要控制谁可以访问受限制或敏感的数据和资源,以及他们可以对这些数据和资源做什么,为用户分配安全角色。 本文概述了安全角色及其相关特权。
用户的安全角色
安全角色定义不同用户如何访问不同类型的记录。 若要控制对数据和资源的访问,可以创建或修改安全角色,并更改分配给用户的安全角色。
用户可以具有多个安全角色。 安全角色权限是累积的。 向用户授予在其被分配的每个角色中可用的权限。
查看环境中安全角色的列表
若要查看环境的安全角色列表,请执行以下步骤:
- 登录 Power Platform 管理中心。
- 在导航窗格中选择管理。
- 在管理窗格中,选择环境。 然后选择一个环境。
- 在命令栏上选择 “设置 ”。 将显示该环境的 “设置” 页。
- 选择用户 + 权限>安全角色。
安全角色的角色名称和说明
为 Dataverse 安全角色指定描述性名称,包括其用途的简短语句、定义 “应用于 ”范围(例如强制实施角色的服务或应用程序),并汇总角色向其授予权限的关键业务表。
查看和更新安全角色说明
注释
说明适用于和摘要受保护,并且无法更新系统安全角色。
- 登录 Power Platform 管理中心。
- 在导航窗格中选择管理。
- 在管理窗格中,选择环境。 然后选择一个环境。
- 在命令栏中选择设置。 将显示该环境的 “设置” 页。
- 选择用户 + 权限>安全角色。
- 选择安全角色并选择操作栏上的“设置”,或选择安全角色,然后选择“更多操作”图标,再选择“设置”。
定义安全角色的特权和属性
仅团队特权:用户作为团队成员被授予这些特权。 没有自己的用户特权的团队成员可以创建以团队为负责人的记录。 如果他们被授予“创建”和“读取”特权的用户访问级别,则可以访问团队负责的记录。
直接用户(基本)访问级别和团队特权:在分配安全角色时,将直接授予用户这些特权。 用户可以将自己作为负责人来创建记录。 当他们被授予“创建”和“读取”特权的用户访问级别时,可以访问所创建或负责的记录。 此设置是新安全角色的默认设置。
然后,配置与安全角色关联的特权。
安全角色包含以下三个类型的记录级别的特权和基于任务的特权:
表:表特权定义具有表记录访问权限的用户可以执行哪些任务,例如读取、创建、删除、写入、分配、共享、追加和追加到。 追加系指为一个记录附加另一个记录,例如活动或注释。 追加到系指为一个记录附加记录。 设置表特权。
其他特权: 这些基于任务的特权授予用户执行特定杂项(非记录)任务的权限,例如发布文章或激活业务规则。 详细了解其他特权。
与隐私相关的特权:这些特权为用户提供执行涉及在 Dataverse 之外集成、下载或导出的数据的任务的权限,如将数据导出到 Microsoft Excel 或打印。 详细了解与隐私相关的特权。
每组特权类型都有自己的选项卡。对于每个选项卡,您可以按所选安全角色的所有特权、已分配特权或未分配特权筛选视图。
表特权
表选项卡列出环境中的 Dataverse 表。 下表描述了当紧凑网格视图选项关闭时,安全角色编辑器中显示的属性。
| 属性 | 说明 |
|---|---|
| 表 | Dataverse 表的名称 |
| 名称 | Dataverse 表的逻辑名称;对开发人员有帮助 |
| 记录所有权 | 记录是由组织或业务部门负责,还是可以由用户或团队负责 |
| 权限设置 | 表在使用的预定义权限集或自定义权限 |
表按照以下类别分组:
- 商业管理
- 业务流程
- 核心记录
- 自定义表
- 自定义项
- 缺少表
- Sales
- Service
- 服务管理
要快速查找特定的表或特权,在页面右上角的搜索框中输入其名称,然后选择放大镜图标或按 Enter。 要清除搜索,选择 X 图标。
一次只能编辑一个表,但可以在一个操作中将设置从一个表复制到多个表。
配置安全角色时,需要确定它应为与应用程序相关的每个表授予的权限。
下表介绍了您可以在安全角色中授予的表特权。 在所有情况下,特权适用于哪些记录取决于在安全角色中定义的权限的访问级别。
| 特权 | 说明 |
|---|---|
| 创建 | 创建新记录时需要本特权 |
| 阅读 | 打开记录以查看内容时需要本特权 |
| 写 | 对记录进行更改时需要本特权 |
| 删除 | 永久删除记录时需要本特权 |
| 追加 | 将当前记录与另一个记录关联时需要;例如,如果用户对注释具有“追加”权限,可以将注释附加到商机 对于多对多关系,用户必须具有关联或解除关联的两个表的追加特权。 |
| 追加到 | 将记录与当前记录关联时需要;例如,如果用户对商机具有“追加到”权限,可以将注释添加到商机 |
| 分配 | 将一条记录的所有权授予另一个用户时需要本特权 |
