Sécurité des utilisateurs dans un environnement
Microsoft Dataverse utilise un modèle de sécurité basé sur les rôles pour contrôler l’accès à une base de données et à ses ressources dans un environnement. Utilisez les rôles de sécurité pour configurer l’accès à toutes les ressources d’un environnement ou à des applications et des données spécifiques dans l’environnement. Une combinaison de niveaux et d’autorisations d’accès dans un rôle de sécurité détermine quelles applications et données les utilisateurs peuvent afficher et comment ils peuvent interagir avec ces applications et données.
Un environnement peut n’avoir aucune ou qu’une seule base de donnée Dataverse. Vous attribuez des rôles de sécurité différemment pour les environnements sans base de données Dataverse et les environnements avec une base de données Dataverse.
En savoir plus sur les environnements dans Power Platform.
Rôles de sécurité prédéfinis
Les environnements comprennent des rôles de sécurité prédéfinis qui reflètent les tâches courantes de l’utilisateur. Les rôles de sécurité prédéfinis suivent les meilleures pratiques de sécurité de « l’accès minimal requis » : ils fournissent l’accès minimal aux données métier minimales dont un utilisateur a besoin pour utiliser une application. Ces rôles de sécurité peuvent être attribués à un utilisateur, à l’équipe propriétaire et à l’équipe de groupe. Les rôles de sécurité prédéfinis disponibles dans un environnement dépendent du type d’environnement et des applications qui y sont installées.
Un autre ensemble de rôles de sécurité est attribué aux utilisateurs de l’application. Ces rôles de sécurité sont installés par nos services et ne peuvent pas être mis à jour.
Environnements sans base de données Dataverse
Créateur d’environnement et Administrateur d’environnement sont les seuls rôles prédéfinis pour les environnements sans base de données Dataverse. Ces rôles sont décrits dans le tableau suivant.
| Rôle de sécurité | Description |
|---|---|
| Administrateur de l’environnement | Le rôle Administrateur d’environnement peut effectuer toutes les actions d’administration sur un environnement, y compris les suivantes :
|
| Créateur d’environnement | Peut créer des ressources associées à un environnement, incluant des applications, des connexions, des API personnalisées et des flux à l’aide de Microsoft Power Automate. Cependant, ce rôle ne dispose pas de privilèges pour accéder aux données d’un environnement. Les créateurs d’environnement peuvent également distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs de votre organisation. Ils peuvent partager l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation. |
Environnements avec une base de données Dataverse
Si l’environnement a une base de données Dataverse, un utilisateur doit recevoir le rôle Administrateur système au lieu du rôle Administrateur d’environnement pour avoir des privilèges d’administrateur complets.
Les utilisateurs qui créent des applications qui se connectent à la base de données et qui doivent créer ou mettre à jour des entités et des rôles de sécurité doivent avoir le rôle Personnalisateur du système en sus du rôle Créateur d’environnement. Le rôle Créateur d’environnement ne dispose pas de privilèges sur les données de l’environnement.
Le tableau suivant décrit les rôles de sécurité prédéfinis dans un environnement avec une base de données Dataverse. Vous ne pouvez pas modifier ces rôles.
| Rôle de sécurité | Description |
|---|---|
| Lanceur d’application | A des privilèges minimum pour les tâches courantes. Ce rôle est principalement utilisé comme modèle pour créer un rôle de sécurité personnalisé pour les applications pilotées par modèle. Il n’a aucun privilège sur les tables d’activité principales, telles que Compte, Contact et Activité. Cependant, il dispose d’un accès en lecture au niveau de l’organisation aux tables système, telles que Processus, pour prendre en charge la lecture des workflows fournis par le système. Ce rôle de sécurité est utilisé lorsqu’un nouveau rôle de sécurité personnalisé est créé. |
| Utilisateur de base | Pour les entités prédéfinies uniquement, peut exécuter une application dans l’environnement et effectuer des tâches courantes sur les enregistrements dont il est propriétaire. Il dispose de privilèges sur les tables métier principales, telles que Compte, Contact, Activité et Processus. Remarque : le rôle de sécurité Utilisateur de Common Data Service a été renommé Utilisateur de base. Seul le nom a été modifié ; les privilèges de l’utilisateur et l’attribution de rôle sont les mêmes. Si vous avez une solution avec le rôle de sécurité Utilisateur de Common Data Service, vous devez mettre à jour la solution avant de l’importer à nouveau. Sinon, vous risquez de modifier par inadvertance le nom du rôle de sécurité en Utilisateur lorsque vous importez la solution. |
| Délégué | Autorise le code à emprunter une identité ou à s’exécuter en tant qu’un autre utilisateur. Généralement utilisé avec un autre rôle de sécurité pour autoriser l’accès aux enregistrements. |
| Administrateur Dynamics 365 | Administrateur Dynamics 365 est un rôle d'administration de service de Microsoft Power Platform. Les utilisateurs dotés de ce rôle peuvent exécuter des fonctions d’administration sur Microsoft Power Platform une fois qu’ils s’auto-élèvent au rôle d’administrateur système. |
| Créateur d’environnement | Peut créer des ressources associées à un environnement, incluant des applications, des connexions, des API personnalisées et des flux à l’aide de Microsoft Power Automate. Cependant, ce rôle ne dispose d’aucun privilège pour accéder aux données d’un environnement. Les créateurs d’environnement peuvent également distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs de votre organisation. Ils peuvent partager l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation. |
