Umgebungsrollen verstehen

Abgeschlossen

Eine Sicherheitsrolle verfügt über bestimmte Berechtigungen, die ihr zugeordnet sind, und Sie können einem Benutzer eine oder mehrere Sicherheitsrollen zuordnen. Stellen Sie sich Rollen als eine Sammlung von Berechtigungen vor.

Umgebungen verfügen über zwei vordefinierte Rollen, die Zugriff auf Berechtigungen innerhalb einer Umgebung bieten. Sie weisen Benutzern einer dieser beiden Rollen zu, wenn Sie überlegen, welche Berechtigungen Sie einem Benutzer in einer Umgebung geben wollen. Wenn die Umgebung jedoch über eine Dataverse‑Datenbank verfügt, werden weitere Rollen hinzugefügt und die Berechtigungsoptionen werden erweitert.

Jede Umgebung enthält diese vordefinierten Rollen:

  • Umgebungsadministrator

  • Umgebungsersteller

Wichtig

Ein Benutzer wird automatisch der Rolle des Umgebungserstellers zugeordnet, wenn er einer Umgebung hinzugefügt wird.

Rolle „Umgebungsadministrator“

Bevor Ihre Dataverse-Datenbank Ihrer Umgebung hinzugefügt wird, kann die Rolle Umgebungsadministrator alle administrativen Aktionen in einer Umgebung ausführen, einschließlich der folgenden:

  • Einem Benutzer oder einer Gruppe die Rolle eines Umgebungsadministrators oder Umgebungserstellers zuordnen oder entziehen.

  • Eine Dataverse-Datenbank für die Umgebung bereitstellen

  • Alle Ressourcen, die in der Umgebung erstellt wurden, anzeigen und verwalten

  • Richtlinien zur Verhinderung von Datenverlust festlegen

Rolle „Umgebungsersteller“

Mit der Rolle Umgebungsersteller können Ressourcen in einer Umgebung erstellt werden, z. B. Apps, Verbindungen, benutzerdefinierte Verbindungen, Gateways und Flows, die Power Automate verwenden. Für Mitglieder der Rolle „Umgebungsersteller“ gelten folgende Regeln:

  • Umgebungsersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer innerhalb eines Unternehmens verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben.

  • Benutzern oder Gruppen, die diesen Umgebungsrollen zugewiesen sind, wird nicht automatisch Zugriff auf die Datenbank der Umgebung gewährt (sofern vorhanden). Ein Datenbankbesitzer muss ihnen separat Zugriff gewähren.

  • Immer wenn sich ein neuer Benutzer bei Power Apps anmeldet, wird er automatisch der Erstellerrolle der Standardumgebung hinzugefügt.

Umgebungen mit einem Dataverse-Datenspeicher

Wenn die Umgebung über einen Dataverse-Datenspeicher verfügt, muss Benutzern die Systemadministratorrolle anstelle der Umgebungsadministratorrolle zugewiesen werden, um die vollständigen Administratorrechte zu erhalten, wie in der folgenden Tabelle beschrieben.

Für Benutzer, die Apps erstellen, die eine Verbindung zu Dataverse herstellen und Tabellen und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle zuweisen. Dies ist erforderlich, da die Umgebungserstellerrolle keine Berechtigungen für die Umgebungsdaten besitzt.

