Role zabezpečení a oprávnění

Chcete-li řídit, kdo má přístup k omezeným nebo citlivým datům a zdrojům a co s nimi může dělat, přiřaďte uživatelům role zabezpečení. Tento článek poskytuje přehled rolí zabezpečení a souvisejících oprávnění.

Role zabezpečení můžete přiřadit pomocí nového, moderního uživatelského rozhraní nebo staršího uživatelského rozhraní.

Role zabezpečení a nové moderní uživatelské rozhraní

Role zabezpečení definují, jaký přístup mají různí uživatelé k různým typům záznamů. Přístup k datům a zdrojům můžete řídit vytvořením či úpravou rolí zabezpečení a změnou rolí zabezpečení, které jsou přiřazeny vašim uživatelům.

Uživatel může mít více rolí zabezpečení. Oprávnění role zabezpečení jsou kumulativní. Uživatelům jsou udělena oprávnění, která jsou k dispozici v každé roli, která je jim přiřazena.

Zobrazení seznamu rolí zabezpečení v prostředí

  1. Přihlaste se do Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení>Uživatelé + oprávnění>Role zabezpečení.

Definice oprávnění a vlastností role zabezpečení

Poté, co vytvoříte roli zabezpečení nebo když ji upravujete, nastavte možnost Dědičnost oprávnění členů:

  • Pouze týmová oprávnění: Uživateli jsou tato oprávnění udělena jako člen týmu. Členové týmu, kteří nemají vlastní uživatelská oprávnění, mohou vytvářet záznamy s týmem jako vlastníkem. Mají přístup k záznamům, které tým vlastní, pokud dostanou úroveň přístupu Uživatel pro oprávnění vytvářet a číst.

  • Přímá uživatelská (základní) úroveň přístupu a týmová oprávnění: Uživateli jsou tato oprávnění udělena přímo při přidělení role zabezpečení. Uživatelé mohou vytvářet záznamy se sebou jako vlastníkem. Mají přístup k záznamům, které vytvořili nebo vlastní, pokud dostanou úroveň přístupu Uživatel pro oprávnění vytvářet a číst. Toto je výchozí nastavení pro nové role zabezpečení.

    Snímek obrazovky s možností dědění oprávnění člena v editoru role zabezpečení.

Poté nakonfigurujte oprávnění spojená s rolí zabezpečení.

Role zabezpečení je složena z oprávnění na úrovni záznamu a oprávnění založených na úlohách následujících třech typů:

  • Tabulky: Oprávnění k tabulce definují, jaké úkoly může uživatel s přístupem k záznamu tabulky provádět, například Číst, Vytvořit, Smazat, Zapsat, Přiřadit, Sdílet, Připojit a Připojit. Append znamená připojit k záznamu další záznam, například aktivitu nebo poznámku. Připojit k znamená být připojen k záznamu. Nastavit oprávnění tabulky.

  • Různá oprávnění: Tato oprávnění založená na úloze dávají uživateli oprávnění provádět specifické, různé (nezaznamenané) úkoly, jako je publikování článků nebo aktivace obchodní pravidla. Přečtěte si další informace o různých oprávněních.

  • Oprávnění související s ochranou soukromí: Tato oprávnění dávají uživateli oprávnění provádět úkoly, které zahrnují data integrovaná, stažená nebo exportovaná mimo Dataverse, jako je export dat do Microsoft Excel nebo tisk. Přečtěte si další informace o právech souvisejících s ochranou soukromí.

Každá sada typů oprávnění má svou vlastní kartu. Pro každou kartu můžete filtrovat zobrazení podle všech oprávnění, přiřazených oprávnění nebo nepřiřazených oprávnění pro vybranou roli zabezpečení.

Oprávnění k tabulce

Karta Tabulky uvádí tabulky Dataverse v prostředí. Následující tabulka popisuje atributy, které se zobrazují v editoru role zabezpečení, když je vypnutá možnost Kompaktní zobrazení mřížky.

