Freigeben über


Benutzersicherheit in einer Umgebung konfigurieren

Microsoft Dataverse verwendet ein rollenbasiertes Sicherheitsmodell, um den Zugriff auf eine Datenbank und ihre Ressourcen in einer Umgebung zu steuern. Verwenden Sie Sicherheitsrollen zur Konfiguration des Zugriffs auf alle Ressourcen in einer Umgebung oder auf bestimmte Apps und Daten in der Umgebung. Eine Kombination aus Zugriffsebenen und Berechtigungen in einer Sicherheitsrolle bestimmt, welche Apps und Daten Benutzer anzeigen und wie sie mit diesen Apps und Daten interagieren können.

Eine Umgebung kann keine oder eine Dataverse-Datenbank haben. Sie weisen Sicherheitsrollen anders für Umgebungen zu, die keine Dataverse-Datenbank und Umgebungen, die eine Dataverse-Datenbank haben.

Weitere Informationen zu Umgebungen in Power Platform

Vordefinierte Sicherheitsrollen

Umgebungen umfassen vordefinierte Sicherheitsrollen, die allgemeine Benutzeraufgaben widerspiegeln. Die vordefinierten Sicherheitsrollen folgen der Best Practices für die Sicherheit beim „mindestens erforderlichen Zugriff“: Geben Sie die mindestens erforderliche Zugriffsebene auf die Mindestmenge an Geschäftsdaten, die ein Benutzer für die Nutzung einer App benötigt. Diese Sicherheitsrollen können einem Benutzer, Besitzer-Team und Gruppen-Team zugewiesen werden. Die vordefinierten Sicherheitsrollen, die in einer Umgebung verfügbar sind, hängen vom Umgebungstyp und den Apps ab, die Sie darin installiert haben.

Ein weiterer Satz von Sicherheitsrollen wird Anwendungsbenutzern zugewiesen. Diese Sicherheitsrollen werden von unseren Diensten installiert und können nicht aktualisiert werden.

Umgebungen ohne eine Dataverse-Datenbank

Umgebungsersteller und Umgebungsadministrator sind die einzigen vordefinierten Rollen für Umgebungen ohne Dataverse-Datenbank. Diese Rollen sind in der folgenden Tabelle aufgeführt.

Sicherheitsrolle Beschreibung
Umgebungsadministrator Die Rolle Umgebungsadministrator kann alle administrativen Aktionen in einer Umgebung ausführen, einschließlich:
  • Einem Benutzer die Rolle eines Umgebungsadministrators oder Umgebungserstellers zuordnen oder entziehen
  • Eine Dataverse-Datenbank für die Umgebung bereitstellen Nach der Bereitstellung einer Datenbank weisen Sie die Rolle „Systemanpasser“ auch einem Umgebungsadministrator zu, damit dieser auf die Umgebungsdaten zugreifen kann.
  • Anzeige und Verwaltung aller Ressourcen, die in einer Umgebung erstellt wurden.
  • Erstellen Sie die Richtlinien zur Verhinderung von Datenverlust.
Umgebungserstellung Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung.

Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben.

Umgebungen mit einer Dataverse-Datenbank

Wenn die Umgebung eine Dataverse-Datenbank hat, muss einem Benutzer die Rolle des Systemadministrators statt der Rolle des Umgebungsadministrators für volle Administratorberechtigung zugewiesen werden.

Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle haben. Die Umgebungserstellerrolle hat keine Berechtigungen für die Umgebungsdaten.

In der folgenden Tabelle werden die vordefinierten Sicherheitsrollen in einer Umgebung beschrieben, die über eine Dataverse-Datenbank verfügt. Sie können diese Rollen nicht bearbeiten.

