Configurare la sicurezza degli utenti in un ambiente
Microsoft Dataverse utilizza un modello di sicurezza basato su ruoli per controllare l'accesso a un database e alle relative risorse in un ambiente. Usa i ruoli di sicurezza per configurare l'accesso a tutte le risorse in un ambiente o ad app e dati specifici nell'ambiente. Una combinazione di livelli di accesso e autorizzazioni in un ruolo di sicurezza determina le app e i dati che gli utenti possono visualizzare e con cui possono interagire.
Un ambiente non può avere più di un database Dataverse. L'assegnazione dei ruoli di sicurezza avviene differentemente per gli ambienti che non hanno database Dataverse e per gli ambienti che hanno un database Dataverse.
Scopri di più sugli ambienti in Power Platform.
Ruoli di sicurezza predefiniti
Gli ambienti includono ruoli di sicurezza predefiniti che riflettono le attività utente comuni. I ruoli di sicurezza predefiniti seguono la procedura consigliata di sicurezza dell'"accesso minimo richiesto": forniscono l'accesso di base ai dati aziendali minimi di cui un utente ha bisogno per usare un'app. Questi ruoli di sicurezza possono essere assegnati a un utente, un team proprietario e un team di gruppo. I ruoli di sicurezza predefiniti disponibili in un ambiente dipendono dal tipo di ambiente e dalle app che hai installato nell'ambiente.
Un altro set di ruoli di sicurezza è assegnato agli utenti delle applicazioni. Questi ruoli di sicurezza vengono installati dai nostri servizi e non possono essere aggiornati.
Ambienti senza un database Dataverse
Autore dell'ambiente e Amministratore dell'ambiente sono gli unici ruoli predefiniti per gli ambienti senza database Dataverse. Questi ruoli sono descritti nella tabella seguente.
Ruolo di sicurezza | Description |
---|---|
Amministratore dell'ambiente | Il ruolo Amministratore dell'ambiente può eseguire tutte le azioni amministrative in un ambiente, comprese le seguenti:
|
Creazione ambiente | Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate e flussi che usano Microsoft Power Automate. Tuttavia questo ruolo non dispone dei privilegi di accesso ai dati in un ambiente. Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione. |
Ambienti con un database Dataverse
Se l'ambiente ha un database Dataverse, a un utente deve essere assegnato il ruolo Amministratore di sistema anziché il ruolo Amministratore dell'ambiente per disporre di privilegi di amministratore completi.
Gli utenti che creano app che si connettono al database e devono creare o aggiornare entità e ruoli di sicurezza, devono disporre del ruolo Addetto alla personalizzazione del sistema oltre al ruolo Autore dell'ambiente. il ruolo Autore dell'ambiente non ha privilegi per i dati dell'ambiente.
La tabella seguente descrive i ruoli di sicurezza predefiniti in un ambiente che ha un database Dataverse. Non puoi modificare questi ruoli.
Ruolo di sicurezza | Description |
---|---|
Apertura app | Ha privilegi minimi per le attività comuni. Questo ruolo viene utilizzato principalmente come modello per creare un ruolo di sicurezza personalizzato per le app basate su modello. Non ha alcun privilegio per le tabelle aziendali principali, come Account, Contatto e Attività. Tuttavia, dispone di accesso in lettura a livello di Organizzazione alle tabelle di sistema, come Processo, per supportare la lettura dei flussi di lavoro forniti dal sistema. Tieni presente che questo ruolo di sicurezza viene utilizzato quando viene creato un nuovo ruolo di sicurezza personalizzato. |
Utente Basic | Solo per le entità predefinite, può eseguire un'app nell'ambiente e attività comuni per i record di sua proprietà. Ha privilegi sulle tabelle aziendali principali, come Account, Contatto, Attività e Processo. Nota: il ruolo di sicurezza Utente di Common Data Service è stato rinominato Utente Basic. Solo il nome è stato cambiato; i privilegi utente e l'assegnazione dei ruoli sono identici. Se hai una soluzione con il ruolo di sicurezza Utente di Common Data Service, devi aggiornare la soluzione prima di importarla di nuovo. In caso contrario, potresti inavvertitamente modificare nuovamente il nome del ruolo di sicurezza in Utente quando importi la soluzione. |
Delegato | Consente al codice di rappresentare un altro utente o di essere eseguito come tale. In genere viene in genere usato con un altro ruolo di sicurezza per consentire l'accesso ai record. |
