Comparteix a través de

Assignar una funció de seguretat a un usuari

  • Article

Nota

El centre Power Platform d'administració nou i millorat ja està en versió preliminar pública. Hem dissenyat el nou centre d'administració perquè sigui més fàcil d'utilitzar, amb una navegació orientada a tasques que us ajuda a aconseguir resultats específics més ràpidament. Publicarem documentació nova i actualitzada a mesura que el nou Power Platform centre d'administració passi a la disponibilitat general.

Considereu la informació següent sobre les funcions de seguretat:

  • Les funcions de seguretat controlen l'accés d'un usuari a les dades a través d'un conjunt de nivells d'accés i permisos. La combinació dels nivells d'accés i els permisos inclosos en una funció de seguretat específica posa límits a les dades que l'usuari pot visualitzar i a les interaccions amb aquestes dades.
  • El Dataverse proporciona un conjunt de funcions de seguretat per defecte. Si és necessari per a l'organització, podeu crear noves funcions de seguretat editant una de les funcions de seguretat predeterminades i després desar-la amb un nom nou. Vegeu Funcions de seguretat predefinides.
  • Podeu assignar més d'una funció de seguretat a un usuari. L'efecte de diverses funcions de seguretat és acumulatiu, el que significa que l'usuari té els permisos associats amb totes les funcions de seguretat que li han estat assignades.
  • Les funcions de seguretat estan associades amb unitats de negoci. Si heu creat unitats de negoci, només aquelles funcions de seguretat associades a la unitat de negoci estan disponibles per als usuaris de la unitat de negoci. Podeu utilitzar aquesta característica per limitar l'accés a dades que pertanyen a la unitat de negoci.
  • Quan l'opció Permetre la propietat de registres a totes les unitats de negoci està habilitada, podeu assignar funcions de seguretat de diferents unitats de negoci als usuaris, independentment de la unitat de negoci a la qual pertanyin els usuaris.
  • Per assignar funcions de seguretat a un usuari, heu de tenir els privilegis adequats (els privilegis mínims són Lectura i Assignació a la taula Funció de seguretat). Per evitar l'elevació dels privilegis de la funció de seguretat, la persona que assigna la funció de seguretat no pot assignar una altra persona a una funció de seguretat que tingui més privilegis que l'assignador. Per exemple, un administrador de CSR no pot assignar un altre usuari a la funció d'administrador del sistema. Aquesta validació de privilegis inclou la comprovació de cada privilegi que té l'assignador al nivell de profunditat de privilegis i unitat de negoci. Per exemple, no podeu assignar una funció de seguretat d'una unitat de negoci diferent a un altre usuari si no teniu una funció de seguretat amb el nivell de privilegis adequat assignat des d'aquesta unitat de negoci.

Nota

Per defecte, la funció de seguretat d'administrador del sistema té tots els privilegis necessaris per assignar funcions de seguretat a qualsevol usuari, inclosa l'assignació de la funció de seguretat d'administrador del sistema. Si heu de permetre que els administradors del sistema que no siguin administradors del sistema assignin funcions de seguretat, hauríeu de considerar la possibilitat de crear una funció de seguretat personalitzada amb tots els privilegis que s'indiquen a Crear un usuari administratiu i evitar l'elevació dels privilegis de la funció de seguretat. Assigneu la funció de seguretat personalitzada i totes les funcions de seguretat que l'administrador del sistema pot assignar a altres usuaris. Aquest requisit de funció de seguretat també és necessari si permeteu que els no administradors del sistema administrin els membres de l'equip dels equips propietaris.

La funció d'administrador del sistema s'ha d'assignar directament als usuaris o a un grup de seguretat del qual formin part.

És important tenir en compte que les funcions de seguretat personalitzades no són compatibles amb les aplicacions de llenç.

Per obtenir més informació sobre la diferència entre les funcions d'administrador de Microsoft Online Services i les funcions de seguretat, vegeu Concedir l'accés als usuaris.

Propina

Mireu el vídeo següent: Assignació de funcions de seguretat al centre Power Platform d'administració.

Seguiu aquests passos per assignar una funció de seguretat.

  1. Inicieu la sessió al Centre d'administració del Power Platform com a Administrador del sistema.

  2. Seleccioneu Entorns i, a continuació, un entorn de la llista.

  3. Seleccioneu Configuració.

  4. Seleccioneu Usuaris i permisos i, a continuació, seleccioneu Usuaris.

  5. A la pàgina Usuaris, seleccioneu un usuari i, a continuació, seleccioneu Administra les funcions de seguretat.

  6. Seleccioneu o anul·leu la selecció de les funcions de seguretat. Quan hàgiu acabat, seleccioneu Desa. Després de desar-les, totes les funcions seleccionades es convertiran en les funcions assignades actuals per a l'usuari. Les funcions no seleccionades no s'assignen.