Sicherheitsrolle Beschreibung
App-Öffner Hat minimale Berechtigungen für häufige Aufgaben. Diese Rolle wird hauptsächlich als Vorlage zum Erstellen einer benutzerdefinierten Sicherheitsrolle für modellgesteuerte Apps verwendet. Es hat keine Berechtigungen für die wichtigsten Geschäftstabellen wie „Konto“, „Kontakt“ und „Aktivität“. Es verfügt jedoch über Lesezugriff auf Systemtabellen auf Organisationsebene, z. B. Prozesse, um das Lesen von über das System bereitgestellten Workflows zu unterstützen.. Beachten Sie, dass diese Sicherheitsrolle verwendet wird, wenn eine neue, benutzerdefinierte Sicherheitsrolle erstellt wird.
Basisbenutzer Nur bei sofort einsatzbereiten Entitäten kann eine App in der Umgebung ausgeführt werden sowie allgemeine Aufgaben im Hinblick auf die eigenen Datensätze ausführen. Sie verfügt über Berechtigungen für die zentralen Geschäftstabellen wie etwa „Konto“, „Kontakt“, „Aktivität“ und „Prozess“.

Hinweis: Die Sicherheitsrolle Common Data Service Benutzer wurde in Basic-Benutzer umbenannt. Lediglich der Name wurde geändert; Benutzerrechte und Rollenzuweisung sind gleich. Wenn Sie eine Lösung mit der Common Data Service Benutzer-Sicherheitsrolle haben, sollten Sie die Lösung aktualisieren, bevor Sie sie erneut importieren. Andernfalls könnten Sie beim Importieren der Lösung versehentlich den Namen „Sicherheitsrolle“ wieder in Benutzer ändern.
Delegieren Ermöglicht die Ausführung von Code als Identitätswechsel oder als anderer Benutzer. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen.
Dynamics 365-Administrator Dynamics 365-Administrator ist eine Microsoft Power Platform-Dienst-Admin-Rolle. Benutzer dieser Rolle können Administratorfunktionen auf Microsoft Power Platform ausführen, nachdem sie sich selbständig auf die Systemadministratorrolle hochstufen.
Umgebungserstellung Kann neue Ressourcen erstellen, die mit einer Umgebung verbunden sind, einschließlich Apps, Verbindungen, benutzerdefinierte APIs und Flows mit Microsoft Power Automate. Diese Rolle hat jedoch keine Rechte für den Zugriff auf Daten in einer Umgebung.

Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben.
Globaler -Administrator Globaler Administrator ist eine Microsoft 365-Administratorrolle. Jemand, der das Microsoft-Business-Abonnement kauft, ist ein globaler Administrator und hat uneingeschränkte Kontrolle über die Produkte im Abonnement und Zugriff auf die meisten Daten. Benutzer dieser Rolle müssen sich selbst zur Rolle des Systemadministrators hochstufen.
Globaler Leser Die Rolle Globaler Leser wird noch nicht im Power Platform Admin Center unterstützt.
Office-Projektmitarbeiter Hat Leseberechtigung für Tabellen, in denen ein Datensatz für die Organisation freigegeben wurde. Hat keinen Zugriff auf andere Kern‑ und benutzerdefinierte Tabellendatensätze. Diese Rolle wird dem Office-Projektmitarbeiter-Besitzerteam und nicht einem einzelnen Benutzer zugewiesen.
Power Platform Administrator Power Platform-Administrator ist eine Microsoft Power Platform-Dienstadministratorrolle. Benutzer dieser Rolle können Administratorfunktionen auf Microsoft Power Platform ausführen, nachdem sie sich selbständig auf die Systemadministratorrolle hochstufen.
Dienst gelöscht Verfügt über die vollständige Löschberechtigung für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Löschen von Datensätzen in allen Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein.
Serviceleser Verfügt über vollständige Leseberechtigungen für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Lesen aller Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein.
Service-Schreiber Verfügt über vollständige Berechtigungen Erstellen, Lesen und Schreiben für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Erstellen und Aktualisieren von Datensätzen. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein.
Supportbenutzer Verfügt über eine vollständige Leseberechtigung für Anpassungs- und Geschäftsverwaltungseinstellungen, die es den Support-Mitarbeitern ermöglichen, Probleme mit der Umgebungskonfiguration zu beheben. Diese Rolle hat keinen Zugriff auf Kerndatensätze. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein.
Systemadministrator Verfügt über uneingeschränkte Berechtigung zum Anpassen oder Verwalten der Umgebung, darunter Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung einsehen.
Systemanpasser Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Kann ich alle angepassten Tabellendaten in der Umgebung anzeigen. Benutzer mit dieser Rolle können nur Datensätze anzeigen, die Sie in Konten, Kontakt oder Aktivitätstabellen erstellen.
Website-App-Besitzer Ein Benutzender, welcher der Besitzende einer Websiteanwendungsregistrierungs im Azure-Portal ist.
Besitzer der Website Der Benutzende, der die Power Pages-Website erstellt hat. Diese Rolle wird verwaltet und kann nicht geändert werden.

