在环境中配置用户安全性

Microsoft Dataverse 使用基于角色的安全模型来控制对环境中数据库及其资源的访问。 使用安全角色可配置对环境中所有资源的访问,或对环境中特定应用和数据的访问。 安全角色中的访问级别和权限的组合确定用户可以查看哪些应用和数据,以及他们如何与这些应用和数据交互。

环境可以没有或有一个 Dataverse 数据库。 对于没有 Dataverse 数据库的环境有 Dataverse 数据库的环境,您可以分别分配不同的安全角色。

在 Power Platform 中了解有关环境的更多信息

预定义的安全角色

环境包括反映常见用户任务的预定义安全角色。 预定义的安全角色遵从“最低必需访问权限”的最佳安全做法:为用户使用应用所需的最低业务数据提供最低访问权限。 可以将这些安全角色分配给用户、负责人组组团队。 环境中可用的预定义安全角色取决于环境类型和您在其中安装的应用。

另一组安全角色将分配给应用程序用户。 这些安全角色由我们的服务安装,不能更新。

没有 Dataverse 数据库的环境

对于没有 Dataverse 数据库的环境,环境创建者和环境管理员是仅有的预定义角色。 下表中描述了这些角色。

安全角色 说明
环境管理 环境管理员角色能够对环境执行所有管理操作,包括:
  • 从环境管理员或环境创建者角色中添加或删除用户。
  • 为此环境设置 Dataverse 数据库。 预配数据库后,将系统定制员角色分配给环境管理员,以为他们提供访问环境数据的权限。
  • 查看和管理在环境中创建的所有资源。
  • 创建数据丢失防护策略
环境创建者 可以使用 Microsoft Power Automate 创建与环境关联的新资源,包括应用、连接、自定义 API 和流。 但是,此角色不具有访问环境中的数据的权限。

环境创建者还可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与单个用户、安全组或组织中的所有用户共享应用。

有 Dataverse 数据库的环境

如果环境有 Dataverse 数据库,则必须为用户分配系统管理员角色而不是环境管理员角色,以获得完全管理员权限。

开发连接到数据库并需要创建或更新实体和安全角色的应用的用户,除了环境创建者角色外,还必须有系统定制员角色。 环境创建者角色对环境的数据没有权限。

下表描述了具有 Dataverse 数据库的环境中预定义的安全角色。 您无法编辑这些角色。

安全角色 说明
应用打开程序 具有常见任务的最低特权。 此角色主要用作为模型驱动应用创建自定义安全角色的模板。 它对核心业务表(如客户、联系人和活动)没有任何权限。 但是,它具有对系统表的组织级读取访问权限,例如流程,以支持读取系统提供的工作流。 请注意,当创建新的自定义安全角色时,将使用此安全角色。
基本用户 仅对于现成的实体,可以在环境中运行应用,并对其所有的记录执行常见任务。 它对核心业务表(如客户、联系人、活动和流程)具有权限。

注意:Common Data Service 用户安全角色已重命名为基本用户。 只会更改名称;用户权限和角色分配是相同的。 如果您有一个具有 Common Data Service 用户安全角色的解决方案,应在再次导入之前更新该解决方案。 否则,在导入解决方案时,您可能会无意中将安全角色名称更改回用户
代理 作为另一个用户允许代码模拟或运行。 通常用于另一个安全角色以允许访问记录。
Dynamics 365 管理员 Dynamics 365 管理员是一个 Microsoft Power Platform 服务管理员角色。 此角色的用户在自我提升为系统管理员角色后,可以在 Microsoft Power Platform 上执行管理功能。
环境创建者 可以使用 Microsoft Power Automate 创建与环境关联的新资源,包括应用、连接、自定义 API 和流。 但是,此角色不具有访问环境中的数据的任何权限。

