Роли безопасности и привилегии

Чтобы контролировать, кто может получить доступ к ограниченным или конфиденциальным данным и ресурсам и что они могут с ними делать, назначьте пользователям роли безопасности. В этой статье представлен обзор ролей безопасности и связанных с ними привилегий.

Вы можете назначать роли безопасности, используя новый современный пользовательский интерфейс или устаревший пользовательский интерфейс.

Роли безопасности и новый современный пользовательский интерфейс

Роли безопасности определяют права различных пользователей на доступ к записям различных типов. В целях управления доступом к данным и ресурсам можно создавать или изменять существующие роли безопасности и изменять роли безопасности, назначенные вашим пользователям.

У пользователя может быть несколько ролей безопасности. Привилегии роли безопасности суммируются. Пользователям предоставляются привилегии, доступные в каждой назначенной им роли.

Просмотр списка ролей безопасности в среде

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

Определите привилегии и свойства роли безопасности

После того как вы создали роль безопасности или пока вы редактируете ее, установите параметр Наследование привилегий участника:

  • Только привилегии рабочей группы: пользователь получает эти привилегии в качестве участника рабочей группы. Участники рабочей группы, у которых нет собственных прав пользователя, могут создавать записи с рабочей группой в качестве владельца. Они могут получить доступ к записям, которыми владеет рабочая группа, если им предоставлен уровень доступа Пользователь для прав на создание и чтение.

  • Непосредственный уровень доступа пользователя (базовый) и привилегии рабочей группы: пользователь получает эти привилегии непосредственно, когда назначается роль безопасности. Пользователи могут создавать записи, указав себя в качестве владельца. Они могут получить доступ к записям, которые они создали или которыми владеют, если им был предоставлен уровень доступа Пользователь для прав на создание и чтение. Это настройка задается по умолчанию для новых ролей безопасности.

    Снимок экрана с параметром наследования привилегий участника в редакторе роли безопасности.

Затем настройте привилегии, связанные с ролью безопасности.

Роль безопасности состоит из привилегий на уровне записи и привилегий на уровне задач следующих трех типов:

  • Таблицы: привилегии таблицы определяют, какие задачи может выполнять пользователь с доступом к записи таблицы, например "Чтение", "Создание", "Удаление", "Запись", "Назначение", "Общий доступ", "Добавление" и "Добавление к". Добавление означает вложение другой записи, например действия или примечания, в данную запись. Добавление к означает, что запись добавлена к данной записи. Задайте привилегии таблиц.

  • Другие привилегии: эти привилегии на основе задач предоставляют пользователю разрешение на выполнение определенных других задач (не связанных с записью), таких как публикация статей или активизация бизнес-правил. Подробнее о различных привилегиях.

  • Привилегии, связанные с конфиденциальностью: эти привилегии дают пользователю разрешение на выполнение задач, связанных с данными, которые интегрированы, загружены или экспортированы за пределы Dataverse, например, экспорт данных в Microsoft Excel или печать. Подробнее о привилегиях, связанных с конфиденциальностью.

Каждый набор типов привилегий имеет свою собственную вкладку. Для каждой вкладки вы можете отфильтровать представление по всем привилегиям, назначенным привилегиям или неназначенным привилегиям для выбранной роли безопасности.

Привилегии в отношении таблицы

На вкладке Таблицы перечислены таблицы Dataverse в среде. В следующей таблице описаны атрибуты, которые отображаются в редакторе роли безопасности, когда параметр Компактное представление сетки отключен.

Свойство Описание
Таблицу Имя таблицы Dataverse
Полное имя Логическое имя таблицы Dataverse; удобно для разработчиков
Ответственный за запись Принадлежат ли записи организации или бизнес-подразделению или могут принадлежать пользователю или рабочей группе
Параметры разрешений Какой предопределенный набор разрешений использует таблица или настраиваемые разрешения

Таблицы группируются на следующие категории:

  • Управление бизнесом
  • Потоки бизнес-процессов
  • Базовые записи
  • Настраиваемые таблицы
  • Пользовательская настройка
  • Отсутствующие таблицы
  • Продажи
  • Service
  • Управление службой

Чтобы быстро найти определенную таблицу или привилегию, введите ее название в поле поиска в правом верхнем углу страницы, затем выберите значок увеличительного стекла или нажмите ВВОД. Чтобы очистить поиск, выберите значок X.

Вы можете редактировать только одну таблицу за раз, но вы можете копировать настройки из одной таблицы в несколько таблиц одним действием.

При настройке роли безопасности необходимо определить привилегии, которые она должна предоставлять для каждой таблицы, связанной с приложением.

