แชร์ผ่าน

การกำหนดบทบาทความปลอดภัยให้ผู้ใช้

  • บทความ

พิจารณาข้อมูลเกี่ยวกับบทบาทความปลอดภัยต่อไปนี้:

  • บทบาทความปลอดภัยควบคุมการเข้าถึงข้อมูลของผู้ใช้ผ่านชุดของระดับและสิทธิ์การเข้าถึง ชุดของระดับและสิทธิ์การเข้าถึงที่รวมอยู่ในบทบาทความปลอดภัยเฉพาะหนึ่งๆ จะกำหนดขีดจำกัดมุมมองข้อมูลของผู้ใช้และการโต้ตอบของผู้ใช้กับข้อมูลนั้น
  • Dataverse มีชุดค่าเริ่มต้นของบทบาทความปลอดภัย ถ้าจำเป็นสำหรับองค์กรของคุณ คุณสามารถสร้างบทบาทความปลอดภัยใหม่โดยการแก้ไขบทบาทความปลอดภัยเริ่มต้นตัวใดตัวหนึ่งและบันทึกภายใต้ชื่อใหม่ ดูที่ บทบาทความปลอดภัยที่กำหนดไว้ล่วงหน้า
  • คุณสามารถกำหนดบทบาทความปลอดภัยมากกว่าหนึ่งบทบาทให้กับผู้ใช้ ผลของบทบาทความปลอดดภัยหลายๆ บทบาทจะสะสม ซึ่งหมายความว่าผู้ใช้มีสิทธิ์ที่เกี่ยวข้องกับบทบาทความปลอดภัยทั้งหมดที่กำหนดให้กับผู้ใช้นั้น
  • บทบาทความปลอดภัยถูกเชื่อมโยงกับหน่วยธุรกิจ ถ้าคุณได้สร้างหน่วยธุรกิจ เฉพาะบทบาทบทบาทความปลอดภัยที่สัมพันธ์กับหน่วยธุรกิจจะพร้อมใช้งานสำหรับผู้ใช้ในหน่วยธุรกิจ คุณสามารถใช้คุณลักษณะนี้เพื่อจำกัดการเข้าถึงข้อมูลที่เป็นของหน่วยธุรกิจ
  • เมื่อ อนุญาตให้บันทึกความเป็นเจ้าของในหน่วยธุรกิจต่างๆ ถูกเปิดใช้งาน คุณสามารถมอบหมายบทบาทความปลอดภัยจากหน่วยธุรกิจต่างๆ ให้กับผู้ใช้ของคุณโดยไม่คำนึงถึงหน่วยธุรกิจที่ผู้ใช้เป็นสมาชิก
  • ในการกำหนดบทบาทความปลอดภัยให้กับผู้ใช้ คุณต้องมีสิทธิ์การใช้งานที่เหมาะสม (สิทธิ์การใช้งานขั้นต่ำคืออ่าน และกำหนดในตารางบทบาทความปลอดภัย) เพื่อป้องกันการยกระดับสิทธิ์การใช้งานของบทบาทความปลอดภัย บุคคลที่มอบหมายบทบาทความปลอดภัยจะไม่สามารถมอบหมายบุคคลอื่นไปยังบทบาทความปลอดภัยที่มีสิทธิ์การใช้งานมากกว่าผู้มอบหมาย ตัวอย่างเช่น ผู้จัดการ CSR ไม่สามารถมอบหมายบทบาทผู้ดูแลระบบให้กับผู้ใช้รายอื่นได้ การตรวจสอบความถูกต้องของสิทธิ์การใช้งานนี้รวมถึงการตรวจสอบสิทธิ์การใช้งานแต่ละรายการที่ผู้มอบหมายมีที่ระดับความลึกของสิทธิ์การใช้งานและหน่วยธุรกิจ ตัวอย่างเช่น คุณไม่สามารถมอบหมายบทบาทความปลอดภัยจากหน่วยธุรกิจอื่นให้กับผู้ใช้รายอื่นได้ หากคุณไม่มีบทบาทความปลอดภัยที่มีระดับสิทธิ์การใช้งานที่เหมาะสมซึ่งมอบหมายจากหน่วยธุรกิจนั้น

หมายเหตุ

โดยค่าเริ่มต้นระบบ ผู้ดูแลระบบบทบาทความปลอดภัยมีสิทธิ์ทั้งหมดที่จำเป็นในการกำหนดบทบาทความปลอดภัยให้กับผู้ใช้รวมถึงการกำหนดบทบาทความปลอดภัยให้กับผู้ดูแลระบบ หากคุณจำเป็นต้องอนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบสามารถมอบหมายบทบาทความปลอดภัย คุณควรพิจารณาสร้างบทบาทความปลอดภัยแบบกำหนดเองพร้อมสิทธิพิเศษทั้งหมดที่ระบุไว้ในสร้างผู้ใช้ที่เป็นผู้ดูแลระบบและป้องกันการยกระดับสิทธิ์บทบาทความปลอดภัย มอบหมายบทบาทความปลอดภัยแบบกำหนดเองและบทบาทความปลอดภัยทั้งหมดที่ผู้ที่ไม่ใช่ผู้ดูแลระบบสามารถมอบหมายให้กับผู้ใช้อื่นๆ ให้กับผู้ที่ไม่ใช่ผู้ดูแลระบบ ข้อกำหนดบทบาทความปลอดภัยนี้ยังจำเป็น หากคุณอนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบจัดการสมาชิกทีมในกลุ่มคนที่เป็นเจ้าของ

