Comprendre les rôles d’environnement
Certains privilèges sont associés à un rôle de sécurité et vous pouvez associer un utilisateur à un ou plusieurs rôles de sécurité. Considérez les rôles comme un ensemble de privilèges.
Les environnements ont deux rôles prédéfinis qui permettent d’accéder aux autorisations au sein d’un environnement. Vous affectez des utilisateurs à l’un de ces deux rôles lorsque vous déterminez les autorisations que vous souhaitez accorder à un utilisateur dans un environnement. Cependant, si l’environnement dispose d’une base de données Dataverse, d’autres rôles sont ajoutés et les options d’autorisations s’élargissent.
Tout environnement comprend ces rôles prédéfinis :
Administrateur d’environnement
Créateur d’environnement
Important
Un utilisateur est associé automatiquement au rôle Créateur d’environnement lorsqu’il est ajouté à un environnement.
Rôle Administrateur d’environnement
Avant qu’une base de données Dataverse soit ajoutée à l’environnement, le rôle Administrateur d’environnement peut effectuer toutes les actions d’administration dans un environnement, y compris les suivantes :
Ajouter ou supprimer un utilisateur ou un groupe à partir du rôle Administrateur d’environnement ou Créateur d’environnement
Approvisionner une base de données Dataverse pour l’environnement
Afficher et gérer toutes les ressources créées dans l’environnement
Définir des stratégies de protection contre la perte de données
Rôle Créateur d’environnement
Le rôle Créateur d’environnement peut créer des ressources dans un environnement, y compris des applications, des connexions, des connecteurs personnalisés, des passerelles, des applications et des flux qui utilisent Power Automate. Les règles suivantes s’appliquent aux membres du rôle Créateur d’environnement :
Les Créateurs d’environnement peuvent distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs au sein d’une organisation. Ils partagent l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation.
Les utilisateurs ou groupes affectés à ces rôles d’environnement n’ont pas automatiquement accès à la base de données de l’environnement (le cas échéant). Ils doivent être autorisés séparément par un propriétaire de base de données.
Chaque fois qu’un nouvel utilisateur s’inscrit à Power Apps, il est automatiquement ajouté au rôle Créateur d’environnement par défaut.
Environnements avec un magasin de données Dataverse
Si un environnement dispose d’un magasin de données Dataverse, les utilisateurs doivent se voir affecter le rôle Administrateur système au lieu du rôle Administrateur d’environnement pour bénéficier des privilèges Administrateur complets, comme décrit dans le tableau suivant.
Les utilisateurs créant des applications qui se connectent à Dataverse et devant créer ou mettre à jour une table et des rôles de sécurité doivent se voir affecter le rôle Personnalisateur système en sus du rôle Créateur d’environnement. Cela est nécessaire, car le rôle Créateur d’environnement ne dispose pas de privilèges sur les données de l’environnement.
| Rôle de sécurité | Privilèges de base de données* | Description |
|---|---|---|
| Lanceur d’application | Création (auto), Lecture, Écriture (auto), Suppression (auto) | Possède des privilèges minimaux pour les tâches courantes. Ceci est principalement utilisé lors de la création d’un rôle de sécurité pour les applications pilotées par modèle, où une copie du rôle est créée avant d’appliquer l’accès aux données à vos tables. Ce rôle est protégé et ne peut pas être mis à jour. |
| Créateur d’environnement | Personnalisations | Peut créer des ressources associées à un environnement, y compris des applications, des connexions, des API personnalisées, des passerelles et des flux qui utilisent Microsoft Power Automate. Cependant, ce rôle ne dispose d’aucun privilège pour accéder aux données dans un environnement. Les créateurs d’environnement peuvent également distribuer les applications qu’ils créent dans un environnement à d’autres utilisateurs de votre organisation. Ils peuvent partager l’application avec des utilisateurs individuels, des groupes de sécurité ou tous les utilisateurs de l’organisation. |
| Administrateur système | Création, Lecture, Écriture, Suppression, Personnalisations, Rôles de sécurité | Possède une autorisation complète pour personnaliser ou administrer l’environnement, y compris la création, la modification et l’affectation de rôles de sécurité. Peut afficher toutes les données de l’environnement. |
