Správa zabezpečení pro Power Automate
Aby bylo možné spravovat zabezpečení pro Power Automate, je důležité porozumět bezpečnostním konceptům a terminologii Microsoft Dataverse, což je základní datová platforma pro komponenty Power Platform. Microsoft Dataverse má silný model zabezpečení, který využívá role zabezpečení, týmy a obchodní jednotky k řízení přístupu k tabulkám, polím a záznamům pomocí oprávnění a řízení přístupu na úrovni řádků. Další informace: Role zabezpečení a oprávnění Dataverse.
Tento článek vysvětluje integrované role zabezpečení, které jsou k dispozici pro desktopové toky Power Automate.
Poznámka:
Data a konfigurace Dataverse jsou založené na prostředí. Prostředí lze použít k oddělení dat, nastavení zabezpečení, přizpůsobení a zdrojů podle oddělení, projektu, požadavků na umístění dat a ochrany osobních údajů nebo organizace. Můžete mít například jedno prostředí pro svůj prodejní tým, další pro marketingový tým a třetí pro svůj služby zákazníkům tým. To vám umožní řídit přístup ke zdrojům a datům na podrobné úrovni a zajistí, že každý tým bude mít přístup pouze ke zdrojům, které potřebuje.
Předpoklady přístupu Dataverse
Pro přístup do prostředí musí uživatel splňovat následující kritéria:
- Musí mít povoleno přihlašování k Microsoft Entra ID.
- Mít platnou licenci, která má uznávaný servisní plán Microsoft Power Platform nebo Dynamics 365.
- Musí být členem skupiny Microsoft Entra prostředí (pokud byla nějaká přidružena k prostředí).
- Musí mít přímo přiřazenou nejméně jednu roli zabezpečení Dataverse přímo sobě nebo týmu skupiny, jíž je členem.
Máte-li potíže s připojením k Dataverse, projděte si tuto stránku pro odstraňování problémů: Běžné problémy s přístupem uživatelů.
Funkce související se zabezpečením Dataverse
Následující klíčové součásti souvisejí s klíčovými konfiguracemi zabezpečení v Dataverse.
- Role zabezpečení: Role zabezpečení je kolekce oprávnění, která definují úroveň přístupu, kterou má uživatel nebo tým ke zdrojům v Dataverse. Role zabezpečení se používají k řízení přístupu k tabulkám, sloupcům a dalším prostředkům v Dataverse.
- Obchodní jednotka: Obchodní jednotka je logický kontejner pro uživatele, týmy a další zdroje v Dataverse. Obchodní jednotky se používají k definování hranic zabezpečení a řízení přístupu ke zdrojům v Dataverse.
- Tým: Tým je skupina uživatelů v Dataverse, kteří sdílejí společnou sadu oprávnění. Týmy se používá ke zjednodušení správy zabezpečení a řízení přístupu ke zdrojům v Dataverse.
- Uživatel: Uživatel je osoba, která má přístup k Dataverse. Uživatelé mají přiřazeny role zabezpečení a jsou členy jedné nebo více obchodních jednotek.
- Oprávnění: Oprávnění řídí přístup k tabulkám, sloupcům a dalším zdrojům v Dataverse. Oprávnění se používají k definování úrovně přístupu, kterou má uživatel nebo tým ke konkrétnímu prostředku v Dataverse.
- Úroveň přístupu: Úroveň přístupu je kombinace oprávnění, která definují úroveň přístupu, kterou má uživatel nebo tým pro konkrétní prostředek v Dataverse. Úrovně přístupu se používají ke zjednodušení správy zabezpečení a řízení přístupu ke zdrojům v Dataverse.
- Sdílení: Sdílení je proces udělení přístupu k řádku nebo jinému zdroji v Dataverse jinému uživateli nebo týmu. Sdílení se používá k poskytování dočasného nebo ad-hoc přístupu ke zdrojům v Dataverse.
- Zabezpečení na úrovni záznamů: Zabezpečení na úrovni záznamů je proces řízení přístupu k jednotlivým řádkům (záznamům) v Dataverse. Zabezpečení na úrovni záznamů se používá k zajištění toho, aby uživatelé měli přístup pouze k řádkům, které mají oprávnění prohlížet nebo upravovat.
