環境中的使用者安全
Microsoft Dataverse 使用角色型安全性模型來控制對環境中資料庫及其資源的存取。 使用安全性角色來設定對環境中所有資源,或環境中特定應用程式和資料的存取權。 安全性角色中的存取層級和權限組合,會決定使用者可以查看哪些應用程式和資料,以及他們如何與這些應用程式和資料互動。
環境會有零個或一個 Dataverse 資料庫。 為沒有 Dataverse 資料庫的環境和有 Dataverse 資料庫的環境指派不同的安全性角色。
預先定義的資訊安全角色
環境包括反映一般使用者工作的預先定義資訊安全角色。 預先定義的資訊安全角色必須遵循「最低要求存取權」的安全性最佳做法:提供對使用者使用應用程式所需的最少商務資料的最少存取權。 這些資訊安全角色可指派給使用者、所有人團隊和群組團隊。 環境中可用的預定義資訊安全角色取決於環境類型和其中安裝的應用程式。
系統會指派另一組資訊安全角色給應用程式使用者。 那些資訊安全角色經由我們的服務安裝,而且無法更新。
不包含 Dataverse 資料庫的環境
環境創造者和環境管理員是唯一沒有 Dataverse 資料庫的環境的預先定義角色。 這些值在下表說明。
| 資訊安全角色 | 描述: |
|---|---|
| 環境管理員 | 環境管理員角色可在環境上執行所有的系統管理動作,包括:
|
| 環境製作者 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API,及使用 Microsoft Power Automate 的流程。 不過,此角色沒有權限可以存取環境中的資料。 環境建立者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 |
包含 Dataverse 資料庫的環境
如果環境有 Dataverse 資料庫,使用者必須指派為系統管理員角色,而不是完整管理員權限的環境管理員角色。
要製作連接至資料庫的應用程式,且需要建立或更新實體和資訊安全角色的使用者,必須具有系統自訂員角色以及環境創造者角色。 環境建立者角色對環境的資料沒有權限。
下表說明在具有 Dataverse 資料庫的環境中,預先定義的資訊安全角色。 您無法編輯這些角色。
| 資訊安全角色 | 描述: |
|---|---|
| 應用程式開啟工具 | 具有一般工作的最低權限。 此角色主要是做為建立模型導向應用程式的自訂資訊安全角色的範本。 這對核心商務資料表 (例如客戶、連絡人和活動) 沒有任何權限。 但是,它具有對系統資料表 (例如程序)的組織層級讀取存取權,以支援讀取系統提供的工作流程。 當建立新的自訂資訊安全角色時,將使用此資訊安全角色。 |
| 基本使用者 | 僅適用於現成的實體,可以執行環境中的應用程式,並對其所擁有的一般記錄執行工作。 它具有核心業務表 (例如帳戶、聯絡人、活動和流程) 的權限。 注意:Common Data Service 使用者資訊安全角色已更名為基本使用者。 只會變更名稱; 使用者權限和角色指派是相同的。 如果您有一個具有 Common Data Service 使用者資訊安全角色的解決方案,則應在重新匯入之前,先更新該解決方案。 否則,當您匯入解決方案時,可能會無意中將資訊安全角色名稱改回使用者。 |
| 代理人 | 允許程式碼模擬,或以其他使用者身分來執行。 通常與其他資訊安全角色搭配用來允許存取記錄。 |
| Dynamics 365 系統管理員 | Dynamics 365 管理員是 Microsoft Power Platform 服務管理員角色。 此角色的使用者在自我提升為系統管理員角色後,可以在 Microsoft Power Platform 執行管理功能。 |
| 環境製作者 | 可建立與環境建立關聯的新資源,包括應用程式、連線、自訂 API,及使用 Microsoft Power Automate 的流程。 不過,此角色沒有任何權限可以存取環境中的資料。 環境建立者也可以將他們在環境中建立的應用程式散發給組織中的其他使用者。 他們可以與組織中的個別使用者、安全性群組或所有使用者共用應用程式。 |
| 全域系統管理員 | 全域管理員是 Microsoft 365 管理員角色。 購買 Microsoft 商務訂閱的人全球性的系統管理員,可以無限制地控制訂閱中的產品並存取大多數資料。 此角色的使用者必須自行提升為系統管理員角色。 |
| 全域讀者 | 全域讀者角色在 Power Platform 系統管理中心尚未受到支援。 |
| Office 共同作業者 | 對其中的記錄與組織共用的資料表具有讀取權限。 無權存取任何其他核心和自訂資料表記錄。 此角色會指派給 Office 共同作業者擁有者團隊,而非分配給單一使用者。 |
