Поделиться через

Управление безопасностью для Power Automate

  • Статья

Чтобы управлять безопасностью для Power Automate, важно понимать концепции безопасности и терминологию Microsoft Dataverse, которая является базовой платформой данных для компонентов Power Platform. Microsoft Dataverse имеет надежную модель безопасности, которая использует роли безопасности, рабочие группы и бизнес-подразделения для управления доступом к таблицам, полям и записям с использованием разрешений и управления доступом на уровне строк. Дополнительные сведения: Роли безопасности и привилегии Dataverse.

В этой статье объясняются встроенные роли безопасности, доступные для потоков Power Automate Desktop.

Заметка

Данные и конфигурации Dataverse основаны на среде. Среды можно использовать для разделения данных, параметров безопасности, настроек и ресурсов по отделам, проектам, требованиям к размещению данных и конфиденциальности данных или организациям. Например, у вас может быть одна среда для отдела продаж, другая — для отдела маркетинга и третья — для рабочей группы обслуживания клиентов. Это позволяет контролировать доступ к ресурсам и данным на детальном уровне и гарантирует, что каждая рабочая группа имеет доступ только к тем ресурсам, которые им нужны.

Предварительные требования для доступа Dataverse

Чтобы получить доступ к среде, пользователь должен соответствовать следующим критериям:

  1. Иметь право для входа в систему Microsoft Entra ID.
  2. Иметь действующую лицензию с планом обслуживания, признанным Microsoft Power Platform или Dynamics 365.
  3. Быть участником группы Microsoft Entra среды (если она была связана со средой).
  4. Иметь хотя бы одну роль безопасности Dataverse, назначенную непосредственно им или группе рабочей группы, участником которой они являются.

Если у вас возникли трудности с подключением к Dataverse, просмотрите эту страницу устранения неполадок, посвященную распространенным проблемам с доступом пользователей.

Следующие компоненты связаны с ключевыми конфигурациями безопасности в Dataverse.

  • Роль безопасности: роль безопасности — это набор привилегий, определяющих уровень доступа пользователя или рабочей группы к ресурсам в Dataverse. Роли безопасности используются для управления доступом к таблицам, столбцам и другим ресурсам в Dataverse.
  • Бизнес-подразделение: бизнес-подразделение — это логический контейнер для пользователей, рабочих групп и других ресурсов в Dataverse. Бизнес-подразделения используются для определения границ безопасности и контроля доступа к ресурсам в Dataverse.
  • Рабочая группа: рабочая группа — это группа пользователей в Dataverse, которые имеют общий набор привилегий. Рабочие группы используются для упрощения управления безопасностью и контроля доступа к ресурсам в Dataverse.
  • Пользователь: пользователь — это физическое лицо, имеющее доступ к Dataverse. Пользователям назначаются роли безопасности, и они являются членами одного или нескольких бизнес-подразделений.
  • Привилегия: привилегия — это разрешение, которое управляет доступом к таблицам, столбцам и другим ресурсам в Dataverse. Привилегии используются для определения уровня доступа пользователя или рабочей группы к определенному ресурсу в Dataverse.
  • Уровень доступа: уровень доступа — это сочетание привилегий, определяющих уровень доступа пользователя или рабочей группы к определенному ресурсу в Dataverse. Уровни доступа используются для упрощения управления безопасностью и контроля доступа к ресурсам в Dataverse.
  • Совместное использование: совместное использование — это процесс предоставления доступа к строке или другому ресурсу в Dataverse другому пользователю или рабочей группе. Общий доступ используется для предоставления временного или специального доступа к ресурсам в Dataverse.
  • Безопасность на уровне записей: безопасность на уровне записей — это процесс управления доступом к отдельным строкам (записям) в Dataverse. Безопасность на уровне записей используется для обеспечения того, чтобы пользователи могли получить доступ только к тем строкам, которые им разрешено просматривать или изменять.
  • Безопасность на уровне полей: безопасность на уровне полей — это процесс управления доступом к отдельным полям (столбцам) в Dataverse. Безопасность на уровне полей используется для обеспечения того, чтобы пользователи могли просматривать или изменять столбцы, доступ к которым им разрешен.

