Benutzersicherheit in einer Umgebung
Microsoft Dataverse verwendet ein rollenbasiertes Sicherheitsmodell, um den Zugriff auf eine Datenbank und ihre Ressourcen in einer Umgebung zu steuern. Verwenden Sie Sicherheitsrollen zur Konfiguration des Zugriffs auf alle Ressourcen in einer Umgebung oder auf bestimmte Apps und Daten in der Umgebung. Eine Kombination aus Zugriffsebenen und Berechtigungen in einer Sicherheitsrolle bestimmt, welche Apps und Daten Benutzer anzeigen und wie sie mit diesen Apps und Daten interagieren können.
Eine Umgebung kann keine oder eine Dataverse-Datenbank haben. Sie weisen Sicherheitsrollen anders für Umgebungen zu, die keine Dataverse-Datenbank und Umgebungen, die eine Dataverse-Datenbank haben.
Weitere Informationen zu Umgebungen in Power Platform
Vordefinierte Sicherheitsrollen
Umgebungen umfassen vordefinierte Sicherheitsrollen, die allgemeine Benutzeraufgaben widerspiegeln. Die vordefinierten Sicherheitsrollen folgen der Best Practices für die Sicherheit beim „mindestens erforderlichen Zugriff“: Geben Sie die mindestens erforderliche Zugriffsebene auf die Mindestmenge an Geschäftsdaten, die ein Benutzer für die Nutzung einer App benötigt. Diese Sicherheitsrollen können einem Benutzer, Besitzer-Team und Gruppen-Team zugewiesen werden. Welche vordefinierten Sicherheitsrollen in einer Umgebung verfügbar sind, hängt vom Umgebungstyp und den darin installierten Apps ab.
Ein weiterer Satz von Sicherheitsrollen wird Anwendungsbenutzern zugewiesen. Diese Sicherheitsrollen werden von unseren Diensten installiert und können nicht aktualisiert werden.
Umgebungen ohne eine Dataverse-Datenbank
Umgebungsersteller und Umgebungsadministrator sind die einzigen vordefinierten Rollen für Umgebungen ohne Dataverse-Datenbank. Diese Rollen sind in der folgenden Tabelle aufgeführt.
| Sicherheitsrolle | Beschreibung |
|---|---|
| Umgebungsadministrator | Die Rolle Umgebungsadministrator kann alle administrativen Aktionen in einer Umgebung ausführen, einschließlich:
|
| Umgebungserstellung | Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben. |
Umgebungen mit einer Dataverse-Datenbank
Wenn die Umgebung eine Dataverse-Datenbank hat, muss einem Benutzer die Rolle des Systemadministrators statt der Rolle des Umgebungsadministrators für volle Administratorberechtigung zugewiesen werden.
Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle haben. Die Umgebungserstellerrolle hat keine Berechtigungen für die Umgebungsdaten.
In der folgenden Tabelle werden die vordefinierten Sicherheitsrollen in einer Umgebung beschrieben, die über eine Dataverse-Datenbank verfügt. Sie können diese Rollen nicht bearbeiten.
| Sicherheitsrolle | Beschreibung |
|---|---|
| App-Öffner | Hat minimale Berechtigungen für häufige Aufgaben. Diese Rolle wird hauptsächlich als Vorlage zum Erstellen einer benutzerdefinierten Sicherheitsrolle für modellgesteuerte Apps verwendet. Es hat keine Berechtigungen für die wichtigsten Geschäftstabellen wie „Konto“, „Kontakt“ und „Aktivität“. Es verfügt jedoch über Lesezugriff auf Systemtabellen auf Organisationsebene, z. B. Prozesse, um das Lesen von über das System bereitgestellten Workflows zu unterstützen.. Diese Sicherheitsrolle wird verwendet, wenn eine neue, benutzerdefinierte Sicherheitsrolle erstellt wird. |
| Basisbenutzer | Nur bei sofort einsatzbereiten Entitäten kann eine App in der Umgebung ausgeführt werden sowie allgemeine Aufgaben im Hinblick auf die eigenen Datensätze ausführen. Sie verfügt über Berechtigungen für die zentralen Geschäftstabellen wie etwa „Konto“, „Kontakt“, „Aktivität“ und „Prozess“. Hinweis: Die Sicherheitsrolle Common Data Service Benutzer wurde in Basic-Benutzer umbenannt. Lediglich der Name wurde geändert; Benutzerrechte und Rollenzuweisung sind gleich. Wenn Sie eine Lösung mit der Common Data Service Benutzer-Sicherheitsrolle haben, sollten Sie die Lösung aktualisieren, bevor Sie sie erneut importieren. Andernfalls könnten Sie beim Importieren der Lösung versehentlich den Namen „Sicherheitsrolle“ wieder in Benutzer ändern. |
| Delegieren | Ermöglicht die Ausführung von Code als Identitätswechsel oder als anderer Benutzer. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen. |
| Dynamics 365-Administrator | Dynamics 365-Administrator ist eine Microsoft Power Platform-Dienst-Admin-Rolle. Benutzer dieser Rolle können Administratorfunktionen auf Microsoft Power Platform ausführen, nachdem sie sich selbständig auf die Systemadministratorrolle hochstufen. |
| Umgebungserstellung | Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben. |
| Globaler -Administrator | Globaler Administrator ist eine Microsoft 365-Administratorrolle. Jemand, der das Microsoft-Business-Abonnement kauft, ist ein globaler Administrator und hat uneingeschränkte Kontrolle über die Produkte im Abonnement und Zugriff auf die meisten Daten. Benutzer dieser Rolle müssen sich selbst zur Rolle des Systemadministrators hochstufen. |
| Globaler Leser | Die Rolle Globaler Leser wird noch nicht im Power Platform Admin Center unterstützt. |
