Gebruikersbeveiliging configureren in een omgeving
Microsoft Dataverse gebruikt een op rollen gebaseerd beveiligingsmodel om de toegang tot een database en de bijbehorende resources in een omgeving te regelen. Gebruik beveiligingsrollen om de toegang tot alle resources in een omgeving of de toegang tot specifieke apps en gegevens in de omgeving te configureren. Een combinatie van toegangsniveaus en machtigingen in een beveiligingsrol bepaalt welke apps en gegevens kunnen worden bekeken door gebruikers en welke interacties deze kunnen hebben met die apps en gegevens.
Een omgeving kan geen of één Dataverse-database hebben. Het proces voor het toewijzen van beveiligingsrollen voor omgevingen zonder Dataverse-database verschilt van dat voor omgevingen met een Dataverse-database.
Meer informatie over omgevingen in Power Platform.
Vooraf gedefinieerde beveiligingsrollen
Omgevingen bevatten vooraf gedefinieerde beveiligingsrollen die algemene gebruikerstaken weerspiegelen. De vooraf gedefinieerde beveiligingsrollen volgen de best practice op het gebied van beveiliging van "minimaal vereiste toegang": bieden de minste toegang tot de minimale zakelijke gegevens die een gebruiker nodig heeft om een app te gebruiken. Deze beveiligingsrollen kunnen worden toegewezen aan een gebruiker, eigenaarsteam en groepsteam. De vooraf gedefinieerde beveiligingsrollen die in een omgeving beschikbaar zijn, zijn afhankelijk van het omgevingstype en de apps die u erin hebt geïnstalleerd.
Er wordt nog een set beveiligingsrollen toegewezen aan toepassingsgebruikers. Deze beveiligingsrollen worden door onze services geïnstalleerd en kunnen niet worden bijgewerkt.
Omgevingen zonder een Dataverse-database
Omgevingsmaker en Omgevingsbeheerder zijn de enige vooraf gedefinieerde rollen voor omgevingen die geen Dataverse-database hebben. Deze rollen worden beschreven in de onderstaande tabel.
Beveiligingsrol | Omschrijving |
---|---|
Omgevingsbeheerder | De rol Omgevingsbeheerder kan alle beheeracties uitvoeren in een omgeving, waaronder:
|
Omgevingsmaker | Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving. Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie. |
Omgevingen met een Dataverse-database
Als de omgeving een Dataverse-database heeft, moet een gebruiker die volledige beheerdersrechten nodig heeft de rol van Systeembeheerder krijgen in plaats van de rol Omgevingsbeheerder.
Gebruikers die apps bouwen die verbinding maken met de database en entiteiten en beveiligingsrollen moeten maken of bijwerken, moeten de rol van Systeemaanpasser hebben naast de rol van Environment Maker. De rol van Omgevingsmaker heeft geen bevoegdheden voor de gegevens van de omgeving.
In de volgende tabel worden de vooraf gedefinieerde beveiligingsrollen in een omgeving met een Dataverse-database beschreven. U kunt deze rollen niet bewerken.
Beveiligingsrol | Omschrijving |
---|---|
App-opener | Heeft minimumbevoegdheden voor algemene taken. Deze rol wordt voornamelijk gebruikt als sjabloon om een aangepaste beveiligingsrol te maken voor modelgestuurde apps. Het heeft geen bevoegdheden voor de kernbedrijfstabellen, zoals Account, Contactpersoon en Activiteit. De rol heeft echter leestoegang op niveau van Organisatie tot systeemtabellen, zoals Verwerken, om voor het leessysteem geleverde werkstromen te ondersteunen. Houd er rekening mee dat deze beveiligingsrol wordt gebruikt wanneer een nieuwe, aangepaste beveiligingsrol wordt gemaakt. |
Basic-gebruiker | Alleen voor kant-en-klare entiteiten kan een app in de omgeving worden uitgevoerd en kunnen veelvoorkomende taken worden uitgevoerd voor de records waarvan ze eigenaar zijn. Het heeft rechten voor de belangrijkste bedrijfstabellen, zoals Account, Contact, Activiteit en Proces. Opmerking: de Common Data Service-beveiligingsrol Gebruiker is hernoemd in Basisgebruiker. Alleen de naam is gewijzigd; gebruikersrechten en roltoewijzing zijn hetzelfde. Als u een oplossing hebt met de Common Data Service-beveiligingsrol Gebruiker, moet u de oplossing bijwerken voordat u deze opnieuw importeert. Anders kunt u per ongeluk de naam beveiligingsrol weer wijzigen in Gebruiker wanneer u de oplossing importeert. |
Gemachtigde | Hiermee kan code een andere gebruiker imiteren of worden uitgevoerd als een andere gebruiker. Deze rol wordt doorgaans gebruikt met een andere beveiligingsrol zodat toegang tot records kan worden verkregen. |