Vlastnictví Popis
Table Název tabulky Dataverse
Name Logický název tabulky Dataverse: užitečné pro vývojáře
Vlastnictví záznamu Zda záznamy vlastní organizace nebo obchodní jednotka nebo je může vlastnit uživatel nebo tým
Nastavení oprávnění Jakou předdefinovanou sadu oprávnění tabulka používá nebo vlastní oprávnění

Tabulky jsou seskupeny do následujících kategorií:

  • Řízení podniku
  • Toky obchodních procesů
  • Základní záznamy
  • Vlastní tabulky
  • Vlastní nastavení
  • Chybějící tabulky
  • Prodej
  • Služba
  • Správa služeb

Chcete-li rychle najít konkrétní tabulku nebo oprávnění, zadejte její název do vyhledávacího pole v pravém horním rohu stránky a poté vyberte ikonu lupy nebo stiskněte Enter. Chcete-li vyhledávání vymazat, vyberte ikonu X.

Najednou můžete upravovat pouze jednu tabulku, ale můžete zkopírovat nastavení z jedné tabulky do více tabulek v jediné akci.

Když konfigurujete role zabezpečení, musíte určit oprávnění, která by role měla udělit pro každou tabulku, která souvisí s aplikací.

Následující tabulka popisuje oprávnění k tabulce, která můžete udělit v role zabezpečení. Ve všech případech závisí záznam, na který se vztahuje oprávnění, na úrovni přístupu oprávnění definovaných v příslušné roli zabezpečení.

Privilegium Popis
Vytvoření Nezbytné k vytvoření nového záznamu
Přečtené Nezbytné k otevření záznamu za účelem zobrazení obsahu
Zapisovat Nezbytné k provádění změn záznamu
Odstranění Nezbytné k trvalému odebrání záznamu
Připojit Požadováno pro spojení aktuálního záznamu s jiným záznamem; například pokud mají uživatelé práva k poznámce připojit, mohou poznámku připojit k příležitosti
V případě vztahů N:N musí mít uživatel oprávnění Připojit pro obě tabulky, které jsou přidruženy nebo odpojeny.
Připojit k Požadováno pro spojení aktuálního záznamu s jiným záznamem; například pokud mají uživatelé práva k příležitost připojit, mohou poznámku přidat k příležitosti
Přiřadit Nezbytné k udělení vlastnictví záznamu jinému uživateli
Sdílet Nezbytné k poskytnutí přístupu k záznamu jinému uživateli se zachováním vlastního přístupu

Úrovně přístupu

Každé oprávnění má nabídku, která vám umožňuje definovat jeho úroveň přístupu. Úrovně přístupu určují, jak hluboko v hierarchii jednotek může uživatel provádět oprávnění.

Následující tabulka popisuje úrovně přístupu. U tabulek vlastněných organizací mají různá oprávnění a oprávnění související s ochranou osobních údajů pouze úrovně přístupu Organizace nebo Žádné.

Typ Popis
Organization (Organizace) Uživatelé mají přístup ke všem záznamům v organizaci bez ohledu na úroveň organizační jednotky v hierarchii, do které prostředí nebo uživatel patří. Uživatelé s přístupem organizace mají automaticky také všechny ostatní typy přístupu.
Vzhledem k tomu, že tato úroveň poskytuje přístup k informacím v celé organizaci, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci celé organizace.
Nadřazená: Podřízená organizační jednotka Uživatelé mají přístup k záznamům ve své obchodní jednotce a všech obchodních jednotkách, které jsou jí podřízené.
Uživatelé s tímto přístupem mají automaticky přístup k obchodní jednotce a uživateli.
Vzhledem k tomu, že tato úroveň poskytuje přístup k informacím v celé organizační jednotce a podřízených organizačních jednotkách, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci organizačních jednotek.
Organizační jednotka Uživatelé mají přístup k záznamům ve své obchodní jednotce.
Uživatelé s přístupem k obchodní jednotce mají automaticky uživatelský přístup.
Vzhledem k tomu, že tato úroveň přístupu poskytuje přístup k informacím v celé organizační jednotce, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci organizační jednotky.
Uživatelská Uživatelé mají přistup k záznamům, které vlastní, objektům, které jsou sdílené s organizací, objektům, které jsou sdílené s nimi, a objektům sdíleným s týmem, jehož jsou členy.
Toto je typická úroveň přístupu pro obchodní zástupce a zástupce oddělení služeb zákazníkům.
Žádné Není povolený žádný přístup.

Pro každou tabulku vyberte vhodný typ pro každé oprávnění. Jakmile budete hotovi, vyberte Uložit.

Oprávnění ke kopírování tabulky

Nastavení oprávnění pro každou tabulku ve vaší aplikaci může být časově náročné a únavné. Pro usnadnění můžete zkopírovat oprávnění z jedné tabulky do jedné nebo více dalších.

