Brukersikkerhet i et miljø
Microsoft Dataverse bruker en rollebasert sikkerhetsmodell til å styre tilgang til en database og ressursene dens i et miljø. Bruk sikkerhetsroller til å konfigurere tilgang til alle ressurser i et miljø eller til bestemte apper og data i miljøet. En kombinasjon av tilgangsnivåer og tillatelser i en sikkerhetsrolle fastsetter hvilke apper og data brukere kan vise, og hvordan de kan samhandle disse appene og dataene.
Et miljø kan ha ingen eller én Dataverse-database. Du tilordner sikkerhetsroller på en annen måte for miljøer uten en Dataverse-database enn for miljøer som har en Dataverse-database.
Finn ut mer om miljøer i Power Platform.
Forhåndsdefinerte sikkerhetsroller
Miljøer omfatter forhåndsdefinerte sikkerhetsroller som gjenspeiler vanlige brukeroppgaver. De forhåndsdefinerte sikkerhetsrollene følger den anbefalte sikkerhetspraksisen om «ikke å gi mer tilgang enn nødvendig»: ikke gi brukere mer tilgang til forretningsdata enn det de trenger for å kunne bruke en app. Disse sikkerhetsrollene kan tilordnes til en bruker, et eierteam og et gruppeteam. De forhåndsdefinerte sikkerhetsrollene som er tilgjengelige i et miljø, avhenger av miljøtypen og appene som er installert i den.
Et annet sett med sikkerhetsroller er tilordnet til programbrukere. Disse sikkerhetsrollene installeres av tjenestene våre og kan ikke oppdateres.
Miljøer uten en Dataverse-database
Miljøoppretter og miljøadministrator er de eneste forhåndsdefinerte rollene for miljøer uten en Dataverse-database. Disse rollene beskrives i følgende tabell.
| Sikkerhetsrolle | Bekrivelse |
|---|---|
| Miljøadministrasjon | Miljøadministrator-rollen kan utføre alle administrative handlinger i et miljø, inkludert følgende:
|
| Miljøoppretter | Kan opprette nye ressurser som er knyttet til et miljø, inkludert apper, tilkoblinger, egendefinerte API-er og flyter, ved hjelp av Microsoft Power Automate. Denne rollen har imidlertid ikke rettigheter til data i et miljø. Miljøutviklere kan også distribuere appene de utvikler i et miljø, til andre brukere i organisasjonen. De kan dele appen med individuelle brukere, sikkerhetsgrupper eller alle brukere i organisasjonen. |
Miljøer med en Dataverse-database
Hvis miljøet har en Dataverse-database, må en bruker være tilordnet rollen som systemadministrator i stedet for miljøadministrator for å få fullstendige administratorrettigheter.
Brukere som utvikler apper som kobler til databasen og som trenger å opprette eller oppdatere enheter og sikkerhetsroller, må du tilordne rollen Systemtilpasser i tillegg til Miljøutvikler-rollen. Miljøutvikler-rollen har ikke rettigheter til miljødataene.
Tabellen nedenfor beskriver de forhåndsdefinerte sikkerhetsrollene i et miljø som har en Dataverse-database. Du kan ikke redigere disse rollene.
| Sikkerhetsrolle | Bekrivelse |
|---|---|
| Appåpner | Har minimumsrettigheter for vanlige oppgaver. Denne rollen brukes hovedsakelig som mal for å opprette en egendefinert sikkerhetsrolle for modelldrevne apper. Den har ingen rettigheter til kjerneforretningstabellene, for eksempel Forretningsforbindelse, Kontakt og Aktivitet. Den har imidlertid lesetilgang til systemtabeller, for eksempel Prosess, på Organisasjon-nivå for å støtte lesing av systemleverte arbeidsflyter. Denne sikkerhetsrollen brukes når en ny, egendefinert sikkerhetsrolle opprettes. |
| Basic-bruker | Kan kjøre en app i miljøet og utføre vanlige oppgaver for oppføringene de eier, men bare for bruksklare enheter. Den har rettigheter til kjernevirksomhetstabellene, for eksempel Forretningsforbindelse, Kontakt, Aktivitet og Prosess. Obs: Sikkerhetsrollen Common Data Service-bruker har fått endret navnet til Basic-bruker. Bare navnet er endret. Brukerrettigheter og rolletilordning er som før. Hvis du har en løsning med sikkerhetsrollen Common Data Service-bruker, må du oppdatere løsningen før du importerer den på nytt. Hvis ikke kan du endre navnet på sikkerhetsrollen tilbake til Bruker ved et uhell når du importerer løsningen. |
| Representant | Gjør at kode kan representere, eller kjøre som, en annen bruker. Brukes vanligvis med en annen sikkerhetsrolle for å gi tilgang til oppføringer. |
| Systemansvarlig for Dynamics 365 | Dynamics 365-administrator er en Microsoft Power Platform-tjenesteadministratorrolle. Brukere av denne rollen kan utføre administratorfunksjoner på Microsoft Power Platform etter at de har hevet seg selv til rollen systemansvarlig. |
| Miljøoppretter | Kan opprette nye ressurser som er knyttet til et miljø, inkludert apper, tilkoblinger, egendefinerte API-er og flyter, ved hjelp av Microsoft Power Automate. Denne rollen har imidlertid ikke rettigheter til data i et miljø. Miljøutviklere kan også distribuere appene de utvikler i et miljø, til andre brukere i organisasjonen. De kan dele appen med individuelle brukere, sikkerhetsgrupper eller alle brukere i organisasjonen. |