ควรกำหนดบทบาทผู้ดูแลระบบให้กับผู้ใช้โดยตรง หรือให้กับกลุ่มความปลอดภัยที่ผู้ใช้เป็นสมาชิกอยู่

โปรดทราบว่าบทบาทความปลอดภัยที่กำหนดเองไม่รองรับสำหรับแอปพื้นที่ทำงาน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่างบทบาทผู้ดูแลระบบของ Microsoft Online Services และบทบาทความปลอดภัย โปรดดู ให้สิทธิ์เข้าถึงของผู้ใช้

เคล็ดลับ

ดูวิดีโอต่อไปนี้: การกำหนดบทบาทความปลอดภัยในศูนย์การจัดการ Power Platform

ทำตามขั้นตอนเหล่านี้เพื่อกำหนดบทบาทความปลอกภัย

  1. ลงชื่อเข้าใช้ ศูนย์จัดการ Power Platform ในฐานะผู้ดูแลระบบ

  2. เลือก สภาพแวดล้อม แล้วเลือกหนึ่งสภาพแวดล้อมจากรายการ

  3. เลือก การตั้งค่า

  4. เลือก ผู้ใช้ + สิทธิ์ แล้วเลือก ผู้ใช้

  5. ในหน้า ผู้ใช้ เลือกผู้ใช้ แล้วเลือก จัดการบทบาทความปลอดภัย

  6. เลือกหรือยกเลิกการเลือกบทบาทความปลอดภัย เมื่อเสร็จแล้ว ให้เลือก บันทึก หลังจากบันทึก บทบาทที่เลือกทั้งหมดจะกลายเป็นบทบาทที่กำหนดในปัจจุบันสำหรับผู้ใช้ บทบาทที่ไม่ได้เลือกจะไม่ถูกกำหนด

เมื่อ อนุญาตให้บันทึกความเป็นเจ้าของในหน่วยธุรกิจต่างๆ ถูกเปิดใช้งาน คุณสามารถเลือกบทบาทความปลอดภัยจากหน่วยธุรกิจต่างๆ

สำคัญ

คุณต้องกำหนดบทบาทความปลอดภัยอย่างน้อยหนึ่งบทบาทให้กับผู้ใช้ทุกคน ไม่ว่าโดยตรงหรือโดยอ้อมในฐานะสมาชิกของ ทีมในกลุ่ม บริการนี้ไม่อนุญาตการเข้าถึงไปยังผู้ใช้ที่ไม่มีบทบาทความปลอดภัยอย่างน้อยหนึ่งบทบาท

หมายเหตุ

แผงที่แสดงด้านบนจะแสดงและจัดการเฉพาะการกำหนดบทบาทโดยตรงให้กับผู้ใช้เท่านั้น จัดการทีมกลุ่ม อธิบายวิธีการดูและจัดการบทบาทที่ได้รับการกำหนดเป็นสมาชิกของ ทีมกลุ่ม

สิทธิ์การใช้งานการตั้งค่าผู้ใช้สำหรับความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจ

หากคุณได้เปิดใช้งาน อนุญาตให้บันทึกความเป็นเจ้าของในหน่วยธุรกิจต่างๆ ผู้ใช้ของคุณสามารถเข้าถึงข้อมูลได้ในหน่วยธุรกิจอื่นโดยการได้รับการกำหนดบทบาทความปลอดภัยจากหน่วยธุรกิจอื่นเหล่านี้โดยตรง ผู้ใช้ยังต้องได้รับบทบาทความปลอดภัยจากหน่วยธุรกิจของผู้ใช้ที่มีสิทธิ์จากตารางต่อไปนี้เพื่ออัปเดตการตั้งค่า UI ของผู้ใช้:

  • การตั้งค่าผู้ใช้บัตรการดำเนินการ
  • มุมมองที่บันทึก
  • แผนภูมิของผู้ใช้
  • แดชบอร์ดของผู้ใช้
  • ข้อมูลอินสแตนซ์ของเอนทิตีผู้ใช้
  • การตั้งค่า UI ของเอนทิตีผู้ใช้
  • ข้อมูลเมตาของแอปพลิเคชันของผู้ใช้

ในการกำหนดบทบาทความปลอดภัยให้กับผู้ใช้ในสภาพแวดล้อมที่มีฐานข้อมูล Microsoft Dataverse ศูนย์หรือหนึ่งรายการ โปรดดู ตั้งค่าคอนฟิกความปลอดภัยของผู้ใช้ให้กับทรัพยากรในสภาพแวดล้อม

