Безопасность пользователей в среде

Статья
01/29/2025

Microsoft Dataverse использует модель безопасности на основе ролей для управления доступом к базе данных и ее ресурсам в среде. Используйте роли безопасности для настройки доступа ко всем ресурсам в среде или к определенным приложениям и данным в среде. Сочетание уровней доступа и разрешений в роли безопасности определяет, какие приложения и данные пользователи могут просматривать и как они могут взаимодействовать с этими приложениями и данными.

Среда может не иметь баз данных или иметь одну базу данных Dataverse. Роли безопасности назначаются по разному для сред без базы данных Dataverse и сред с базой данных Dataverse.

Дополнительные сведения о средах в Power Platform.

Стандартные роли безопасности

Среды включают предопределенные роли безопасности, которые отражают общие задачи пользователей. Предопределенные роли безопасности следуют рекомендации по обеспечению безопасности «минимально необходимый доступ»: предоставляют наименьший доступ к минимальным бизнес-данным, которые необходимы пользователю для использования приложения. Эти роли безопасности могут быть назначены пользователю, рабочей группе-владельцу и рабочей группе группы. Предопределенные роли безопасности, доступные в среде, зависят от типа среды и установленных в ней приложений.

Другой набор ролей безопасности назначается пользователям приложения. Эти роли безопасности устанавливаются нашими службами и не могут быть обновлены.

Среды без базы данных Dataverse

Создатель среды и администратор среды — единственные предопределенные роли для сред без базы данных Dataverse. Эти роли описаны в следующей таблице.

Роль безопасности	Описание:
Администратор окружения	Роль администратора среды может выполнять все административные действия в среде, включая: Добавление или удаление пользователя из роли администратора среди или создателя среды. Подготовка базы данных Dataverse для среды. После того, как база данных подготовлена, назначьте роль "Настройщик системы" администратору среды, чтобы предоставить ему доступ к данным среды. Просмотр и управление всеми ресурсами, созданными в среде. Создайте политики защиты от потери данных.
Создатель среды	Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API-интерфейсы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет прав получения доступа к данным в среде. Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.

Роль безопасности

Описание:

Администратор окружения

Роль администратора среды может выполнять все административные действия в среде, включая:

Добавление или удаление пользователя из роли администратора среди или создателя среды.
Подготовка базы данных Dataverse для среды. После того, как база данных подготовлена, назначьте роль "Настройщик системы" администратору среды, чтобы предоставить ему доступ к данным среды.
Просмотр и управление всеми ресурсами, созданными в среде.
Создайте политики защиты от потери данных.

Создатель среды

Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API-интерфейсы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет прав получения доступа к данным в среде.

Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.

Среды с базой данных Dataverse

Если среда имеет базу данных Dataverse, пользователю должна быть назначена роль системного администратора вместо роли администратора среды для получения полных привилегий администратора.

Пользователи, которые создают приложения, которые подключаются к базе данных и нуждаются в создании или обновлении сущностей и ролей безопасности, должны иметь роль "Настройщик системы" в дополнение к роли "Создатель среды". Роль "Создатель среды" не имеет привилегий для данных среды.

В следующей таблице описаны предопределенные роли безопасности в среде с базой данных Dataverse. Вы не можете изменять эти роли.

