Безпека користувачів у середовищі
Microsoft Dataverse використовує модель безпеки на основі ролей для контролю доступу до бази даних та її ресурсів у середовищі. Використовуйте ролі безпеки, щоб налаштувати доступ до всіх ресурсів у середовищі або до конкретних програм і даних у середовищі. Комбінація рівнів доступу та дозволів у ролі безпеки визначає, які програми та дані користувачі можуть переглядати та як вони можуть взаємодіяти з цими програмами та даними.
Середовище не може мати жодної або однієї Dataverse бази даних. Ролі безпеки призначаються по-різному для середовищ, які не Dataverse мають бази даних , і середовищ, які мають базу Dataverse даних.
Дізнайтеся більше про середовища в Power Platform.
Попередньо визначені ролі безпеки
Середовища містять попередньо визначені ролі безпеки, які відображають типові завдання користувача. Попередньо визначені ролі безпеки відповідають рекомендаціям безпеки «мінімально необхідний доступ»: надають найменший доступ до мінімальної кількості бізнес-даних, потрібних користувачеві для використання програми. Ці ролі безпеки можуть бути призначені користувачеві, команді власників і груповій команді. Попередньо визначені ролі безпеки, доступні в середовищі, залежать від типу середовища та інстальованих у ньому програм.
Ще один набір ролей безпеки призначається користувачам програм. Ці ролі безпеки встановлюються нашими службами та не можуть бути оновлені.
Середовища без бази даних Dataverse
Розробник середовища та адміністратор середовища – це єдина попередньо визначена роль для середовищ без бази даних Dataverse. Ці ролі описані в наступній таблиці.
| Роль безпеки | Опис |
|---|---|
| Адміністратор середовища | Роль адміністратора середовища може виконувати всі адміністративні дії в середовищі, зокрема:
|
| Відповідальний для середовища | Може створювати нові ресурси, пов’язані з середовищем, включаючи програми, з’єднання, користувацькі API та потоки Microsoft Power Automate. Однак ця роль не має привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
Середовища з базою даних Dataverse
Якщо середовище має базу Dataverse даних, користувачу має бути призначено роль системного адміністратора замість ролі адміністратора середовища, щоб мати повні права адміністратора.
Користувачі, які створюють програми, що підключаються до бази даних і мають створювати або оновлювати сутності та ролі безпеки, повинні мати роль настроювання системи на додаток до ролі Environment Maker. Роль Environment Maker не має привілеїв щодо даних середовища.
У наведеній нижче таблиці описано попередньо визначені ролі безпеки в середовищі, яке має базу Dataverse даних. Ви не можете редагувати ці ролі.
| Роль безпеки | Опис |
|---|---|
| Засіб для відкриття програм | Має мінімальні привілеї для типових завдань. Ця роль здебільшого використовується як шаблон для створення користувацької ролі безпеки для програм, керованих моделлю. Він не має жодних привілеїв до основних бізнес-таблиць, таких як «Обліковий запис», «Контакт» і «Активність». Однак він має доступ для читання на рівні організації до системних таблиць, таких як Process, для підтримки читання робочих процесів, наданих системою. Ця роль безпеки використовується під час створення нової настроюваної ролі безпеки. |
| Базовий користувач | Лише для готових сутностей можуть запускати програму в середовищі та виконувати загальні завдання з власними записами. Він має привілеї для основних бізнес-таблиць, таких як «Обліковий запис», «Контакт», «Активність» і «Процес». Примітка: роль безпеки користувача Common Data Service була перейменована на Basic User . Змінено лише назву; Привілеї користувача та розподіл ролей однакові. Якщо у вас є рішення з Common Data Service роллю безпеки користувача , його слід оновити, перш ніж імпортувати знову. В іншому випадку ви можете ненавмисно змінити ім’я ролі безпеки назад на Користувач під час імпорту рішення. |
| Делегат | Дозволяє коду видавати себе за іншого користувача або запускатисявід його імені. Зазвичай використовується з іншої ролі безпеки, що дає змогу отримати доступ до записів. |
| Адміністратор Dynamics 365 | Адміністратор Dynamics 365 – це Microsoft Power Platform роль адміністратора служби. Користувачі цієї ролі можуть виконувати функції адміністратора після Microsoft Power Platform того, як вони самостійно перейдуть до ролі системного адміністратора. |
| Відповідальний для середовища | Може створювати нові ресурси, пов’язані з середовищем, включаючи програми, з’єднання, користувацькі API та потоки Microsoft Power Automate. Однак ця роль не має жодних привілеїв для доступу до даних у середовищі. Розробники середовища також можуть розповсюджувати програми, які вони створюють у середовищі, серед інших користувачів у вашій організації. Вони можуть надати спільний доступ до програми окремим користувачам, групам безпеки або всім користувачам організації. |
| Глобальний адміністратор | Глобальний адміністратор – це Microsoft 365 роль адміністратора. Особа, яка купує передплату Microsoft для бізнесу, є глобальним адміністратором і має необмежений контроль над продуктами в передплаті та доступом до більшості даних. Користувачі цієї ролі повинні самостійно піднятися до ролі системного адміністратора. |