Amministratore di Dynamics 365 | Amministratore di Dynamics 365 è un ruolo di amministratore del servizio Microsoft Power Platform. Gli utenti di questo ruolo possono eseguire funzioni di amministrazione in Microsoft Power Platform dopo essersi elevati autonomamente al ruolo di amministratore di sistema. |
Creazione ambiente | Può creare nuove risorse associate a un ambiente che include app, connessioni, API personalizzate e flussi che usano Microsoft Power Automate. Questo ruolo non dispone tuttavia dei privilegi di accesso ai dati in un ambiente. Gli autori dell'ambiente possono inoltre distribuire le app che creano in un ambiente agli altri utenti dell'organizzazione. Possono condividere l'app con singoli utenti, gruppi di sicurezza o tutti gli utenti dell'organizzazione. |
Amministratore globale di | Amministratore globale è un ruolo di amministratore di Microsoft 365. Una persona che acquista l'abbonamento a Microsoft Business è un amministratore globale e ha il controllo illimitato sui prodotti inclusi nell'abbonamento e l'accesso alla maggior parte dei dati. Gli utenti di questo ruolo devono elevarsi autonomamente al ruolo di amministratore di sistema. |
Lettore globale | Il ruolo Lettore globale non è ancora supportato nell'interfaccia di amministrazione di Power Platform. |
Collaboratore di Office | Dispone dell'autorizzazione di lettura per le tabelle in cui un record è stato condiviso con l'organizzazione. Non ha accesso ad altri record tabella principali e personalizzati. Questo ruolo viene assegnato al team proprietario dei Collaboratori di Office e non a un singolo utente. |
Amministratore Power Platform | Amministratore di Power Platform è un ruolo di amministratore del servizio di Microsoft Power Platform. Gli utenti di questo ruolo possono eseguire funzioni di amministrazione in Microsoft Power Platform dopo essersi elevati autonomamente al ruolo di amministratore di sistema. |
Servizio eliminato | Ha l'autorizzazione per l'eliminazione completa di tutte le entità, comprese le entità personalizzate. È utilizzato principalmente dal servizio e richiede l'eliminazione di record in tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team. |
Lettore servizi | Dispone delle autorizzazioni di lettura complete per tutte le entità, incluse quelle personalizzate. È utilizzato principalmente dal servizio e richiede la lettura di tutte le entità. Questo ruolo non può essere assegnato a un utente o a un team. |
Writer servizio | Dispone delle autorizzazioni di creazione, lettura e scrittura per tutte le entità, incluse le entità personalizzate. È utilizzato principalmente dal servizio e richiede la creazione e l'aggiornamento di record. Questo ruolo non può essere assegnato a un utente o a un team. |
Utente di supporto | Ha l'autorizzazione di lettura completa per le impostazioni relative a personalizzazioni e gestione aziendale che consente al personale del supporto di risolvere i problemi di configurazione dell'ambiente. Non ha accesso ai record principali. Questo ruolo non può essere assegnato a un utente o a un team. |
Amministratore sistema | Ha autorizzazioni complete per personalizzare o amministrare l'ambiente, incluse quelle per creare, modificare e assegnare ruoli di sicurezza. Può visualizzare tutti i dati nell'ambiente. |
Addetto personalizzazione del sistema | Ha autorizzazioni complete per personalizzare l'ambiente. Può visualizzare tutti i dati della tabella personalizzata nell'ambiente. Tuttavia, gli utenti con questo ruolo possono visualizzare i record che creano nelle tabelle Account, Contatti, Impegni. |
Proprietario app del sito Web | Un proprietario dell'app del portale è un utente che possiede la registrazione dell'applicazione del sito Web nel portale di Azure. |
Proprietario sito Web | Utente che ha creato il sito Web Power Pages. Questo ruolo è gestito e non è possibile modificarlo. |
Oltre ai ruoli di sicurezza predefiniti appena descritti per Dataverse, potrebbero essere disponibili altri ruoli di sicurezza nell'ambiente a seconda dei componenti di Power Platform, ovvero Power Apps, Power Automate, Microsoft Copilot Studio, a tua disposizione. La tabella seguente fornisce collegamenti a ulteriori informazioni.
Componente di Power Platform | Informazioni |
---|---|
Power Apps | Ruoli di sicurezza predefiniti per ambienti con un database Dataverse |
Power Automate | Sicurezza e privacy |
Power Pages | Ruoli obbligatori per l'amministrazione del sito Web |
Microsoft Copilot Studio | Assegnare ruoli di sicurezza dell'ambiente |
Dataverse for Teams ambienti
Scopri di più sui ruoli di sicurezza predefiniti negli ambienti Dataverse for Teams.