Роль безопасности	Описание:
Открыватель приложений	Имеет минимальные привилегии для стандартных задач. Эта роль в основном используется в качестве шаблона для создания пользовательской роли безопасности для приложений на основе модели. У него нет никаких привилегий для основных бизнес-таблиц, таких как «Учетная запись», «Контакт» и «Действие». Однако он имеет доступ на чтение на уровне Организация к системным таблицам, например Процесс, для поддержки чтения рабочих процессов, предоставленных системой. Эта роль безопасности используется при создании новой настраиваемой роли безопасности.
Обычный пользователь	Только для готовых сущностей можно запустить приложение в среде и выполнять общие задачи с записями, за которые он отвечает. Он имеет привилегии для основных бизнес-таблиц, таких как "Организация", "Контакт", "Действие" и "Процесс". Примечание. Роль безопасности Common Data Service Пользователь была переименована в Обычный пользователь. Только имя было изменено; привилегии пользователя и назначение ролей одинаковы. Если у вас есть решение с ролью безопасности Common Data Service Пользователь, вам следует обновить его перед повторным импортом. В противном случае вы можете случайно изменить имя роль безопасности обратно на Пользователь при импорте решения.
Делегирование	Позволяет коду олицетворять, или выполняться от лица другого пользователя. Обычно используется с другой ролью безопасности для обеспечения доступа к записям.
Администратор Dynamics 365	Администратор Dynamics 365 — это роль администратора службы Microsoft Power Platform. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышаются до системной роли администратора.
Создатель среды	Можно создавать новые связанные со средой ресурсы, включая приложения, соединения, настраиваемые API-интерфейсы и потоки с помощью Microsoft Power Automate. Однако у этой роли нет никаких прав получения доступа к данным в среде. Создатели среды также могут распространять приложения, которые они создают в среде, для других пользователей в вашей организации. Они могут поделиться приложением с отдельными пользователями, группами безопасности или со всеми пользователями в организации.
Глобальный администратор	Глобальный администратор — это роль администратора Microsoft 365. Лицо, приобретающее бизнес-подписку Майкрософт, является глобальным администратором и имеет неограниченный контроль над продуктами в рамках подписки и доступ к большинству данных. Пользователи этой роли должны самостоятельно повыситься до системной роли администратора.
Глобальный читатель	Роль Глобальный читатель еще не поддерживается в центре администрирования Power Platform.
Участник совместной работы Office	Имеет разрешение на чтение для таблиц, в которых запись была разрешена для доступа организации. Не имеет доступа ни к каким другим записям основных и настраиваемых таблиц. Эта роль назначается группе владельцев-участников совместной работы Office, а не отдельному пользователю.
Администратор Power Platform	Администратор Power Platform — это роль администратора службы Microsoft Power Platform. Пользователи этой роли могут выполнять функции администратора в Microsoft Power Platform после того, как они самостоятельно повышаются до системной роли администратора.
Сервис удален	Имеет полное разрешение на удаление для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует удаления записей во всех сущностях. Эту роль нельзя назначить пользователю или рабочей группе.
Читатель статей по обслуживанию	Имеет полное разрешение на чтение для всех сущностей, включая пользовательские. Эта роль в основном используется сервисом и требует чтения всех сущностей. Эту роль нельзя назначить пользователю или рабочей группе.
Автор статей по обслуживанию	Имеет полное разрешение на создание, чтение и запись для всех сущностей, включая настраиваемые сущности. Эта роль в основном используется сервисом и требует создания и обновления записей. Эту роль нельзя назначить пользователю или рабочей группе.
Пользователь поддержки	Имеет полное разрешение на чтение для настройки и управления бизнесом, что позволяет сотрудникам службы поддержки устранять неполадки конфигурации среды. Эта роль не имеет доступа к основным записям. Эту роль нельзя назначить пользователю или рабочей группе.
Системный администратор	Имеет полное разрешение на настройку или администрирование среды, в том числе создание, изменение и назначение ролей безопасности. Может просматривать все данные в среде.
Настройщик системы	Имеет полное разрешение для настройки среды. Может просматривать все пользовательские табличные данные в среде. Однако пользователи с этой ролью могут просматривать только записи для создаваемых ими в таблицах организация, контакт, действие.
Владелец приложения веб-сайта	Пользователь, которому принадлежит веб-сайт регистрации приложения на портале Azure.
Владелец веб-сайта	Пользователь , создавший веб-сайт Power Pages. Эта ролью управляемая и ее нельзя изменить.

В дополнение к предопределенным ролям безопасности, описанным для Dataverse, в вашей среде могут быть доступны другие роли безопасности в зависимости от компонентов Power Platform — Power Apps, Power Automate, Microsoft Copilot Studio, — которые есть у вас. В следующей таблице приведены ссылки на дополнительную информацию.

Компонент Power Platform	Информация
Power Apps	Предопределенные роли безопасности для сред с базой данных Dataverse
Power Automate	Безопасность и конфиденциальность
Power Pages	Роли, необходимые для администрирования веб-сайта
Microsoft Copilot Studio	Назначение ролей безопасности среды

Среды: Dataverse for Teams

Узнайте больше о ролях безопасности и предопределенных ролях безопасности в средах Dataverse for Teams.

Роли безопасности для конкретного приложения

Если вы развертываете приложения Dynamics 365 в своей среде, добавляются другие роли безопасности. В следующей таблице приведены ссылки на дополнительную информацию.

Приложение Dynamics 365	Документы по ролям безопасности
Dynamics 365 Sales	Предопределенные роли безопасности для Sales
Dynamics 365 Marketing	Роли безопасности, добавленные приложением Dynamics 365 Marketing
Dynamics 365 Field Service	Роли и определения Dynamics 365 Field Service
Dynamics 365 Customer Service	Роли в многоканальном взаимодействии для Customer Service
Dynamics 365 Customer Insights	Роли Customer Insights
Диспетчер профилей приложений	Роли и привилегии, связанные с диспетчером профилей приложений
Dynamics 365 Finance	Роли безопасности в государственном секторе
Приложения для управления финансами и операциями	Роли безопасности в Microsoft Power Platform

Сводка ресурсов, доступных для предопределенных ролей безопасности

В следующей таблице описано, какие ресурсы могут разрабатываться каждой ролью безопасности.

Resource	Создатель среды	Администратор окружения	Настройщик системы	Системный администратор
Приложение на основе полотна	X	X	X	X
Облачный поток	X (не зависит от решения)	X	X	X
Connector	X (не зависит от решения)	X	X	X
Подключение^*	X	X	X	X
Шлюз данных	-	X	-	X
Поток данных	X	X	X	X
Таблицы Dataverse	-	-	X	X
Приложение на основе моделей	X	-	X	X
Платформа решений	X	-	X	X
Классический поток^**	-	-	X	X
AI Builder	-	-	X	X

*Подключения используются в приложениях на основе холста и Power Automate.

**Пользователи Dataverse for Teams по умолчанию не получают доступ к классическим потокам. Вам необходимо обновить среду до полных возможностей Dataverse и приобрести планы лицензий для классических потоков для использования классических потоков.

Поделиться через