資訊安全角色和權限
若要控制誰可以存取受限或敏感性資料以及資源以及可使用的資源,請為使用者指派資訊安全角色。 本文概述資訊安全角色及其相關權限。
資訊安全角色與新的新式 UI
資訊安全角色定義不同使用者如何存取不同類型的記錄。 若要控制資料和資源的存取,您可以建立或修改資訊安全角色,或是變更指派給使用者的資訊安全角色。
一位使用者可以有多個資訊安全角色。 資訊安全角色權限是累積的。 授與使用者指派給他們的每個角色中可用的權限。
查看環境中的資訊安全角色清單
登入 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定>使用者 + 權限>資訊安全角色。
定義資訊安全角色的權限與屬性
在建立資訊安全角色或編輯資訊安全角色之後,請設定成員的權限繼承選項:
僅限團隊許可權:用戶作為團隊成員被授予這些許可權。 未擁有使用者權限的團隊成員,可以建立團隊做為負責人的記錄。 當使用者獲得建立和讀取權限的使用者存取層級,他們就可以存取團隊擁有的記錄。
直接使用者 (基本) 訪問級別和團隊許可權:分配資訊安全角色時,將直接向使用者授予這些許可權。 使用者可建立以自己為負責人的記錄。 當授與他們建立和讀取權限的使用者存取層級時,他們可以存取其建立或擁有的記錄。 此設定新資訊安全角色的預設設定。
然後,設定與資訊安全角色相關的權限。
資訊安全角色由以下三種類型的記錄層級權限與工作權限組成:
表: 表許可權定義有權訪問表記錄的使用者可以執行哪些任務,例如讀取、創建、刪除、寫入、分配、分享、追加和追加到。 Append 表示將另一條記錄 (如活動或註釋) 附加到記錄。 Append to 表示要附加到記錄。 設置表許可權。
雜項許可權: 這些基於任務的許可權授予使用者執行特定雜項 (非記錄) 任務的許可權,例如發佈文章或啟動商務規則。 詳細瞭解其他許可權。
與隱私相關的許可權:這些許可權授予使用者執行涉及集成、下載或匯出的數據 Dataverse的任務的許可權,例如將數據匯出到 Microsoft Excel 外部或列印數據。 詳細瞭解與隱私相關的許可權。
每組權限類型都有自己的索引標籤。對於每個索引標籤上,您可以依據所選資訊安全角色來篩選擁有權限、指派的權限或未指派的權限篩選檢視表。
資料表權限
資料表索引標籤會列出環境中的 Dataverse 資料表。 下表說明精簡方格檢視選項關閉時,資訊安全角色編輯器中顯示的屬性。
屬性 | Description |
---|---|
資料表 | Dataverse 資料表的名稱 |
姓名 | Dataverse 資料表的邏輯名稱;對開發人員很有幫助 |
記錄擁有權 | 記錄是由組織或業務單位所擁有,或是由使用者或團隊擁有 |
權限設定 | 資料表使用哪一種預先定義權限,或自訂權限 |
資料表分為以下幾類:
- 商務管理
- 商務程序流程
- 核心記錄
- 自訂資料表
- 自訂
- 缺少資料表
- 銷售
- Service
- 服務管理
若要快速尋找特定的資料表或權限,請在頁面右上角的 [搜尋] 方塊中輸入其名稱,然後選取放大鏡圖示或按 Enter 鍵。 若要清除您的搜尋,請選取 X 圖示。
您一次只可以編輯一個表,但是在單一動作中,您可以從一個資料表將設定複製至多個資料表。
當您設定資訊安全角色時,您需要為與應用程式相關的每個表,判斷它應授與的權限。
下表描述您可以在資訊安全角色中授與的表權限。 在任何情況下,權限適用於哪些記錄取決於資訊安全角色中所定義之權限的存取層級。
權限 | Description |
---|---|
建立 | 建立新記錄所需 |
參閱 | 開啟記錄來檢視內容所需 |
寫入 | 變更記錄所需 |
删除 | 永久移除記錄所需 |
附加 | 需要將目前的記錄與另一個記錄相關聯。例如,如果使用者對附註具有 [附加] 權限,則可將該附註附加至商機 在多對多關聯中,使用者必須擁有要關聯或解除關聯的兩個資料表的附加權限。 |
附加至 | 需要將記錄與目前的記錄相關聯。例如,如果使用者對商機具有 [附加] 權限,則可將該商機附加至附註 |
指派 | 將記錄擁有權提供給另一位使用者所需 |
分享 | 在保留您自己存取權的前提下,將記錄存取權提供給另一位使用者時所需 |
存取層級
每個權限都有一個功能表,可讓您定義其存取層級。 存取等級決定在業務單位階層中使用者可執行工作權限的深度。
下表說明存取層級。 對於組織擁有的資料表,其他權限和隱私權相關的權限只擁有組織或無的存取層級。
輸入 | Description |
---|---|
組織 | 使用者可以存取組織中的所有記錄,而不管他們或環境屬於哪個業務單位層級。 擁有組織存取權的使用者,也會自動擁有其他所有類型的存取權。 由於此層級允許在整個組織中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有組織授權的經理使用。 |
