创建或编辑安全角色以管理访问

  • 项目

备注

如果您已启用仅统一接口模式,则在使用本文中的过程之前,请执行以下操作:

  1. 在导航栏上选择 Settings齿轮图标。)。
  2. 选择高级设置

    高级设置。

您可以创建新的安全角色以适应业务要求的变化,也可以编辑与现有安全角色关联的权限。

如果需要备份安全角色更改,或将安全角色导出以在不同的 Dynamics 365 Customer Engagement (on-premises) 实施中使用,则可以在导出自定义项时导出这些角色。 更多信息:导出您的自定义方案作为解决方案

创建安全角色

  1. 请确保您具有系统管理员或系统定制员安全角色或等效权限。

    检查您的安全角色

  2. 转到设置>安全

  3. 单击安全角色

  4. 在“操作”工具栏上单击 新建

  5. 在每个选项卡上设置特权。

    若要更改特权的访问级别,请单击符号,直到看到所需符号。 可能的访问级别取决于记录类型是由组织负责还是由用户负责。

    小费

    若要循环显示访问级别,您还可以单击特权列标题,或多次单击记录类型。
    要使用新安全角色需要有一组最低权限 - 请参见下方的常见任务的最低权限。

  6. 完成安全角色配置时,在工具栏上单击或点按保存并关闭

按复制角色创建安全角色

  1. 请确保您具有系统管理员或系统定制员安全角色或等效权限。

    检查您的安全角色

  2. 转到设置>安全

  3. 单击安全角色

  4. 单击要从中复制的安全角色。

  5. 在操作工具栏上,单击复制角色

  6. 输入新角色名称,并选中在复制完毕后打开新的安全角色复选框。

  7. 单击“确定”按钮。

  8. 在复制角色完成后,导航到每个选项卡、ie 核心记录、业务管理、自定义等。

  9. 在每个选项卡上设置特权。

小费

若要循环显示访问级别,您还可以单击特权列标题,或多次单击记录类型。
要使用新安全角色需要有一组最低权限 - 请参见下方的常见任务的最低权限。

编辑安全角色

在编辑现有安全角色之前,务必了解如何数据访问的原则。 详细信息:控制数据访问

备注

不能编辑系统管理员安全角色。 若要创建类似于系统管理员的安全角色,请将系统管理员安全角色复制为新安全角色,然后对新安全角色进行更改。

  1. 请确保您具有系统管理员或系统定制员安全角色或等效权限。

    检查您的安全角色

  2. 转到设置>安全

  3. 单击安全角色

  4. 在安全角色列表中,双击或点按某个名称可打开与该安全角色关联的页面。

  5. 在每个选项卡上设置特权。

    若要更改特权的访问级别,请单击符号,直到看到所需符号。 可能的访问级别取决于记录类型是由组织负责还是由用户负责。

    小费

    若要循环显示访问级别,您还可以单击特权列标题,或多次单击记录类型。
    要使用新安全角色需要有一组最低权限 - 请参见下方的常见任务的最低权限。

  6. 完成安全角色配置时,在工具栏上单击或点按保存并关闭

常见任务的最低权限

记住一些常见任务所需的最低权限会很有帮助。 这意味着用户需要有具有这些权限的安全角色才能运行应用程序。

我们已经创建了一个您可导入的解决方案,用于提供具有所需最低权限的安全角色。

首先从下载中心下载解决方案:Dataverse 最低权限安全角色

然后,按照说明导入解决方案:导入、更新和导出解决方案

导入解决方案时,将创建您可复制的最低权限应用程序使用角色(请参阅:按复制角色创建安全角色)。 在复制角色完成后,导航到每个选项卡(核心记录、业务管理、自定义等),并设置相应权限。

重要提示

导入到生产环境中之前,应在开发环境中测试解决方案。

  • 登录到 Customer Engagement (on-premises) 时:

    • 为用户分配最低权限应用程序使用安全角色或该安全角色的副本。

    • 要呈现实体网格(即,查看记录及其他数据的列表),请在核心记录选项卡上分派以下权限:对实体的读取权限、读取保存的视图、创建/读取/写入用户实体 UI 设置,并在“业务管理”选项卡上分派以下权限:读取用户

  • 登录到 Dynamics 365 for Outlook 时:

    • 若要为 Customer Engagement (on-premises) 和所有 Customer Engagement (on-premises) 按钮呈现导航:为用户分配最低权限应用程序使用安全角色或该安全角色的副本。

    • 若要呈现实体网格:分配实体的读取权限

    • 若要呈现实体:分配实体的读取权限

隐私声明

通过使用适用于手机的 Dynamics 365 以及其他客户端,可以自动授权具有特定安全角色(CEO - 业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁)的许可的 Dynamics 365 在线用户访问该服务。

管理员对于与手机客户端相关的访问能力以及授权访问级别具有完全控制权限(在用户安全角色级别或实体级别)。 随后,用户可以使用适用于手机的 Dynamics 365 访问 Dynamics 365 (online),客户数据将在运行特定客户端的设备上缓存。

基于用户安全和实体级别的特定设置,可从 Dynamics 365 (online) 导出并在最终用户设备上缓存的客户数据的类型包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

适用于平板电脑和手机的 Dynamics 365 for Customer Engagement 和适用于 Dynamics 365 的 Project Finder(以下简称“应用”)使用户能够通过平板电脑或手机设备访问其 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 实例。 为了提供此服务,本应用将处理和存储相关信息,例如用户的凭据以及用户在 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 中处理的数据。 本应用仅供作为 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 授权用户的 Microsoft 客户的最终用户使用。 本应用代表适用的 Microsoft 客户处理用户的信息,如果为用户提供对 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 的访问权限的组织给出指示,Microsoft 可能会披露本应用处理的信息。 Microsoft 不会将用户通过本应用程序处理的信息用于任何其他目的。