| Power Platform系統管理員 | Power Platform 管理員是 Microsoft Power Platform 服務管理員角色。 此角色的使用者在自我提升為系統管理員角色後,可以在 Microsoft Power Platform 執行管理功能。 |
| 服務已刪除 | 對所有實體 (包括自訂實體) 具有完全刪除權限。 該角色主要由服務使用,需要刪除所有實體中的記錄。 此角色不能指派給使用者或團隊。 |
| 服務讀取器 | 對所有實體 (包括自訂實體) 具有完全讀取權限。 此角色主要由服務使用,需要讀取所有實體。 此角色不能指派給使用者或團隊。 |
| 服務寫入器 | 擁有所有實體的完整建立、讀取及寫入權限,包括自訂實體。 此角色主要由服務使用,並需要建立和更新記錄。 此角色不能指派給使用者或團隊。 |
| 支援使用者 | 擁有自訂化和商業管理設定的完整讀取權限,讓支援人員可以解決環境組態問題。 此角色無法存取核心記錄。 此角色不能指派給使用者或團隊。 |
| 系統管理員 | 有完整權限可以自訂或管理環境,包括建立、修改和指派資訊安全角色。 可以檢視環境中的所有資料。 |
| 系統自訂員 | 有完整權限可以自訂環境。 可以檢視環境中的所有自訂資料表資料。 不過,具有此角色的使用者只能檢視他們在客戶、連絡人、活動表中所建立的環境實體的記錄。 |
| 網站應用程式負責人 | 在 Azure 入口網站擁有網站應用程式註冊的使用者。 |
| 網站負責人 | 建立 Power Pages 網站的使用者。 此角色是受控的,且無法變更。 |
除了為 Dataverse 說明的預先定義資訊安全角色,您環境中可能會有其他可用的資訊安全角色,具體取決於您擁有的 Power Platform 元件 (Power Apps、Power Automate、Microsoft Copilot Studio)。 下表提供其他資訊的連結。
| Power Platform 元件 | 資訊 |
|---|---|
| Power Apps | 具有 Dataverse 資料庫的環境預先定義的資訊安全角色 |
| Power Automate | 安全性與隱私權 |
| Power Pages | 網站管理所需的角色 |
| Microsoft Copilot Studio | 指派環境資訊安全角色 |
Dataverse for Teams 環境
深入了解 Dataverse for Teams 環境中預先定義的資訊安全角色。
應用程式特定資訊安全角色
如果您在環境中部署 Dynamics 365 應用程式,則會新增其他資訊安全角色。 下表提供其他資訊的連結。
| Dynamics 365 應用程式 | 資訊安全角色文件 |
|---|---|
| Dynamics 365 Sales | Sales 預先定義的資訊安全角色 |
| Dynamics 365 Marketing | 由 Dynamics 365 Marketing 新增的資訊安全角色 |
| Dynamics 365 Field Service | Dynamics 365 Field Service 角色 + 定義 |
| Dynamics 365 Customer Service | Customer Service 全通路中的角色 |
| Dynamics 365 Customer Insights | Customer Insights 角色 |
| 應用程式設定檔管理員 | 與應用程式設定檔管理員相關的角色及權限 |
| Dynamics 365 Finance | 公共部門的資訊安全角色 |
| 財務和營運應用程式 | Microsoft Power Platform 中的資訊安全角色 |
可用於預先定義資訊安全角色的資源摘要
下表說明每個資訊安全角色可以撰寫的資源。
| 資源 | 環境製作者 | 環境管理員 | 系統自訂員 | 系統管理員 |
|---|---|---|---|---|
| 畫布應用程式 | X | X | X | X |
| 雲端流程 | X (非解決方案感知) | X | X | X |
| Connector | X (非解決方案感知) | X | X | X |
| 連線* | X | X | X | X |
| 資料閘道 | - | X | - | X |
| 資料流程 | X | X | X | X |
| Dataverse 資料表 | - | - | X | X |
| 模型導向應用程式 | X | - | X | X |
| 解決方案框架 | X | - | X | X |
| 桌面流程** | - | - | X | X |
| AI Builder | - | - | X | X |
*連線用於畫布應用程式和 Power Automate。
**Dataverse for Teams 使用者預設無法存取桌面流程。 您必須將環境升級到完整的 Dataverse 功能,並取得桌面程式流程授權方案,才能使用桌面流程。