權限控制使用者對環境資源的存取。 特定資訊資訊安全角色中包括的存取層級和權限組合負責治理使用者對應用程式和資料的檢視限制,以及對使用者與該資料的互動限制。
環境會有零個或一個 Dataverse 資料庫。 將資訊資訊安全角色指派給沒有 Dataverse 資料庫的程序,與指派給具有 Dataverse 資料庫的程序有所不同。
預先定義的資訊安全角色
環境包括反映常見使用者工作的預先定義角色,其存取層級定義符合存取使用應用程式所需的最低量商業資料的資訊安全性最佳做法目標。
有另一組指派給 應用程式使用者 的資訊安全角色。 那些資訊安全角色經由我們的服務安裝,而且無法更新。
您環境中有哪些預定義的資訊安全角色可以使用,是根據環境類型而定。
不包含 Dataverse 資料庫的環境
環境創造者和環境管理員是唯一沒有 Dataverse 資料庫的環境的預定義角色。 這些值在下表說明。
| 資訊安全角色 | 資料庫權限* | 描述 |
|---|---|---|
| 環境管理員 | 建立、讀取、寫入、刪除、自訂、資訊安全角色 | 環境管理員角色可在環境上執行所有的系統管理動作,包括如下:
|
| 環境創造者 | 自訂 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API、閘道及使用 Microsoft Power Automate 的流程。 不過,此角色沒有任何權限可以存取環境中的資料。 其他資訊:環境概觀 環境創造者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 其他資訊:在 Power Apps 分享應用程式 |
- 除非另有指定,這些權限的範圍為全域。
包含 Dataverse 資料庫的環境
如果環境具有 Dataverse 資料庫,要取得完整管理員權限,則必須為使用者指派系統管理員角色,而非環境管理員角色,如下表所述。
對於要製作連接至資料庫的應用程式,且需要建立或更新實體和資訊安全角色的使用者,您必須指派系統自訂員角色以及環境創造者角色。 這是必要的,因為環境創造者角色對環境的資料沒有權限。
| 資訊安全角色 | 資料庫權限* | 描述 |
|---|---|---|
| 環境創造者 | 自訂 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API、閘道及使用 Microsoft Power Automate 的流程。 不過,此角色沒有任何權限可以存取環境中的資料。 其他資訊:環境概觀 環境創造者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 其他資訊:在 Power Apps 分享應用程式 |
| 系統管理員 | 建立、讀取、寫入、刪除、自訂、資訊安全角色 | 有完整權限可以自訂或管理環境,包括建立、修改和指派資訊安全角色。 可以檢視環境中的所有資料。 其他資訊:進行自訂所需的權限 |
| 系統自訂員 | 建立 (自我)、讀取 (自我)、寫入 (自我)、刪除 (自我)、自訂 | 有完整權限可以自訂環境。 不過,具有此角色的使用者只能檢視他們所建立的環境實體的記錄。 其他資訊:進行自訂所需的權限 |
| 基本使用者 | 讀取 (自我)、建立 (自我)、寫入 (自我)、刪除 (自我) | 可以執行環境中的應用程式,並對其所擁有的一般記錄執行工作。 請注意,這只適用於非自訂實體。 其他資訊:建立或設定自訂資訊安全角色 注意:Common Data Service 使用者資訊安全角色已更名為基本使用者。 無需執行任何動作 - 這只是變更名稱,並不會影響使用者許可權或角色指派。 如果您有使用 Common Data Service 使用者資訊安全角色的解決方案,則在匯入該解決方案時,您可能會無意中將資訊安全角色名稱更新回 Common Data Service 使用者。 請先更新解決方案,再重新匯入。 |
| 服務閱讀程式 | 參閱 | 對所有實體 (包括自訂實體) 具有完全讀取權限。 這主要由需要讀取所有實體的後端服務使用。 |
| 服務寫入器 | 建立、讀取、寫入 | 擁有所有實體的完整建立、讀取及寫入權限,包括自訂實體。 這主要由需要建立和更新記錄的後端服務使用。 |
| 代理人 | 代表另一個使用者採取動作 | 允許程式碼 模擬,或以其他使用者身分來執行。 通常與其他資訊安全角色搭配用來允許存取記錄。 其他資訊:模擬另一個使用者 |
| 支援使用者 | 讀取自訂設定、讀取業務管理設定 | 擁有自訂化和商業管理設定的完整讀取權限,讓支援人員疑難排解環境組態問題。 無法存取核心記錄。 |
| Office 共同作業者 | 讀取 (自我) | 對資料表中的記錄與組織共用的資料表具有讀取權限。 無權存取任何其他核心和自訂資料表記錄。 此角色會指派給 Office 共同作業者擁有者團隊,而非分配給單一使用者。 |
| 全域讀者 | 全域讀者角色在 Power Platform 系統管理中心尚未受到支援。 |
- 除非另有指定,這些權限的範圍為全域。
當您安裝 Dynamics 365 應用程式時,可能會提供不在上表中的其他資訊安全角色。
Dataverse for Teams 環境
如需 Dataverse for Teams環境資訊安全角色的資訊,請參閱 使用者存取 Dataverse for Teams環境。
應用程式特定資訊安全角色
如果在 Dataverse 環境 (如 Dynamics 365 Sales 或 Dynamics 365 Field Service) 中部署 Dynamics 365 應用程式,則由於部署這些應用程式,將新增其他資訊安全角色。 如需這些其他資訊安全角色的資訊,請參閱相應應用程式的文件:
| Dynamics 365 應用程式 | 資訊安全角色文件 |
|---|---|
| Dynamics 365 Sales | 指派資訊安全角色給使用者 |