上/下層業務單位 | 使用者可以存取其業務單位中的資料,以及隸屬於該業務單位的所有業務單位。 具備此權限的使用者會自動擁有業務單位和使用者的存取權。 由於此層級允許在整個業務單位及附屬業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 |
營業單位 | 使用者可以存取其業務單位中的記錄。 具備業務單位存取權的使用者會自動擁有使用者存取權。 由於此存取層級允許在整個業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 |
User | 使用者存取其所擁有的記錄、與組織共用的物件、與他們共用的物件,以及與他們所屬團隊共用的物件。 這是適用於銷售與服務代表的一般存取層級。 |
None | 不允許存取。 |
針對每個資料表,選取各個權限的相應類型。 完成之後,選取儲存。
複製資料表權限
為應用程式中的每個資料表設定權限可能會很耗時而且繁瑣。 若要更輕鬆地進行此工作,您可以將權限從一個資料表複製到另一個或多個其他資料表。
選取資料表,然後選取複製資料表權限
搜尋並選取想要複製權限的一個或多個資料表。
請記住,新的設定會覆寫任何先前的設定。
選取儲存。
現在讓我們深入瞭解複製資料表權限如何與權限和存取層級一起使用。
對於同時存在於來源資料表和目標資料表中的權限:
如果目標中存在來源權限設定深度,則複製成功。
如果來源權限設定深度不存在於目標中,則複製失敗,並顯示錯誤訊息。
對於僅存在於來源資料表或目標資料表中的權限:
若權限存在於來源中但不在目標中,則會在目標中忽略它。 剩下的權限複製成功。
如果來源中不存在該權限,但該權限卻存在於目標中,則該權限的深度會保留在目標中。 剩下的權限複製成功。
權限設定
加快表權限設定的另一種方式是使用預先定義的權限群組,並將它們指派至資料表。
下表描述您可以指派的權限設定群組。
許可權設置 | 詳細資料 |
---|---|
無存取權 | 使用者無法存取資料表。 |
完整存取 | 使用者可以查看和編輯資料表中的所有記錄。 |
共同作業 | 使用者可以查看所有記錄,但只能編輯自己的記錄。 |
私人 | 使用者只能查看和編輯自己的記錄。 |
參考資料 | 使用者只能查看記錄,不能編輯它們。 |
自訂 | 表示權限設定已根據預設值變更。 |
選取資料表,然後在命令列中選取權限設定,或選取其他動作 ( ... ) >權限設定。
選取適當的設定。
請記住,新的設定會覆寫任何先前的設定。
選取儲存。
資訊安全角色和舊版 UI
資訊安全角色定義不同使用者如何存取不同類型的記錄。 若要控制資料和資源的存取,您可以建立或修改資訊安全角色,或是變更指派給使用者的資訊安全角色。
一位使用者可以有多個資訊安全角色。 資訊安全角色權限是累積的。 授與使用者指派給他們的每個角色中可用的權限。
查看環境中的資訊安全角色清單 (舊版 UI)
登入 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定>使用者 + 權限>資訊安全角色。
定義資訊安全角色的權限和屬性 (舊版 UI)
在建立資訊安全角色或編輯資訊安全角色之後,設定與之關聯的權限。
資訊安全角色含記錄層級權限與工作權限。
記錄級別許可權 定義具有記錄訪問許可權的使用者可以執行哪些任務,例如讀取、創建、刪除、寫入、分配、分享、追加和追加到。 Append 表示將另一條記錄 (如活動或註釋) 附加到記錄。 Append to 表示要附加到記錄。 詳細了解記錄級許可權。
雜項許可權或基於任務的許可權授予使用者執行特定雜項 (非記錄) 任務的許可權,例如發佈文章或啟動商務規則。 詳細瞭解其他許可權。
資訊安全角色設定頁面上的彩色圓形標示每個權限的存取層級。 存取等級決定在業務單位階層中使用者可執行工作權限的深度。
下表說明存取層級。
Icon | 描述: |
---|---|
全球。 使用者可以存取組織中的所有記錄,而不管他們或環境屬於哪個業務單位層級。 擁有全域存取權限的使用者,可自動取得深度、本機和基本存取權。 由於此層級允許在整個組織中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有組織授權的經理使用。 應用程式會將此存取層級稱為組織。 |
|
深。 使用者可以存取其業務單位中的資料,以及隸屬於該業務單位的所有業務單位。 擁有深度存取權限的使用者會自動取得本機及基本存取權。 由於此層級允許在整個業務單位及附屬業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 應用程式將此存取層級稱為上/下層業務單位。 |