环境创建者还可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与单个用户、安全组或组织中的所有用户共享应用。
全局管理员 全局管理员是一个 Microsoft 365 管理员角色。 购买 Microsoft 业务订阅的人是全局管理员,对订阅中的产品具有不受限制的控制权限且能访问大多数数据。 此角色的用户必须自我提升为系统管理员角色。
全局读者 Power Platform 管理中心尚不支持全局读者角色。
Office 协作者 对与组织共享记录的表具有读取权限。 无权访问任何其他核心和自定义表记录。 此角色将分配给 Office 协作者负责人团队,而不是分配给单个用户。
Power Platform 管理员 Power Platform 管理员是一个 Microsoft Power Platform 服务管理员角色。 此角色的用户在自我提升为系统管理员角色后,可以在 Microsoft Power Platform 上执行管理功能。
已删除服务 对于所有实体(包括自定义实体)具有完全删除权限。 此角色主要由服务使用,需要删除所有实体中的记录。 无法将此角色分配到用户或团队。
服务读取器 对包括自定义实体在内的所有实体具有完全读取权限。 此角色主要由服务使用,需要读取所有实体。 无法将此角色分配到用户或团队。
服务编写器 对包括自定义实体在内的所有实体具有完全的创建、读取和写入权限。 此角色主要由服务使用,需要创建和更新记录。 无法将此角色分配到用户或团队。
支持用户 对自定义项和业务管理设置具有完全读取权限,这些设置允许支持人员对环境配置问题进行故障诊断。 此角色无权访问核心记录。 无法将此角色分配到用户或团队。
系统管理员 具有自定义或管理环境的完全权限,包括创建、修改和分派安全角色。 可以查看环境中的所有数据。
系统定制员 拥有自定义环境的完整权限。 可以查看环境中的所有自定义表数据。 但是,具有此角色的用户只能查看他们在客户、联系人、活动表中创建的记录。
网站应用负责人 负责 Azure 门户中的网站应用程序注册的用户。
网站负责人 创建 Power Pages 网站的用户。 此角色可管理,但无法更改。

除了前述 Dataverse 的预定义安全角色之外,您的环境中可能还提供其他安全角色,具体取决于您拥有的 Power Platform 组件 — Power Apps、Power Automate、Microsoft Copilot Studio。 下表提供了指向更多信息的链接。

Power Platform 组件 Information
Power Apps 具有 Dataverse 数据库的环境的预定义安全角色
Power Automate 安全性和隐私
Power Pages 网站管理所需的角色
Microsoft Copilot Studio 分配环境安全角色

Dataverse for Teams 环境

了解有关 Dataverse for Teams 环境中预定义安全角色的更多信息

特定于应用的安全角色

如果您在环境中部署 Dynamics 365 应用,将添加其他安全角色。 下表提供了指向更多信息的链接。

Dynamics 365 应用 安全角色文档
Dynamics 365 Sales Sales 的预定义安全角色
Dynamics 365 Marketing Dynamics 365 Marketing 添加的安全角色
Dynamics 365 Field Service Dynamics 365 Field Service 角色 + 定义
Dynamics 365 Customer Service Customer Service 全渠道中的角色
Dynamics 365 Customer Insights Customer Insights 角色
应用配置文件管理器 与应用配置文件管理器相关联的角色和特权
Dynamics 365 Finance 公共部门中的安全角色
财务和运营应用 Microsoft Power Platform 中的安全角色

可用于预定义安全角色的资源的摘要

下表介绍了每个安全角色可以创作哪些资源。

资源 环境创建者 环境管理 系统定制员 系统管理员
画布应用 X X X X
云端流 X(非解决方案感知) X X X
Connector X(非解决方案感知) X X X
连接* X X X X
数据网关 - X - X
数据流 X X X X
Dataverse 表 - - X X
模型驱动应用 X - X X
解决方案框架 X - X X
桌面流** - - X X
AI Builder - - X X

*连接用于画布应用Power Automate

**Dataverse for Teams 用户默认无法访问桌面流。 您需要将您的环境升级到完整的 Dataverse 功能并获得桌面流许可证计划才能使用桌面流。

在没有 Dataverse 数据库的环境中为用户分配安全角色

对于没有 Dataverse 数据库的环境,在环境中具有环境管理员角色的用户可以将安全角色分配给 Microsoft Entra ID 中的各个用户或组。

  1. 登录 Power Platform 管理中心

  2. 选择环境> [选择环境]。

  3. 访问磁贴中,为环境管理员环境制造者选择查看全部来添加或删除任一角色的人员。

    在 Power Platform 管理中心选择安全角色的屏幕截图。

  4. 选择添加人员,然后从 Microsoft Entra ID 指定一个或多个用户或组的名称或电子邮件地址。

  5. 选择添加

在有 Dataverse 数据库的环境中为用户分配安全角色

可以将安全角色分配给各个用户、负责人团队Microsoft Entra 组团队。 在为用户分配角色之前,验证用户的帐户是否已被添加到环境并在环境中启用

通常,安全角色只能分配给在环境中启用了帐户的用户。 要将安全角色分配给在环境中禁用的用户帐户,在 OrgDBOrgSettings 中启用 allowRoleAssignmentOnDisabledUsers