| Administrateur général | Administrateur général est un rôle d’administrateur Microsoft 365. Une personne qui achète l’abonnement d’entreprise Microsoft est un administrateur général et a un contrôle illimité sur les produits de l’abonnement et un accès à la plupart des données. Les utilisateurs dotés de ce rôle doivent s’auto-élever au rôle d’administrateur système. |
| Lecteur global | Le rôle Lecteur général n’est pas encore pris en charge dans le centre d’administration Power Platform. |
| Collaborateur Office | Dispose d’une autorisation de lecture sur les tables dans lesquelles un enregistrement a été partagé avec l’organisation. N’a accès à aucun autre enregistrement de table de base ou personnalisée. Ce rôle est attribué à l’équipe propriétaire des collaborateurs Office et non à un utilisateur individuel. |
| Administrateur Power Platform | Administrateur Power Platform est un rôle d’administrateur de service Microsoft Power Platform. Les utilisateurs dotés de ce rôle peuvent exécuter des fonctions d’administration sur Microsoft Power Platform une fois qu’ils s’auto-élèvent au rôle d’administrateur système. |
| Service supprimé | Dispose d’une autorisation de suppression complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la suppression d’enregistrements dans toutes les entités. Ce rôle ne peut pas être affecté à un utilisateur ou une équipe. |
| Lecteur de services | Dispose d’une autorisation de lecture complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la lecture de toutes les entités. Ce rôle ne peut pas être affecté à un utilisateur ou une équipe. |
| Rédacteur de service | Dispose d’une autorisation de création, de lecture et d’écriture complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la création ou la mise à jour d’enregistrements. Ce rôle ne peut pas être affecté à un utilisateur ou une équipe. |
| Utilisateur de support | Dispose d’une autorisation de lecture complète sur les paramètres de personnalisation et de gestion d’entreprise, qui permettent au personnel du support de résoudre les problèmes de configuration de l’environnement. Ce rôle n’a pas accès aux enregistrements de base. Ce rôle ne peut pas être affecté à un utilisateur ou une équipe. |
| Administrateur du système | Dispose d’une autorisation complète pour personnaliser ou administrer l’environnement, notamment pour créer, modifier et attribuer des rôles de sécurité. Peut afficher toutes les données de l’environnement. |
| Personnalisateur système | Dispose d’une autorisation complète pour personnaliser l’environnement. Peut visualiser toutes les données des tables personnalisées dans l’environnement. Cependant, les utilisateurs dotés de ce rôle ne peuvent qu’afficher les enregistrements qu’ils créent dans les tables Compte, Contact et Activité. |
| Propriétaire de l’application du site Web | Un utilisateur qui possède l’enregistrement de l’application du site Web dans le portail Azure. |
| Propriétaire du site Web | L’utilisateur qui a créé le site Web Power Pages. Ce rôle est géré et ne peut pas être modifié. |
Outre les rôles de sécurité prédéfinis décrits pour Dataverse, d’autres rôles de sécurité peuvent être disponibles dans votre environnement en fonction des composants Power Platform (Power Apps, Power Automate, Microsoft Copilot Studio) dont vous disposez. Le tableau suivant fournit des liens vers d’autres informations.
| Composant Power Platform | Information |
|---|---|
| Power Apps | Rôles de sécurité prédéfinis pour les environnements avec une base de données Dataverse |
| Power Automate | Sécurité et confidentialité |
| Power Pages | Rôles requis pour l’administration du site web |
| Microsoft Copilot Studio | Attribuer des rôles de sécurité d’un environnement |
Dataverse for Teams environnements
En savoir plus sur les rôles de sécurité prédéfinis dans les environnements Dataverse for Teams.
Rôles de sécurité spécifiques aux applications
Si vous déployez les applications Dynamics 365 dans votre environnement, d’autres rôles de sécurité sont ajoutés. Le tableau suivant fournit des liens vers d’autres informations.
| Application Dynamics 365 | Documents du rôle de sécurité |
|---|---|
| Dynamics 365 Sales | Rôles de sécurité prédéfinis pour Sales |
| Dynamics 365 Marketing | Rôles de sécurité ajoutés par Dynamics 365 Marketing |
| Dynamics 365 Field Service | Rôles Dynamics 365 Field Service et définitions |
| Dynamics 365 Customer Service | Rôles dans Omnichannel for Customer Service |
| Dynamics 365 Customer Insights | Rôles Customer Insights |
| Gestionnaire de profil d’application | Rôles et privilèges associés au gestionnaire de profil d’application |
| Dynamics 365 Finance | Rôles de sécurité dans le secteur public |
| Applications de finances et d’opérations | Rôles de sécurité dans Microsoft Power Platform |
Récapitulatif des ressources disponibles pour les rôles de sécurité prédéfinis
Le tableau suivant décrit les ressources que chaque rôle de sécurité peut créer.
| Ressource | Créateur d’environnement | Administrateur de l’environnement | Personnalisateur du système | Administrateur système |
|---|---|---|---|---|
| Application canevas | X | X | X | X |
| Flux cloud | X (non compatible avec la solution) | X | X | X |
| Connector | X (non compatible avec la solution) | X | X | X |
| Connexion* | X | X | X | X |
| Passerelle de données | - | X | - | X |
| Flux de données | X | X | X | X |
| Tables Dataverse | - | - | X | X |
| Application pilotée par modèle | X | - | X | X |
| Framework de la solution | X | - | X | X |
| Flux de bureau** | - | - | X | X |
| AI Builder | - | - | X | X |
*Les connexions sont utilisées dans les applications canevas et Power Automate.
**Les utilisateurs Dataverse for Teams n’ont pas accès aux flux de bureau par défaut. Vous devez mettre à niveau votre environnement pour bénéficier des fonctionnalités complètes de Dataverse et acquérir des plans de licence de flux de bureau pour utiliser les flux de bureau.