  1. Vyberte tabulku a pak vyberte Kopírovat oprávnění tabulky

  2. Vyhledejte a vyberte tabulku nebo tabulky, do kterých chcete zkopírovat oprávnění.

    Pamatujte, že nová konfigurace přepíše všechna předchozí nastavení.

  3. Zvolte Uložit.

Podívejme se blíže na to, jak fungují oprávnění ke kopírování tabulky s oprávněními a úrovněmi přístupu.

  • Pro oprávnění, která existují ve zdrojové i cílové tabulce:

    • Pokud v cíli existuje hloubka nastavení oprávnění zdroje, je kopie úspěšná.

    • Pokud hloubka nastavení oprávnění zdroje v cíli neexistuje, pak se kopírování nezdaří a zobrazí se chybová zpráva.

  • Pro oprávnění, která existují pouze ve zdrojové nebo cílové tabulce:

    • Pokud oprávnění existuje ve zdroji, ale ne v cíli, pak je v cíli ignorováno. Kopírování pro zbývající oprávnění je úspěšné.

    • Pokud oprávnění neexistuje ve zdroji, ale existuje v cíli, pak je hloubka oprávnění zachována v cíli. Kopírování pro zbývající oprávnění je úspěšné.

Nastavení oprávnění

Další možností, jak urychlit konfiguraci oprávnění k tabulce, je použít předdefinované skupiny oprávnění a přiřadit je tabulkám.

Následující tabulka popisuje skupiny nastavení oprávnění, které můžete přiřadit.

Nastavení oprávnění Podrobnosti
Bez přístupu K tabulce nemají přístup žádní uživatelé.
Plný přístup Uživatelé mohou prohlížet a upravovat všechny záznamy v tabulce.
Spolupracovat Uživatelé mohou zobrazovat všechny záznamy, ale upravovat mohou pouze své vlastní.
Soukromé Uživatelé mohou zobrazovat a upravovat pouze své vlastní záznamy.
Reference Uživatelé mohou zobrazovat záznamy, ale ne upravovat.
Vlastní Označuje, že nastavení oprávnění byla změněna z výchozí hodnoty.
  1. Vyberte tabulku a poté vyberte Nastavení oprávnění na panelu příkazů nebo vyberte Další akce () >Nastavení oprávnění.

  2. Vyberte příslušné nastavení.

    Pamatujte, že nová konfigurace přepíše všechna předchozí nastavení.

  3. Zvolte Uložit.

Role zabezpečení a starší uživatelské rozhraní

Role zabezpečení definují, jaký přístup mají různí uživatelé k různým typům záznamů. Přístup k datům a zdrojům můžete řídit vytvořením či úpravou rolí zabezpečení a změnou rolí zabezpečení, které jsou přiřazeny vašim uživatelům.

Uživatel může mít více rolí zabezpečení. Oprávnění role zabezpečení jsou kumulativní. Uživatelům jsou udělena oprávnění, která jsou k dispozici v každé roli, která je jim přiřazena.

Zobrazení seznamu rolí zabezpečení v prostředí (starší verze uživatelského rozhraní)

  1. Přihlaste se do Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení>Uživatelé + oprávnění>Role zabezpečení.

Definujte oprávnění a vlastnosti role zabezpečení (starší verze uživatelského rozhraní)

Poté, co vytvoříte roli zabezpečení nebo když ji upravujete, nastavte oprávnění, která jsou k ní přiřazená.

Role zabezpečení je složena z oprávnění na úrovni záznamu a oprávnění založených na úlohách.

  • Oprávnění na úrovni záznamu definují, jaké úkoly může uživatel s přístupem k záznamu dělat, jako je čtení, vytváření, mazání, zápis, přiřazování, sdílení, připojování a připojování. Append znamená připojit k záznamu další záznam, například aktivitu nebo poznámku. Připojit k znamená být připojen k záznamu. Přečtěte si další informace o oprávněních na úrovni záznamu.

  • Různá oprávnění nebo oprávnění založená na úloze dávají uživateli oprávnění provádět specifické, různé (nezaznamenané) úkoly, jako je publikování článků nebo aktivace obchodní pravidla. Přečtěte si další informace o různých oprávněních.