  1. 登录 Power Platform 管理中心

  2. 选择环境> [选择环境]。

  3. 访问磁贴中,在安全角色下选择查看全部

    在 Power Platform 管理中心查看所有安全角色的选项的屏幕截图。

  4. 确保在列表中选择了正确的业务部门,然后从环境中的角色列表中选择一个角色。

  5. 选择添加人员,然后从 Microsoft Entra ID 指定一个或多个用户或组的名称或电子邮件地址。

  6. 选择添加

使用新的现代 UI 创建、编辑或复制安全角色

您可以轻松地创建、编辑或复制安全角色并对其进行自定义以满足您的需求。

  1. 转到 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。

  2. 选择设置

  3. 展开用户 + 权限

  4. 选择安全角色

  5. 完成相应的任务:

创建安全角色

  1. 从命令栏中选择新建角色

  2. 角色名称字段中,输入新角色的名称。

  3. 业务部门字段中,选择角色所属的业务部门。

  4. 选择团队成员是否应继承角色。

    如果启用此设置并将角色分配给团队,所有团队成员都将继承与该角色关联的所有特权。

  5. 选择保存

  6. 定义安全角色的特权和属性

编辑安全角色

选择角色名称或选择行,然后选择编辑。然后定义安全角色的特权和属性

有些预定义的安全角色无法编辑。 如果您尝试编辑这些角色,保存保存 + 关闭按钮不可用。

复制安全角色

选择安全角色,然后选择复制。 为角色提供一个新名称。 根据需要编辑安全角色

只会复制特权,不会复制任何分配的成员和团队。

审核安全角色

审核安全角色,以更好地了解对 Power Platform 环境中的安全角色所做的更改。

创建或配置自定义安全角色

如果您的应用使用自定义实体,则必须先以安全角色明确授予其特权,然后才可以使用。 您可以在现有安全角色中添加这些特权,也可以创建自定义安全角色。

每个安全角色必须至少包含一组特权了解有关安全角色和特权的详细信息

小费

环境可能维护多个应用可以使用的记录。 您可能需要多个授予不同特权的安全角色。 例如:

  • 某些用户(称他们为编辑者)可能仅需要读取、更新和附加其他记录,因此它们的安全角色会有读取、编写和附加特权。
  • 其他用户可能需要编辑者具有的所有权限,以及创建、追加到、删除和共享的能力。 这些用户的安全角色将具有创建、读取、写入、添加、删除、分配、追加到和共享权限。

创建具有运行应用所需的最低特权的自定义安全角色

  1. 登录 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。

  2. 选择设置>用户 + 权限>安全角色

  3. 选择应用打开者角色,然后选择复制

  4. 输入自定义角色的名称,然后选择复制

  5. 在安全角色列表中,选择新角色,然后选择更多操作 () >编辑

  6. 在角色编辑器中,选择自定义实体选项卡。

  7. 在列表中查找自定义表,然后选择读取写入追加特权。

  8. 选择保存并关闭

从头创建自定义安全角色

  1. 登录 Power Platform 管理中心,在导航窗格中选择环境,然后选择一个环境。

  2. 选择设置>用户 + 权限>安全角色

  3. 选择新建角色

  4. 详细信息选项卡上输入新角色的名称。

  5. 在其他选项卡上,找到您的实体,然后选择操作和执行操作的范围。

  6. 选择一个选项卡,然后搜索您的实体。 例如,选择自定义实体选项卡可以在自定义实体上设置权限。

  7. 选择读取写入追加特权。

  8. 选择保存并关闭

运行应用的最低权限

创建自定义安全角色时,角色必须具有一组最低特权,用户才能运行应用。 了解有关所需最低特权的详细信息

另请参见

授予用户访问权限
控件用户对环境的访问权限:安全组和许可证
如何确定对记录的访问权限