Поділитися через

Призначення користувачу ролі безпеки

  • Стаття

Розгляньте таку інформацію про ролі безпеки:

  • Ролі безпеки контролюють доступ користувача до даних через безліч рівнів доступу і дозволів. Поєднання рівнів доступу та дозволів, включених до відповідної ролі безпеки, встановлює обмеження на подання даних користувача і взаємодію користувача з цими даними.
  • Dataverse надає стандартний набір ролей безпеки. За необхідності для вашої організації можна створити нові ролі безпеки шляхом редагування однієї з ролей безпеки за замовчуванням і збереження її під новим ім'ям. Див. розділ Заздалегідь визначені ролі безпеки.
  • Ви можете призначити для користувача кілька ролей безпеки. Дія кількох ролей безпеки є сукупною, тобто користувач має права, пов'язані з усіма ролями безпеки, призначеними для користувача.
  • Ролі безпеки пов'язані з підрозділами. Якщо ви створили підрозділи, тільки пов'язані з ними ролі безпеки будуть доступні для користувачів у цих підрозділах. Цю функцію можна використовувати для обмеження доступу до даних – відкритими залишаться дані, які належать підрозділу.
  • Якщо ввімкнуто можливість власності на записи підрозділів, ви можете призначати ролі безпеки з різних організаційних одиниць своїм користувачам незалежно від того, до якої організаційної одиниці користувачі належать.
  • Щоб призначити ролі безпеки користувачу, потрібно мати відповідні привілеї (мінімальні привілеї — « Читання » та «Призначення» в таблиці «Роль безпеки»). Щоб запобігти підвищенню привілеїв ролі безпеки, особа, яка призначає роль безпеки, не може призначати когось іншого на роль безпеки, яка має більше привілеїв, ніж той, хто її призначає. Наприклад, менеджер CSR не може призначити іншого користувача на роль системного адміністратора. Ця перевірка привілеїв включає перевірку кожного привілею, який має правонаступник на рівні глибини привілеїв та бізнес-одиниці. Наприклад, не можна призначити роль безпеки від іншої бізнес-одиниці іншому користувачу, якщо у вас немає ролі безпеки з відповідним рівнем привілеїв, призначеним цим бізнес-підрозділом.

Нотатка

За замовчуванням роль безпеки системного адміністратора має всі необхідні привілеї для призначення ролей безпеки будь-якому користувачу, включаючи призначення ролі безпеки системного адміністратора. Якщо у вас є потреба дозволити не системним адміністраторам призначати ролі безпеки, вам слід розглянути можливість створення настроюваної ролі безпеки з усіма привілеями, переліченими в розділі Створення адміністративного користувача та запобігання підвищенню привілеїв ролі безпеки. Призначте настроювану роль безпеки та всі ролі безпеки, які не адміністратор системи може призначити іншим користувачам, не пов'язаним із системним адміністратором. Ця вимога до ролей безпеки також потрібна, якщо ви дозволяєте не системним адміністраторам керувати членами команди в командах власників.

Роль системного адміністратора має призначатися безпосередньо користувачам або групі безпеки, до якої належать користувачі.

Важливо зазначити, що користувацькі ролі безпеки не підтримуються в програмах на полотні.

Додаткові відомості про різницю між ролями адміністратора онлайнових служб Microsoft і ролями безпеки див. в розділі Надання доступу користувачам.

Чайові

Перегляньте наступне відео: Призначення ролей безпеки в Power Platform центрі адміністрування.

Щоб призначити роль безпеки, виконайте наведені далі кроки.

  1. Виконайте вхід до центру адміністрування Power Platform як системний адміністратор.

  2. Виберіть Середовища, а тоді виберіть середовище зі списку.

  3. Виберіть Настройки.

  4. Виберіть Користувачі + дозволи, потім виберіть Користувачі.

  5. На сторінці Користувачі виберіть користувача, потім виберіть розділ Керувати ролями безпеки.

  6. Вибирайте ролі безпеки або скасовуйте вибір ролей безпеки. Після закінчення виберіть Зберегти. Після збереження всі вибрані ролі стають поточними призначеними ролями цього користувача. Невибрані ролі не призначаються.

