Grundlegendes zu Benutzersicherheitsrollen und Sicherheitsrollenstandards

Abgeschlossen

Rollen sind Berechtigungsgruppen, die Sie einem Benutzer zuweisen können. Sicherheitsrollen gewähren ihnen Zugriff und stellen verschiedene Fähigkeiten und Funktionen bereit, z. B. Lesen, Schreiben, Löschen oder Bearbeiten von Zeilen in einer Tabelle innerhalb einer Umgebung. Sicherheitsrollen sind detailliert und können einer oder mehreren Tabellen in einer Umgebung zugewiesen werden. Rollen können zudem bestimmte Aktionen steuern, z. B. das Erstellen benutzerdefinierter Tabellen oder Optionssätze. Zusätzlich werden Benutzern eine Sicherheitsrolle oder mehrere zugeordnet. Indem ein Benutzer einer Rolle zugeordnet wird, erhält er Zugriff auf Daten und Funktionen innerhalb dieser Rolle.

Benutzersicherheitsrollen sind entweder:

  • standardisiert und werden mit jeder Instanz von Microsoft Dataverse erstellt; oder

  • benutzerdefiniert und von einem Administrator erstellt.

In dieser Lerneinheit werden beide Arten von Sicherheitsrollen erläutert.

Standardisierte Benutzersicherheitsrollen

Sobald Sie über eine Datenbank in der Umgebung verfügen und Sie einen Benutzer zu einer Umgebung in Dataverse hinzufügen, werden Ihrem Benutzer automatisch folgende Rollen zugewiesen:

  • App-Öffner

  • Basic-Benutzer

  • Umgebungsersteller

  • Systemanpasser

  • Systemadministrator

Für Benutzer, die Apps erstellen, die eine Verbindung zur Datenbank herstellen und Entitäten und Sicherheitsrollen erstellen oder aktualisieren müssen, müssen Sie zusätzlich zur Umgebungserstellerrolle die Systemanpasserrolle zuweisen. Dies ist erforderlich, da die Umgebungserstellerrolle keine Berechtigungen für die Umgebungsdaten besitzt.

Mit einer Datenbank in der Umgebung kann die Systemadministratorrolle verwendet werden, um dieselben Funktionen wie der Umgebungsadministrator auszuführen. Einem Benutzer muss jedoch die Systemadministratorrolle anstelle der Umgebungsadministratorrolle zugewiesen werden, damit er vollständige Administratorrechte erhält.

Die Liste der zuweisbaren Rollen wird weiter oben in diesem Modul beschrieben.

Denken Sie daran, dass eine Sicherheitsrolle grundlegend eine Sammlung einer Tabelle und einer Aufgabe ist, basierend auf Berechtigungen und ihrer Zugriffsebene.

Tabellenberechtigungen

Dataverse unterstützt die separaten Berechtigungen auf Datensatzebene. Mit diesen Berechtigungen können Sie festlegen, wie ein Benutzer mit Daten für eine Tabelle interagiert.

Die verfügbaren Tabellenberechtigungen sind:

Erstellen – Erforderlich, um einen neuen Datensatz zu erstellen.

Lesen – Erforderlich, um eine Zeile zu öffnen und dessen Inhalt anzuzeigen.

Schreiben – Erforderlich, um Änderungen an Datensätzen vorzunehmen.

Löschen – Erforderlich, um einen Datensatz dauerhaft zu löschen.

Anfügen – Erforderlich, um den aktuellen Datensatz mit einem anderen Datensatz zu verknüpfen; wenn ein Benutzer z. B. das Recht hat, einen Hinweis anzuhängen, kann er einer Verkaufschance einen Hinweis hinzufügen. Bei n:n-Beziehungen müssen Sie über die Berechtigung „Anhängen“ für beide Tabellen verfügen, die zugeordnet oder getrennt sind.

Anfügen an – Erforderlich, um einen Datensatz mit dem aktuellen Datensatz zu verknüpfen; wenn Benutzer z. B. das Recht „Anhängen an“ für eine Verkaufschance haben, können sie der Verkaufschance einen Hinweis hinzufügen.

Zuweisen – Erforderlich, um Zeilenbesitz an einen anderen Benutzer zu übertragen.

Freigeben – Erforderlich, um einem anderen Benutzer Zugriff auf einen Datensatz zu gewähren und gleichzeitig Ihren eigenen Zugriff zu behalten.

Hinweis

Tabellen, die im Besitz der Organisation sind, verfügen nicht über die Berechtigungen „Zuweisen“ oder „Freigeben“.

Zugriffsebenen

Für jedes Privileg gibt es eine festgelegte Zugriffsebene. Zugriffsebenen bestimmen, wie tief in der Hierarchie der Unternehmenseinheit der Organisation der Benutzer die Berechtigungen ausführen kann.

