通过

创建或编辑安全角色以管理访问

创建安全角色或编辑与现有安全角色关联的特权,以适应业务要求的改变。 您可以将更改导出为解决方案以进行备份或在其他实现中使用。

本文还有助于确保用户具有安全角色,其中包含打开模型驱动应用等常见任务所需的最低权限。 请务必观看视频常见任务的最低权限

必备条件

确保您具有系统管理员权限。 如果没有,请与系统管理员联系。

创建安全角色

若要创建安全角色,请执行以下步骤:

  1. 登录 Power Platform 管理中心
  2. 在导航窗格中选择“ 管理 ”。
  3. 在“ 管理 ”窗格中,选择“ 环境 ”,然后选择一个环境。
  4. 在命令栏上,选择设置
  5. 展开 “用户 + 权限 ”并选择“ 安全角色”。
  6. 在命令栏上,选择“ + 新建角色 ”以访问“ 新建角色 ”面板。
  7. 输入 角色名称
  8. 从下拉列表中选择一个业务部门。
  9. 输入 说明。 例如,其用途的简短陈述。
  10. 输入适用于。 例如,标识使用此角色的服务或应用程序。
  11. 输入 核心表权限的摘要。 例如,该角色授予权限的关键业务表。
  12. 若要允许团队成员在将角色分配给团队时继承此角色的权限,请接受默认 成员的权限继承 设置,即 直接用户(基本)访问级别和团队权限。 了解有关成员权限继承设置的更多信息,请参阅安全角色和权限
  13. 要使用新角色运行模型驱动应用,请接受默认的包括运行模型驱动应用的应用程序打开者权限设置,这设置为
  14. 选择保存。 将显示新角色的属性。

授予表特权

要授予表特权,请遵循以下步骤:

您必须将应用程序的表权限授予此新创建的安全角色。 检查和更新从应用程序打开者安全角色的常见任务最低权限复制的默认权限。 某些特权授予组织级别的读取访问权限,例如进程(流),允许用户运行系统提供的流。 如果您的应用程序或用户不需要运行系统提供的流,您可以将此权限更改为用户(基本)级别。

  1. 搜索输入字段中输入您的表名称,以查找您的应用程序表。
  2. 选择您的表并设置权限设置。
  3. 在命令栏上,选择保存
  4. 重复这些步骤,为应用中的每个表配置表权限。

通过复制现有角色创建安全角色

若要通过复制现有角色来创建安全角色,请执行以下步骤:

  1. 登录 Power Platform 管理中心
  2. 在导航窗格中选择“ 管理 ”。
  3. 在“ 管理 ”窗格中,选择“ 环境 ”,然后选择一个环境。
  4. 在命令栏上,选择设置
  5. 展开 “用户 + 权限 ”并选择“ 安全角色”。
  6. 选择要复制的安全角色。
  7. 在命令栏上,选择 “复制安全角色 ”以显示 “复制角色 ”对话框。
  8. 输入新角色 的名称 。 选择复制
  9. 输入 说明。 例如,其用途的简短陈述。
  10. 输入 应用于。 例如,标识使用此角色的服务或应用程序。
  11. 输入 核心表权限的摘要。 例如,该角色授予权限的关键业务表。
  12. 返回到 “安全角色 ”页,然后选择你创建的新角色。
  13. 为安全角色指定权限。 有关详细信息,请参阅 安全角色和特权
  14. 选择保存 + 关闭

编辑安全角色的设置

若要编辑安全角色的名称、说明、适用于和摘要等设置,请执行以下步骤:

备注

无法编辑系统安全角色的设置。

  1. 登录 Power Platform 管理中心
  2. 在导航窗格中选择“ 管理 ”。
  3. 在“ 管理 ”窗格中,选择“ 环境 ”,然后选择一个环境。
  4. 在命令栏上,选择设置
  5. 展开 “用户 + 权限 ”并选择“ 安全角色”。
  6. 选择要编辑的安全角色。
  7. 在命令栏上,选择设置
  8. 更新 名称
  9. 更新 说明。 例如,其用途的简短陈述。
  10. 更新适用于。 例如,标识使用此角色的服务或应用程序。
  11. 更新 核心表权限的摘要。 例如,该角色授予权限的关键业务表。
  12. 选择保存 + 关闭

