了解用户安全角色和安全角色默认值
角色是一组权限,您可以将其分配给用户。 安全角色向用户授予访问权限以及各种功能,例如在环境内的表中读取、写入、删除或编辑行。 安全角色是细粒度的,可以分配到环境中的一个或多个表。 角色还可以控制某些操作,例如创建自定义表或选项集的能力。 此外,用户可与一个或多个安全角色关联。 通过将用户与角色关联,他们能够访问在该角色中指定的数据和功能。
用户安全角色分为以下两种:
标准角色,使用 Microsoft Dataverse 的每个实例而创建。
自定义角色,由管理员创建。
本单元将介绍每种类型的安全角色。
默认用户安全角色
在环境中设置数据库后,当您将用户添加到 Dataverse 中的环境时,系统将自动为您的用户分配角色,其中包括:
应用打开者
基本用户
环境创建者
系统定制员
系统管理员
对于创建连接到数据库的应用且需要创建或更新实体和安全角色的用户,除了分配环境创建者角色,您还需要再分配系统定制员角色。 这是必要的,因为环境创建者角色对环境数据不拥有任何特权。
对于环境中的数据库,使用系统管理员角色可执行与环境管理员相同的功能,但必须为用户分配系统管理员角色而非环境管理员角色,这样才能获得完整的管理员特权。
本模块的前面部分介绍了可分配角色的列表。
请记住,安全角色实际上是基于表和任务的一系列特权和及其访问级别。
表特权
Dataverse 支持不同的记录级别特权。 您可以使用这些特权定义用户与表数据之间的交互方式。
可用的表特权包括:
创建 - 创建新记录时需要。
读取 - 打开行以查看内容时需要。
写入 - 对记录进行更改时需要。
删除 - 永久删除记录时需要。
追加 - 将当前记录与另一条记录关联时需要;例如,如果用户对注释具有“追加”权限,则可以将注释添加到商机。 在多对多关系中,您必须对要关联或取消关联的表拥有“追加”特权。
追加到 - 将一条记录与当前记录关联时需要;例如,如果用户对商机具有“追加到”权限,则可以将注释添加到商机。
分配 - 将一个行的所有权授予另一个用户时需要。
共享 - 在向另一个用户授予对记录的访问权限,同时保留自己的访问权限时需要。
注意
组织拥有的表没有“分配”或“共享”特权。
访问级别
所有特权均需定义访问级别。 访问级别用于决定用户可以在业务单位层次结构中执行特权的深度。
| 级别 | 描述 |
|---|---|
| 无 | 不允许访问。 |
| 用户 | 用户可以访问自己拥有的记录、与组织共享的对象、与他们共享的对象以及与他们所属的团队共享的对象。 此访问级别通常适用于最终用户。 |
| 业务单位 | 用户可以访问其业务单位中的记录。 具有业务单位访问权限的用户自动拥有用户访问权限。 由于此访问级别提供对整个业务单位中的信息的访问权限,因此应对本级别进行限制以符合组织的数据安全计划。 此访问级别仅面向对业务单位具有管理权的管理人员。 |
| 上:下级业务部门 | 用户可以访问其业务单位及其下属的所有业务单位中的记录。 具有此访问权限的用户自动拥有业务单位和用户访问权限。 由于此访问级别提供对整个业务单位和从属业务单位中的信息的访问权限,因此应对本级别进行限制以符合组织的数据安全计划。 此访问级别仅面向对业务单位具有管理权的管理人员。 |
| 组织 | 用户可以访问组织中的所有记录,无论他们属于哪个业务单位层次结构级别。 具有组织访问权限的用户也自动拥有所有其他类型的访问权限。 由于此访问级别提供对整个组织中的信息的访问权限,因此应对本级别进行限制以符合组织的数据安全计划。 此访问级别仅面向对组织具有管理权的管理人员。 |
注意
组织拥有的表仅使用“无”或“组织”访问级别。
以下屏幕截图显示了 Power Platform 管理中心中表的特权和访问级别。
权限设置
也可以通过预定义的权限组完成表权限的配置。 您可以按照下表分配权限设置组:
| 权限设置 | 详细信息 |
|---|---|
| 无访问权限 | 没有用户可以访问该表。 |
| 完全访问权限 | 用户可以查看和编辑表中的所有记录。 |
| 协作 | 用户可以查看所有记录,但只能编辑自己的记录。 |
| 专用 | 用户只能查看和编辑自己的记录。 |
| 引用 | 用户只能查看记录,不能编辑记录。 |
| 自定义 | 指示权限设置已从默认值中更改。 |
若要调整表的权限,您可以执行以下步骤:
选择一个表,然后在命令栏中选择权限设置,或选择更多操作 (…) >权限设置。
选择设置。
选择保存。
与隐私相关的特权
在基于表的特权中,安全角色包含若干与隐私相关的特权,用于控制对各种功能的访问,包括:
- 导出到 Excel
与隐私相关的特权仅使用“无”或“组织”访问级别。
其他特权
在基于表的特权中,安全角色包含许多其他特权,用于控制对各种功能或管理选项的访问,包括:
批量编辑
合并
导出自定义项
导入自定义项
查看审核历史记录
大多数杂项特权仅使用“无”或“组织”访问级别,但部分杂项特权也可以设置所有访问级别。
在下一单元中,我们将探讨如何创建自定义角色。