Sicherheitsrolle Datenbankrechte* Beschreibung
App-Öffner Erstellen (eigene), Lesen, Schreiben (eigene), Löschen (eigene) Hat minimale Berechtigungen für allgemeine Aufgaben. Dies wird hauptsächlich beim Erstellen einer neuen Sicherheitsrolle für modellgesteuerte Apps genutzt, bei denen eine Kopie der Rolle erstellt wird, bevor der Datenzugriff auf Ihre Tabellen angewendet wird. Diese Rolle ist geschützt, und sie kann nicht aktualisiert werden.
Umgebungsersteller Anpassungen Kann neue Ressourcen erstellen, die einer Umgebung zugeordnet sind, einschließlich Apps, Verbindungen, benutzerdefinierter APIs, Gateways und Abläufe, die auf Microsoft Power Automate zurückgreifen. Diese Rolle hat jedoch keine Berechtigungen für den Zugriff auf Daten innerhalb einer Umgebung. Umgebungshersteller können die Apps, die sie in einer Umgebung erstellen, auch an andere Benutzer in Ihrem Unternehmen verteilen. Sie können die App für einzelne Benutzer, Sicherheitsgruppen oder alle Benutzer in der Organisation freigeben.
Systemadministrator Erstellen, Lesen, Schreiben, Löschen, Anpassungen, Sicherheitsrollen Verfügt über uneingeschränkte Berechtigung zum Anpassen oder Verwalten der Umgebung, darunter Erstellen, Ändern und Zuweisen von Sicherheitsrollen. Kann alle Daten in der Umgebung einsehen.
Systemanpasser Erstellen, Lesen, Schreiben, Löschen, Anpassungen Verfügt über uneingeschränkte Berechtigung zum Anpassen der Umgebung. Kann alle angepassten Tabellendaten in der Umgebung anzeigen. Benutzer mit dieser Rolle können nur Zeilen (Datensätze) anzeigen, die Sie in Konten, Kontakt oder Aktivitätstabellen erstellen.
Basic-Benutzer Lesen (eigene), Erstellen (eigene), Schreiben (eigene), Löschen (eigene) Kann eine App in der Umgebung ausführen sowie allgemeine Aufgaben im Hinblick auf seine eigenen Datensätze ausführen. Dies gilt nur für nicht benutzerdefinierte Tabellen.
Dienstlöscher Löschen Verfügt über vollständige Berechtigungen zum Löschen für alle Entitäten, einschließlich benutzerdefinierter Entitäten. Diese Rolle wird hauptsächlich vom Service verwendet und erfordert das Löschen von Datensätzen in allen Entitäten. Diese Rolle kann entweder dem Benutzer oder seinem Team zugewiesen sein.
Serviceleser Lesen Verfügt über vollständige Leseberechtigungen für alle Tabellen, einschließlich benutzerdefinierter Tabellen. Dies wird hauptsächlich vom Back-End-Dienst verwendet, für den das Lesen aller Tabellen erforderlich ist.
Service-Schreiber Erstellen, Lesen, Schreiben Verfügt über vollständige Berechtigungen Erstellen, Lesen und Schreiben für alle Tabellen, einschließlich benutzerdefinierter Tabellen. Dies wird hauptsächlich vom Back-End-Dienst verwendet, für den das Erstellen und Aktualisieren von Datensätzen erforderlich ist.
Stellvertretung Vorgänge im Namen anderer Benutzer ausführen Ermöglicht die Ausführung von Code als anderer Benutzer oder den Identitätswechsel. Wird normalerweise gemeinsam mit einer anderen Sicherheitsrolle verwendet, um den Zugriff auf Datensätze zu ermöglichen.
Dynamics 365-Admin Dynamics 365-Administrator ist eine Microsoft Power Platform-Serviceadministratorrolle. Diese Rolle kann Administratorfunktionen auf Microsoft Power Platform ausführen, da sie die Rolle des Systemadministrators haben.
Supportbenutzer Anpassungen und Geschäftsverwaltungseinstellungen lesen Verfügt über die vollständige Leseberechtigung für Anpassungs‑ und Geschäftsverwaltungseinstellungen für Supportmitarbeiter
Office-Projektmitarbeiter Lesen (selbst) Hat Leseberechtigung für Tabellen, in denen ein Datensatz aus diesen Tabellen mit der Organisation geteilt wurde. Hat keinen Zugriff auf andere Kern‑ und benutzerdefinierte Tabellendatensätze. Diese Rolle wird dem Office-Projektmitarbeiter-Besitzerteam und nicht einem einzelnen Benutzer zugewiesen.
Globaler Leser Die Rolle „Globaler Leser“ wird noch nicht im Power Platform Admin Center unterstützt.
Website-App-Besitzer Ein Benutzer, der die Website-Anwendungsregistrierung im Azure-Portal besitzt.
Website-Besitzer Der Benutzer, der die Power Pages-Website erstellt hat. Diese Rolle wird verwaltet und kann nicht geändert werden.

*Der Umfang dieser Berechtigungen ist global, sofern nicht anders angegeben.

Zusammenfassung von verfügbaren Ressourcen für vordefinierte Sicherheitsrollen

Die folgende Tabelle sollte Ihnen dabei helfen, zu ermitteln, welche Rollen Sie den Ressourcen zuweisen müssen, auf die diese Rolle Zugriff hat.

Ressource Umgebungsersteller Umgebungsadministrator Systemanpasser Systemadministrator
Canvas-App X X X X
Cloud-Flow X (nicht lösungsorientiert) X X (lösungsorientiert) X
Konnektor X X - X
Verbindung X X - X
Datengateway X X - X
Dataflow X X - X
Dataverse-Tabellen - - X X
Modellgesteuerte App X - X X
Lösungsrahmen X - X X
*Desktop-Flow - - X X
AI Builder - - X X

Wichtig

Dataverse for Teams-Benutzer erhalten nicht standardmäßig Zugriff auf Desktop-Flows. Sie müssen Ihre Umgebung auf volle Dataverse-Funktionen aktualisieren und Desktop-Flow-Lizenzpläne erwerben, um Desktop-Flows zu verwenden.