Przypisywanie roli zabezpieczeń do użytkownika

  • Artykuł

Należy wziąć pod uwagę następujące informacje o rolach zabezpieczeń:

  • Role zabezpieczeń kontrolują dostęp użytkownika do danych poprzez zbiór poziomów dostępu i uprawnień. Kombinacja poziomów dostępu i uprawnień, które są zawarte w konkretnych rolach zabezpieczeń, określa limity wglądu użytkownika w dane i interakcji użytkownika z tymi danymi.
  • Usługa Dataverse oferuje domyślny zestaw ról zabezpieczeń. Jeśli to konieczne dla organizacji, można utworzyć nowe role zabezpieczeń poprzez edycję jednej z domyślnych ról zabezpieczeń, a następnie zapisanie jej pod nową nazwą. See Wstępnie zdefiniowane role zabezpieczeń.
  • Jednemu użytkownikowi można przypisać więcej niż jedną rolę zabezpieczeń. Efekt stosowania kilku ról zabezpieczeń jest zbiorczy, co oznacza, że użytkownik ma uprawnienia skojarzone ze wszystkimi rolami zabezpieczeń, które mu przypisano.
  • Role zabezpieczeń są skojarzone z jednostkami biznesowymi. Jeśli utworzono jednostki biznesowe, tylko te role zabezpieczeń, które są skojarzone z tymi jednostkami biznesowymi, są dostępne dla użytkowników w jednostce biznesowej. Można użyć tej funkcji, aby ograniczyć dostęp do danych do danych będących własnością jednostki biznesowej.
  • Gdy opcja Zezwalaj na własność rekordów w różnych jednostkach biznesowych jest włączona, można przypisywać użytkownikom role zabezpieczeń z różnych jednostek biznesowych niezależnie od tego, do której jednostki biznesowej należą użytkownicy.
  • Aby przypisać użytkownikowi role zabezpieczeń, należy mieć odpowiednie uprawnienia (minimalne uprawnienia to Odczyt i Przypisywanie w tabeli Rola zabezpieczeń). Aby zapobiec podwyższeniu uprawnień roli zabezpieczeń, osoba przypisująca rola zabezpieczeń nie może przypisać kogoś innego do roli zabezpieczeń z większymi uprawnieniami niż osoba przypisująca. Na przykład Menedżer działu obsługi klienta nie może przypisać innego użytkownika do roli Administrator systemu. Ta weryfikacja uprawnień obejmuje sprawdzenie wszystkich uprawnień, które ma osoba przypisująca na poziomie głębokości uprawnień i jednostki biznesowej. Na przykład nie można przypisać uprawnienia roli zabezpieczeń z innej jednostki biznesowej do innego użytkownika, jeśli nie ma uprawnienia roli zabezpieczeń z odpowiednim poziomem uprawnień przypisanym z tej jednostki biznesowej.

Uwaga

Domyślnie rola zabezpieczeń administratora systemu posiada wszystkie wymagane uprawnienia do przypisywania ról zabezpieczeń do dowolnych użytkowników, w tym do przypisywania roli zabezpieczeń administratora systemu. Jeśli musisz zezwolić osobom innym niż administratorzy systemu na przypisywanie ról zabezpieczeń, należy rozważyć utworzenie niestandardowej roli zabezpieczeń z wszystkimi uprawnieniami wymienionymi w części Tworzenie użytkownika administracyjnego i zapobieganie podwyższaniu uprawnień roli zabezpieczeń. Przypisz niestandardową role zabezpieczeń i wszystkie role zabezpieczeń, które osoba inna niż administrator systemu może przypisać do innych użytkowników, do osoby niebędącej administratorem systemu. To rola zabezpieczeń jest wymagana również w przypadku, gdy osoby niebędące administratorami systemu mogą zarządzać członkami zespołu w zespołach właścicieli.

Aby dowiedzieć się więcej o różnicach między rolami administratorów w Microsoft Online Services a rolami zabezpieczeń, zobacz Udzielanie użytkownikom dostępu.

Napiwek

Zapoznaj się z następującym filmem wideo: Przypisywanie ról zabezpieczeń w centrum administracyjnym Power Platform.

Wykonaj te kroki, aby przypisać rolę zabezpieczeń.

  1. Zaloguj się do Centrum administracyjnego Power Platform jako system Administrator.

  2. Wybierz pozycję Środowiska, a następnie wybierz środowisko z listy.

  3. Wybierz Ustawienia.

  4. Wybierz pozycję Użytkownicy i uprawnienia, a następnie wybierz pozycję Użytkownicy.

  5. Na stronie Użytkownicy wybierz użytkownika, a następnie wybierz Zarządzaj rolami zabezpieczeń.

  6. Zaznaczanie i usuwanie zaznaczenia ról zabezpieczeń. Po zakończeniu wybierz Zapisz. Po zapisaniu wszystkie wybrane role stają się bieżącymi rolami przypisanymi użytkownikowi. Role, które nie zostały wybrane, nie są przypisywane.