Dynamics 365-beheerder | Dynamics 365-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Gebruikers met deze rol kunnen beheerdersfuncties uitvoeren op Microsoft Power Platform nadat ze zelf hebben verhoogd naar de rol van systeembeheerder. |
Omgevingsmaker | Hiermee kunt u met Microsoft Power Automate nieuwe, aan een omgeving gekoppelde resources maken, waaronder apps, verbindingen, aangepaste API's en stromen. Deze rol heeft echter geen bevoegdheden om toegang te krijgen tot gegevens in een omgeving. Omgevingsmakers kunnen ook de apps die ze bouwen, distribueren in een omgeving naar andere gebruikers in uw organisatie. Ze kunnen de app delen met individuele gebruikers, beveiligingsgroepen of alle gebruikers in de organisatie. |
Globale beheerder | Globale beheerder is een Microsoft 365-beheerdersrol. Een persoon die het zakelijke Microsoft-abonnement koopt, is een globale beheerder en heeft onbeperkte controle over producten in het abonnement en toegang tot de meeste gegevens. Gebruikers met deze rol moeten zichzelf verhogen naar de rol van systeembeheerder. |
Algemene lezer | De rol Algemene lezer wordt nog niet ondersteund in het Power Platform-beheercentrum. |
Office-samenwerker | Heeft leesmachtiging voor tabellen waarin een record is gedeeld met de organisatie. Heeft geen toegang tot andere kern- en aangepaste tabelrecords. Deze rol is toegewezen aan het team van eigenaren van Office-samenwerkers en niet aan een individuele gebruiker. |
Power Platform-beheerder | Power Platform-beheerder is een Microsoft Power Platform-servicebeheerdersrol. Gebruikers met deze rol kunnen beheerdersfuncties uitvoeren op Microsoft Power Platform nadat ze zelf hebben verhoogd naar de rol van systeembeheerder. |
Service verwijderd | Heeft volledige machtiging Verwijderen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het verwijderen van records in alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
Servicelezer | Heeft volledige machtiging Lezen voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het lezen van alle entiteiten. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
Serviceschrijver | Heeft volledige machtigingen Maken, Lezen en Schrijven voor alle entiteiten, inclusief aangepaste entiteiten. Deze rol wordt voornamelijk gebruikt door de service en vereist het maken en bijwerken van records. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
Ondersteuningsgebruiker | Heeft volledige machtiging Lezen voor aanpassingen en instellingen voor bedrijfsbeheer, waarmee ondersteuningspersoneel problemen met de omgevingsconfiguratie kan oplossen. Deze rol heeft geen toegang tot basisrecords. Deze rol kan niet worden toegewezen aan een gebruiker of team. |
systeembeheerder | Heeft volledige machtiging voor het aanpassen of beheren van de omgeving, inclusief het maken, wijzigen en toewijzen van beveiligingsrollen. Hiermee kunt u alle gegevens in de omgeving weergeven. |
systeemaanpasser | Heeft volledige machtiging voor het aanpassen van de omgeving. Hiermee kunt u alle aangepaste tabelgegevens in de omgeving weergeven. Gebruikers met deze rol kunnen echter alleen records weergeven die zij maken in de tabellen Account, Contactpersoon en Activiteit. |
Eigenaar van website-app | Een gebruiker die eigenaar is van de toepassingsregistratie voor websites in de Azure-portal. |
Website-eigenaar | De gebruiker die de Power Pages-website heeft gemaakt. Deze rol wordt beheerd en kan niet worden gewijzigd. |
Naast de vooraf gedefinieerde beveiligingsrollen die zijn beschreven voor Dataverse, zijn er mogelijk andere beveiligingsrollen beschikbaar in uw omgeving, afhankelijk van de Power Platform-onderdelen (Power Apps, Power Automate, Microsoft Copilot Studio) die u hebt. De volgende tabel biedt koppelingen naar meer informatie.
Power Platform-onderdeel | Gegevens |
---|---|
Power Apps | Vooraf gedefinieerde beveiligingsrollen voor omgevingen met een Dataverse-database |
Power Automate | Beveiliging en privacy |
Power Pages | Rollen vereist voor websitebeheer |
Microsoft Copilot Studio | Beveiligingsrollen voor omgeving toewijzen |
Dataverse for Teams-omgevingen
Meer informatie over vooraf gedefinieerde beveiligingsrollen in Dataverse for Teams-omgevingen.
App-specifieke beveiligingsrollen
Als u Dynamics 365-apps in uw omgeving implementeert, worden andere beveiligingsrollen toegevoegd. De volgende tabel biedt koppelingen naar meer informatie.
