Настройка безопасности пользователей в среде

Microsoft Dataverse использует модель безопасности на основе ролей для управления доступом к базе данных и ее ресурсам в среде. Используйте роли безопасности для настройки доступа ко всем ресурсам в среде или к определенным приложениям и данным в среде. Сочетание уровней доступа и разрешений в роли безопасности определяет, какие приложения и данные пользователи могут просматривать и как они могут взаимодействовать с этими приложениями и данными.

Среда может не иметь баз данных или иметь одну базу данных Dataverse. Роли безопасности назначаются по разному для сред без базы данных Dataverse и сред с базой данных Dataverse.

Узнайте больше об окружающей среде Power Platform.

Стандартные роли безопасности

Среды включают предопределенные роли безопасности, которые отражают общие задачи пользователей. Предопределенные роли безопасности следуют рекомендации по обеспечению безопасности «минимально необходимый доступ»: предоставляют наименьший доступ к минимальным бизнес-данным, которые необходимы пользователю для использования приложения. Эти роли безопасности могут быть назначены пользователю, рабочей группе-владельцу и рабочей группе группы. Предопределенные роли безопасности, доступные в среде, зависят от типа среды и установленных в ней приложений.

Другой набор ролей безопасности назначается пользователям приложения. Эти роли безопасности устанавливаются нашими службами и не могут быть обновлены.

Среды без базы данных Dataverse

Создатель среды и администратор среды — единственные предопределенные роли для сред без базы данных Dataverse. Эти роли описаны в следующей таблице.

Роль безопасности Описание:
Администратор окружения Роль администратора среды может выполнять все административные действия в среде, включая:
  • Добавление или удаление пользователя из роли администратора среди или создателя среды.
  • Подготовка базы данных Dataverse для среды. После того, как база данных подготовлена, назначьте роль "Настройщик системы" администратору среды, чтобы предоставить ему доступ к данным среды.
  • Просмотр и управление всеми ресурсами, созданными в среде.
  • Создайте политики защиты от потери данных.
Создатель среды Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API-интерфейсы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет прав получения доступа к данным в среде.

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.

Среды с базой данных Dataverse

Если среда имеет базу данных Dataverse, пользователю должна быть назначена роль системного администратора вместо роли администратора среды для получения полных привилегий администратора.

Пользователи, которые создают приложения, которые подключаются к базе данных и нуждаются в создании или обновлении сущностей и ролей безопасности, должны иметь роль "Настройщик системы" в дополнение к роли "Создатель среды". Роль "Создатель среды" не имеет привилегий для данных среды.

В следующей таблице описаны предопределенные роли безопасности в среде с базой данных Dataverse. Вы не можете изменять эти роли.

Роль безопасности Описание:
Открыватель приложений Имеет минимальные привилегии для стандартных задач. Эта роль в основном используется в качестве шаблона для создания пользовательской роли безопасности для приложений на основе модели. У него нет никаких привилегий для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие». Однако он имеет доступ на чтение на уровне Организация к системным таблицам, например Процесс, для поддержки чтения рабочих процессов, предоставленных системой. Обратите внимание, что эта роль безопасности используется при создании новой пользовательской роли безопасности.
Обычный пользователь Только для готовых сущностей можно запустить приложение в среде и выполнять общие задачи с записями, за которые он отвечает. У него есть привилегии для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие».

Примечание: Common Data Service Пользователь роль безопасности был переименован в Базового пользователя. Только имя было изменено; привилегии пользователя и назначение ролей одинаковы. Если у вас есть решение с ролью безопасности Common Data Service Пользователь, вам следует обновить его перед повторным импортом. В противном случае вы можете случайно изменить имя роль безопасности обратно на Пользователь при импорте решения.
Делегирование Позволяет коду олицетворять, или выполняться от лица другого пользователя. Обычно используется с другой ролью безопасности для обеспечения доступа к записям.
Администратор Dynamics 365 Dynamics 365 Администратор — это Microsoft Power Platform роль администратора сервиса. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышаются до системной роли администратора.
Создатель среды Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API-интерфейсы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде.