| Global administrator | Global administrator er en Microsoft 365-administratorrolle. En person som kjøper Microsoft-forretningsabonnementet, er en global administrator og har ubegrenset kontroll over produkter i abonnementet og tilgang til de fleste data. Brukere av denne rollen må heve seg selv til rollen systemansvarlig. |
| Global leser | Rollen Global leser støttes ennå ikke i administrasjonssenteret for Power Platform. |
| Office-samarbeidspartner | Har lesetillatelse til tabeller der en oppføring ble delt med organisasjonen. Har ikke tilgang til andre kjerneoppføringer og egendefinerte tabelloppføringer. Denne rollen er tilordnet eierteamet for Office-samarbeidspartnere og ikke til en enkeltbruker. |
| Power Platform-administrator | Power Platform-administrator er en Microsoft Power Platform-tjenesteadministratorrolle. Brukere av denne rollen kan utføre administratorfunksjoner på Microsoft Power Platform etter at de har hevet seg selv til rollen systemansvarlig. |
| Tjeneste slettet | Har full slettetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever sletting av oppføringer i alle enheter. Denne rollen kan ikke tilordnes til en bruker eller et team. |
| Tjenesteleser | Har full lesetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever lesing av alle enheter. Denne rollen kan ikke tilordnes til en bruker eller et team. |
| Tjenesteskriver | Har full opprettings-, lese- og skrivetillatelse til alle enheter, inkludert egendefinerte enheter. Denne rollen brukes hovedsakelig av tjenesten og krever oppretting og oppdatering av poster. Denne rollen kan ikke tilordnes til en bruker eller et team. |
| Støttebruker | Har full lesetilgang til innstillinger for tilpassing og forretningsadministrasjon, som gjør det mulig for støttepersonell å feilsøke problemer med konfigurasjon av miljø. Denne rollen har ikke tilgang til kjerneoppføringer. Denne rollen kan ikke tilordnes til en bruker eller et team. |
| Systemansvarlig | Har full tillatelse til å tilpasse eller administrere miljøet, inkludert opprette, endre og tilordne sikkerhetsroller. Kan vise alle data i miljøet |
| Systemtilpasser | Har alle tillatelser til å tilpasse miljøet. Kan vise alle egendefinerte tabelldata i miljøet. Brukere med denne rollen, kan imidlertid bare vise oppføringer de oppretter i tabeller for forretningsforbindelse, kontakt, aktivitet. |
| Nettstedsappeier | En bruker som eier programregistreringen for nettstedet i Azure-portalen. |
| Nettstedseier | Brukeren som opprettet Power Pages-nettstedet. Denne rollen administreres og kan ikke endres. |
I tillegg til de forhåndsdefinerte sikkerhetsrollene beskrevet for Dataverse, kan det hende at andre sikkerhetsroller er tilgjengelige i miljøet, avhengig av Power Platform-komponentene – Power Apps, Power Automate, Microsoft Copilot Studio – du har. Tabellen nedenfor inneholder koblinger til mer informasjon.
| Power Platform-komponent | Informasjon |
|---|---|
| Power Apps | Forhåndsdefinerte sikkerhetsroller for miljøer med en Dataverse-database |
| Power Automate | Sikkerhet og personvern |
| Power Pages | Roller som kreves for nettstedsadministrasjon |
| Microsoft Copilot Studio | Tilordne sikkerhetsroller for miljø |
Dataverse for Teams-miljøer
Finn ut mer om forhåndsdefinerte sikkerhetsroller i Dataverse for Teams-miljøer.
Appspesifikke sikkerhetsroller
Hvis du distribuerer Dynamics 365-apper i miljøet, blir andre sikkerhetsroller lagt til. Tabellen nedenfor inneholder koblinger til mer informasjon.
| Dynamics 365-app | Sikkerhetsrolledokumenter |
|---|---|
| Dynamics 365 Sales | Forhåndsdefinerte sikkerhetsroller for Salg |
| Dynamics 365 Marketing | Sikkerhetsroller som er lagt til av Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service-roller + definisjoner |
| Dynamics 365 Customer Service | Roller i Omnikanal for Customer Service |
| Dynamics 365 Customer Insights | Customer Insights-roller |
| Behandling av approfil | Roller og rettigheter knyttet til behandling av approfiler |
| Dynamics 365 Finance | Sikkerhetsroller i offentlig sektor |
| Økonomi- og driftsapper | Sikkerhetsroller i Microsoft Power Platform |
Sammendrag av ressurser som er tilgjengelige for forhåndsdefinerte sikkerhetsroller
Tabellen nedenfor beskriver hvilke ressurser hver sikkerhetsrolle kan redigere.
| Ressurs | Miljøoppretter | Miljøadministrasjon | Systemtilpasser | Systemadministrator |
|---|---|---|---|---|
| Lerretsapp | X | X | X | X |
| Skyflyt | X (ikke-løsningsklar) | X | X | X |
| Kobling | X (ikke-løsningsklar) | X | X | X |
| Tilkobling* | X | X | X | X |
| Datagateway | - | X | - | X |
| Dataflyt | X | X | X | X |
| Dataverse-tabeller | - | - | X | X |
| Modelldrevet app | X | - | X | X |
| Løsningsrammeverk | X | - | X | X |
| Skrivebordsflyt** | - | - | X | X |
| AI Builder | - | - | X | X |
*Tilkoblinger brukes i lerretsapper og Power Automate.
**Dataverse for Teams-brukere får som standard ikke tilgang til skrivebordsflyter. Du må oppgradere miljøet til fulle Dataverse-funksjoner og anskaffe lisensplaner for skrivebordsflyt for å kunne bruke skrivebordsflyter.