Gebruikersbeveiliging in een omgeving
Microsoft Dataverse gebruikt een op rollen gebaseerd beveiligingsmodel om de toegang tot een database en de bijbehorende resources in een omgeving te regelen. Gebruik beveiligingsrollen om de toegang tot alle resources in een omgeving of de toegang tot specifieke apps en gegevens in de omgeving te configureren. Een combinatie van toegangsniveaus en machtigingen in een beveiligingsrol bepaalt welke apps en gegevens kunnen worden bekeken door gebruikers en welke interacties deze kunnen hebben met die apps en gegevens.
Een omgeving kan geen of één Dataverse-database hebben. Het proces voor het toewijzen van beveiligingsrollen voor omgevingen zonder Dataverse-database verschilt van dat voor omgevingen met een Dataverse-database.
Meer informatie over omgevingen in Power Platform.
Vooraf gedefinieerde beveiligingsrollen
Omgevingen bevatten vooraf gedefinieerde beveiligingsrollen die algemene gebruikerstaken weerspiegelen. De vooraf gedefinieerde beveiligingsrollen volgen de best practice op het gebied van beveiliging van "minimaal vereiste toegang": bieden de minste toegang tot de minimale zakelijke gegevens die een gebruiker nodig heeft om een app te gebruiken. Deze beveiligingsrollen kunnen worden toegewezen aan een gebruiker, eigenaarsteam en groepsteam. Welke vooraf gedefinieerde beveiligingsrollen beschikbaar zijn in een omgeving, is afhankelijk van het omgevingstype en de apps die erin zijn geïnstalleerd.
Er wordt nog een set beveiligingsrollen toegewezen aan toepassingsgebruikers. Deze beveiligingsrollen worden door onze services geïnstalleerd en kunnen niet worden bijgewerkt.
Omgevingen zonder een Dataverse-database
Omgevingsmaker en Omgevingsbeheerder zijn de enige vooraf gedefinieerde rollen voor omgevingen die geen Dataverse-database hebben. Deze rollen worden beschreven in de onderstaande tabel.
| Beveiligingsrol | Omschrijving |
|---|---|
| Omgevingsbeheerder | De rol Omgevingsbeheerder kan alle beheeracties uitvoeren in een omgeving, waaronder:
|
| Omgevingsmaker | Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving. Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie. |
Omgevingen met een Dataverse-database
Als de omgeving een Dataverse-database heeft, moet een gebruiker die volledige beheerdersrechten nodig heeft de rol van Systeembeheerder krijgen in plaats van de rol Omgevingsbeheerder.
Gebruikers die apps bouwen die verbinding maken met de database en entiteiten en beveiligingsrollen moeten maken of bijwerken, moeten de rol van Systeemaanpasser hebben naast de rol van Environment Maker. De rol van Omgevingsmaker heeft geen bevoegdheden voor de gegevens van de omgeving.
In de volgende tabel worden de vooraf gedefinieerde beveiligingsrollen in een omgeving met een Dataverse-database beschreven. U kunt deze rollen niet bewerken.
| Beveiligingsrol | Omschrijving |
|---|---|
| App-opener | Heeft minimumbevoegdheden voor algemene taken. Deze rol wordt voornamelijk gebruikt als sjabloon om een aangepaste beveiligingsrol te maken voor modelgestuurde apps. Het heeft geen bevoegdheden voor de kernbedrijfstabellen, zoals Account, Contactpersoon en Activiteit. De rol heeft echter leestoegang op niveau van Organisatie tot systeemtabellen, zoals Verwerken, om voor het leessysteem geleverde werkstromen te ondersteunen. Deze beveiligingsrol wordt gebruikt wanneer een nieuwe, aangepaste beveiligingsrol wordt gemaakt. |
| Basic-gebruiker | Alleen voor kant-en-klare entiteiten kan een app in de omgeving worden uitgevoerd en kunnen veelvoorkomende taken worden uitgevoerd voor de records waarvan ze eigenaar zijn. Het heeft rechten voor de belangrijkste bedrijfstabellen, zoals Account, Contactpersoon, Activiteit en Proces. Opmerking: de Common Data Service-beveiligingsrol Gebruiker is hernoemd in Basisgebruiker. Alleen de naam is gewijzigd; gebruikersrechten en roltoewijzing zijn hetzelfde. Als u een oplossing hebt met de Common Data Service-beveiligingsrol Gebruiker, moet u de oplossing bijwerken voordat u deze opnieuw importeert. Anders kunt u per ongeluk de naam beveiligingsrol weer wijzigen in Gebruiker wanneer u de oplossing importeert. |
| Gemachtigde | Hiermee kan code een andere gebruiker imiteren of worden uitgevoerd als een andere gebruiker. Deze rol wordt doorgaans gebruikt met een andere beveiligingsrol zodat toegang tot records kan worden verkregen. |
| Dynamics 365-beheerder | Dynamics 365-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Gebruikers met deze rol kunnen beheerdersfuncties uitvoeren op Microsoft Power Platform nadat ze zelf hebben verhoogd naar de rol van systeembeheerder. |
| Omgevingsmaker | Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving. Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie. |
| Globale beheerder | Globale beheerder is een Microsoft 365-beheerdersrol. Een persoon die het zakelijke Microsoft-abonnement koopt, is een globale beheerder en heeft onbeperkte controle over producten in het abonnement en toegang tot de meeste gegevens. Gebruikers met deze rol moeten zichzelf verhogen naar de rol van systeembeheerder. |