В целом, эти понятия и терминология используются для определения модели безопасности в Dataverse и используются для детального и гибкого управления доступом к ресурсам. Поняв эти понятия и терминологию, вы сможете лучше управлять безопасностью в Dataverse и гарантировать, что ваши пользователи имеют надлежащий уровень доступа к ресурсам.

Привилегии Dataverse

В следующей таблице приведены сведения о каждой конкретной привилегии таблицы:

Право Description
Создать Необходимо для создания новой строки. То, какие строки будут доступны для создания, зависит от уровня доступа и разрешений, определенных в роли безопасности.
Чтение Необходимо для открытия строки с целью просмотра содержимого. То, какие строки будут доступны для чтения, зависит от уровня доступа и прав, определенных в роли безопасности.
Запись Необходимо для внесения изменений в строку. То, какие строки можно изменять, зависит от уровня доступа и прав, определенных в роли безопасности.
Удалить Необходимо для окончательного удаления строки. То, какие строки можно удалять, зависит от уровня доступа и прав, определенных в роли безопасности.
Добавить Необходимо для связывания текущей строки с другой строкой. Например, чтобы добавить примечание к возможной сделке, пользователь должен обладать разрешениями добавления для примечания. То, к каким строкам можно добавлять данные, зависит от уровня доступа и прав, определенных в роли безопасности. В случае отношения "многие ко многим" у вас должны быть права на добавление для обеих таблиц, которые связываются или для которых отменяется связь.
Добавить к Необходимо для связывания строки с текущей строкой. Например, имея права на добавление к возможной сделке, пользователь может добавлять примечания к возможной сделке. То, к каким записям можно добавлять данные, зависит от уровня доступа и прав, определенных в роли безопасности.
Назначение Необходимо для смены владельца строки. То, для каких строк можно назначать владельца, зависит от уровня доступа и разрешений, определенных в роли безопасности.
Общий доступ Необходимо для предоставления доступа к строке другому пользователю при сохранении собственного доступа. То, к каким строкам можно предоставлять общий доступ, зависит от уровня доступа и прав, определенных в роли безопасности.

Для каждой конкретной привилегии есть раскрывающееся меню, позволяющее определить уровень доступа. Уровни доступа определяют глубину или высоту организационной иерархии подразделений, доступную для пользователя с данной привилегией в организации.

В следующей таблице представлены уровни доступа в таблице, начиная с уровня с самыми высокими правами доступа. Для таблиц, принадлежащих организации, другие привилегии и привилегии, связанные с конфиденциальностью, будут иметь только типы Организация или Нет.

Тип Description
Предприятие Этот уровень доступа предоставляет пользователю доступ ко всем строкам в организации вне зависимости от иерархического уровня подразделения, к которому принадлежит среда или пользователь. Пользователи, у которых есть доступ к организации, автоматически получают и другие типы доступа. Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации организации, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей организации.
Головное: дочернее подразделение Этот уровень доступа позволяет пользователю получать доступ к строкам в своем бизнес-подразделении и во всех нижестоящих бизнес-подразделениях. Пользователи, у которых есть этот уровень доступа, автоматически имеют доступ на уровне подразделения и пользователя. Поскольку этот уровень доступа предоставляет доступ к информации по подразделению и его подчиненным подразделениям, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа обычно зарезервирован для руководителей подразделений.
Подразделение Этот уровень доступа предоставляет доступ к строкам в подразделении пользователя. Пользователи, у которых есть доступ на уровне подразделения, автоматически имеют доступ на уровне пользователя. Поскольку этот уровень доступа предоставляет пользователям доступ ко всей информации подразделения, он должен быть ограничен в соответствии с планом безопасности данных организации. Этот уровень доступа зарезервирован для руководителей подразделения.
Пользователь Этот уровень доступа предоставляет пользователю доступ к принадлежащим ему строкам, объектам, к которым предоставлен общий доступ организации, а также объектам, к которым общий доступ предоставлен рабочей группе, в которую входит пользователь. Обычно этот уровень доступа предоставляется представителям по продажам и обслуживанию.
нет Доступ не разрешен.