| Personnalisateur système | Création, Lecture, Écriture, Suppression, Personnalisations | Dispose d’une autorisation complète pour personnaliser l’environnement. Peut afficher toutes les données de table personnalisée de l’environnement. Cependant, les utilisateurs dotés de ce rôle peuvent afficher uniquement les lignes (enregistrements) qu’ils créent dans les tables Compte, Contact et Activité. |
| Utilisateur de base | Lecture (auto), Création (auto), Écriture (auto), Suppression (auto) | Peut exécuter une application dans l’environnement et effectuer des tâches courantes pour les enregistrements dont il est propriétaire. Cela ne s’applique qu’aux tables non personnalisées. |
| Suppression de service | Suppression | Dispose d’une autorisation de suppression complète sur toutes les entités, y compris les entités personnalisées. Ce rôle est principalement utilisé par le service et nécessite la suppression des enregistrements de toutes les entités. Ce rôle ne peut pas être affecté à un utilisateur ou une équipe. |
| Lecteur de service | Lecture | Dispose d’une autorisation de lecture complète sur toutes les tables, y compris les tables personnalisées. Ceci est principalement utilisé par le service back-end qui nécessite la lecture de toutes les tables. |
| Rédacteur de service | Création, Lecture, Écriture | Dispose d’autorisations de création, de lecture et d’écriture complètes sur toutes les tables, y compris les tables personnalisées. Ceci est principalement utilisé par le service back-end qui nécessite la création et la mise à jour d’enregistrements. |
| Délégué | Agir au nom d’un autre utilisateur | Permet au code d’emprunter une identité ou de s’exécuter en tant qu’autre utilisateur. Permet généralement d’autoriser l’accès aux enregistrements conjointement avec un autre rôle de sécurité. |
| Administrateur Dynamics 365 | Administrateur Dynamics 365 est un rôle d’administrateur de service Microsoft Power Platform. Ce rôle peut exécuter des fonctions d’administrateur sur Microsoft Power Platform, car il dispose du rôle Administrateur système. | |
| Utilisateur de support | Lecture des paramètres Personnalisations et Gestion d’entreprise | Dispose d’une autorisation de lecture complète sur les paramètres de personnalisation et de gestion d’entreprise pour permettre au personnel de support de résoudre les problèmes de configuration de l’environnement. |
| Collaborateur Office | Lecture (auto) | Dispose d’une autorisation de lecture sur les tables où un enregistrement de ces tables a été partagé avec l’organisation. N’a accès à aucun autre enregistrement de table de base ou personnalisée. Ce rôle est affecté à l’équipe propriétaire Collaborateurs Office et non à un utilisateur individuel. |
| Lecteur général | Le rôle Lecteur général n’est pas encore pris en charge dans le Centre d’administration Power Platform. | |
| Propriétaire de l’application du site web | Utilisateur qui possède l’inscription de l’application du site web dans le portail Azure | |
| Propriétaire du site web | Créateur du site web Power Pages. Ce rôle est géré et ne peut pas être modifié. |
* L’étendue de ces privilèges est globale, sauf mention contraire.
Résumé des ressources disponibles pour les rôles de sécurité prédéfinis
Pour vous permettre de déterminer les rôles que vous devez affecter en fonction des ressources auxquelles ce rôle a accès, le tableau ci-dessous devrait vous être utile.
| Ressource | Créateur d’environnement | Administrateur d’environnement | Personnalisateur système | Administrateur système |
|---|---|---|---|---|
| Application canevas | X | X | X | X |
| Flux de cloud | X (non compatible avec des solutions) | X | X (compatible avec des solutions) | X |
| Connecteur | X | X | - | X |
| Connexion | X | X | - | X |
| Passerelle de données | X | X | - | X |
| Flux de données | X | X | - | X |
| Tables Dataverse | - | - | X | X |
| Application pilotée par modèle | X | - | X | X |
| Infrastructure de solution | X | - | X | X |
| * Flux de bureau | - | - | X | X |
| AI Builder | - | - | X | X |
Important
Les utilisateurs Dataverse for Teams n’ont pas accès aux flux de bureau par défaut. Vous devez mettre à niveau votre environnement vers toutes les fonctionnalités Dataverse et acquérir des plans de licence de flux de bureau afin d’utiliser les flux de bureau.