Barevné kruhy na stránce nastavení rolí zabezpečení identifikují úroveň přístupu přiřazenou ke každému oprávnění. Úrovně přístupu určují, jak hluboko v hierarchii jednotek může uživatel provádět oprávnění.

Následující tabulka popisuje úrovně přístupu.

Icon Description
Globální úroveň přístupu. Globální. Uživatelé mají přístup ke všem záznamům v organizaci bez ohledu na úroveň organizační jednotky v hierarchii, do které prostředí nebo uživatel patří. Uživatelé s úrovní globálního přístupu mají automaticky úroveň vysokého, místního a základního přístupu.
Vzhledem k tomu, že tato úroveň poskytuje přístup k informacím v celé organizaci, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci celé organizace.
V aplikaci se tato úroveň přístupu označuje jako Organizace.
Hluboká úroveň přístupu. Hluboko. Uživatelé mají přístup k záznamům ve své obchodní jednotce a všech obchodních jednotkách, které jsou jí podřízené.
Uživatelé s úrovní vysokého přístupu mají automaticky úroveň místního a základního přístupu.
Vzhledem k tomu, že tato úroveň poskytuje přístup k informacím v celé organizační jednotce a podřízených organizačních jednotkách, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci organizačních jednotek.
V aplikaci se tato úroveň přístupu označuje jako Nadřazená: Podřízené organizační jednotky.
Místní úroveň přístupu. Místní. Uživatelé mají přístup k záznamům ve své obchodní jednotce.
Uživatelé s úrovní místního přístupu mají automaticky úroveň základního přístupu.
Vzhledem k tomu, že tato úroveň přístupu poskytuje přístup k informacím v celé organizační jednotce, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci organizační jednotky.
V aplikaci se tato úroveň přístupu označuje jako Organizační jednotka.
Základní úroveň přístupu. Základní. Uživatelé mají přistup k záznamům, které vlastní, objektům, které jsou sdílené s organizací, objektům, které jsou sdílené s nimi, a objektům sdíleným s týmem, jehož jsou členy.
Toto je typická úroveň přístupu pro obchodní zástupce a zástupce oddělení služeb zákazníkům.
V aplikaci se tato úroveň přístupu označuje jako Uživatel.
Žádná úroveň přístupu. Žádné. Není povolený žádný přístup.

Důležité

Chcete-li zajistit, aby uživatelé mohli zobrazovat a přistupovat ke všem oblastem webové aplikace, jako jsou například formuláře tabulek, navigační panel a panel příkazů, musí všechny role zabezpečení v organizaci zahrnovat oprávnění Číst u tabulky Web Resource. Například bez oprávnění pro čtení uživatel nemůže otevřít formulář, který obsahuje webový prostředek, a zobrazí se následující chybová zpráva: „Chybí oprávnění prvReadWebResource.“Přečtěte si informace o vytváření a úpravě rolí zabezpečení.

Oprávnění na úrovni záznamu

Aplikace Power Apps a Dynamics 365 customer engagement používají oprávnění na úrovni záznamu, která určují úroveň přístupu, jenž má uživatel k určitému záznamu nebo typu záznamu.

Následující tabulka popisuje oprávnění na úrovni záznamu, která můžete udělit v role zabezpečení. Ve všech případech závisí záznam, na který se vztahuje oprávnění, na úrovni přístupu oprávnění definovaných v příslušné roli zabezpečení.

Privilege Description
Vytvoření Nezbytné k vytvoření nového záznamu
Přečtené Nezbytné k otevření záznamu za účelem zobrazení obsahu
Zapisovat Nezbytné k provádění změn záznamu
Odstranění Nezbytné k trvalému odebrání záznamu
Připojit Požadováno pro spojení aktuálního záznamu s jiným záznamem; například pokud mají uživatelé práva k poznámce připojit, mohou poznámku připojit k příležitosti
V případě vztahů N:N musí mít uživatel oprávnění Připojit pro obě tabulky, které jsou přidruženy nebo odpojeny.
Připojit k Požadováno pro spojení aktuálního záznamu s jiným záznamem; například pokud mají uživatelé práva k příležitost připojit, mohou poznámku přidat k příležitosti
Přiřadit Nezbytné k udělení vlastnictví záznamu jinému uživateli
Sdílet* Nezbytné k poskytnutí přístupu k záznamu jinému uživateli se zachováním vlastního přístupu

*Vlastník záznamu nebo osoba s oprávněním Sdílet u záznamu mohou nastavit sdílení záznamu s jinými uživateli nebo týmy. Při sdílení lze k určitým záznamům přidat oprávnění Číst, Zapsat, Odstranit, Připojit, Přiřadit a Sdílet. Týmy se používají primárně k sdílení záznamů, ke kterým členové týmu nemají za normálních okolností přístup. Přečtěte si další informace o zabezpečení, uživatelích a týmech.