Привилегии с их уровнями доступа объединяются для создания ролей безопасности, которые используются для управления доступом к ресурсам в Dataverse. Роли безопасности назначаются пользователям и рабочим группам для определения их уровня доступа к ресурсам в Dataverse.

Например, вы можете создать роль безопасности, которая позволит пользователям создавать, читать и обновлять классические потоки, но не удалять их. Вы также можете создать роль безопасности, которая позволяет пользователям получать доступ ко всем таблицам и полям в Dataverse, или роль безопасности, которая позволяет пользователям получать доступ только к таблицам и полям, принадлежащим их рабочей группе.

В целом, привилегии являются ключевым компонентом модели безопасности в Dataverse и используются для детального и гибкого управления доступом к ресурсам.

Заметка

Чтобы запустить классический поток, вам необходимы следующие минимальные привилегии:

  • Базовые привилегии Append, AppendTo, Create и Write для таблицы flowsession.
  • Базовые привилегии Append, AppendTo, Create и Write для таблицы workflowbinary.
  • Базовая привилегия Read таблицы workflow.
  • Базовая привилегия Read таблицы desktopflowbinary.

Роли безопасности, специфичные для Power Automate

Следующие готовые роли безопасности доступны с Power Automate.

Создатель ресурсов среды

Роль создателя среды в Dataverse представляет собой встроенную роль безопасности, которая позволяет пользователям создавать и контролировать свои ресурсы, связанные со средой. Сюда входят приложения, подключения, настраиваемые API-интерфейсы, шлюзы, облачные и классические потоки, если у пользователя есть соответствующая лицензия для предполагаемой области продукта. Снимок экрана с разрешениями для роли «Создатель ресурсов среды».

Администратор конфигурации компьютера классического потока

Эта роль обычно назначается CoE или ИТ-администраторам, которые управляют образами виртуальных машин и виртуальными сетями. Пользователи с этой ролью имеют полные права доступа к образу виртуальной машины и таблицам, относящимся к виртуальной сети, которые используются для сценариев размещенных машин. В частности, это позволяет пользователям с этой добавлять образы виртуальных машин, версии образов и предоставлять либо отзывать доступ к образам ВМ, которые будут использоваться в сценариях созданных размещенных машин в их среде. Снимок экрана с разрешениями для роли «Администратор конфигурации компьютера классического потока».

Ответственный за машину классических потоков

Эта роль позволяет пользователям управлять машинами и группами машин, которыми они владеют, включая создание, редактирование, совместное использование и удаление машин и групп машин. Снимок экрана с разрешениями для роли «Ответственный за машину классических потоков».

Пользователь машины классических потоков

Эта роль позволяет пользователям запускать классические потоки, но не настраивать машины. Центр передовых технологий может назначить эту роль другим пользователям в среде, чтобы они могли использовать компьютеры, созданные и доступные для центра передовых технологий, но не редактировать их и не предоставлять общий доступ к ним. Снимок экрана с разрешениями для роли «Пользователь машины классических потоков».

Пользователь машины классических потоков может делиться

Эта роль расширяет роль Пользователь машины классических потоков и позволяет пользователям предоставлять общий доступ к машинам, к которым им предоставлен общий доступ. Снимок экрана с разрешениями для роли «Пользователь машины классических потоков может делиться».

Пользователь приложения среды выполнения классических потоков

Эту роль используется облачными службами Power Automate при взаимодействии со средой Dataverse. Снимок экрана с разрешениями для роли «Пользователь приложения среды выполнения классических потоков».

Пользователь приложения машины классических потоков

Эту роль используется облачными службами Power Automate при взаимодействии со средой Dataverse. Снимок экрана с разрешениями для роли «Пользователь приложения машины классических потоков».

Заметка

Роли пользователя приложения среды выполнения классических потоков и пользователя приложения мшины классических потоков используются облачными службами Power Automate при взаимодействии со средой Dataverse. Изменение привилегий и конфигурации для этих ролей может привести к нарушению работы функций классических потоков.

Дополнительные ресурсы