Якщо увімкнути призначення відповідального за запис у підрозділах, ви можете вибирати ролі безпеки з різних підрозділів.

Важливо

Ви маєте призначити принаймні одну роль безпеки кожному користувачу безпосередньо або опосередковано як учаснику робочої групи. Послуга є недоступною для користувачів, які не мають принаймні однієї ролі безпеки.

Нотатка

Панель, показана вище, показує та керує лише прямими призначеннями ролей для користувача. У розділі «Керування груповими командами » пояснюється, як переглядати ролі, призначені учасникам групової команди, і керувати ними.

Право користувача на налаштування для форми власності на запис у підрозділах

Якщо ввімкнути форму власності на записи для організаційних одиниць, ваші користувачі можуть отримати доступ до даних в інших підрозділах, маючи безпосередньо призначену роль безпеки від цих інших підрозділів. Користувачу також потрібна роль безпеки організаційної одиниці користувача із правами з наведених нижче таблиць, щоб оновити параметри інтерфейсу користувача.

  • Настройки користувача картки дій
  • Збережене подання
  • Користувацька діаграма
  • Приладна дошка користувача
  • Дані екземпляру сутності користувача
  • Параметри інтерфейсу сутності користувача
  • Метадані програми користувача

Щоб призначити ролі безпеки користувачам у середовищі без або з однією базою даних Microsoft Dataverse, див. розділ Налаштування безпеки користувача для ресурсів у середовищі.

(Необов'язково) Призначити роль адміністратора

Можна надати спільний доступ до завдань адміністрування онлайнових служб Microsoft кільком особам, призначивши роль адміністратора середовища онлайнових служб Microsoft користувачам, яких ви обрали на кожну з цих ролей. Для отримання докладних відомостей про ролі адміністратора онлайнових служб Microsoft див. Призначення ролей адміністратора.

Нотатка

Ролі адміністратора середовища онлайнових служб Microsoft діють лише для управління аспектами передплати на онлайнові служби. Ці ролі не впливають на дозволи в межах служби.

Автоматичне призначення ролі

Коли користувачі додаються Dataverse, ролі призначаються автоматично на основі таких критеріїв:

  1. Користувачі з дійсною ліцензією автоматично отримують відповідні зіставлені ролі. Видалення відповідної ліцензії призводить до автоматичного видалення ролей. Керування ролями за замовчуванням на основі ліцензії не застосовується для користувачів у таких середовищах: Dataverse for Teams, Пробна версія та Розробник.

  2. Для типу середовища за замовчуванням ролі Basic User і Environment Maker призначаються автоматично всім доданим Dataverse користувачам.

  3. У середовищі, пов'язаному з базою Dataverse даних, роль безпеки базового користувача з фінансами та операціями автоматично призначається всім активним користувачам Dataverse.

Нотатка

Раніше Microsoft Entra адміністраторам ідентифікаторів, включаючи Power Platform адміністраторів і адміністраторів служби Dynamics 365, автоматично призначалася роль Dataverse системного адміністратора. Це вже не так. Однак, якщо адміністратору раніше було призначено роль Dataverse, видалення його з ролей адміністратора Power Platform та служби Dynamics 365 не призведе до автоматичного видалення ролі системного адміністратора Dataverse. Наразі немає можливості визначити, чи була роль призначена автоматично системою чи вручну адміністратором. Тому ми рекомендуємо адміністраторам вручну видаляти роль системного адміністратора після видалення Microsoft Entra ролі.

Зіставлення ліцензії із роллю

Якщо так визначено у вашому середовищі, певні ролі автоматично призначатимуться користувачам після додавання користувачів до Dataverse залежно від ліцензії, призначеної таким користувачам. Зіставлення ліцензій із ролями для середовища можна переглянути, перейшовши на сторінку «Зіставлення ліцензій із ролями» у центрі адміністрування Power Platform.

Виберіть Середовища> [виберіть середовище] >Параметри>Користувачі + Дозволи>Ліцензія для відображення ролі.

Почніть роботу з ролями безпеки в Dataverse