Ruoli di sicurezza specifici dell'app
Se distribuisci le app Dynamics 365 nel tuo ambiente, vengono aggiunti altri ruoli di sicurezza. La tabella seguente fornisce collegamenti a ulteriori informazioni.
App Dynamics 365 | Documentazione dei ruoli di sicurezza |
---|---|
Dynamics 365 for Sales | Ruoli di sicurezza predefiniti per Sales |
Dynamics 365 Marketing | Ruoli di sicurezza aggiunti da Dynamics 365 Marketing |
Dynamics 365 Field Service | Ruoli + definizioni di Dynamics 365 Field Service |
Dynamics 365 Customer Service | Ruoli in Multicanale per Customer Service |
Dynamics 365 Customer Insights | Ruoli di Customer Insights |
Responsabile profilo app | Ruoli e privilegi associati alla gestione profilo app |
Dynamics 365 Finance | Ruoli di sicurezza nel settore pubblico |
App per la finanza e le operazioni | Ruoli di sicurezza in Microsoft Power Platform |
Riepilogo delle risorse disponibili per ruoli di sicurezza predefiniti
La tabella seguente descrive quali risorse possono essere create da ogni ruolo di sicurezza.
Risorsa | Creazione ambiente | Amministratore dell'ambiente | Addetto personalizzazione del sistema | Amministratore di sistema |
---|---|---|---|---|
App canvas | X | X | X | X |
Flusso cloud | X (non consapevole della soluzione) | X | X | X |
Connector | X (non consapevole della soluzione) | X | X | X |
Connessione* | X | X | X | X |
Gateway dati | - | X | - | X |
Flusso di dati | X | X | X | X |
Tabelle Dataverse | - | - | X | X |
App basata su modello | X | - | X | X |
Framework della soluzione | X | - | X | X |
Flusso desktop** | - | - | X | X |
AI Builder | - | - | X | X |
*Le connessioni sono utilizzate nelle app canvas e Power Automate.
**Gli utenti di Dataverse for Teams non ottengono l'accesso ai flussi desktop per impostazione predefinita. Devi aggiornare il tuo ambiente alle funzionalità Dataverse complete e acquisire piani di licenza del flusso desktop per utilizzare i flussi desktop.
Assegnare ruoli di sicurezza agli utenti in un ambiente senza database Dataverse
Per gli ambienti senza database Dataverse, un utente che dispone del ruolo Amministratore dell'ambiente nell'ambiente può assegnare ruoli di sicurezza a singoli utenti o gruppi da Microsoft Entra ID.
Accedi all'interfaccia di amministrazione di Power Platform.
Seleziona Ambienti> [seleziona un ambiente].
Nel riquadro Accesso seleziona Vedi tutto per Amministratore ambiente o Creatore ambiente per aggiungere o rimuovere le persone per entrambi i ruoli.
Seleziona Aggiungi utenti, quindi specifica il nome o l'indirizzo e-mail di uno o più utenti o gruppi di Microsoft Entra ID.
Seleziona Aggiungi.
Assegnare ruoli di sicurezza agli utenti in un ambiente con un database Dataverse
È possibile assegnare ruoli di sicurezza a singoli utenti, team proprietari e team di gruppo di Microsoft Entra. Prima di assegnare un ruolo a un utente, verifica che l'account dell'utente sia stato aggiunto all'ambiente e abilitato.
In genere, un ruolo di sicurezza può essere assegnato solo a utenti i cui account sono abilitati nell'ambiente. Per assegnare un ruolo di sicurezza a un account utente disabilitato nell'ambiente, attiva allowRoleAssignmentOnDisabledUsers in OrgDBOrgSettings.
Accedi all'interfaccia di amministrazione di Power Platform.
Seleziona Ambienti> [seleziona un ambiente].
Nel riquadro Accesso selezionare Visualizza tutto in Ruoli di sicurezza.
Assicurati che la Business Unit corretta sia selezionata nell'elenco, quindi seleziona un ruolo nell'elenco di ruoli nell'ambiente.
Seleziona Aggiungi utenti, quindi specifica il nome o l'indirizzo e-mail di uno o più utenti o gruppi di Microsoft Entra ID.
Seleziona Aggiungi.
Crea, modifica o copia un ruolo di sicurezza utilizzando la nuova interfaccia utente moderna
Puoi facilmente creare, modificare o copiare un ruolo di sicurezza e personalizzarlo per soddisfare le tue esigenze.
Vai all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento sinistro, quindi seleziona un ambiente.
Seleziona Impostazioni.
Espandi Utenti e autorizzazioni.
Selezionare Ruoli di sicurezza.