- Zabezpečení na úrovni pole: Zabezpečení na úrovni pole je proces řízení přístupu k jednotlivým sloupcům v Dataverse. Zabezpečení na úrovni pole se používá k zajištění toho, aby uživatelé mohli zobrazovat nebo upravovat pouze sloupce, ke kterým mají oprávnění přístupu.
Celkově se tyto pojmy a terminologie používají k definování bezpečnostního modelu v Dataverse a používají se k podrobnému a flexibilnímu řízení přístupu ke zdrojům. Pochopením těchto pojmů a terminologie můžete lépe spravovat zabezpečení v Dataverse a zajistit, aby vaši uživatelé měli odpovídající úroveň přístupu ke zdrojům.
Oprávnění Dataverse
Následující tabulka obsahuje údaje o každém konkrétním oprávnění tabulky:
| Privilege | Description |
|---|---|
| Vytvoření | Nezbytné k vytvoření nového řádku. Řádky, které lze vytvořit, závisejí na úrovni přístupu oprávnění definovaných v příslušné roli zabezpečení. |
| Přečíst | Nezbytné k otevření řádku za účelem zobrazení obsahu. Řádky, které lze číst, závisejí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. |
| Zapsat | Nezbytné k provádění změn řádku. Řádky, které lze změnit, závisejí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. |
| Odstranění | Nezbytné k trvalému odebrání řádku. Řádky, které lze odstranit, závisejí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. |
| Připojit | Nezbytné k přidružení aktuálního řádku k jinému řádku. Pokud má uživatel například práva Připojit u poznámky, může poznámku připojit k příležitosti. Řádky, které lze připojit, závisí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. V případě vztahů N-N musíte mít oprávnění Připojit pro obě tabulky, které jsou přidruženy nebo odpojeny. |
| Připojit k | Nutné přiřazení řádku k aktuálnímu řádku. Pokud má uživatel například právo Připojit u příležitosti, může k příležitosti přidat poznámku. Záznamy, ke kterým lze připojovat, závisí na úrovni přístupu oprávnění definovaných v příslušné roli zabezpečení. |
| Přiřadit | Nezbytné k udělení vlastnictví řádku jinému uživateli. Řádky, které lze přiřadit, závisejí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. |
| Sdílet | Nezbytné k poskytnutí přístupu k řádku jinému uživateli se zachováním vlastního přístupu. Řádky, které lze sdílet, závisejí na úrovni přístupu oprávnění definovaného v příslušné roli zabezpečení. |
Pro každé konkrétní oprávnění je k dispozici rozbalovací nabídka, která umožňuje definovat úroveň přístupu. Úrovně přístupu určují, jak hluboko nebo vysoko v organizaci v hierarchii obchodní jednotky může uživatel provádět dané oprávnění.
V následující tabulce jsou uvedeny úrovně přístupu v tabulce, počínaje oprávněním udělujícím uživateli nejvyšší míru přístupu. U tabulek vlastněných organizací budou mít různá oprávnění a oprávnění související s ochranou osobních údajů pouze typy Organizace nebo Žádné.
| Typ | Description |
|---|---|
| Organizace | Tato úroveň přístupu poskytuje uživateli přístup ke všem řádkům v organizaci bez ohledu na úroveň organizační jednotky v hierarchii, do které toto prostředí nebo tento uživatel patří. Uživatelé, kteří mají přístup organizace automaticky, mají také další typy přístupu. Vzhledem k tomu, že tato úroveň přístupu poskytuje přístup k informacím v celé organizaci, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci celé organizace. |
| Nadřazená: Podřízená organizační jednotka | Tato úroveň přístupu umožňuje uživateli přístup k řádkům v jejich obchodní jednotce a všem obchodním jednotkám pod ní. Uživatelé s touto úrovní přístupu mají automaticky úroveň obchodní jednotky a uživatele. Vzhledem k tomu, že tato úroveň přístupu poskytuje přístup k informacím v celé organizační jednotce a podřízených, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je obvykle vyhrazena pro manažery s pravomocemi v rámci organizačních jednotek. |
| Organizační jednotka | Tato úroveň přístupu poskytuje uživateli přístup k řádkům v jeho organizační jednotce. Uživatelé s přístupem obchodní jednotky mají automaticky úroveň uživatele. Vzhledem k tomu, že tato úroveň přístupu poskytuje přístup k informacím v celé organizační jednotce, měla by být omezena tak, aby odpovídala plánu zabezpečení dat v organizaci. Tato úroveň přístupu je vyhrazena pro manažery s pravomocemi v rámci organizační jednotky. |
| Uživatelská | Tato úroveň přístupu poskytuje uživateli přístup k řádkům, které tento uživatel vlastní, objektům, které jsou sdílené s organizací, objektům, které jsou sdílené s ním, a objektům sdíleným s týmem, jehož je tento uživatel členem. Toto je typická úroveň přístupu pro obchodní zástupce a zástupce oddělení služeb zákazníkům. |
| Nic | Není povolený žádný přístup. |
Oprávnění s jejich úrovněmi přístupu se kombinují a vytvářejí role zabezpečení, které se používají k řízení přístupu ke zdrojům v Dataverse. Role zabezpečení jsou přiřazeny uživatelům a týmům, aby definovaly jejich úroveň přístupu ke zdrojům v Dataverse.
