Создание или изменение роли безопасности для управления доступом

Заметка

Если вы включили режим Только единый интерфейс, перед выполнением описанных в этой статье процедур сделайте следующее:

1. Выберите Настройки () на панели навигации.
2. Выберите Дополнительные параметры.

   

Можно создавать новые роли безопасности для учета изменений в бизнес-требованиях или редактировать привилегии, связанные с существующей ролью безопасности.

Если необходимо создать резервную копию изменений роли безопасности или экспортировать роль безопасности для использования в другой реализации Dynamics 365 Customer Engagement (on-premises), их можно экспортировать как часть экспорта настроек. Дополнительные сведения см. в разделе Экспорт настроек в качестве решения.

Создание роли безопасности

1. Убедитесь, что у вас есть роль безопасности "Системный администратор", "Настройщик системы" или эквивалентные разрешения.

   Проверка вашей роли безопасности

   • Следуйте этим инструкциям: Просмотр профиля пользователя.

   • У вас нет нужных разрешений? Обратитесь к администратору системы.

2. Перейдите в раздел Параметры>Безопасность.

3. Щелкните Роли безопасности.

4. На панели действий нажмите кнопку Создать.

5. Определите привилегии на каждой вкладке.

   Чтобы изменить уровень доступа для объекта прав, щелкайте символ до появления нужного вам символа. Возможные уровни доступа зависят от типа записи: принадлежащая организации или принадлежащая пользователю.

   Совет

   Чтобы последовательно перебрать уровни доступа, можно также щелкнуть заголовок столбца прав либо несколько раз щелкнуть тип записи.
   Имеется набор минимальных привилегий, которые являются обязательными, чтобы можно было использовать новую роль безопасности — см. ниже минимальные привилегии для стандартных задач.

6. Завершив настройку роли безопасности, на панели инструментов щелкните или коснитесь Сохранить и закрыть.

Создание роли безопасности путем копирования роли

1. Убедитесь, что у вас есть роль безопасности "Системный администратор", "Настройщик системы" или эквивалентные разрешения.

   Проверка вашей роли безопасности

   • Следуйте этим инструкциям: Просмотр профиля пользователя.

   • У вас нет нужных разрешений? Обратитесь к администратору системы.

2. Перейдите в раздел Параметры>Безопасность.

3. Щелкните Роли безопасности.

4. Щелкните роль безопасности, из которой требуется скопировать.

5. На панели инструментов "Действия" щелкните Копировать роль.

6. Введите имя новой роли и установите флажок Открыть новую роль безопасности по завершении копирования.

7. Нажмите кнопку ОК.

8. После завершения копирования роли перейдите на каждую из вкладок, а именно "Базовые записи", "Управление бизнесом", "Настройка" и т. д.

9. Определите привилегии на каждой вкладке.

Совет

Чтобы последовательно перебрать уровни доступа, можно также щелкнуть заголовок столбца прав либо несколько раз щелкнуть тип записи.
Имеется набор минимальных привилегий, которые являются обязательными, чтобы можно было использовать новую роль безопасности — см. ниже минимальные привилегии для стандартных задач.

Изменение роли безопасности

Прежде чем изменять существующую роль безопасности убедитесь, что вы понимаете принципы доступа к данным. Дополнительные сведения: Управление доступом к данным

Заметка

Невозможно редактировать роль безопасности системного администратора. Чтобы создать роль безопасности, подобную роли "Системный администратор", копируйте роль безопасности "Системный администратор" и внесите требуемые изменения в новую роль.

1. Убедитесь, что у вас есть роль безопасности "Системный администратор", "Настройщик системы" или эквивалентные разрешения.

   Проверка вашей роли безопасности

   • Следуйте этим инструкциям: Просмотр профиля пользователя.

   • У вас нет нужных разрешений? Обратитесь к администратору системы.

2. Перейдите в раздел Параметры>Безопасность.

3. Щелкните Роли безопасности.

4. В списке ролей безопасности дважды щелкните или коснитесь названия, чтобы открыть страницу, связанную с этой ролью безопасности.

5. Определите привилегии на каждой вкладке.

   Чтобы изменить уровень доступа для объекта прав, щелкайте символ до появления нужного вам символа. Возможные уровни доступа зависят от типа записи: принадлежащая организации или принадлежащая пользователю.

   Совет

   Чтобы последовательно перебрать уровни доступа, можно также щелкнуть заголовок столбца прав либо несколько раз щелкнуть тип записи.
   Имеется набор минимальных привилегий, которые являются обязательными, чтобы можно было использовать новую роль безопасности — см. ниже минимальные привилегии для стандартных задач.

6. Завершив настройку роли безопасности, на панели инструментов щелкните или коснитесь Сохранить и закрыть.

Минимальные привилегии для стандартных задач

Следует помнить минимальные привилегии, которые необходимы для некоторых обычных задач. Это означает, что пользователь должен иметь роль безопасности с этими привилегиями для запуска приложений.

Мы создали решение, которое можно импортировать, предоставляющее роль безопасности с минимальными требуемыми привилегиями.