| 共享 | 向另一个用户授予对某记录的访问权限,同时保持自己的访问权限,则需要本特权 |
访问级别
每个特权有一个菜单,允许您定义它的访问级别。 访问级别确定用户在业务部门层次结构中执行特权的深度。
下表介绍了访问级别。 对于组织负责的表,其他特权和与隐私相关的特权仅具有组织或无访问级别。
| 类型 | 说明 |
|---|---|
| 组织 | 用户可以访问组织中的所有记录,不论它们或环境属于哪个业务部门层次级别。 具有组织访问权限的用户同时自动具有所有其他类型的访问权限。 由于具有此级别的用户可以访问整个组织内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此级别的访问权限保留给具有组织权限的经理。 |
| 上级:下级业务部门 | 用户可以访问其业务部门及其下属的所有业务部门中的记录。 具有此访问权限的用户自动具有业务部门和用户访问权限。 由于具有此级别的用户可以访问整个业务部门以及下属业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此级别的访问权限是为具有业务部门权限的经理保留的。 |
| 业务部门 | 用户可以访问其业务部门中的记录。 具有业务部门访问权限的用户自动具有用户访问权限。 由于具有此访问级别的用户可以访问整个业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此级别的访问权限保留给具有业务部门权限的经理。 |
| User | 用户可以访问他们自己的记录、与组织共享的对象、与他们共享的对象以及与他们所属的团队共享的对象。 这种访问级别对于销售和服务代表来说是典型的。 |
| 无 | 禁止访问。 |
对于每个表,请选择每项特权的适当类型。 在您完成时选择保存。
复制表权限
在应用中设置每个表的特权可能既耗时又乏味。 为方便起见,可以将权限从一个表复制到一个或多个其他表。
选择一个表,然后选择“ 复制表权限”。
搜索并选择要将权限复制到的一个或多个表。
请记住,新配置将覆盖所有以前的设置。
选择保存。
让我们更详细地看看复制表的权限如何与特权和访问级别一起发挥作用。
对于同时存在于源表和目标表的权限:
如果目标中存在源权限设置深度,复制将成功。
如果目标中不存在源权限设置深度,复制将失败并显示错误消息。
对于仅存在于源表或目标表的权限:
如果源中存在权限,但目标中不存在权限,则目标中将忽略该权限。 其余权限的复制将成功。
如果权限不存在于源中,但存在于目标中,权限的深度将保留在目标中。 其余权限的复制将成功。
权限设置
另一种加快表权限配置的方法是使用预定义的权限组并将其分配给表。
下表介绍了您可以分配的权限设置组。
| 权限设置 | 详细信息 |
|---|---|
| 无访问权限 | 没有用户可以访问此表。 |
| 完全访问权限 | 用户可以查看和编辑表中的所有记录。 |
| 协作 | 用户可以查看所有记录,但只能编辑自己的记录。 |
| 专用 | 用户只能查看和编辑自己的记录。 |
| 参考 | 用户只能查看记录,不能编辑记录。 |
| 自定义 | 表示已从默认值更改权限设置。 |
选择一个表,然后在命令栏中选择权限设置,或选择更多操作 (…) >权限设置。
选择适当的设置。
请记住,新配置将覆盖所有以前的设置。
选择保存。
将用户添加到安全角色
按照以下步骤将用户添加到安全角色。
- 登录 Power Platform 管理中心。
- 在导航窗格中选择管理。
- 在管理窗格中,选择环境。 然后选择一个环境。
- 在命令栏中选择设置。 将显示该环境的 “设置” 页。
- 选择用户 + 权限>安全角色。
- 选择一个安全角色,然后选择更多操作(...)图标。
- 在出现的菜单中选择 成员。
- 在“ 成员 ”页中,选择“ + 添加人员”。
- 在添加人员窗格中,输入姓名、电子邮件地址或团队名称,搜索要添加到安全角色的用户。
- 选择添加将这些用户添加到安全角色。
从安全角色中删除用户
可以通过新式 UI 从安全角色中删除用户。 按照以下步骤从安全角色中删除用户。
- 登录 Power Platform 管理中心。
- 在导航窗格中选择管理。
- 在管理窗格中,选择环境。 然后选择一个环境。
- 在命令栏中选择设置。 将显示该环境的 “设置” 页。
- 选择用户 + 权限>安全角色。
- 选择一个安全角色,然后选择更多操作(...)图标。
- 在出现的菜单中选择 成员。
- 在成员页面,选择要从安全角色中删除的用户。
- 选择页面顶部的删除。
- 此时会出现从角色删除窗口,要求您确认是否要删除所选用户与该角色相关的权限。 选择删除。