Můžete například vytvořit role zabezpečení, který uživatelům umožňuje vytvářet, číst a aktualizovat desktopové toky, ale ne je odstraňovat. Můžete také vytvořit role zabezpečení, který uživatelům umožní přístup ke všem tabulkám a polím v Dataverse nebo role zabezpečení, který uživatelům umožňuje přístup pouze k tabulkám a polím, které vlastní jejich tým.
Celkově jsou oprávnění klíčovou součástí bezpečnostního modelu v Dataverse a používají se k podrobnému a flexibilnímu řízení přístupu ke zdrojům.
Poznámka:
Chcete-li spustit desktopový tok, potřebujete tato minimální oprávnění:
- Základní oprávnění Připojení, Připojení k, Vytvoření a Zápis pro tabulku
flowsession. - Základní oprávnění Připojení, Připojení k, Vytvoření a Zápis pro tabulku
workflowbinary. - Základní oprávnění Čtení v tabulce
workflow. - Základní oprávnění Čtení v tabulce
desktopflowbinary.
Konkrétní role zabezpečení Power Automate
Následující role zabezpečení jsou předem připravené s Power Automate.
Tvůrce prostředí
Role tvůrce prostředí v Dataverse je vestavěná role zabezpečení, která uživatelům umožňuje vytvářet a spravovat jejich zdroje spojené s prostředím. To zahrnuje aplikace, připojení, vlastní rozhraní API, brány, cloudové toky a desktopové toky, pokud má uživatel příslušnou licenci pro zamýšlenou oblast produktu.
Správce konfigurace počítače řídícího desktopový tok
Tato role je obvykle přiřazena správcům CoE nebo IT, kteří spravují obrazy virtuálních počítačů a virtuální sítě. Uživatelé s touto rolí mají plná oprávnění k obrazu virtuálního počítače a tabulkám specifickým pro virtuální sítě, které se používají pro scénáře hostovaných počítačů. Zejména to umožňuje uživatelům s touto rolí přidávat bitové kopie virtuálních počítačů, verze bitových kopií a sdílet / zrušit sdílení bitových kopií virtuálních počítačů a virtuálních sítí, které mají být použity pro scénáře vytvořených hostovaných počítačů v jejich prostředí.
Vlastník desktopových toků na počítači
Tato role umožňuje uživatelům spravovat počítače a skupiny počítačů, které vlastní, včetně vytváření, úprav, sdílení a odstraňování počítačů a skupin počítačů.
Uživatel desktopových toků na počítači
Tato role umožňuje uživatelům spouštět desktopové toky, ale nekonfigurovat počítače. CoE může přiřadit tuto roli jiným uživatelům v prostředí, takže mohou používat počítače vytvořené a sdílené pomocí CoE, ale nemohou je upravovat ani sdílet.
Uživatel desktopových toků na počítači může sdílet
Tato role rozšiřuje roli uživatele počítače desktopového toku a umožňuje uživatelům sdílet počítače, které s nimi byly sdíleny.
Uživatel runtime aplikace desktopových toků
Tuto roli využívají cloudové služby Power Automate při interakci s prostředím Dataverse.
Uživatel aplikace desktopových toků na počítači
Tuto roli využívají cloudové služby Power Automate při interakci s prostředím Dataverse.
Poznámka:
Role Uživatel runtime aplikace desktopových toků a Uživatel aplikace desktopových toků na počítači využívají cloudové služby Power Automate při interakci s prostředím Dataverse. Úprava oprávnění a konfigurace pro tyto role může narušit funkce desktopového toku.