Сначала загрузите решение из центра загрузи: Роль безопасности с минимальными привилегиями Dataverse.

Затем следуйте указаниям для импорта решения: Импорт, обновление и экспорт решений.

При импорте решения оно создает роль минимальные привилегии для приложений, которую можно копировать (см. раздел Создание роли безопасности путем копирования роли). После завершения копирования роли перейдите на каждую из вкладок, а именно "Базовые записи", "Управление бизнесом", "Настройка" и т. д, и задайте соответствующие привилегии.

Внимание

Необходимо попробовать решение в среде разработки, прежде чем импортировать его в производственную среду.

• При входе в Customer Engagement (on-premises).

  • Назначьте роль безопасности "минимальные привилегии для приложений" или скопируйте эту роль безопасности для пользователя.

  • Для отрисовки сетки сущностей (то есть, списков представлений записей и других данных) назначьте следующие привилегии на вкладке "Базовые записи": привилегия на чтение сущности, ""Чтение сохраненного представления", "Создание, чтение и запись параметров интерфейса сущности пользователя" и назначьте следующую привилегию на вкладке "Управление бизнесом": "Чтение пользователя"

• При входе в Dynamics 365 for Outlook.

  • Для отображения элементов навигации в Customer Engagement (on-premises) и всех кнопок Customer Engagement (on-premises) назначьте роль безопасности "минимальные привилегии для приложений" или скопируйте эту роль безопасности для пользователя.

  • Для отображения сетки сущностей: назначьте привилегию чтения сущности.

  • Для отображения сущностей: назначьте привилегию чтения сущности.

Уведомления о конфиденциальности

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности (исполнительный директор, управляющий сбытом, продавец, системный администратор и вице-президент по сбыту) автоматически получают доступ к сервису в Dynamics 365 для телефонов и других клиентах.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для телефонов. Пользователи могут получить доступ к Dynamics 365 (online) с помощью Dynamics 365 для телефонов, и данные клиентов кэшируются в устройстве под управлением определенного клиента.

В зависимости от определенных параметров на уровне безопасности пользователя и сущности типы данных клиентов, которые можно экспортировать из Dynamics 365 (online) и кэшировать на устройстве конечного пользователя, включают данные записи, метаданные записи, данные сущности, метаданные сущности и бизнес-логику.

Dynamics 365 for Customer Engagement для планшетов и телефонов и Project Finder для Dynamics 365 ("Приложение") позволяют пользователям получать доступ к своему экземпляру Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement со своего планшета и телефона. Для предоставления этой услуги Приложение обрабатывает и хранит информацию, такую как учетные данные пользователя и данные, обрабатываемые пользователем в Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement. Приложение предоставляется только для использования конечными пользователями клиентов корпорации Майкрософт, имеющих право на использование Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement. Приложение обрабатывает информацию пользователя от имени соответствующего клиента корпорации Майкрософт, и корпорация Майкрософт может раскрывать обрабатываемую Приложением информацию по указанию организации, предоставляющей пользователю доступ к Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement. Корпорация Майкрософт не использует информацию, обрабатываемую пользователями посредством Приложения, в каких-либо других целях.

Если пользователи используют Приложение для подключения к Microsoft Dynamics CRM (сетевая версия) или Dynamics 365 for Customer Engagement, то, устанавливая Приложение, пользователи дают согласие на передачу идентификатора, назначенного организации пользователя, идентификатора, назначенного конечному пользователю, а также идентификатора устройства корпорации Майкрософт в целях обеспечения возможности подключения на нескольких устройствах или совершенствования Microsoft Dynamics CRM (сетевая версия), Dynamics 365 for Customer Engagement либо Приложения.

Данные о местонахождении. Если пользователи запрашивают и включают в Приложении услуги или функции, учитывающие местонахождение, Приложение может собирать и использовать точные данные об их местонахождении. Точные данные о местонахождении могут представлять собой данные системы глобального позиционирования (GPS), а также данные, в которых фигурируют расположенные поблизости вышки сотовой связи и точки доступа Wi-Fi. Приложение может отправлять данные о местонахождении в Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement. Приложение может отправлять данные о местонахождении в Карты Bing и в другие сторонние картографические службы, такие как Google Maps и Карты Apple, выбранные пользователем на телефоне пользователя, для обработки данных пользователя в Приложении. Пользователи могут отключить услуги или функции, основанные на данных о местонахождении, или отключить доступ Приложения к местонахождению пользователя путем отключения службы определения местонахождения или путем отключения доступа Приложения к службе определения местонахождения. Использование карт Bing пользователями регулируется соглашением об использовании карт Bing для конечных пользователей, доступным по адресу https://go.microsoft.com/?linkid=9710837, и заявлением о конфиденциальности карт Bing, доступным по адресу https://go.microsoft.com/fwlink/?LinkID=248686. Использование пользователями сторонних картографических служб, а также любой информации, предоставляемой пользователями таким службам, регулируется условиями использования для конечных пользователей и заявлениями о конфиденциальности соответствующих служб. Пользователям следует внимательно ознакомиться с такими и другими условиями использования для конечных пользователей и заявлениями о конфиденциальности.