Po włączeniu opcji umożliwiaj posiadanie zapisów przez różne jednostki organizacyjne można wybrać role zabezpieczeń z innej jednostki biznesowej.

Ważne

Każdemu użytkownikowi należy przypisać co najmniej jedną rolę zabezpieczeń bezpośrednio lub pośrednio jako członek zespołu grupy. Usługa nie zezwala na dostęp użytkownikom, którzy nie mają co najmniej jednej roli zabezpieczeń.

Uwaga

Powyższy panel pokazuje i zarządza tylko bezpośrednimi przypisaniami ról dla użytkownika. Zarządzanie zespołami grupowymi wyjaśnia, jak wyświetlać i zarządzać rolami przypisanymi jako członkowie zespołów grupowych.

Uprawnienia do ustawień użytkownika dotyczące własności rekordów w różnych jednostkach biznesowych

Jeśli włączono opcję umożliwiaj posiadanie zapisów przez różne jednostki organizacyjne, użytkownicy mogą uzyskiwać dostęp do danych w innych jednostkach biznesowych, mając przypisaną im bezpośrednio rolę zabezpieczeń z tych innych jednostek biznesowych. Użytkownik potrzebuje również roli zabezpieczeń przypisanej z jednostki biznesowej użytkownika z uprawnieniami z poniższych tabel, aby zaktualizować ustawienia interfejsu użytkownika:

  • Ustawienia użytkownika karty akcji
  • Zapisany widok
  • Wykres użytkownika
  • Pulpit nawigacyjny użytkownika
  • Dane wystąpienia encji użytkownika
  • Ustawienia interfejsu użytkownika encji użytkownika
  • Metadane aplikacji użytkownika

Aby przypisać role zabezpieczeń użytkownikom danego środowiska, które ma zero lub jedną Microsoft Dataverse, zobacz Konfigurowanie zabezpieczeń użytkownika dot. zasobów w środowisku.

(Opcjonalnie) Przypisywanie roli administratora

Zadania administrowania środowiskiem w witrynie Microsoft Online Services można udostępniać kilku osobom, przypisując role administratora środowiska w witrynie Microsoft Online Services użytkownikom wybranym do wypełnienia każdej roli. Aby uzyskać szczegółowe informacje o rolach administratorów w usługach Microsoft Online Services, zobacz Przypisywanie ról administratorów.

Uwaga

Role administratora środowiska Microsoft Online Services są ważne tylko do zarządzania aspektami subskrypcji usługi online. Role te nie wpływają na uprawnienia w usłudze.

Automatyczne przydzielanie ról

Kiedy użytkownicy są dodawani do Dataverse, role są przypisywane automatycznie na podstawie następujących kryteriów:

  1. Użytkownicy z prawidłową licencją mogą automatycznie przypisywać im zamapowane role. Usunięcie odpowiedniej licencji powoduje automatyczne usunięcie roli. Licencjonowane zarządzanie rolami domyślnymi nie ma zastosowania dla użytkowników w tych typach środowisk: Dataverse for Teams, Trial i Developer.

  2. Dla domyślnego typu środowiska role Użytkownik wersji Basic i Twórca środowiska są przypisywane automatycznie do wszystkich użytkowników dodanych do aplikacji Dataverse.

  3. W środowisku połączonym z finansami i operacjami z bazą danych Dataverse rola zabezpieczeń użytkownika podstawowego finansów i operacji jest automatycznie przypisywana do wszystkich aktywnych użytkowników w Dataverse.

Uwaga

Poprzednio,Administratorzy Microsoft Entra identyfikatorów, w tym Power Platform administratorzy i administratorzy usługi Dynamics 365, byli automatycznie przypisywani do roli Administratora systemu Dataverse. Teraz już tak nie jest. Jeśli jednak administrator miał wcześniej przypisaną rolę Dataverse, usunięcie go z ról administratora Power Platform i administratora usługi Dynamics 365 nie spowoduje automatycznego usunięcia jego roli Administrator systemu Dataverse. Obecnie nie ma możliwości określenia, czy rola została przypisana automatycznie przez system, czy ręcznie przez administratora. Dlatego zaleca się, aby administratorzy ręcznie usunęli rolę Administrator systemu po jej Microsoft Entra usunięciu.

Licencja na mapowanie ról

Jeśli ta funkcja jest zdefiniowana w środowisku, pewne role są przypisywane automatycznie do użytkowników — na podstawie przypisanych do nich licencji — gdy są oni dodawani do usługi Dataverse. Licencje na mapowanie ról w środowisku można wyświetlić, przechodząc do strony Licencja na mapowanie ról w centrum administracyjnym Power Platform.

Przejdź do Środowiska> > [wybierz środowisko] > >Ustawienia>Użytkownicy + Uprawnienia>Licencja na mapowanie ról.

Wprowadzenie do ról zabezpieczeń w usłudze Dataverse