Neben den beschriebenen vordefinierten Sicherheitsrollen für Dataverse, sind unter Umständen andere Sicherheitsrollen in Ihrer Umgebung verfügbar, je nachdem, welche Power Platform-Komponenten – Power Apps, Power Automate, Microsoft Copilot Studio – Sie haben. Die folgende Tabelle enthält Links zu weiteren Informationen.

Power Platform-Komponente Information
Power Apps Vordefinierte Sicherheitsrollen für Umgebungen mit einer Dataverse Datenbank
Power Automate Sicherheit und Datenschutz
Power Pages Für die Websiteverwaltung erforderliche Rollen
Microsoft Copilot Studio Umgebungssicherheitsrollen zuweisen

Dataverse for Teams Umgebungen

Weitere Informationen über Sicherheitsrollen in Dataverse for Teams-Umgebungen.

App-spezifische Sicherheitsrollen

Wenn Sie Dynamics 365-Apps in Ihrer Umgebung bereitstellen, werden weitere Sicherheitsrollen hinzugefügt. Die folgende Tabelle enthält Links zu weiteren Informationen.

Dynamics 365-App Sicherheitsrollendokumentation
Dynamics 365 Sales Vordefinierte Sicherheitsrollen für Sales
Dynamics 365 Marketing Von Dynamics 365 Marketing hinzugefügte Sicherheitsrollen
Dynamics 365 Field Service Dynamics 365 Field Service-Rollen und -Definitionen
Dynamics 365 Customer Service Rollen in Omnichannel for Customer Service
Dynamics 365 Customer Insights Customer Insights-Rollen
App-Profilmanager Mit dem App-Profilmanager verknüpfte Rollen und Berechtigungen
Dynamics 365 Finance Sicherheitsrollen im öffentlichen Sektor
Finanz- und Betriebs-Apps Sicherheitsrollen in Microsoft Power Platform

Zusammenfassung der verfügbaren Ressourcen für vordefinierte Sicherheitsrollen

In der folgenden Tabelle wird beschrieben, welche Ressourcen jede Sicherheitsrolle erstellen kann.

Ressource Umgebungserstellung Umgebungsadministrator Systemanpasser Systemadministrator
Canvas App X X X X
Cloud-Flow X (nicht-lösungsfähig) X X X
Konnektor X (nicht-lösungsfähig) X X X
Verbindung* X X X X
Datengateway - X - X
Dataflow X X X X
Dataverse-Tabellen - - X X
Modellbasierte App X - X X
Lösungsframework X - X X
Desktop-Flow** - - X X
AI Builder - - X X

*Verbindungen werden in Canvas-Apps und Power Automate verwendet.

**Dataverse for Teams-Benutzende erhalten standardmäßig keinen Zugriff auf Desktop-Flows. Sie müssen Ihre Umgebung auf die vollständigen Dataverse-Funktionen aktualisieren und Desktop-Flow-Lizenzpläne erwerben, um Desktop-Flows zu verwenden.

Sicherheitsrollen Benutzern in einer Umgebung zuweisen, die keine Dataverse-Datenbank hat

Für Umgebungen ohne Dataverse-Datenbank kann ein Benutzer, der in der Umgebung über die Rolle „Umgebungsadministrator“ verfügt, einzelnen Benutzern oder Gruppen von Microsoft Entra ID aus Sicherheitsrollen zuweisen.

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Umgebungen> [Eine Umgebung auswählen].

  3. In der Kachel Zugriff wählen Sie Alle anzeigen für Umgebungsadministrator oder Umgebungsersteller, um Personen für eine Rolle hinzuzufügen oder zu entfernen.

    Screenshot der Auswahl einer Sicherheitsrolle im Power Platform Admin Center.