| Dynamics 365 Marketing | 管理使用者帳戶、使用者授權和資訊安全角色 管理團隊角色 讓使用者可以使用 LinkedIn Lead Gen 連接器 |
| Dynamics 365 Field Service | 設定 Dynamics 365 Field Service 使用者和安全性設定檔 Connected Field Service 的資訊安全角色 將資訊安全角色指派給 Field Service Mobile 應用程式 |
| Dynamics 365 Customer Service | 為 Omnichannel for Customer Service 指派角色和啟用使用者 在 Omnichannel for Customer Service 中管理使用者 |
| 應用程式設定檔管理員 | 與應用程式設定檔管理員相關的角色及權限 |
可用於預先定義資訊安全角色的資源摘要
下表說明每個資訊安全角色可以撰寫的資源。
| 資源 | 環境創造者 | 環境管理員 | 系統自訂員 | 系統管理員 |
|---|---|---|---|---|
| 畫布應用程式 | X | X | - | X |
| 雲端流程 | X (非解決方案感知) | X | X (解決方案感知) | X |
| 連接器 | X | X | - | X |
| 連接 | X | X | - | X |
| 資料閘道 | X | X | - | X |
| 資料流程 | X | X | - | X |
| Dataverse 資料表 | - | - | X | X |
| 模型導向應用程式 | X | - | X | X |
| 解決方案框架 | - | - | X | X |
| 桌面流程 | - | - | X | X |
| AI Builder | - | - | X | X |
將資訊資訊安全角色指派給沒有 Dataverse 資料庫的環境使用者
對於沒有 Dataverse 資料庫的環境,可以將資訊安全角色指派給 Azure AD 中的個人使用者或群組。 在環境中具有環境管理員角色的使用者可進行這些步驟。
選取 環境 > [選取一個環境]。
在 存取 圖格中,環境管理員 或 環境製造者 請選取 查看所有,以新增或移除任一角色的人員。
選取 新增人員,然後指定 Azure AD 的一個或多個使用者或群組名稱或電子郵件地址,以將角色指派給該使用者或群組。
將資訊資訊安全角色指派給具有 Dataverse 資料庫的環境使用者
資訊安全角色可以指派給負責人團隊和 Azure AD 群組團隊,以及個人使用者。 將角色指派給使用者之前,請確認使用者在處於啟用狀態的環境中是否存在。 將使用者新增至環境或將其狀態修正為啟用後,然後將角色指派給它們。 您可以在新增使用者程序中指派角色。
一般而言,只能將資訊安全角色指派給具有已啟用狀態的使用者。 但如果您需要將資訊資訊安全角色指派給處於已停用狀態的使用者,您可以在 OrgDBOrgSettings 中啟用 allowRoleAssignmentOnDisabledUsers 來執行此動作。
若要將資訊安全角色新增至負責人團隊、群組團隊或在環境中具有已啟用狀態的使用者:
選取 環境 > [選取一個環境]。
在 存取 圖標中,選取 [資訊安全角色] 下的 查看全部。
請確定已從下拉式清單選取正確的業務單位,然後從環境的角色清單中選取角色。
選取 新增人員,將使用者、負責人團隊或群組團隊新增至角色。 如果找不到要指派角色的使用者或團隊,請確認該使用者或團隊存在於環境中,且在將角色指派給使用者前,它們處於已啟用狀態。
建立或組態自訂資訊安全角色
如果您的應用程式使用自訂實體,則必須在資訊安全角色中明確授予權限,才能使用您的應用程式。 您可以在現有的資訊安全角色中新增這些權限或建立自訂的資訊安全角色。
注意
每個資訊安全角色都必須包含最小的一組權限,才能使用。 本文稍後將說明這些限制。
提示
環境可能會保留記錄以供多個應用程式使用,因此您可能需要多個資訊安全角色,使用不同權限來存取資料。 例如:
- 有些使用者 (稱為類型 A) 可能只需要讀取、更新及附加其他記錄,因此其資訊安全角色會具有讀取、寫入和新增權限。
- 其他使用者可能需要類型 A 使用者所有的權限,以及建立、附加至、刪除和共用的能力。 這些使用者的資訊安全角色將會有建立、讀取、寫入、附加、刪除、指派、附加至以及共用權限。
如需存取及範圍權限的詳細資訊,請參閱 資訊安全角色和權限。
登入 Power Platform 系統管理中心,然後選取您要更新資訊資訊安全角色的環境。
選取環境的 URL。
如果您看到發行的應用程式和圖標,請選取右上角的齒輪圖示 (
),然後選取 進階設定。在功能表列上,選取 設定 > 安全性。
選取 資訊安全角色。
選取 新增。
在資訊安全角色設計師的 詳細資料 索引標籤上,輸入角色名稱。從其他索引標籤中,您可以選取動作以及執行該動作的範圍。
選取索引標籤,並搜尋您的實體。 例如,選取 自訂實體 索引標籤,以設定自訂實體的權限。
選取權限 讀取、寫入、附加。
選取 儲存後關閉。
執行應用程式所需的最低權限
當您建立自訂資訊安全角色時,需要在資訊安全角色中包含一組最小的權限,使用者才能執行應用程式。 我們已建立您可匯入的解決方案,這個解決方案會提供包含必要最低權限的資訊安全角色。
首先請從下載中心下載解決方案:Dataverse 最低權限資訊安全角色。
然後,依照下列指示匯入解決方案:匯入解決方案。
當您匯入解決方案時,它會建立 min pro apps use 角色,讓您可以進行複製 (請參閱:使用複製角色建立安全性角色)。 [複製角色] 程序完成時,瀏覽至每個索引標籤 —核心記錄、商業管理、自訂 等索引標籤—,並設定適當權限。
重要
您應該先在開發環境中試用解決方案,再將其匯入至生產環境。
請參閱
意見反應
提交並檢視相關的意見反應