Приложение может включать в себя ссылки на другие службы Майкрософт, а также на сторонние службы, методики обеспечения конфиденциальности и безопасности которых могут отличаться от соответствующих методик в Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement.  ЕСЛИ ПОЛЬЗОВАТЕЛИ ОТПРАВЛЯЮТ ДАННЫЕ В ДРУГИЕ СЛУЖБЫ МАЙКРОСОФТ ИЛИ СТОРОННИЕ СЛУЖБЫ, ИСПОЛЬЗОВАНИЕ ЭТИХ ДАННЫХ РЕГУЛИРУЕТСЯ ЗАЯВЛЕНИЯМИ О КОНФИДЕНЦИАЛЬНОСТИ СООТВЕТСТВУЮЩИХ СЛУЖБ. Во избежание неоднозначности: на данные, передаваемые за пределы Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement, не распространяется действие соглашений с пользователями в отношении Microsoft Dynamics CRM или Dynamics 365 for Customer Engagement либо соответствующего центра управления безопасностью Microsoft Dynamics. Корпорация Майкрософт рекомендует пользователям ознакомиться с соответствующими заявлениями конфиденциальности других служб.

Лицензированные пользователи Dynamics 365 Online с определенными ролями безопасности (исполнительный директор, управляющий сбытом, продавец, системный администратор и вице-президент по сбыту) автоматически получают право на доступ к услуге путем использования Dynamics 365 для планшетов, а также других клиентов.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над доступом и уровнем предоставляемого доступа, связанного с клиентом для планшетов. Пользователи могут получить доступ к Dynamics 365 (online) с помощью Dynamics 365 для планшетов, и данные клиентов кэшируются в устройстве под управлением определенного клиента.

В зависимости от определенных параметров на уровне безопасности пользователя и сущности типы данных клиентов, которые можно экспортировать из Dynamics 365 (online) и кэшировать на устройстве конечного пользователя, включают данные записи, метаданные записи, данные сущности, метаданные сущности и бизнес-логику.

Если используется Microsoft Dynamics 365 for Outlook, при переходе в автономный режим создается копия данных, с которыми вы работаете, и сохраняется на локальном компьютере. Данные передаются из Dynamics 365 (online) на ваш компьютер с помощью безопасного подключения, и между локальной копией и Dynamics 365 Online сохраняется связь. При следующем входе в Dynamics 365 (online) локальные данные будут синхронизированы с Dynamics 365 (online).

Администратор определяет, обладают ли пользователи вашей организации разрешениями на переход в автономный режим в Microsoft Dynamics 365 for Outlook, с помощью ролей безопасности.

Пользователи и администратор могут настраивать сущности, загружаемые при автономной синхронизации, с помощью параметра Фильтры синхронизации в диалоговом окне Параметры. Либо пользователи и администраторы могут настраивать загружаемые (отправляемые) поля с помощью параметра Дополнительные параметры в диалоговом окне Фильтры синхронизации.

Если используется Dynamics 365 (online), при использовании функции синхронизации с Outlook, синхронизируемые данные Dynamics 365 экспортируются в Outlook. Для гарантии актуальности сведений сохраняется связь между сведениями в Outlook и сведениями в Dynamics 365 (online). При синхронизации с Outlook загружаются только соответствующие коды записей Dynamics 365 для использования при попытке пользователя отследить и настроить элемент Outlook. Данные компании не хранятся на устройстве.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на синхронизацию данных Dynamics 365 с Outlook, с помощью ролей безопасности.

Если вы используете Microsoft Dynamics 365 (online), в результате экспорта данных в статический лист будет создана локальная копия экспортируемых данных и сохранена на компьютере. Данные передаются из Dynamics 365 (online) на ваш компьютер с помощью безопасного подключения, и связь между локальной копией и Dynamics 365 (online) не сохраняется.

При экспорте в динамический лист или сводную таблицу связь между листом Excel и Dynamics 365 (online) сохраняется. Каждый раз при обновлении экспортированного динамического листа или сводной таблицы пользователь должен проходить аутентификацию в Dynamics 365 (online) с использованием своих учетных данных. Вы сможете увидеть только те данные, на просмотр которых у вас есть разрешения.

Администратор определяет, обладают ли пользователи вашей организации разрешениями на экспорт данных в Excel, с помощью ролей безопасности.

Когда пользователи Dynamics 365 (online) печатают данные Dynamics 365, они фактически "экспортируют" эти данные за границы безопасности Dynamics 365 (online) в менее безопасную среду, в данном случае это лист бумаги.

Администратор имеет полный контроль (на уровне роли безопасности или сущности) над данными, которые можно извлечь. Однако после извлечения данных они больше не будут защищены средствами безопасности, предоставляемыми Dynamics 365 (online), и будут контролироваться непосредственно клиентом.

См. также

Концепции безопасности для Dynamics 365 for Customer Engagement
Управление безопасностью, пользователями и группами
Копирование роли безопасности