| Глобальний читач | Роль Глобального читача поки що не підтримується в Power Platform Центрі адміністрування. |
| Співробітник Office | Має дозвіл на читання таблиць, запис у яких було надано спільно з організацією. Не має доступу до будь-яких інших основних і настроюваних записів таблиць. Ця роль призначається робочій групі відповідальних Співробітників Office, а не окремому користувачу. |
| Адміністратор Power Platform | Power Platform Адміністратор – це Microsoft Power Platform роль адміністратора служби. Користувачі цієї ролі можуть виконувати функції адміністратора після Microsoft Power Platform того, як вони самостійно перейдуть до ролі системного адміністратора. |
| Послугу видалено | Має повний дозвіл на видалення для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується службою і вимагає видалення записів у всіх сутностях. Цю роль не можна призначити користувачу або команді. |
| Читач служби | Має повний дозвіл на читання для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується сервісом і вимагає читання всіх сутностей. Цю роль не можна призначити користувачу або команді. |
| Автор служби | Має повний дозвіл на створення, читання та запис для всіх сутностей, включно з користувацькими сутностями. Ця роль в основному використовується сервісом і вимагає створення та оновлення записів. Цю роль не можна призначити користувачу або команді. |
| Користувач підтримки | Має повний дозвіл на читання налаштувань налаштування та управління бізнесом, які дозволяють персоналу служби підтримки усувати проблеми з конфігурацією середовища. Ця роль не має доступу до основних записів. Цю роль не можна призначити користувачу або команді. |
| системного адміністратора | Має повний дозвіл на налаштування або адміністрування середовища, включаючи створення, зміну та призначення ролей безпеки. Може переглядати всі дані середовища. |
| Системний настроювач | Має повний дозвіл на налаштування оточення. Може переглядати всі призначені для користувача дані таблиці в середовищі. Однак користувачі з цією роллю можуть переглядати лише створені ними записи в таблицях «Обліковий запис», «Контактна особа» та «Активність». |
| Власник веб-додатку | Користувач, якому належить реєстрація програми на веб-сайті на порталі Azure. |
| Власник веб-сайту | Користувач, який створив Power Pages веб-сайт. Ця роль управляється і не може бути змінена. |
Окрім попередньо визначених ролей безпеки, описаних для Dataverse, у вашому середовищі можуть бути доступні інші ролі безпеки залежно від Power Platform компонентів—Power Apps, Power Automate— Microsoft Copilot Studioякі ви маєте. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Компонент Power Platform | Докладно |
|---|---|
| Power Apps | Попередньо визначені ролі безпеки для середовищ із базою Dataverse даних |
| Power Automate | Безпека та конфіденційність |
| Power Pages | Ролі, необхідні для адміністрування веб-сайту |
| Microsoft Copilot Studio | Призначення ролей безпеки середовища |
Середовища: Dataverse for Teams
Дізнайтеся більше про попередньо визначені ролі безпеки в Dataverse for Teams середовищах.
Ролі безпеки для певних програм
Якщо ви розгортаєте програми Dynamics 365 у своєму середовищі, додаються інші ролі безпеки. У наведеній нижче таблиці наведено посилання на додаткову інформацію.
| Програма Dynamics 365 | Документи щодо ролей безпеки |
|---|---|
| Dynamics 365 for Sales | Попередньо визначені ролі безпеки для продажів |
| Dynamics 365 Marketing | Ролі безпеки, додані Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service ролі + визначення |
| Dynamics 365 Customer Service | Ролі в омніканальності для обслуговування клієнтів |
| Dynamics 365 Customer Insights | Ролі Customer Insights |
| Диспетчер профілів програм | Ролі та привілеї, пов’язані з менеджером профілів додатків |
| Dynamics 365 Finance | Безпекові ролі в державному секторі |
| Програми для фінансів і операцій | Ролі безпеки в Microsoft Power Platform |
Зведення ресурсів, доступних для попередньо визначених ролей безпеки
У наведеній нижче таблиці описано, які ресурси може створювати кожна роль безпеки.
| Resource | Відповідальний для середовища | Адміністратор середовища | Системний настроювач | Системний адміністратор |
|---|---|---|---|---|
| Компонована програма | X | X | X | X |
| Хмарний цикл | X (не знає рішення) | X | X | X |
| З’єднувач | X (не знає рішення) | X | X | X |
| Підключення* | X | X | X | X |
| Шлюз даних | - | X | - | X |
| Потік даних | X | X | X | X |
| Dataverse таблиці | - | - | X | X |
| Модельна програма | X | - | X | X |
| Структура рішень | X | - | X | X |
| Потік на робочому столі** | - | - | X | X |
| AI Builder | - | - | X | X |
* З’єднання використовуються в програмах canvas та Power Automate.
**Dataverse for Teams Користувачі за замовчуванням не мають доступу до потоків робочого столу. Вам потрібно оновити своє середовище до повних Dataverse можливостей і придбати ліцензійні плани Desktop Flow для використання потоків робочого столу.