  4. Wählen Sie Personen hinzufügen und geben Sie dann den Namen oder die E-Mail-Adresse eines oder mehrerer Benutzer oder Gruppen von Microsoft Entra ID an.

  5. Wählen Sie Hinzufügen aus.

Benutzern in einer Umgebung mit einer Dataverse Datenbank eine Sicherheitsrolle zuweisen

Sicherheitsrollen können einzelnen Benutzern, Besitzerteams und Microsoft Entra-Gruppenteams zugewiesen werden. Bevor Sie einem Benutzer eine Rolle zuweisen, müssen Sie sicherstellen, dass das Konto des Benutzers in der Umgebung hinzugefügt wurde und dort aktiviert ist.

Im Allgemeinen kann eine Sicherheitsrolle nur Benutzern zugewiesen werden, deren Konten in der Umgebung aktiviert sind. Um eine Sicherheitsrolle einem Benutzerkonto zuzuweisen, das in der Umgebung deaktiviert ist, aktivieren Sie allowRoleAssignmentOnDisabledUsers in den OrgDBOrgSettings aktivieren.

  1. Melden Sie sich beim Power Platform Admin Center an.

  2. Wählen Sie Umgebungen> [Eine Umgebung auswählen].

  3. Wählen Sie in der Kachel Zugriff die Option Alle anzeigen unter Sicherheitsrollen aus.

    Screenshot der Option zum Anzeigen aller Sicherheitsrollen im Power Platform Admin Center.

  4. Stellen Sie sicher, dass die richtige Unternehmenseinheit in der Liste ausgewählt ist, und wählen Sie dann eine Rolle aus der Liste der Rollen in der Umgebung aus.

  5. Wählen Sie Personen hinzufügen und geben Sie dann den Namen oder die E-Mail-Adresse eines oder mehrerer Benutzer oder Gruppen von Microsoft Entra ID an.

  6. Wählen Sie Hinzufügen aus.

Erstellen, bearbeiten oder kopieren Sie eine Sicherheitsrolle mit der neuen, modernen Benutzeroberfläche

Sie können ganz einfach eine Sicherheitsrolle erstellen, bearbeiten oder kopieren und sie an Ihre Bedürfnisse anpassen.

  1. Gehen Sie zum Power Platform Admin Center und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.

  2. Wählen Sie Einstellungen aus.

  3. Erweitern Sie Benutzer und Berechtigungen.

  4. Wählen Sie Sicherheitsrollen aus.

  5. Schließen Sie die entsprechende Aufgabe ab:

Eine Sicherheitsrolle erstellen

  1. Wählen Sie auf der Befehlsleiste Neue Rolle aus.

  2. Geben Sie im Feld Rollenname einen Namen für die neue Rolle ein.

  3. Wählen Sie im Feld Unternehmenseinheit die Unternehmenseinheit aus, zu der die Rolle gehört.

  4. Wählen Sie aus, ob Teammitglieder die Rolle übernehmen sollen.

    Wenn diese Einstellung aktiviert ist und die Rolle einem Team zugewiesen ist, übernehmen alle Teammitglieder alle mit der Rolle verbundenen Berechtigungen.

  5. Wählen Sie Speichern.

  6. Definieren Sie die Rechte und Eigenschaften der Sicherheitsrolle.

Bearbeiten einer Sicherheitsrolle

Wählen Sie entweder den Rollennamen oder die Zeile aus und wählen Sie dann Bearbeiten. Dann definieren Sie die Berechtigungen und Eigenschaften der Sicherheitsrolle.

Einige vordefinierte Sicherheitsrollen können nicht bearbeitet werden. Wenn Sie versuchen, diese Rollen zu bearbeiten, sind die Schaltflächen Speichern und Speichern und schließen nicht verfügbar.

Sicherheitsrolle kopieren

Wählen Sie Sicherheitsrolle und dann Kopieren aus. Geben Sie der Rolle einen neuen Namen. Die Sicherheitsrolle bei Bedarf bearbeiten.

Es werden nur die Berechtigungen kopiert, keine zugewiesenen Mitglieder und Teams.

Sicherheitsrollen prüfen

Sicherheitsrollen prüfen, um Änderungen an der Sicherheit in Ihrer Power Platform-Umgebung besser zu verstehen.