В следующей таблице описаны привилегии таблицы, которые вы можете предоставить в роли безопасности. Во всех случаях, то, к каким записям применяется привилегия, зависит от уровня доступа привилегии, определенного в роли безопасности.

Привилегия Описание
Создание Необходимо для создания новой записи
Читать Необходимо для открытия записи с целью просмотра содержимого
Запись Необходимо для внесения изменений в запись
DELETE Необходимо для окончательного удаления записи
Добавить Требуется, чтобы связать текущую запись с другой записью; например, если у пользователей есть права на добавление заметки, они могут прикрепить заметку к возможной сделке
В случае отношения "многие ко многим" у пользователя должна быть привилегия добавления для обеих таблиц, которые связываются или для которых отменяется связь.
Добавление к Требуется, чтобы связать запись с текущей записью; например, если у пользователей есть права на "добавление к" для возможной сделки, они могут добавить заметку к возможной сделке
Назначить Необходимо для смены владельца записи
Предоставить доступ Необходимо для предоставления доступа к записи другому пользователю при сохранении собственного

Уровни доступа

Каждая привилегия имеет меню, позволяющее определить ее уровень доступа. Уровни доступа определяют, настолько глубоко в организационной иерархии пользователь может выполнять эту привилегию.

В следующей таблице описываются уровни доступа. Для таблиц, принадлежащих организации, различные привилегии и привилегии, связанные с конфиденциальностью, имеют только уровни доступа Организация или Нет.

Тип Описание
Организация Пользователи имеют доступ ко всем записям в организации вне зависимости от иерархического уровня подразделения, к которому принадлежит среда или пользователи. Пользователи с доступом организации также автоматически получают все остальные типы доступа.
Поскольку этот уровень предоставляет пользователям доступ ко всей информации организации, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей организации.
Родительское и дочернее подразделение Пользователи могут получить доступ к записям своего бизнес-подразделения и всех подчиненных ему бизнес-подразделений.
Пользователи с этим доступом автоматически получают доступ к бизнес-подразделениям и пользователям.
Поскольку этот уровень предоставляет пользователям доступ ко всей информации подразделения и подчиненных подразделений, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделений.
Подразделение Пользователи могут получить доступ к записям в своем бизнес-подразделении.
Пользователи с доступом бизнес-подразделения автоматически получают доступ пользователя.
Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации подразделения, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделения.
User Пользователи могут получить доступ к принадлежащим им записям, объектам, к которым предоставлен общий доступ организации, к объектам, к которым им предоставлен общий доступ, и объектам, к которым предоставлен доступ рабочей группе, в которую эти пользователи входят.
Обычно этот уровень доступа предоставляется представителям по продажам и обслуживанию.
None Доступ не разрешен.

Для каждой таблицы выберите соответствующий тип для каждой привилегии. Выберите Сохранить по завершении.

Копировать разрешения таблицы

Установка привилегий для каждой таблицы в вашем приложении может занять много времени и утомительно. Чтобы упростить задачу, вы можете скопировать разрешения из одной таблицы в одну или несколько других.

  1. Выберите таблицу, затем выберите Копировать разрешения таблицы

  2. Найдите и выберите таблицу или таблицы, в которые вы хотите скопировать разрешения.

    Помните, что новая конфигурация перезаписывает все предыдущие настройки.

  3. Выберите Сохранить.

Давайте подробнее рассмотрим, как работает копирование разрешений таблицы с привилегиями и уровнями доступа.

  • Для разрешений, существующих как в исходной, так и в целевой таблицах:

    • Если в целевом объекте существует глубина настроек разрешений источника, копирование выполняется успешно.

    • Если глубина разрешений источника не существует в целевом объекте, копирование завершается неудачно и отображается сообщение об ошибке.

  • Для разрешений, существующих только в исходной или только в целевой таблице:

    • Если разрешение существует в источнике, но отсутствует в цели, то оно игнорируется в цели. Копирование остальных разрешений выполняется успешно.

    • Если разрешение не существует в источнике, но существует в целевом объекте, то глубина разрешения сохраняется в целевом объекте. Копирование остальных разрешений выполняется успешно.

Параметры разрешений

Еще один способ ускорить настройку разрешений для таблиц — использовать предопределенные группы разрешений и назначать их таблицам.

В следующей таблице описаны группы параметров разрешений, которые можно назначать.

Параметр разрешения Сведения
Нет доступа Никто из пользователей не может получить доступ к таблице.
Полный доступ Пользователи могут просматривать и редактировать все записи в таблице.
Совместная работа Пользователи могут просматривать все записи, но могут редактировать только свои собственные.
Частная Пользователи могут просматривать и редактировать только свои собственные записи.
Ссылка Пользователи могут только просматривать записи, но не редактировать их.
Пользовательское Указывает, что параметры разрешений были изменены по сравнению со значением по умолчанию.
  1. Выберите таблицу, затем выберите Параметры разрешений на панели команд или выберите Дополнительные действия () >Параметры разрешений.