Není možné odebrat přístup ke konkrétnímu záznamu. Jakákoli změna oprávnění role zabezpečení platí pro všechny záznamy daného typu.

Dědičnost oprávnění členů týmu

Můžete určit, jak se budou oprávnění dědit, když je uživatel získá jako člen týmu nebo přímo jako jednotlivec.

  • Uživatelská oprávnění: Uživateli jsou tato oprávnění udělena přímo při přidělení role zabezpečení. Uživatelé mohou vytvářet záznamy se sebou jako vlastníkem. Mají přístup k záznamům, které vytvořili nebo vlastní, pokud dostanou úroveň přístupu Základní pro oprávnění vytvářet a číst. Toto je výchozí nastavení pro nové role zabezpečení.

  • Týmová oprávnění: Uživateli jsou tato oprávnění udělena jako člen týmu. Členové týmu, kteří nemají vlastní uživatelská oprávnění, mohou vytvářet záznamy s týmem jako vlastníkem. Mají přístup k záznamům, které vlastní tým, pokud dostanou úroveň přístupu Základní pro oprávnění vytvářet a číst.

Poznámka:

Před vydáním funkce dědičnosti privilegií člena týmu v květnu 2019 se role zabezpečení chovaly jako Týmová oprávnění. Role zabezpečení vytvořené před tímto vydáním jsou nastaveny jako Týmová oprávnění a role zabezpečení vytvořené po tomto vydání jsou ve výchozím nastavení nastaveny jako Uživatelská oprávnění.

Role zabezpečení může být nastavena tak, aby členům týmu poskytovala přímá oprávnění přístupu základní úrovně. Když je uživateli přiřazena role zabezpečení s dědičností oprávnění, uživatel získá všechna oprávnění přímo, stejně jako je to u rolí zabezpečení bez dědičnosti oprávnění. Členové týmu mohou vytvářit záznamy se sebou coby vlastníky a záznamy, které týmem coby vlastníkem, když je jim udělena základní úroveň přístupu pro vytvoření. Když je jim udělena základní úroveň přístupu pro čtení, mohou přistupovat k záznamům, které vlastní oni i tým. Dědičnost role tohoto člena se používá na majitele a skupinové týmy Microsoft Entra ID.

  1. Přihlaste se do Centrum pro správu Power Platform vyberte Prostředí v navigačním podokně a poté vyberte prostředí.

  2. Vyberte Nastavení>Uživatelé + oprávnění>Role zabezpečení.

  3. Vyberte Nový.

  4. Zadejte název nové role zabezpečení.

  5. Vyberte seznam Dědičnost oprávnění člena týmu a poté vyberte Úroveň přístupu přímého uživatele (základní) a oprávnění týmu.

  6. Přejděte na jednotlivé karty a nastavte příslušná oprávnění pro každou tabulku.

    Chcete-li změnit úroveň přístupu určitých oprávnění, vybírejte symbol úrovně přístupu, dokud se nezobrazí požadovaný symbol. Dostupné úrovně přístupu závisejí na tom, zda je typ záznamu vlastněn organizací nebo zda je vlastněn uživatelem.

Oprávnění základní úrovně můžete vybrat pouze v dědičnosti oprávnění člena. Pokud potřebujete poskytnout přístup k podřízené organizační jednotce, povyšte oprávnění na Hluboké. Například musíte týmu skupiny přiřadit role zabezpečení a chcete, aby se členové skupiny mohli připojit k účtu. Nastavte roli zabezpečení s dědičností oprávnění člena týmu na základní úrovni. Nastavte oprávnění Připojit k účtu nastavíte na hodnotu Hluboké. Důvodem je, že základní oprávnění se vztahují pouze na organizační jednotku uživatele.

Poznámka:

Od července 2024 již není atribut dědičnosti oprávnění člena týmu role spravovaným majetkem. Když importujete řešení, které má role zabezpečení, tento atribut není zahrnut.