Completa l'attività appropriata:
Crea un ruolo di sicurezza
Nella barra dei comandi, seleziona Nuovo ruolo.
Nel campo Nome ruolo immetti un nome per il nuovo ruolo.
Nel campo Business Unit seleziona la Business Unit a cui appartiene il ruolo.
Specifica se i membri del team devono ereditare il ruolo.
Se questa impostazione è abilitata e il ruolo è assegnato a un team, tutti i membri del team ereditano tutti i privilegi associati al ruolo.
Seleziona Salva.
Modificare un ruolo di sicurezza
Seleziona il nome del ruolo o la riga e poi Modifica. Quindi definisci i privilegi e le proprietà del ruolo di sicurezza.
Alcuni ruoli di sicurezza predefiniti non possono essere modificati. Se provi a modificare questi ruoli, i pulsanti Salva e Salva + Chiudi non sono disponibili.
Copiare un ruolo di sicurezza
Seleziona il ruolo di sicurezza e quindi Copia. Assegna un nuovo nome al ruolo. Modifica il ruolo di sicurezza come necessario.
Vengono copiati solo i privilegi, non i membri e i team assegnati.
Controllo dei ruoli di sicurezza
Controlla i ruoli di sicurezza per comprendere meglio le modifiche apportate alla sicurezza nel tuo ambiente Power Platform.
Creare o configurare un ruolo di sicurezza personalizzato
Se l'app utilizza un'entità personalizzata, i relativi privilegi devono essere assegnati esplicitamente in un ruolo di sicurezza prima che l'app possa essere utilizzato. È possibile aggiungere i privilegi in un ruolo di sicurezza esistente o creare un ruolo di sicurezza personalizzato.
Ogni ruolo di sicurezza deve includere un set minimo di privilegi. Scopri di più sui ruoli di sicurezza e i privilegi.
Suggerimento
L'ambiente potrebbe conservare record che possono essere usati da più app. Potrebbero essere necessari più ruoli di sicurezza che concedono privilegi differenti. Ad esempio:
- Per alcuni utenti (ad esempio, gli editori) potrebbe essere sufficiente leggere, aggiornare e aggiungere altri record, quindi il loro ruolo di sicurezza avrà privilegi di lettura, scrittura e aggiunta.
- Altri utenti potrebbero aver bisogno di tutti i privilegi di cui dispongono gli editori e avere anche la possibilità di creare, aggiungere, eliminare e condividere. Il ruolo di sicurezza per questi utenti avrà i privilegi di creazione, lettura, scrittura, aggiunta, eliminazione, assegnazione, accodamento e condivisione.
Crea un ruolo di sicurezza personalizzato con privilegi minimi per eseguire un'app
Accedi all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento, quindi seleziona un ambiente.
Selezionare Impostazioni>Utenti + autorizzazioni>Ruoli di sicurezza.
Seleziona il ruolo Apertura app, quindi seleziona Copia.
Immetti il nome del ruolo personalizzato e quindi seleziona Copia.
Nell'elenco dei ruoli di sicurezza, seleziona il nuovo ruolo, quindi seleziona Altre azioni (...) >Modifica.
Nell'editor dei ruoli, seleziona la scheda Entità personalizzate.
Trova la tabella personalizzata dall'elenco, seleziona i privilegi Lettura, Scrittura e Aggiunta.
Selezionare Salva e chiudi.
Creare un ruolo di sicurezza da zero
Accedi all'interfaccia di amministrazione di Power Platform, seleziona Ambienti nel riquadro di spostamento, quindi seleziona un ambiente.
Selezionare Impostazioni>Utenti + autorizzazioni>Ruoli di sicurezza.
Seleziona Nuovo ruolo.
Nella scheda Dettagli immetti il nome del nuovo ruolo.
Nelle altre schede, trova la tua entità e quindi seleziona le azioni e l'ambito per eseguirle.
Seleziona una scheda e cerca l'entità. Ad esempio, seleziona la scheda Entità personalizzate per impostare le autorizzazioni su un'entità personalizzata.
Selezionare i privilegi Lettura, Scrttura, Aggiunta.
Seleziona Salva e chiudi.
Privilegi minimi per l'esecuzione di un'app
Quando crei un ruolo di sicurezza personalizzato, il ruolo deve disporre di un set di privilegi minimi affinché un utente possa eseguire un'app. Scopri di più sui privilegi minimi necessari.
Vedi anche
Fornire l'accesso agli utenti
Controllare l'accesso utente agli ambienti: gruppi di sicurezza e licenze
Come viene determinato l'accesso a un record