编辑安全角色的权限

在编辑安全角色之前,请确保您了解控制数据访问的原则。 若要编辑安全角色的权限,请执行以下步骤:

备注

不能编辑系统管理员安全角色。 而是复制系统管理员安全角色并对新角色进行更改。

  1. 登录 Power Platform 管理中心
  2. 在导航窗格中选择“ 管理 ”。
  3. 在“ 管理 ”窗格中,选择“ 环境 ”,然后选择一个环境。
  4. 在命令栏上,选择设置
  5. 展开 “用户 + 权限 ”并选择“ 安全角色”。
  6. 选择要编辑的安全角色。
  7. 为安全角色指定权限
  8. 选择保存 + 关闭

常见任务的最低权限

确保用户具有安全角色,其权限足以完成打开模型驱动应用等常见任务的最低要求。

不要使用 Microsoft 下载中心中提供的应用使用的最低权限角色。 即将停用。 而应使用或复制预定义的安全角色应用打开者,然后设置相应的特权。

  • 要允许用户打开模型驱动应用或任何 Dynamics 365 customer engagement 应用,分配应用打开者角色。

  • 要允许用户查看表,分配以下特权:

    • 核心记录:读取表的特权、读取已保存视图、创建/读取/写入用户实体 UI 设置,在“业务管理”选项卡上分配以下特权:读取用户。

  • 登录到 Dynamics 365 for Outlook 时:

  • 若要为客户互动应用和所有按钮呈现导航:为用户分配最低权限应用程序使用安全角色或该安全角色的副本

  • 呈现表网格:对表分配读取权限

  • 若要呈现表:分配对表的读取权限

隐私声明

通过使用适用于手机的 Dynamics 365 和适用于其他客户端的 Dynamics 365,自动授权具有特定安全角色的 Dynamics 365 Online 许可用户访问该服务。 授权角色的示例包括:CEO、业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁。

管理员可以在用户安全角色级别或实体级别完全控制与手机客户端相关的访问权限以及授权访问级别。 随后,用户可以使用适用于手机的 Dynamics 365 访问 Dynamics 365 Online。 客户数据将在运行特定客户端的设备上缓存。

根据用户安全和实体级别的特定设置,可从 Dynamics 365 Online 导出这些类型的客户数据。 可在最终用户设备上缓存的数据包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

适用于平板电脑的 Dynamics 365、适用于手机的 Dynamics 365 和适用于 Dynamics 365 的 Project Finder(以下简称“应用”)使用户能够通过平板电脑或手机设备访问其 Microsoft Dynamics CRM 或 Dynamics 365 实例。 为了提供此服务,本应用程序将处理和存储相关信息,例如用户的凭据以及用户在 Microsoft Dynamics CRM 或 Dynamics 365 中处理的数据。 本应用仅供作为 Microsoft Dynamics CRM 或 Dynamics 365 授权用户的 Microsoft 客户的最终用户使用。 本应用程序代表适用的 Microsoft 客户处理用户的信息,如果为用户提供对 Microsoft Dynamics CRM 或 Dynamics 365 的访问权限的组织给出指示,Microsoft 可能会披露本应用程序处理的信息。 Microsoft 不会将用户通过本应用程序处理的信息用于任何其他目的。

如果用户使用本应用连接到 Microsoft Dynamics CRM (online) 或 Dynamics 365,则安装本应用即表示用户同意将其组织分派的 ID、最终用户分派的 ID 以及设备 ID 传输至 Microsoft,以用于跨多台设备启用连接或改进 Microsoft Dynamics CRM (online)、Dynamics 365 或本应用。

位置数据。 如果用户请求在本应用程序中启用基于位置的服务或功能,则本应用程序可能会收集并使用关于其位置的精确数据。 精确位置数据可以是全球定位系统 (GPS) 数据以及用于识别附近手机信号塔和 Wi-Fi 热点的数据。 本应用可能会将位置数据发送至 Microsoft Dynamics CRM 或 Dynamics 365。 本应用程序可能会将位置数据发送至必应地图和其他第三方地图服务(如 Google Maps 和 Apple Maps),以及用户手机中指定的用户,以便处理本应用程序内的用户位置数据。 用户可关闭位置服务或关闭本应用程序对位置服务的访问,以禁用基于位置的服务或功能或者禁用本应用程序对用户位置的访问。 用户对必应地图的使用受必应地图最终用户使用条款(可从 https://go.microsoft.com/?linkid=9710837 访问)和必应地图隐私声明(可从 https://go.microsoft.com/fwlink/?LinkID=248686 访问)的约束。 用户使用第三方地图服务,以及用户向第三方地图服务提供的任何信息均受特定于这些服务的最终用户条款和隐私声明的约束。 用户应仔细查看这些其他最终用户条款和隐私声明。