Erstellen oder Konfigurieren einer benutzerdefinierten Sicherheitsrolle

Wenn Ihre App eine benutzerdefinierte Entität verwendet, müssen ihre Berechtigungen in einer Sicherheitsrolle explizit erteilt werden, bevor Ihre App verwendet werden kann. Sie können diese Berechtigungen entweder einer vorhandenen Sicherheitsrolle hinzufügen oder eine benutzerdefinierte Sicherheitsrolle erstellen.

Jede Sicherheitsrolle muss einen Mindestsatz von Berechtigungen enthalten, bevor sie verwendet werden kann. Weitere Informationen über Sicherheitsrollen und Berechtigungen.

Tipp

Die Umgebung verwaltet möglicherweise Datensätze, die von mehreren Apps verwendet werden können. Möglicherweise benötigen Sie mehrere Sicherheitsrollen, die unterschiedliche Berechtigungen gewähren. Zum Beispiel:

  • Einige Benutzer (Editoren genannt) müssen möglicherweise andere Einträge nur lesen, aktualisieren oder anfügen können. Daher sind die Berechtigungen ihrer Sicherheitsrolle auch nur auf diese Vorgänge beschränkt.
  • Andere Benutzer benötigen möglicherweise alle Berechtigungen, über die Editoren verfügen, sowie die Fähigkeit zum Erstellen, Anhängen, Löschen und Freigeben. Darum verfügt die Sicherheitsrolle für diese Benutzer über Berechtigungen zum Erstellen, Lesen, Schreiben, Anfügen, Löschen, Zuweisen, Anfügen an und Freigeben.

Erstellen Sie eine benutzerdefinierte Sicherheitsrolle mit minimalen Berechtigungen zum Ausführen einer App

  1. Melden Sie sich im Power Platform Admin Center an und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.

  2. Wählen Sie Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen aus.

  3. Wählen Sie die Rolle App-Öffner und dann Kopieren aus.

  4. Geben Sie den Namen der benutzerdefinierten Rolle ein, und wählen Sie dann Kopieren aus.

  5. Wählen Sie aus der Liste der Sicherheitsrollen die neue Rolle und dann Mehr Aktionen () >Bearbeiten aus.

  6. Wählen Sie im Rolleneditor die Registerkarte Benutzerdefinierte Entitäten aus.

  7. Suchen Sie in der Liste Ihre benutzerdefinierte Tabelle und wählen Sie die Berechtigungen Lesen, Schreiben und Anfügen aus.

  8. Wählen Sie Speichern und Schließen.

Benutzerdefinierte Sicherheitsrolle neu erstellen

  1. Melden Sie sich im Power Platform Admin Center an und wählen Sie im Navigationsbereich Umgebungen und dann eine Umgebung aus.

  2. Wählen Sie Einstellungen>Benutzer + Berechtigungen>Sicherheitsrollen aus.

  3. Wählen Sie Neue Rolle aus.

  4. Geben Sie den Namen der neuen Rolle auf der Registerkarte Details ein.

  5. Suchen Sie auf den anderen Registerkarten nach Ihrer Entität und wählen Sie dann Aktionen und den Umfang für deren Ausführung aus.

  6. Wählen Sie eine Registerkarte aus, und suchen Sie nach Ihrer Entität. Wählen Sie zum Beispiel die Benutzerdefinierte Entitäten Registerkarte zum Festlegen von Berechtigungen für eine benutzerdefinierte Entität.

  7. Wählen Sie die Berechtigungen Lesen, Schreiben, Anfügen aus.

  8. Klicken Sie auf Speichern und schließen.

Mindestberechtigungen zum Ausführen einer App

Wenn Sie eine benutzerdefinierte Sicherheitsrolle erstellen, muss die Rolle eine Reihe von Mindestberechtigungen haben, damit ein Benutzer eine App ausführen kann. Weitere Informationen über die erforderlichen Mindestberechtigungen.

Siehe auch

Benutzern Zugriff gewähren
Steuern des Benutzerzugriffs auf Umgebungen: Sicherheitsgruppen und Lizenzen
Wie der Zugriff auf einen Datensatz bestimmt wird