Ebene Beschreibung
Keine Zugriff nicht erlaubt
Benutzer Benutzer können auf Datensätze, die Sie besitzen, sowie Objekte, die mit der Organisation geteilt werden, Objekte, die mit ihnen geteilt werden, und Objekte, die mit einem Team, dem sie angehört haben, geteilt werden, zugreifen. Dies ist die typische Zugriffsebene für Endbenutzer.
Konzernmandant Benutzer können auf Datensätze in ihrem Konzernmandanten zugreifen. Benutzer mit Konzernmandantzugriff verfügen automatisch über Benutzerzugriff. Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die Autorität im Konzernmandanten besitzen.
Übergeordnet: Untergeordneter Konzernmandant Benutzer können auf Datensätze in ihrem Konzernmandanten und allen ihr untergeordneten Konzernmandanten zugreifen. Benutzer mit diesem Zugriff haben automatisch Konzernmandanten‑ und Benutzerzugriff. Da diese Ebene den Zugriff auf Informationen im gesamten Konzernmandanten und in untergeordneten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die Autorität im Konzernmandanten besitzen.
Organisation Benutzer können auf alle Datensätze in der Organisation zugreifen, unabhängig von der hierarchischen Ebene des Konzernmandanten, zu dem sie gehören. Benutzer mit Organisationszugriff verfügen automatisch auch über alle anderen Zugriffstypen. Da diese Ebene den Zugriff auf Informationen in der gesamten Organisation ermöglicht, sollte sie auf den Datensicherheitsplan der Organisation beschränkt werden. Diese Zugriffsebene ist Managern vorbehalten, die eine Autorität in der Organisation besitzen.

Hinweis

Tabellen, die im Besitz der Organisation sind, verwenden nur die Zugriffsebenen „Keine“ oder „Organisation“.

Im folgenden Screenshot werden die Berechtigungen und Zugriffsebenen für Tabellen im Power Platform Admin Center angezeigt.

Screenshot der Tabellenberechtigungen und Zugriffsebenen in PPAC

Berechtigungseinstellungen

Mithilfe von vordefinierten Berechtigungsgruppen können auch Tabellenberechtigungen konfiguriert werden. Sie können Berechtigungseinstellungsgruppen anhand der folgenden Tabelle zuweisen:

Berechtigungseinstellung Informationen
Kein Zugriff Kein Benutzer hat Zugriff auf die Tabelle.
Vollzugriff Benutzer können alle Datensätze in der Tabelle anzeigen und bearbeiten.
Zusammenarbeiten Benutzer können alle Datensätze anzeigen, aber nur eigene bearbeiten.
Privat Benutzer können nur eigene Datensätze anzeigen und bearbeiten.
Referenzen Benutzer können nur Datensätze anzeigen, nicht jedoch bearbeiten.
Benutzerdefiniert Gibt an, dass die Berechtigungseinstellungen vom Standardwert geändert wurden.

Sie können die folgenden Schritte ausführen, um die Berechtigungen für eine Tabelle anzupassen:

  1. Wählen Sie eine Tabelle aus, und klicken Sie dann auf der Befehlsleiste auf die Option Berechtigungseinstellungen oder auf Weitere Aktionen (…) >Berechtigungseinstellungen.

  2. Wählen Sie die Einstellung aus.

  3. Wählen Sie „Speichern“ aus.

Bei tabellenbasierten Berechtigungen umfasst eine Sicherheitsrolle mehrere datenschutzbezogene Berechtigungen, die den Zugriff auf Funktionen steuern, darunter:

  • In Excel exportieren

Screenshot der datenschutzbezogenen Berechtigungen in PPAC

Für datenschutzbezogene Berechtigungen werden nur die Zugriffsebenen „Keine“ oder „Organisation“ verwendet.

Sonstige Berechtigungen

Bei tabellenbasierten Berechtigungen umfasst eine Sicherheitsrolle mehrere sonstige Berechtigungen, die den Zugriff auf Funktionen oder Verwaltungsoptionen steuern, darunter:

  • Massenbearbeitung

  • Zusammenführen

  • Anpassungen exportieren

  • Anpassungen importieren

  • Prüfverlauf anzeigen

Screenshot der verschiedenen Berechtigungen in PPAC

Die meisten sonstigen Berechtigungen verwenden nur die Zugriffsebenen „Keine“ oder „Organisation“, es gibt jedoch einige sonstige Berechtigungen, bei denen alle Zugriffsstufen eingerichtet werden können.

In der nächsten Lerneinheit untersuchen wir das Erstellen einer benutzerdefinierten Rolle.