本应用程序可能包含指向其他 Microsoft 服务和第三方服务的链接,这些服务的隐私和安全实践可能与 Microsoft Dynamics CRM 或 Dynamics 365 的不同。  如果用户向其他 Microsoft 服务或第三方服务提交了数据,则此类数据将受到这些服务各自的隐私声明的约束。 为了避免引起疑虑,用户的 Microsoft Dynamics CRM 或 Dynamics 365 协议或者适用的 Microsoft Dynamics 信任中心将不涉及在 Microsoft Dynamics CRM 或 Dynamics 365 之外共享的数据。 Microsoft 鼓励用户仔细查看此类其他隐私声明。

通过使用适用于平板电脑的 Dynamics 365 以及其他客户端,可以自动授权具有特定安全角色(CEO - 业务经理、销售经理、销售员、系统管理员、系统定制员和销售副总裁)的许可的 Dynamics 365 联机用户访问该服务。

管理员对于与平板电脑客户端相关的访问能力以及授权访问级别具有完全控制权限(在用户安全角色级别或实体级别)。 随后,用户可以使用适用于平板电脑的 Dynamics 365 访问 Dynamics 365 (online),客户数据将缓存在运行特定客户端的设备上。

根据用户安全和实体级别的特定设置,可从 Dynamics 365 (online) 导出并缓存在最终用户设备上的客户数据的类型包括记录数据、记录元数据、实体数据、实体元数据和业务逻辑。

如果您使用 Microsoft Dynamics 365 for Outlook,则在脱机时,将在本地计算机上创建并存储正在处理的数据的副本。 通过使用安全连接可将数据从 Dynamics 365 (online) 传输到计算机上,并可在本地副本和 Dynamics 365 Online 之间保持链接。 下次登录到 Dynamics 365 (online) 时,本地数据将与 Dynamics 365 (online) 同步。

管理员可以通过使用安全角色来确定是否允许组织用户脱机使用 Microsoft Dynamics 365 for Outlook。

用户和管理员可以通过使用选项对话框中的同步筛选器设置来配置通过脱机同步下载哪些实体。 或者,用户和管理员还可以通过使用同步筛选器对话框中的高级选项来配置下载(和上载)哪些字段。

如果您使用 Dynamics 365 (online),在使用“与 Outlook 同步”功能时,您同步的 Dynamics 365 数据将“导出”到 Outlook。 可在 Outlook 的信息和 Dynamics 365 (online) 信息之间保持链接,以确保两者之间的信息是最新的。 Outlook Sync 仅下载相关 Dynamics 365 记录 ID,在用户尝试针对 Outlook 项进行跟踪和设置时使用。 公司数据不存储在设备中。

管理员可以通过使用安全角色来确定是否允许组织用户将 Dynamics 365 数据同步到 Outlook。

若使用 Microsoft Dynamics 365 (online),导出数据至静态工作表时,系统会在您的计算机上创建导出数据的本地副本。 数据通过安全连接从 Dynamics 365 (online) 传输至您的计算机,且本地副本与 Dynamics 365 (online) 之间不会保持任何连接。

当导出到动态工作表或数据透视表时,将保持 Excel 工作表和 Dynamics 365 (online) 之间的链接。 每次刷新动态工作表或数据透视表时,系统都会使用您的凭据对您进行 Dynamics 365 (online) 身份验证。 您将能查看您有权查看的数据。

管理员可以通过使用安全角色来确定是否允许组织用户将数据导出到 Excel。

当 Dynamics 365 (online) 用户打印 Dynamics 365 数据时,他们正在将此数据从 Dynamics 365 (online) 提供的安全边界“导出”到相对较不安全的环境(在这里是一张纸)。

管理员对于可以提取的数据具有完全控制权限(在用户安全角色级别或实体级别)。 但是,在数据被提取后,它不再受 Dynamics 365 (online) 提供的安全边界的保护,而是由客户直接控制。

相关内容

安全概念预定义的安全角色复制安全安全角色

  • Last updated on