Quan l'opció Permetre la propietat de registres a totes les unitats de negoci està habilitada, podeu seleccionar funcions de seguretat de diferents unitats de negoci.

Important

Heu d'assignar com a mínim un funció de seguretat a cada usuari, directament o indirectament, com a membre d'un equip de grup. El servei no permet accedir als usuaris que no tenen almenys una funció de seguretat.

Nota

El plafó que es mostra a dalt mostra i gestiona només les assignacions directes de funcions per a l'usuari. Administra equips de grup explica com veure i administrar les funcions assignades com a membre d'un equip de grup.

Privilegis de configuració d'usuaris per a la propietat de registres a les unitats de negoci

Si heu habilitat l'opció Permetre la propietat de registres a totes les unitats de negoci, els usuaris poden accedir a dades d'altres unitats de negoci amb una funció de seguretat de les respectives unitats de negoci que els hi han assignat directament. L'usuari també necessita una funció de seguretat assignada des de la unitat de negoci de l'usuari amb privilegis de les següents taules per actualitzar la configuració de la interfície d'usuari:

  • Configuració d'usuari de la targeta d'acció
  • Visualització desada
  • Gràfic d'usuaris
  • Escriptori digital d'usuari
  • Dades d'instància d'entitat d'usuari
  • Configuració d'IU d'entitat d'usuari
  • Metadades d'aplicació de l'usuari

Per assignar funcions de seguretat als usuaris d'un entorn que tingui una base de dades del Microsoft Dataverse o no en tingui cap, vegeu Configurar la seguretat de l'usuari en recursos d'un entorn.

(Opcional) Assigneu una funció d'administrador

Podeu compartir les tasques d'administració de l'entorn del Microsoft Online Services entre diverses persones mitjançant l'assignació de funcions d'administrador de l'entorn del Microsoft Online Services als usuaris que seleccioneu per complir cada funció. Per obtenir informació detallada sobre les funcions d'administrador del Microsoft Online Services, vegeu Assignar funcions d'administrador.

Nota

Les funcions d'administrador de l'entorn del Microsoft Online Services només són vàlides per administrar aspectes de la subscripció al servei en línia. Aquestes funcions no afecten els permisos dins del servei.

Assignació de funció automàtica

Quan s'afegeixen Dataverse usuaris, les funcions s'assignen automàticament en funció dels criteris següents:

  1. Els usuaris, amb una llicència vàlida, reben les funcions assignades corresponents automàticament. L'eliminació de la llicència respectiva comporta l'eliminació automàtica del rol. L'administració de funcions per defecte basada en llicències no s'aplica als usuaris d'aquests tipus d'entorns: Dataverse for Teams, Prova i Desenvolupador.

  2. Per al tipus d'entorn per defecte, les funcions d'usuari bàsic i de creador d'entorns s'assignen automàticament a tots els usuaris afegits Dataverse.

  3. A l'entorn vinculat de finances i operacions amb una base de Dataverse dades, la funció de seguretat d'usuari bàsic de finances i operacions s'assigna automàticament a tots els usuaris actius a Dataverse.

Nota

Anteriorment, Microsoft Entra els administradors d'ID, inclosos Power Platform els administradors i els administradors del servei del Dynamics 365, tenien assignada automàticament la funció Dataverse d'administrador del sistema. Aquest ja no és el cas. Tanmateix, si s'ha assignat prèviament una funció a Dataverse un administrador, suprimir-lo de les funcions d'administrador Power Platform i d'administrador del servei del Dynamics 365 no suprimirà automàticament la seva funció Dataverse d'administrador del sistema. Actualment no hi ha manera de determinar si la funció ha estat assignada automàticament pel sistema o manualment per un administrador. Per tant, recomanem que els administradors suprimeixin manualment la funció d'administrador del sistema un cop s'hagi suprimit la Microsoft Entra funció.

Assignació de llicència a funció

Si es defineixen al vostre entorn, algunes funcions s'assignen automàticament als usuaris quan s'afegeixen al Dataverse d'acord amb la llicència que se'ls assigni als usuaris. Podeu visualitzar l'assignació de llicència a la funció en un entorn anant a la pàgina Assignació de llicència per a la funció del Centre d'administració del Power Platform.

Aneu a Entorns> [seleccioneu un entorn] >Configuració>Usuaris + permisos>Assignació de llicència a funcions.

Introducció a les funcions de seguretat a Dataverse