  2. Выберите соответствующую настройку.

    Помните, что новая конфигурация перезаписывает все предыдущие настройки.

  3. Выберите Сохранить.

Роли безопасности и устаревший пользовательский интерфейс

Роли безопасности определяют права различных пользователей на доступ к записям различных типов. В целях управления доступом к данным и ресурсам можно создавать или изменять существующие роли безопасности и изменять роли безопасности, назначенные вашим пользователям.

У пользователя может быть несколько ролей безопасности. Привилегии роли безопасности суммируются. Пользователям предоставляются привилегии, доступные в каждой назначенной им роли.

Просмотр списка ролей безопасности в среде (устаревший пользовательский интерфейс)

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

Определение привилегий и свойств роли безопасности (устаревший пользовательский интерфейс)

После того как вы создали роль безопасности или пока вы редактируете ее, установите связанные с ней привилегии.

Роль безопасности состоит из привилегий на уровне записи и привилегий на уровне задач.

  • Привилегии уровня записи определяют, какие задачи может выполнять пользователь с доступом к записи, например "Чтение", "Создание", "Удаление", "Запись", "Назначение", "Общий доступ", "Добавление" и "Добавление к". Добавление означает вложение другой записи, например действия или примечания, в данную запись. Добавление к означает, что запись добавлена к данной записи. Подробнее о привилегиях на уровне записей.

  • Другие привилегии, или привилегии на основе задач, предоставляют пользователю разрешение на выполнение определенных других задач (не связанных с записью), таких как публикация статей или активизация бизнес-правил. Подробнее о различных привилегиях.

Цветные круги на странице параметров ролей безопасности обозначают уровень доступа, назначенный для каждой привилегии. Уровни доступа определяют, настолько глубоко в организационной иерархии пользователь может выполнять эту привилегию.

В следующей таблице описываются уровни доступа.

Icon Описание:
Глобальный уровень доступа. Глобальный. Пользователи имеют доступ ко всем записям в организации вне зависимости от иерархического уровня подразделения, к которому принадлежит среда или пользователи. Пользователи с глобальным уровнем доступа автоматически имеют расширенный, локальный и базовый уровень доступа.
Поскольку этот уровень предоставляет пользователям доступ ко всей информации организации, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей организации.
В приложении этот уровень доступа обозначается как Организация.
Уровень доступа: глубокий. Расширенный. Пользователи могут получить доступ к записям своего бизнес-подразделения и всех подчиненных ему бизнес-подразделений.
Пользователи с расширенным уровнем доступа автоматически имеют локальный и базовый уровень доступа.
Поскольку этот уровень предоставляет пользователям доступ ко всей информации подразделения и подчиненных подразделений, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделений.
В приложении этот уровень доступа обозначается как Подразделение и дочерние подразделения.
Локальный уровень доступа. Локальный. Пользователи могут получить доступ к записям в бизнес-подразделении пользователя.
Пользователи с локальным уровнем доступа автоматически имеют базовый уровень доступа.
Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации подразделения, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделения.
В приложении этот уровень доступа обозначается как Подразделение.
Уровень доступа: базовый. Базовый. Пользователи могут получить доступ к принадлежащим им записям, объектам, к которым предоставлен общий доступ организации, к объектам, к которым им предоставлен общий доступ, и объектам, к которым предоставлен доступ рабочей группе, в которую эти пользователи входят.
Обычно этот уровень доступа предоставляется представителям по продажам и обслуживанию.
В приложении этот уровень доступа обозначается как Пользователь.
Нулевой уровень доступа. Нет. Доступ не разрешен.

Внимание

Чтобы гарантировать, что пользователи могут просматривать и открывать все области веб-приложения, такие как формы таблиц, панель навигации и панель команд, все роли безопасности в организации должны включать привилегию "Чтение" в отношении таблицы Web Resource. Например, без разрешения на чтение пользователь не сможет открыть форму, содержащую веб-ресурс, и увидит сообщение об ошибке, подобное следующему: "Отсутствует привилегия prvReadWebResource". Подробнее о создании или редактировании роли безопасности.

Привилегии на уровне записи

Power Apps и приложения Dynamics 365 для взаимодействия с клиентами используют привилегии уровня записи для определения уровня доступа, имеющегося у пользователя для конкретной записи или типа записи.

В следующей таблице описаны привилегии уровня записи, которые вы можете предоставить в роли безопасности. Во всех случаях, то, к каким записям применяется привилегия, зависит от уровня доступа привилегии, определенного в роли безопасности.

