将自定义安全角色分配给管理用户以防止特权提升

备注

如果您已启用仅统一接口模式,则在使用本文中的过程之前,请执行以下操作:

  1. 在导航栏上选择 Settings齿轮图标。)。
  2. 选择高级设置

    高级设置。

复制安全角色方法是一个基于现有的一组权限创建新安全角色的快速简单的方法。 但是,安全角色权限可能随产品更新改变,这可能呈现新的安全角色过期日期,并可能无法正常运行。 这在您希望允许特定管理用户组向您的用户分派安全角色时尤其如此。 建议您复制系统管理员安全角色并分派给用户,因为这会让用户将分派的用户提升到系统管理员。 此外,来自产品更新的更新权限不会自动添加到复制的系统管理员安全角色中,这导致该角色没有充足的权限来继续分派安全角色。

以下步骤说明了如何创建具有将随更新动态更改的权限的新自定义安全角色的方法,因而可以继续用于安全角色分派。

创建只有访问“安全角色”的访问权限的新自定义安全角色

  1. 确保您具有系统管理员权限。

    检查您的安全角色

  2. 转到设置>安全>安全角色,然后选择新建

  3. 输入角色名称,然后选择业务管理选项卡。

  4. 向下滚动到实体列表并将安全角色实体权限进行如下设置:

    特权 设置
    创建​​ 业务部门
    读取 组织
    业务部门
    删除​​ 业务部门
    追加 业务部门
    追加到 业务部门
    分配 业务部门

    安全角色。

  5. 选择保存并关闭

将新安全角色分派给管理用户

  1. 转到设置>安全>用户
  2. 选择管理用户,然后选择管理角色
  3. 选择新安全角色。
  4. 选择管理用户可以分派给其他用户的所有安全角色。
  5. 选择确定

备注

Dynamics 365 Customer Engagement (on-premises) 的目的是阻止安全角色权限的任何提升。 因此,管理用户无法分派系统管理员、系统定制员或具有更高权限的任何安全角色。

另请参阅