| Algemene lezer | De rol Algemene lezer wordt nog niet ondersteund in het Power Platform-beheercentrum. |
| Office-samenwerker | Heeft leesmachtiging voor tabellen waarin een record is gedeeld met de organisatie. Heeft geen toegang tot andere kern- en aangepaste tabelrecords. Deze rol is toegewezen aan het team van eigenaren van Office-samenwerkers en niet aan een individuele gebruiker. |
| Power Platform-beheerder | Power Platform-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Gebruikers met deze rol kunnen beheerdersfuncties uitvoeren op Microsoft Power Platform nadat ze zelf hebben verhoogd naar de rol van systeembeheerder. |
| Service verwijderd | Heeft volledige machtiging Verwijderen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het verwijderen van records in alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
| Servicelezer | Heeft volledige machtiging Lezen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het lezen van alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
| Serviceschrijver | Heeft volledige machtigingen Maken, Lezen en Schrijven voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het maken en bijwerken van records. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
| Ondersteuningsgebruiker | Heeft volledige machtiging Lezen voor aanpassingen en instellingen voor bedrijfsbeheer, waarmee ondersteuningspersoneel problemen met de omgevingsconfiguratie kan oplossen. Deze rol heeft geen toegang tot basisrecords. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
| systeembeheerder | Heeft volledige machtiging voor het aanpassen of beheren van de omgeving, inclusief het maken, wijzigen en toewijzen van beveiligingsrollen. Hiermee kunt u alle gegevens in de omgeving weergeven. |
| systeemaanpasser | Heeft volledige machtiging voor het aanpassen van de omgeving. Hiermee kunt u alle aangepaste tabelgegevens in de omgeving weergeven. Gebruikers met deze rol kunnen echter alleen records weergeven die zij maken in de tabellen Account, Contactpersoon en Activiteit. |
| Eigenaar van website-app | Een gebruiker die eigenaar is van de toepassingsregistratie voor websites in de Azure-portal. |
| Website-eigenaar | De gebruiker die de Power Pages-website heeft gemaakt. Deze rol wordt beheerd en kan niet worden gewijzigd. |
Naast de vooraf gedefinieerde beveiligingsrollen die zijn beschreven voor Dataverse, zijn er mogelijk andere beveiligingsrollen beschikbaar in uw omgeving, afhankelijk van de Power Platform-onderdelen (Power Apps, Power Automate, Microsoft Copilot Studio) die u hebt. De volgende tabel biedt koppelingen naar meer informatie.
| Power Platform-onderdeel | Gegevens |
|---|---|
| Power Apps | Vooraf gedefinieerde beveiligingsrollen voor omgevingen met een Dataverse-database |
| Power Automate | Beveiliging en privacy |
| Power Pages | Rollen vereist voor websitebeheer |
| Microsoft Copilot Studio | Beveiligingsrollen voor omgeving toewijzen |
Dataverse for Teams-omgevingen
Meer informatie over vooraf gedefinieerde beveiligingsrollen in Dataverse for Teams-omgevingen.
App-specifieke beveiligingsrollen
Als u Dynamics 365-apps in uw omgeving implementeert, worden andere beveiligingsrollen toegevoegd. De volgende tabel biedt koppelingen naar meer informatie.
| Dynamics 365-app | Documenten beveiligingsrollen |
|---|---|
| Dynamics 365 Sales | Vooraf gedefinieerde beveiligingsrollen voor Sales |
| Dynamics 365 Marketing | Beveiligingsrollen toegevoegd door Dynamics 365 Marketing |
| Dynamics 365 Field Service | Dynamics 365 Field Service-rollen en hun definities |
| Dynamics 365 Customer Service | Rollen in Omnichannel for Customer Service |
| Dynamics 365 Customer Insights | Customer Insights-rollen |
| App-profielbeheer | Rollen en rechten die zijn gekoppeld aan app-profielbeheer |
| Dynamics 365 Finance | Beveiligingsrollen in de openbare sector |
| Apps voor financiële en bedrijfsactiviteiten | Beveiligingsrollen in Microsoft Power Platform |
Overzicht van beschikbare resources voor vooraf gedefinieerde beveiligingsrollen
In de volgende tabel wordt beschreven welke resources door elke beveiligingsrol kunnen worden geschreven.
| Bron | Omgevingsmaker | Omgevingsbeheerder | systeemaanpasser | Systeembeheerder |
|---|---|---|---|---|
| Canvas-app | X | X | X | X |
| Cloudstroom | X (niet-oplossingsbewust) | X | X | X |
| Verbindingslijn | X (niet-oplossingsbewust) | X | X | X |
| Connection* | X | X | X | X |
| Gegevensgateway | - | X | - | X |
| Gegevensstroom | X | X | X | X |
| Dataverse-tabellen | - | - | X | X |
| Modelgestuurde app | X | - | X | X |
| Oplossingskader | X | - | X | X |
| Bureaubladstroom** | - | - | X | X |
| AI Builder | - | - | X | X |
*Verbindingen worden gebruikt in canvas-apps en Power Automate.
**Dataverse for Teams-gebruikers krijgen standaard geen toegang tot bureaubladstromen. U moet uw omgeving upgraden naar volledige Dataverse-mogelijkheden en licentieplannen voor bureaubladstromen verwerven om bureaubladstromen te kunnen gebruiken.