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.
Глобальный администратор Глобальный Администратор является Microsoft 365 ролью Администратор. Человек, приобретающий Microsoft бизнес-подписку, становится глобальным Администратор и имеет неограниченный контроль над продуктами в подписке и доступ к большинству данных. Пользователи этой роли должны самостоятельно повыситься до системной роли администратора.
Глобальный читатель Роль Глобальный читатель еще не поддерживается в центре администрирования Power Platform.
Участник совместной работы Office Имеет разрешение на чтение для таблиц, в которых запись была разрешена для доступа организации. Не имеет доступа ни к каким другим записям основных и настраиваемых таблиц. Эта роль назначается группе владельцев-участников совместной работы Office, а не отдельному пользователю.
Администратор Power Platform Power Platform Администратор является Microsoft Power Platform ролью службы Администратор. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышаются до системной роли администратора.
Сервис удален Имеет полное разрешение на удаление для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует удаления записей во всех сущностях. Эту роль нельзя назначить пользователю или команде.
Читатель статей по обслуживанию Имеет полное разрешение на чтение для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует чтения всех сущностей. Эту роль нельзя назначить пользователю или команде.
Автор статей по обслуживанию Имеет полное разрешение на создание, чтение и запись для всех сущностей, включая настраиваемые сущности. Эта роль в основном используется сервисом и требует создания и обновления записей. Эту роль нельзя назначить пользователю или команде.
Пользователь поддержки Имеет полное разрешение на чтение для настройки и управления бизнесом, что позволяет сотрудникам службы поддержки устранять неполадки конфигурации среды. Эта роль не имеет доступа к основным записям. Эту роль нельзя назначить пользователю или команде.
Системный администратор Имеет полное разрешение на настройку или администрирование среды, в том числе создание, изменение и назначение ролей безопасности. Может просматривать все данные в среде.
Настройщик системы Имеет полное разрешение для настройки среды. Может просматривать все пользовательские табличные данные в среде. Однако пользователи с этой ролью могут просматривать только записи для создаваемых ими в таблицах организация, контакт, действие.
Владелец приложения веб-сайта Пользователь, которому принадлежит веб-сайт регистрации приложения на портале Azure.
Владелец веб-сайта Пользователь , создавший веб-сайт Power Pages. Эта роль является управляемой и не может быть изменена.

В дополнение к предопределенным ролям безопасности, описанным для Dataverse, в вашей среде могут быть доступны и другие роли безопасности в зависимости от имеющихся у вас Power Platform компонентов —Power Apps, Power Automate, Microsoft Copilot Studio. В следующей таблице приведены ссылки на дополнительную информацию.

Компонент Power Platform Информация
Power Apps Предопределенные роли безопасности для сред с Dataverse базой данных
Power Automate Безопасность и конфиденциальность
Power Pages Роли, необходимые для администрирования веб-сайта
Microsoft Copilot Studio Назначение ролей безопасности среды

Среды: Dataverse for Teams

Узнайте больше о предопределенных ролях безопасности в Dataverse for Teams средах.

Роли безопасности для конкретного приложения

Если вы развертываете приложения Dynamics 365 в своей среде, добавляются другие роли безопасности. В следующей таблице приведены ссылки на дополнительную информацию.

Приложение Dynamics 365 Документы по ролям безопасности
Dynamics 365 Sales Предопределенные роли безопасности для отдела продаж
Dynamics 365 Marketing Роли безопасности, добавленные Dynamics 365 Marketing
Dynamics 365 Field Service Dynamics 365 Field Service роли + определения
Dynamics 365 Customer Service Роли в Многоканальное взаимодействие для Customer Service
Dynamics 365 Customer Insights Роли в области анализа клиентской информации
Диспетчер профилей приложений Роли и привилегии, связанные с менеджером профилей приложений
Dynamics 365 Finance Роли безопасности в государственном секторе
Приложения для управления финансами и операциями Роли безопасности в Microsoft Power Platform

Сводка ресурсов, доступных для предопределенных ролей безопасности

В следующей таблице описано, какие ресурсы могут разрабатываться каждой ролью безопасности.

Resource Создатель среды Администратор окружения Настройщик системы Системный администратор
Приложение на основе полотна X X X X
Облачный поток X (не зависит от решения) X X X
Connector X (не зависит от решения) X X X
Подключение* X X X X
Шлюз данных - X - X
Поток данных X X X X
Таблицы Dataverse - - X X
Приложение на основе моделей X - X X
Платформа решений X - X X
Классический поток** - - X X
AI Builder - - X X

*Подключения используются в приложениях на основе холста и Power Automate.

**Пользователи Dataverse for Teams по умолчанию не получают доступ к классическим потокам. Вам необходимо обновить среду до полных возможностей Dataverse и приобрести планы лицензий для классических потоков для использования классических потоков.

Назначение ролей безопасности пользователям в среде без базы данных Dataverse

Для сред без базы данных Dataverse пользователь с ролью администратора среды в среде может назначать роли безопасности отдельным пользователям или группам из Microsoft Entra ID.

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Среды> [выберите среду].

  3. В плитке Доступ выберите Показать все для параметра Администратор среды или Создатель среды для добавления или удаления пользователей для любой из этих ролей.

    Снимок экрана выбора роли безопасности в центре администрирования Power Platform.

  4. Выберите Добавить пользователей, затем укажите имя или адрес электронной почты одного или нескольких пользователей или групп из Microsoft Entra ID.

  5. Выберите Добавить.

Назначьте роли безопасности пользователям в среде с базой данных Dataverse

Роли безопасности могут быть назначены отдельным пользователям, владельцам рабочих групп и рабочим группам групп Microsoft Entra. Прежде чем назначить роль пользователю, убедитесь, что учетная запись пользователя была добавлена в среду и включена в среде.