Dynamics 365-app | Documenten beveiligingsrollen |
---|---|
Dynamics 365 Sales | Vooraf gedefinieerde beveiligingsrollen voor Sales |
Dynamics 365 Marketing | Beveiligingsrollen toegevoegd door Dynamics 365 Marketing |
Dynamics 365 Field Service | Dynamics 365 Field Service-rollen en hun definities |
Dynamics 365 Customer Service | Rollen in Omnichannel for Customer Service |
Dynamics 365 Customer Insights | Customer Insights-rollen |
App-profielbeheer | Rollen en rechten die zijn gekoppeld aan app-profielbeheer |
Dynamics 365 Finance | Beveiligingsrollen in de openbare sector |
Apps voor financiële en bedrijfsactiviteiten | Beveiligingsrollen in Microsoft Power Platform |
Overzicht van beschikbare resources voor vooraf gedefinieerde beveiligingsrollen
In de volgende tabel wordt beschreven welke resources door elke beveiligingsrol kunnen worden geschreven.
Bron | Omgevingsmaker | Omgevingsbeheerder | systeemaanpasser | Systeembeheerder |
---|---|---|---|---|
Canvas-app | X | X | X | X |
Cloudstroom | X (niet-oplossingsbewust) | X | X | X |
Verbindingslijn | X (niet-oplossingsbewust) | X | X | X |
Connection* | X | X | X | X |
Gegevensgateway | - | X | - | X |
Gegevensstroom | X | X | X | X |
Dataverse-tabellen | - | - | X | X |
Modelgestuurde app | X | - | X | X |
Oplossingskader | X | - | X | X |
Bureaubladstroom** | - | - | X | X |
AI Builder | - | - | X | X |
*Verbindingen worden gebruikt in canvas-apps en Power Automate.
**Dataverse for Teams-gebruikers krijgen standaard geen toegang tot bureaubladstromen. U moet uw omgeving upgraden naar volledige Dataverse-mogelijkheden en licentieplannen voor bureaubladstromen verwerven om bureaubladstromen te kunnen gebruiken.
Beveiligingsrollen toewijzen aan gebruikers in een omgeving die geen Dataverse-database heeft
Voor omgevingen zonder Dataverse-database kan een gebruiker met de rol Omgevingsbeheerder in de omgeving beveiligingsrollen toewijzen aan individuele gebruikers of groepen vanuit Microsoft Entra ID.
Meld u aan bij het Power Platform-beheercentrum.
Selecteer Omgevingen> [een omgeving selecteren].
Selecteer in de tegel Toegang de optie Alle weergeven voor Omgevingsbeheerder of Omgevingsmaker om personen voor beide rollen toe te voegen of te verwijderen.
Selecteer Personen toevoegen en specificeer vervolgens de naam of het e-mailadres van een of meer gebruikers of groepen vanuit Microsoft Entra ID.
Selecteer Toevoegen.
Beveiligingsrollen toewijzen aan gebruikers in een omgeving met een Dataverse-database
Beveiligingsrollen kunnen worden toegewezen aan individuele gebruikers, eigenaarteams en Microsoft Entra-groepsteams. Voordat u een rol aan een gebruiker toewijst, controleert u of het account van de gebruiker is toegevoegd aan en is ingeschakeld in de omgeving.
In het algemeen kan een beveiligingsrol alleen worden toegewezen aan gebruikers met een account dat is ingeschakeld in de omgeving. Als u een beveiligingsrol wilt toewijzen aan een gebruikersaccount dat is uitgeschakeld in de omgeving, schakelt u allowRoleAssignmentOnDisabledUsers in OrgDBOrgSettings in.
Meld u aan bij het Power Platform-beheercentrum.
Selecteer Omgevingen> [een omgeving selecteren].
Selecteer op de tegel Toegang de optie Alles weergeven onder Beveiligingsrollen.
Zorg ervoor dat de juiste business unit is geselecteerd in de lijst en selecteer vervolgens een rol uit de lijst met rollen in de omgeving.
Selecteer Personen toevoegen en specificeer vervolgens de naam of het e-mailadres van een of meer gebruikers of groepen vanuit Microsoft Entra ID.
Selecteer Toevoegen.
Een beveiligingsrol maken, bewerken of kopiëren met de nieuwe, moderne gebruikersinterface
U kunt eenvoudig een beveiligingsrol maken, bewerken of kopiëren en deze aanpassen aan uw behoeften.
Ga naar het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.
Selecteer Instellingen.
Vouw Gebruikers en machtigingen uit.
Selecteer Beveiligingsrollen.
Voer de desbetreffende taak uit:
Een beveiligingsrol maken
Selecteer Nieuwe rol vanaf de opdrachtbalk.
Voer in het veld Rolnaam een beschrijvende naam voor de nieuwe rol in.