如果用户使用本应用连接到 Microsoft Dynamics CRM (online) 或 Dynamics 365 for Customer Engagement,则安装本应用即表示用户同意将其组织分配的 ID、分配的最终用户 ID 以及设备 ID 传输至 Microsoft,以用于跨多台设备启用连接或改进 Microsoft Dynamics CRM (online)、Dynamics 365 for Customer Engagement 或本应用。

位置数据。 如果用户请求在本应用程序中启用基于位置的服务或功能,则本应用程序可能会收集并使用关于其位置的精确数据。 精确位置数据可以是全球定位系统 (GPS) 数据以及用于识别附近手机信号塔和 Wi-Fi 热点的数据。 本应用可能会将位置数据发送至 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement。 本应用可能会将位置数据发送至必应地图和其他第三方地图服务(如 Google Maps 和 Apple Maps),以及用户手机中指定的用户,以便处理本应用内的用户位置数据。 用户可关闭位置服务或关闭本应用程序对位置服务的访问,以禁用基于位置的服务或功能或者禁用本应用程序对用户位置的访问。 用户对必应地图的使用受必应地图最终用户使用条款(可从 https://go.microsoft.com/?linkid=9710837 访问)和必应地图隐私声明(可从 https://go.microsoft.com/fwlink/?LinkID=248686 访问)的约束。 用户使用第三方地图服务,以及用户向第三方地图服务提供的任何信息均受特定于这些服务的最终用户条款和隐私声明的约束。 用户应仔细查看这些其他最终用户条款和隐私声明。

本应用可能包含指向其他 Microsoft 服务和第三方服务的链接,这些服务的隐私和安全实践可能与 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 的不同。  如果用户向其他 Microsoft 服务或第三方服务提交了数据,则此类数据将受到这些服务各自的隐私声明的约束。 为了避免引起疑虑,用户的 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 协议或者适用的 Microsoft Dynamics 信任中心将不涉及在 Microsoft Dynamics CRM 或 Dynamics 365 for Customer Engagement 之外共享的数据。 Microsoft 鼓励用户仔细查看此类其他隐私声明。

通过使用适用于平板电脑的 Dynamics 365 以及其他客户端,可以自动授权具有特定安全角色(CEO - 业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁)的许可的 Dynamics 365 联机用户访问该服务。

管理员对于与平板电脑客户端相关的访问能力以及授权访问级别具有完全控制权限(在用户安全角色级别或实体级别)。 随后,用户可以使用适用于平板电脑的 Dynamics 365 访问 Dynamics 365 (online),客户数据将在运行特定客户端的设备上缓存。

基于用户安全和实体级别的特定设置,可从 Dynamics 365 (online) 导出并在最终用户设备上缓存的客户数据的类型包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

如果您使用 Microsoft Dynamics 365 for Outlook,则在脱机时,将在本地计算机上创建并存储正在处理的数据的副本。 通过使用安全连接可将数据从 Dynamics 365 (online) 传输到计算机上,并可在本地副本和 Dynamics 365 Online 之间保持链接。 下次登录到 Dynamics 365 (online) 时,本地数据将与 Dynamics 365 (online) 同步。

管理员可以通过使用安全角色来确定是否允许组织用户脱机使用 Microsoft Dynamics 365 for Outlook。

用户和管理员可以通过使用选项对话框中的同步筛选器设置来配置通过脱机同步下载哪些实体。 或者,用户和管理员还可以通过使用同步筛选器对话框中的高级选项来配置下载(和上载)哪些字段。

如果您使用 Dynamics 365 (online),在使用“与 Outlook 同步”功能时,您同步的 Dynamics 365 数据将“导出”到 Outlook。 可在 Outlook 的信息和 Dynamics 365 (online) 信息之间保持链接,以确保两者之间的信息是最新的。 Outlook Sync 仅下载相关 Dynamics 365 记录 ID,在用户尝试针对 Outlook 项进行跟踪和设置时使用。 公司数据不存储在设备中。

管理员可以通过使用安全角色来确定是否允许组织用户将 Dynamics 365 数据同步到 Outlook。

如果您使用 Microsoft Dynamics 365 (online),则在将数据导出到一个静态工作表时,将在计算机上创建并存储正在导出的数据的本地副本。 通过使用安全连接可将数据从 Dynamics 365 (online) 传输到计算机上,但不会在本地副本和 Dynamics 365 (online) 之间保持连接。

当导出到动态工作表或数据透视表时,将保持 Excel 工作表和 Dynamics 365 (online) 之间的链接。 每次刷新动态工作表或数据透视表时,都将使用您的凭据向 Dynamics 365 (online) 验证您的身份。 您将能查看您有权查看的数据。

管理员可以通过使用安全角色来确定是否允许组织用户将数据导出到 Excel。

当 Dynamics 365 (online) 用户打印 Dynamics 365 数据时,他们正在将此数据从 Dynamics 365 (online) 提供的安全边界“导出”到相对较不安全的环境(在这里是一张纸)。

管理员对于可以提取的数据具有完全控制权限(在用户安全角色级别或实体级别)。 但是,在数据被提取后,它不再受 Dynamics 365 (online) 提供的安全边界的保护,而是由客户直接控制。

另请参见

Dynamics 365 for Customer Engagement 的安全概念
管理安全性、用户和团队
复制安全角色