|
本地。 使用者可以存取其業務單位中的記錄。 擁有本機存取權限的使用者會自動取得基本存取權。 由於此存取層級允許在整個業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 應用程式將此存取層級稱為業務單位。 |
|
基本。 使用者存取其所擁有的記錄、與組織共用的物件、與他們共用的物件,以及與他們所屬團隊共用的物件。 這是適用於銷售與服務代表的一般存取層級。 應用程式將此存取層級稱為使用者。 |
|
無。 不允許存取。 |
重要
若要確保使用者可以檢視及存取 Web 應用程式的所有區域,例如資料表表單、導覽列和命令列,組織中的所有資訊安全角色必須包含 Web Resource
資料表的讀取權限。 例如,若沒有讀取權限,使用者將無法開啟包含 Web 資源的表單,並且會看見類似這樣的錯誤訊息:「缺少 prvReadWebResource
權限。」深入了解建立或編輯資訊安全角色。
記錄層級權限
Power Apps 和 Dynamics 365 Customer Engagement 應用程式使用記錄層級權限,來決定使用者對特定記錄或記錄類型的存取等級。
下表描述您可以在資訊安全角色中授與的記錄層級權限。 在任何情況下,權限適用於哪些記錄取決於資訊安全角色中所定義之權限的存取層級。
權限 | 描述: |
---|---|
建立 | 建立新記錄所需 |
參閱 | 開啟記錄來檢視內容所需 |
寫入 | 變更記錄所需 |
删除 | 永久移除記錄所需 |
附加 | 需要將目前的記錄與另一個記錄相關聯。例如,如果使用者對附註具有 [附加] 權限,則可將該附註附加至商機 在多對多關聯中,使用者必須擁有要關聯或解除關聯的兩個資料表的附加權限。 |
附加至 | 需要將記錄與目前的記錄相關聯。例如,如果使用者對商機具有 [附加] 權限,則可將該商機附加至附註 |
指派 | 將記錄擁有權提供給另一位使用者所需 |
共用* | 在保留您自己存取權的前提下,將記錄存取權提供給另一位使用者時所需 |
*記錄的負責人或對記錄具有共用權限的人員,可以將此記錄與其他使用者或團隊共用。 透過共用的方式,可為特定記錄新增讀取、寫入、刪除、附加、指派及共用權限。 團隊主要是用來共用團隊成員一般無法存取的記錄。 詳細瞭解安全性、用戶和團隊。
無法只移除特定記錄的存取權。 對資訊安全角色權限的任何變更,均會套用到該類型的所有記錄。
團隊成員的權限繼承
您可以確定當使用者做為團隊成員或直接做為個人被授與權限時如何繼承權限。
用戶許可權:分配資訊安全角色時,將直接向使用者授予這些許可權。 使用者可建立以自己為負責人的記錄。 當授與他們建立和讀取的基礎存取權限層級時,他們可以存取其建立或擁有的記錄。 此設定新資訊安全角色的預設設定。
團隊許可權:用戶作為團隊成員被授予這些許可權。 未擁有使用者權限的團隊成員,可以建立團隊做為負責人的記錄。 如果授與他們建立和讀取的基礎存取權限層級,他們可以存取團隊擁有的記錄。
注意
在 2019 年 5 月團隊成員的權限繼承功能發佈之前,資訊安全角色的表現方式是團隊權限。 在此發行版本之前建立的資訊安全角色,會設定成團隊權限,而且在此發行版本之後建立的資訊安全角色預設會設定成使用者權限。
可設定資訊安全角色,以將直接「基本」等級存取權限提供給團隊成員。 將權限繼承資訊安全角色指派給使用者時,使用者會直接得到所有的權限,就如同沒有權限繼承的資訊安全角色一樣。 當授與「建立」的「基本」存取權限層級時,團隊成員可以建立以自己為負責人的記錄,以及以團隊為負責人的記錄。 當授與他們「讀取」的「基本」存取層級時,他們可存取他們自己和團隊擁有的記錄。 此權限繼承角色適用於負責人 和 Microsoft Entra ID 群組團隊。
登入 Power Platform 系統管理中心中,於導覽窗格選取環境,然後選取環境。
選取設定>使用者 + 權限>資訊安全角色。
選取新增。
輸入新資訊安全角色的名稱。
選取成員的權限繼承清單,然後選取直接使用者/基本存取層級和團隊權限。
移至每個索引標籤,並在每個資料表上設定適當的權限。
若要變更權限的存取層級,請繼續選取存取層級符號,直到您看到想要的符號為止。 可用的存取等級須視記錄類型為組織擁有或使用者擁有而定。
您在成員的權限繼承中只能選取基本等級權限。 如果您需要提供對下層業務單位的存取權,請將權限提升至「深層」。 例如,您必須為群組團隊指派一個資訊安全角色,而且您想要讓該群組的成員可以「附加至帳戶」。 設定具有基本層級成員權限繼承的資訊安全角色。 將「附加至帳戶」權限設定為「深層」。 這是因為基本權限僅適用於使用者的業務單位。
注意
自 2024 年 7 月起, 角色的團隊成員特權繼承 屬性不再是 託管屬性。 當您導入具有安全角色的解決方案時,不包括此屬性。