Selecteer in het veld Business unit de business unit waartoe de rol behoort.
Selecteer of teamleden de rol moeten overnemen.
Als deze instelling is ingeschakeld en de rol is toegewezen aan een team, nemen alle teamleden alle bevoegdheden ovedr die aan de rol zijn gekoppeld.
Selecteer Opslaan.
De bevoegdheden en eigenschappen van een beveiligingsrol definiëren.
Beveiligingsrollen bewerken
Selecteer de rolnaam of selecteer de rij en selecteer vervolgens Bewerken. Vervolgens definieert u de bevoegdheden en eigenschappen van de beveiligingsrol.
Sommige vooraf gedefinieerde beveiligingsrollen kunnen niet worden bewerkt. Als u deze rollen probeert te bewerken, zijn de knoppen Opslaan en Opslaan en sluiten niet beschikbaar.
Een beveiligingsrol kopiëren
Selecteer de beveiligingsrol en selecteer vervolgens Kopiëren. Geef de rol een nieuwe naam. Bewerk de beveiligingsrol indien nodig.
Alleen de bevoegdheden worden gekopieerd, geen toegewezen leden en teams.
Beveiligingsrollen controleren
Controleer beveiligingsrollen om beter inzicht te krijgen in wijzigingen in de beveiliging in uw Power Platform-omgeving.
Een aangepaste beveiligingsrol maken of configureren
Als uw app een aangepaste entiteit gebruikt, moeten de bijbehorende bevoegdheden expliciet worden verleend in een beveiligingsrol voordat uw app kan worden gebruikt. U kunt deze bevoegdheden toevoegen aan een bestaande beveiligingsrol of een aangepaste beveiligingsrol maken.
Elke beveiligingsrol moet een minimaal aantal bevoegdheden bevatten. Meer informatie over beveiligingsrollen en bevoegdheden.
Tip
De omgeving kan records bijhouden die door meerdere apps kunnen worden gebruikt. Mogelijk hebt u meerdere beveiligingsrollen nodig die verschillende bevoegdheden verlenen. Bijvoorbeeld:
- Sommige gebruikers (Editors) hebben alleen bevoegdheden nodig voor het lezen, bijwerken en koppelen van andere records. Voor deze gebruikers is een beveiligingsrol nodig met bevoegdheden voor lezen, schrijven en toevoegen.
- Andere gebruikers hebben mogelijk alle bevoegdheden nodig die Editors hebben, plus de mogelijkheid om te maken, toe te voegen aan, te verwijderen en te delen. De beveiligingsrol voor deze gebruikers zal bevoegdheden hebben voor maken, lezen, schrijven, toevoegen, verwijderen, toewijzen, toevoegen aan en delen.
Een aangepaste beveiligingsrol met minimale rechten maken om een app uit te voeren
Meld u aan bij het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.
Selecteer Instellingen>Gebruikers en machtigingen>Beveiligingsrollen.
Selecteer de rol App-opener en selecteer vervolgens Kopiëren.
Voer de naam van de aangepaste rol in en selecteer vervolgens Kopiëren.
Selecteer in de lijst met beveiligingsrollen de nieuwe rol en selecteer vervolgens Meer acties (…) >Bewerken.
Selecteer in de roleditor het tabblad Aangepaste entiteiten.
Zoek uw aangepaste tabel in de lijst en selecteer de bevoegdheden Lezen, Schrijven en Toevoegen.
Kies Opslaan en sluiten.
Een volledig nieuwe aangepaste beveiligingsrol maken
Meld u aan bij het Power Platform-beheercentrum, selecteer Omgevingen in het navigatiedeelvenster en selecteer vervolgens een omgeving.
Selecteer Instellingen>Gebruikers en machtigingen>Beveiligingsrollen.
Selecteer Nieuwe rol.
Voer de naam van de nieuwe rol in op het tabblad Details.
Zoek op de andere tabbladen uw entiteit en selecteer vervolgens acties en het bereik om ze uit te voeren.
Selecteer een tabblad en zoek naar uw entiteit. Selecteer bijvoorbeeld het tabblad Aangepaste entiteiten om machtigingen in te stellen voor een aangepaste entiteit.
Selecteer de bevoegdheden Lezen, Schrijven, Toevoegen.
Selecteer Opslaan en sluiten.
Minimale bevoegdheden om een app uit te voeren
Wanneer u een aangepaste beveiligingsrol maakt, moet de rol over een aantal minimale bevoegdheden beschikken voor een gebruiker om een app te kunnen uitvoeren. Meer informatie over vereiste minimale bevoegdheden.
Zie ook
Gebruikers toegang verlenen
Gebruikerstoegang tot omgevingen beheren: beveiligingsgroepen en licenties
Hoe toegang tot een record wordt bepaald