Как правило, роль безопасности можно назначить только пользователям, учетные записи которых включены в среде. Чтоб назначить роль безопасности учетным записям пользователей, которые отключены в среде, включите параметр allowRoleAssignmentOnDisabledUsers в OrgDBOrgSettings.

  1. Войдите в в центр администрирования Power Platform.

  2. Выберите Среды> [выберите среду].

  3. На плитке Доступ выберите Показать все в разделе Роли безопасности.

    Снимок экрана с возможностью просмотра всех ролей безопасности в центре администрирования Power Platform.

  4. Убедитесь, что в списке выбрано нужное бизнес-подразделение, затем выберите роль из списка ролей в среде.

  5. Выберите Добавить пользователей, затем укажите имя или адрес электронной почты одного или нескольких пользователей или групп из Microsoft Entra ID.

  6. Выберите Добавить.

Создание, изменение или копирование роли безопасности с помощью нового современного пользовательского интерфейса

Вы можете легко создавать, редактировать или копировать роль безопасности, а также настраивать ее в соответствии со своими потребностями.

  1. Перейдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры.

  3. Разверните Пользователи + разрешения.

  4. Выберите Роли безопасности.

  5. Выполните соответствующую задачу:

Создание роли безопасности

  1. На панели команд выберите Создать роль.

  2. В поле Имя роли введите имя новой роли.

  3. В поле Подразделение выберите подразделение, которому принадлежит роль.

  4. Выберите, должны ли участники рабочей группы наследовать роль.

    Если этот параметр включен и роль назначена рабочей группе, все участники рабочей группы наследуют все привилегии, связанные с этой ролью.

  5. Выберите Сохранить.

  6. Определите привилегии и свойства роль безопасности.

Изменение роли безопасности

Выберите имя роли или выберите строку, затем выберите Изменить. Затем определите привилегии и свойства роли безопасности.

Некоторые предопределенные роли безопасности нельзя редактировать. Если вы попытаетесь изменить эти роли, кнопки Сохранить и Сохранить + Закрыть будут недоступны.

Копирование роли безопасности

Выберите роль безопасности, затем выберите Копировать. Дайте роли новое имя. При необходимости отредактируйте роль безопасности .

Копируются только привилегии, а не назначенные участники и рабочие группы.

Аудит ролей безопасности

Проводите аудит ролей безопасности , чтобы лучше понимать изменения, внесенные в безопасность вашей Power Platform среды.

Создание или настройка настраиваемой роли безопасности

Если ваше приложение использует настраиваемую сущность, его привилегии должны быть явно предоставлены в роли безопасности, прежде чем ваше приложение можно будет использовать. Вы можете добавить эти привилегии в существующую роль безопасности или создать собственную роль безопасности.

Каждая роль безопасности должна включать минимальный набор привилегий. Узнайте больше о ролях и привилегиях безопасности.

Совет

В среде могут храниться записи, которые могут использоваться несколькими приложениями. Вам может понадобиться несколько ролей безопасности, предоставляющих разные привилегии. Например:

  • Некоторым пользователям (назовем их редакторами) может быть нужно только считывать, обновлять и добавлять другие записи, поэтому их роль безопасности будет иметь привилегии на чтение, запись и добавление.
  • Другим пользователям могут понадобиться все привилегии, которыми обладают редакторы, а также возможность создавать, добавлять, удалять и делиться. Роль безопасности таких пользователи будет предоставлять разрешения на создание, чтение, запись, добавление, удаление, назначение, присоединение и предоставление общего доступа.

Создание пользовательской роли безопасности с минимальными привилегиями для запуска приложения

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите роль Открытие приложения, затем выберите Копировать.

  4. Введите имя пользовательской роли, затем выберите Копировать.

  5. В списке ролей безопасности выберите новую роль, затем выберите Больше действий () >Изменить.

  6. В редакторе ролей выберите вкладку Пользовательские сущности.

  7. Найдите свою настраиваемую таблицу в списке и выберите привилегии Чтение, Запись и Добавление.

  8. Выберите Сохранить и закрыть.

Создание настраиваемой роли безопасности с нуля

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите Создать роль.

  4. Введите имя новой роли на вкладке Сведения.

  5. На других вкладках найдите свою сущность, затем выберите действия и область их выполнения.

  6. Выберите вкладку и найдите свою сущность. Например, выберите вкладку Настраиваемые сущности, чтобы установить разрешения для настраиваемой сущности.

  7. Выберите привилегии Чтение, Запись, Добавление.

  8. Выберите Сохранить и закрыть.

Минимальные привилегии для запуска приложения

Когда вы создаете настраиваемую роль безопасности, роль должна иметь набор минимальных привилегий, чтобы пользователь мог запустить приложение. Узнайте больше о необходимых минимальных привилегиях.

См. также

Предоставить пользователям доступ
Управление доступом пользователей к средам: группы безопасности и лицензии
Как определяется доступ к записи