(เลือกได้) มอบหมายบทบาทเป็นผู้ดูแล

ท่านสามารถแชร์งานการดูแลระบบสภาพแวดล้อมของ Microsoft Online Services ระหว่างผู้ใช้หลายคนโดยการมอบหมายบทบาทผู้ดูแลระบบสภาพแวดล้อมของ Microsoft Online Services ให้กับผู้ใช้ที่คุณเลือกเพื่อกรอกข้อมูลแต่ละบทบาท สำหรับข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับบทบาทผู้ดูแลระบบของ Microsoft Online Services โปรดดูที่ Assigning Admin Roles

หมายเหตุ

บทบาทผู้ดูแลสภาพแวดล้อมของ Microsoft Online Services จะใช้ได้เฉพาะสำหรับการจัดการในส่วนของการสมัครใช้งานบริการออนไลน์ บทบาทเหล่านี้ไม่ส่งผลกระทบต่อสิทธิ์ภายในบริการ

การกําหนดบทบาทอัตโนมัติ

เมื่อผู้ใช้ถูกเพิ่มลงใน Dataverse พวกเขาจะได้รับบทบาทที่กำหนดโดยอัตโนมัติตามเกณฑ์ต่อไปนี้

  1. ผู้ใช้ที่มีสิทธิ์การใช้งานที่ถูกต้องจะได้รับบทบาทที่มีการแมปที่สอดคล้องกันซึ่งกำหนดให้กับพวกเขาโดยอัตโนมัติ การนำสิทธิ์การใช้งานที่เกี่ยวข้องออก จะส่งผลให้มีการลบบทบาทโดยอัตโนมัติ การจัดการบทบาทเริ่มต้นตามสิทธิ์การใช้งานไม่สามารถใช้ได้กับผู้ใช้ในสภาพแวดล้อมชนิดต่อไปนี้: Dataverse for Teams, การทดลองใช้ และนักพัฒนา

  2. สำหรับชนิดสภาพแวดล้อมเริ่มต้น บทบาท ผู้ใช้ขั้นต้น และ ผู้สร้างสภาพแวดล้อม จะได้รับการกำหนดโดยอัตโนมัติให้กับผู้ใช้ทั้งหมดที่เพิ่มใน Dataverse

  3. ในการเงินและการดำเนินการที่เชื่อมโยงกับสภาพแวดล้อมที่มีฐานข้อมูล Dataverse บทบาทความปลอดภัย ผู้ใช้ขั้นต้น ของการเงินและการดำเนินการถูกกำหนดโดยอัตโนมัติให้กับผู้ใช้ที่ใช้งานอยู่ทั้งหมดใน Dataverse

หมายเหตุ

ก่อนหน้านี้ ผู้ดูแลระบบ Microsoft Entra ID รวมถึงผู้ดูแลระบบ Power Platform และผู้ดูแลระบบบริการ Dynamics 365 ได้รับการกำหนดบทบาทผู้ดูแลระบบใน Dataverse โดยอัตโนมัติ ซึ่งไม่มีอยู่ในปัจจุบัน อย่างไรก็ตาม หากผู้ดูแลระบบได้รับการกำหนดบทบาทใน Dataverse ไว้ก่อนหน้านี้ การลบพวกเขาออกจากบทบาทผู้ดูแลระบบ Power Platform และผู้ดูแลระบบบริการ Dynamics 365 จะไม่ลบบทบาทผู้ดูแลระบบของพวกเขาใน Dataverse โดยอัตโนมัติ ขณะนี้ยังไม่มีวิธีตรวจสอบว่าบทบาทนั้นได้รับการกำหนดโดยอัตโนมัติโดยระบบหรือด้วยตนเองโดยผู้ดูแลระบบ ดังนั้น เราขอแนะนำให้ผู้ดูแลระบบเอาบทบาทผู้ดูแลระบบออกด้วยตนเองเมื่อบทบาท Microsoft Entra ถูกเอาออกแล้ว

การแมปสิทธิ์การใช้งานกับบทบาท

หากมีการกำหนดบทบาทในสภาพแวดล้อมของคุณ ระบบจะกำหนดบทบาทบางอย่างให้ผู้ใช้โดยอัตโนมัติเมื่อเพิ่มผู้ใช้ลงใน Dataverse ตามสิทธิ์การใช้งานที่ได้รับการกำหนด คุณสามารถดูการแมปสิทธิ์การใช้งานกับบทบาทในสภาพแวดล้อมโดยไปที่หน้าการแมปสิทธิ์การใช้งานกับบทบาทในศูนย์จัดการ Power Platform

ไปที่ สภาพแวดล้อม> [เลือกสภาพแวดล้อม] >การตั้งค่า>ผู้ใช้ + สิทธิ์>License To Role mapping

เริ่มต้นใช้งานบทบาทความปลอดภัยใน Dataverse