| Office-Projektmitarbeiter | Hat Leseberechtigung für Tabellen, in denen ein Datensatz für die Organisation freigegeben wurde. Hat keinen Zugriff auf andere Kern‑ und benutzerdefinierte Tabellendatensätze. Diese Rolle wird dem Office-Projektmitarbeiter-Besitzerteam und nicht einem einzelnen Benutzer zugewiesen. |
| Power Platform Administrator | Power Platform-Administrator ist eine Microsoft Power Platform-Dienstadministratorrolle. Benutzer dieser Rolle können Administratorfunktionen auf Microsoft Power Platform ausführen, nachdem sie sich selbständig auf die Systemadministratorrolle hochstufen. |
| Dienst gelöscht | Verfügt über die vollständige Löschberechtigung für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Löschen von Datensätzen in allen Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein. |
| Serviceleser | Verfügt über vollständige Leseberechtigungen für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Lesen aller Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein. |
| Service-Schreiber | Verfügt über vollständige Berechtigungen Erstellen, Lesen und Schreiben für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Erstellen und Aktualisieren von Datensätzen. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein. |
| Supportbenutzer | Verfügt über eine vollständige Leseberechtigung für Anpassungs- und Geschäftsverwaltungseinstellungen, die es den Support-Mitarbeitern ermöglichen, Probleme mit der Umgebungskonfiguration zu beheben. Diese Rolle hat keinen Zugriff auf Kerndatensätze. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein. |
| Systemadministrator | Verfügt über uneingeschränkte Berechtigung zum Anpassen oder Verwalten der Umgebung, darunter Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung einsehen. |
| Systemanpasser | Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Kann ich alle angepassten Tabellendaten in der Umgebung anzeigen. Benutzer mit dieser Rolle können nur Datensätze anzeigen, die Sie in Konten, Kontakt oder Aktivitätstabellen erstellen. |
| Website-App-Besitzer | Ein Benutzender, welcher der Besitzende einer Websiteanwendungsregistrierungs im Azure-Portal ist. |
| Besitzer der Website | Der Benutzende, der die Power Pages-Website erstellt hat. Diese Rolle wird verwaltet und kann nicht geändert werden. |
Neben den beschriebenen vordefinierten Sicherheitsrollen für Dataverse, sind unter Umständen andere Sicherheitsrollen in Ihrer Umgebung verfügbar, je nachdem, welche Power Platform-Komponenten – Power Apps, Power Automate, Microsoft Copilot Studio – Sie haben. Die folgende Tabelle enthält Links zu weiteren Informationen.
| Power Platform-Komponente | Information |
|---|---|
| Power Apps | Vordefinierte Sicherheitsrollen für Umgebungen mit einer Dataverse Datenbank |
| Power Automate | Sicherheit und Datenschutz |
| Power Pages | Für die Websiteverwaltung erforderliche Rollen |
| Microsoft Copilot Studio | Umgebungssicherheitsrollen zuweisen |
Dataverse for Teams Umgebungen
Weitere Informationen über Sicherheitsrollen in Dataverse for Teams-Umgebungen.
App-spezifische Sicherheitsrollen
Wenn Sie Dynamics 365-Apps in Ihrer Umgebung bereitstellen, werden weitere Sicherheitsrollen hinzugefügt. Die folgende Tabelle enthält Links zu weiteren Informationen.
| Dynamics 365-App | Sicherheitsrollendokumentation |
|---|---|
| Dynamics 365 Sales | Vordefinierte Sicherheitsrollen für Sales |
| Dynamics 365 Marketing | Von Dynamics 365 Marketing hinzugefügte Sicherheitsrollen |
| Dynamics 365 Field Service | Dynamics 365 Field Service-Rollen und -Definitionen |
| Dynamics 365 Customer Service | Rollen in Omnichannel for Customer Service |
| Dynamics 365 Customer Insights | Customer Insights-Rollen |
| App-Profilmanager | Mit dem App-Profilmanager verknüpfte Rollen und Berechtigungen |
| Dynamics 365 Finance | Sicherheitsrollen im öffentlichen Sektor |
| Finanz- und Betriebs-Apps | Sicherheitsrollen in Microsoft Power Platform |
Zusammenfassung der verfügbaren Ressourcen für vordefinierte Sicherheitsrollen
In der folgenden Tabelle wird beschrieben, welche Ressourcen jede Sicherheitsrolle erstellen kann.
| Ressource | Umgebungserstellung | Umgebungsadministrator | Systemanpasser | Systemadministrator |
|---|---|---|---|---|
| Canvas App | X | X | X | X |
| Cloud-Flow | X (nicht-lösungsfähig) | X | X | X |
| Konnektor | X (nicht-lösungsfähig) | X | X | X |
| Verbindung* | X | X | X | X |
| Datengateway | - | X | - | X |
| Dataflow | X | X | X | X |
| Dataverse-Tabellen | - | - | X | X |
| Modellbasierte App | X | - | X | X |
| Lösungsframework | X | - | X | X |
| Desktop-Flow** | - | - | X | X |
| AI Builder | - | - | X | X |
*Verbindungen werden in Canvas-Apps und Power Automate verwendet.
**Dataverse for Teams-Benutzende erhalten standardmäßig keinen Zugriff auf Desktop-Flows. Sie müssen Ihre Umgebung auf die vollständigen Dataverse-Funktionen aktualisieren und Desktop-Flow-Lizenzpläne erwerben, um Desktop-Flows zu verwenden.