了解环境角色
安全角色具有与之关联的某些特权,您可以将用户与一个或多个安全角色关联。 将角色视为特权的集合。
环境有两个预定义角色,可提供对环境内权限的访问权限。 在考虑要为环境中的用户提供哪些权限时,可从这两个角色中择其一分配给用户。 但是,如果环境具有 Dataverse 数据库,则会添加更多角色并扩大权限选项范围。
每个环境都包括以下预定义角色:
环境管理员
环境创建者
重要提示
将用户添加到环境时,该用户会自动与环境创建者角色关联。
环境管理员角色
将 Dataverse 数据库添加到环境之前,环境管理员 角色能够对环境执行所有管理操作,包括:
从环境管理员或环境创建者角色中添加或删除用户或组。
为环境预配 Dataverse 数据库。
查看和管理在环境中创建的所有资源。
设置数据丢失防护策略。
环境创建者角色
环境创建者 角色可以在环境内创建资源,包括应用、连接、自定义连接器、网关和使用 Power Automate 的流。 以下规则适用于环境创建者角色的成员:
环境创建者可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与个人用户、安全组或组织中的所有用户共享该应用。
分配了这些环境角色的用户或组不会自动获得对环境数据库的访问权限(如有), 必须由数据库负责人单独授予访问权限。
每当新用户注册 Power Apps 时,会将他们自动添加到默认环境的创建者角色。
具有 Dataverse 数据存储的环境
如果环境具有 Dataverse 数据存储,则必须为用户分配系统管理员角色,而非拥有完全管理员特权的环境管理员角色,如下表所述。
对于创建连接到 Dataverse 的应用且需要创建或更新表和安全角色的用户,除了分配环境创建者角色,还需要为他们分配系统定制员角色。 这是必要的,因为环境创建者角色对环境数据不拥有任何特权。
| 安全角色 | 数据库特权* | 描述 |
|---|---|---|
| 应用打开者 | 创建(自行)、读取、写入(自行)、删除(自行) | 对常见任务具有最低特权。 在为模型驱动应用创建新的安全角色时主要会使用此角色,在向您的表应用数据访问权限之前会创建角色的副本。 此角色受保护且无法更新。 |
| 环境创建者 | 自定义 | 可以使用 Microsoft Power Automate 创建与环境关联的新资源,包括应用、连接、自定义 API、网关和流。 但是,此角色没有用于访问环境中的数据的任何特权。 环境创建者还可以将他们在环境中构建的应用分发给组织中的其他用户。 他们可以与个人用户、安全组或组织中的所有用户共享该应用。 |
| 系统管理员 | 创建、读取、写入、删除、自定义、安全角色 | 具有自定义或管理环境的完全权限,包括创建、修改和分配安全角色。 可以查看环境中的所有数据。 |
| 系统定制员 | 创建、读取、写入、删除、自定义 | 具有自定义环境的完全权限。 可以查看环境中的所有自定义表数据。 但是,具有本角色的用户只能查看他们在 Account、Contact 和 Activity 表中创建的行(记录)。 |
| 基本用户 | 读取(自行)、创建(自行)、写入(自行)、删除(自行) | 可以在环境中运行应用并对其负责的记录执行常见任务。 这仅适用于非自定义表。 |
| 服务删除者 | 删除 | 对包括自定义实体在内的所有实体具有完全删除权限。 此角色主要由服务使用,需要删除所有实体中的记录。 无法将此角色分配到用户或团队。 |
| 服务读取者 | 读取 | 对包括自定义表在内的所有表具有完全读取权限。 这主要由需要读取所有表的后端服务使用。 |
| 服务编写者 | 创建、读取、写入 | 对包括自定义表在内的所有表具有完全的创建、读取和写入权限。 这主要由需要创建和更新记录的后端服务使用。 |
| 委托 | 代表其他用户执行操作 | 允许代码模拟其他用户,或以其他用户身份运行。 通常与其他安全角色一起使用以允许访问记录。 |
| Dynamics 365 管理员 | Dynamics 365 管理员 是 Microsoft Power Platform 服务管理员角色。 此角色可以在 Microsoft Power Platform 上执行管理功能,因为他们具有系统管理员角色。 | |
| 支持用户 | 读取自定义、读取业务管理设置 | 具有对自定义和业务管理设置的完全读取权限,以允许支持人员 |
| Office 协作者 | 读取(自行) | 对与组织共享表中记录的表具有读取权限。 无权访问任何其他核心和自定义表记录。 此角色分配给 Office 协作者所有者团队,而不是单个用户。 |
| 全局读取者 | Power Platform 管理中心尚不支持全局读取者角色。 | |
| 网站应用负责人 | Azure 门户中负责网站应用程序注册的用户 | |
| 网站负责人 | 创建了 Power Pages 网站的用户。 此角色可管理,但无法更改。 |
*除非另有说明,否则以上特权的范围都是全局的。
适用于预定义安全角色的资源总结
您可以参考下表,根据角色有权访问的资源来确定需要分配哪些角色。
| 资源 | 环境创建者 | 环境管理员 | 系统定制员 | 系统管理员 |
|---|---|---|---|---|
| 画布应用 | X | X | X | X |
| 云端流 | X(非感知解决方案) | X | X(感知解决方案) | X |
| 连接器 | X | X | - | X |
| 连接 | X | X | - | X |
| 数据网关 | X | X | - | X |
| 数据流 | X | X | - | X |
| Dataverse 表 | - | - | X | X |
| 模型驱动应用 | X | - | X | X |
| 解决方案框架 | X | - | X | X |
| *桌面流 | - | - | X | X |
| AI Builder | - | - | X | X |
重要提示
默认情况下,Dataverse for Teams 用户无法访问桌面流。 您需要将环境升级到完整 Dataverse 功能并获取桌面流许可证计划,才能使用桌面流。