Право Описание:
Создание Необходимо для создания новой записи
Читать Необходимо для открытия записи с целью просмотра содержимого
Запись Необходимо для внесения изменений в запись
DELETE Необходимо для окончательного удаления записи
Добавить Требуется, чтобы связать текущую запись с другой записью; например, если у пользователей есть права на добавление заметки, они могут прикрепить заметку к возможной сделке
В случае отношения "многие ко многим" у пользователя должна быть привилегия добавления для обеих таблиц, которые связываются или для которых отменяется связь.
Добавление к Требуется, чтобы связать запись с текущей записью; например, если у пользователей есть права на "добавление к" для возможной сделки, они могут добавить заметку к возможной сделке
Назначить Необходимо для смены владельца записи
Предоставить доступ* Необходимо для предоставления доступа к записи другому пользователю при сохранении собственного

*Владелец записи или пользователь с привилегией общего доступа к записи может сделать ее доступной для совместного использования с другими пользователями или рабочими группами. При совместном использовании определенной записи можно добавить привилегии Чтение, Запись, Удаление, Добавление, Назначение и Общий доступ. Группы используются главным образом для совместной работы с записями, к которым у отдельных участников группы нет доступа. Подробнее о безопасности, пользователях и рабочих группах.

Удаление доступа к отдельной записи невозможно. Любое изменение привилегии роли безопасности применяется ко всем записям этого типа.

Наследование привилегий участника рабочей группы

Вы можете определить, как наследуются привилегии, когда пользователь получает их как участник рабочей группы или напрямую, как отдельное лицо.

  • Привилегии пользователей: пользователь получает эти привилегии непосредственно, когда ему назначается роль безопасности. Пользователи могут создавать записи, указав себя в качестве владельца. Они могут получить доступ к записям, которые они создали или которыми владеют, если им был предоставлен базовый уровень доступа для создания и чтения. Это настройка задается по умолчанию для новых ролей безопасности.

  • Привилегии рабочей группы: пользователь получает эти привилегии в качестве участника рабочей группы. Участники рабочей группы, у которых нет собственных прав пользователя, могут создавать записи с рабочей группой в качестве владельца. Они могут получить доступ к записям, которые принадлежат рабочей группе, если им предоставлен базовый уровень доступа для создания и чтения.

Заметка

До выпуска функции наследования привилегий участника рабочей группы в мае 2019 года роли безопасности вели себя как Привилегии рабочей группы. Роли безопасности, созданные до этого выпуска, устанавливаются как Привилегии рабочей группы, и роли безопасности, созданные после этого выпуска, по умолчанию установлены как Привилегии пользователя.

Роль безопасности может быть установлена, чтобы предоставить участникам рабочей группы привилегии прямого доступа на базовом уровне. Когда пользователю назначается роль безопасности наследования привилегий, пользователь получает все привилегии напрямую, точно так же, как роль безопасности без наследования привилегий. Участники рабочей группы могут создавать записи с собой в качестве владельца, и записи, в которых владельцем является рабочая группа, если им задан базовый уровень доступа для создания. Когда им задан базовый уровень доступа для чтения, они могут получить доступ к записям, которые принадлежат как им самим, так и рабочей группе. Эта роль наследования привилегий применяется к рабочим группам групп ответственного и Microsoft Entra ID.

  1. Войдите в центр администрирования Power Platform, выберите Среды на панели навигации, затем выберите среду.

  2. Выберите Параметры>Пользователи + разрешения>Роли безопасности.

  3. Выберите Создать.

  4. Введите имя новой роли безопасности.

  5. Выберите список Наследование привилегий участника, затем выберите Непосредственный уровень доступа пользователя/базовый и привилегии рабочей группы.

  6. Перейдите на каждую вкладку и установите соответствующие привилегии для каждой таблицы.

    Чтобы изменить уровень доступа для привилегии, продолжайте выбор символа уровня доступа до появления нужного символа. Возможные уровни доступа зависят от типа записи: принадлежащая организации или принадлежащая пользователю.

Вы можете выбрать только привилегии базового уровня в наследовании привилегий участника. Если вам нужно предоставить доступ к дочернему бизнес-подразделению, повысьте привилегию до расширенной. Например, вам нужно назначить роль безопасности рабочей группе группы, и вы хотите, чтобы участники группы могли добавляться к организации. Настройте роль безопасности с наследованием привилегий участника базового уровня. Установите для привилегии «Добавить к организации» значение «Расширенная». Это связано с тем, что базовые привилегии применяются только к бизнес-подразделению пользователя.

Заметка

С июля 2024 года атрибут наследования привилегий члена команды роли больше не является управляемым свойством. При импорте решения, имеющего роли безопасности, этот атрибут не включается.