要管理 Power Automate 的安全性,了解 Microsoft Dataverse 的安全概念和术语很重要,它是 Power Platform 组件的基础数据平台。 Microsoft Dataverse 具有一个强大的安全模型,该模型使用安全角色、团队和业务部门,使用权限和行级访问控制来控制对表、字段和记录的访问。 了解详细信息:Dataverse 安全角色和特权。
本文介绍可用于 Power Automate 桌面流的内置安全角色。
备注
Dataverse 数据和配置基于环境。 环境可用于按部门、项目、数据驻留和数据隐私要求或组织分离数据、安全设置、自定义和资源。 例如,您的销售团队可能有一个环境,市场营销团队有另一个环境,客户服务团队有第三个环境。 这允许您在细粒度级别控制对资源和数据的访问,并确保每个团队只能访问他们需要的资源。
Dataverse 访问先决条件
要访问环境,用户必须满足以下条件:
- 启用了 Microsoft Entra ID 登录。
- 拥有具有 Microsoft Power Platform 或 Dynamics 365 认可的服务计划的有效许可证。
- 是环境的 Microsoft Entra 组成员(如果已经有一个与该环境关联)。
- 直接为其或其所属组团队至少分配了一个 Dataverse 安全角色。
如果您在连接到 Dataverse 时遇到困难,请查看此故障排除页面,了解常见的用户访问问题。
Dataverse 安全性相关功能
以下组件与 Dataverse 中的关键安全配置有关。
- 安全角色:安全角色是一组权限,用于定义用户或团队对 Dataverse 中资源的访问级别。 安全角色用于控制对 Dataverse 中的表、列和其他资源的访问。
- 业务部门:业务部门是 Dataverse 中用户、团队和其他资源的逻辑容器。 业务部门用于定义安全边界并控制对 Dataverse 中资源的访问。
- 团队:团队是 Dataverse 中共享一组公共权限的用户。 团队用于简化安全管理,以及控制对 Dataverse 中资源的访问。
- 用户:用户是有权访问 Dataverse 的个人。 用户会被分配安全角色,并成为一个或多个业务部门的成员。
- 特权:特权是控制对 Dataverse 中的表、列和其他资源的访问的权限。 特权用于定义用户或团队对 Dataverse 中特定资源的访问级别。
- 访问级别:访问级别是定义用户或团队对 Dataverse 中特定资源的访问级别的特权组合。 访问级别用于简化安全管理,以及控制对 Dataverse 中资源的访问。
- 共享:共享是将 Dataverse 中的行或其他资源的访问权限授予另一个用户或团队的过程。 共享用于提供对 Dataverse 中资源的暂时或临时访问。
- 记录级安全性:记录级安全性是控制对 Dataverse 中单个行(记录)的访问的过程。 记录级安全性用于确保用户只能访问他们有权查看或修改的行。
- 字段级安全性:字段级安全性是控制对 Dataverse 中单个列的访问的过程。 字段级安全性用于确保用户只能查看或修改他们有权访问的列。
总体而言,这些概念和术语用于定义 Dataverse 中的安全模型,并用于以细粒度和灵活的方式控制对资源的访问。 通过了解这些概念和术语,您可以更好地管理 Dataverse 中的安全性,并确保您的用户具有适当级别的资源访问权限。
Dataverse 特权
下表提供有关每个特定表特权的详细信息:
| 权限 | Description |
|---|---|
| 创建 | 创建新行所需的特权。 可创建的行取决于您的安全角色中所定义权限的访问级别。 |
| 读取 | 打开行以查看内容所需的特权。 可读行取决于您的安全角色中所定义权限的访问级别。 |
| 写入 | 更改行所需的特权。 可更改的行取决于您的安全角色中所定义权限的访问级别。 |
| Delete | 永久删除行所需的特权。 可删除的行取决于您的安全角色中所定义权限的访问级别。 |
| 追加 | 将当前行与其他行关联所需的特权。 例如,如果用户对某个注释拥有“追加”权限,即可将该注释附加到商机。 可追加的行取决于您的安全角色中所定义权限的访问级别。 在多对多关系中,您必须对要关联或要取消关联的表拥有追加特权。 |
| 追加到 | 将行与当前行关联所需的特权。 例如,如果用户对商机具有“追加到”权限,则可以向商机添加注释。 可追加到的记录取决于您的安全角色中所定义权限的访问级别。 |
| 分派 | 向其他用户授予行的所有权所需的特权。 可分配的行取决于您的安全角色中所定义权限的访问级别。 |
| 共享 | 向其他用户授予行的访问权限同时保留自己的访问权限所需的特权。 可共享的行取决于您的安全角色中所定义权限的访问级别。 |
对于每个特定特权,都有一个允许您定义访问级别的下拉菜单。 访问级别决定用户在组织内业务部门层次结构中执行指定权限的深度或高度。
以下列表列出了表中的访问级别,访问最广泛的首先列出。 组织负责的表、其他特权和与隐私相关的特权将仅具有组织或无类型。
| 类型 | Description |
|---|---|
| 组织 | 具有此访问级别的用户可以访问组织内的所有行,无论环境或用户属于哪个业务部门层次级别。 拥有组织访问权限的用户也自动拥有其他类型的访问权限。 由于具有此访问级别的用户可以访问整个组织内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别通常预留给管理整个组织的经理。 |
| 上:下级业务部门 | 此访问级别允许用户访问其业务部门中的行及其下的所有业务部门。 具有此访问级别的用户还将自动具有业务部门和用户访问权限。 由于此访问级别可跨业务部门及其下属部门访问信息,因此应将其限制为与组织的数据安全性计划保持一致。 此访问级别通常预留给管理多个业务部门的经理。 |
| 业务部门 | 具有此访问级别的用户可以访问其所在业务部门内的行。 具有业务部门访问权限的用户自动具有用户访问权限。 由于具有此访问级别的用户可以访问整个业务部门内的信息,因此应该限制此访问级别,以符合组织的数据安全计划。 此访问级别预留给管理一个业务部门的经理。 |
| User | 具有此访问级别的用户可以访问该用户负责的行、与组织共享的对象、与该用户共享的对象以及与该用户所属团队共享的对象。 这是销售和服务代表的典型访问级别。 |
| 无 | 禁止访问。 |
特权及其访问级别组合起来创建安全角色,用于控制对 Dataverse 中资源的访问。 向用户和团队分配安全角色,来定义他们对 Dataverse 中资源的访问级别。
例如,您可以创建一个安全角色,来允许用户创建、读取和更新桌面流,但不能删除它们。 您还可以创建一个安全角色,以允许用户访问 Dataverse 中的所有表和字段,或者创建一个仅允许用户访问其团队负责的表和字段的安全角色。
总体而言,特权是 Dataverse 中安全模型的关键组成部分,用于以细粒度和灵活的方式控制对资源的访问。
备注
若要运行桌面流,需要以下最低权限:
- 对
flowsession表的基本追加、追加到、创建和写入权限。 - 对
workflowbinary表的基本追加、追加到、创建和写入权限。 - 对
workflow表的基本读取特权。 - 对
desktopflowbinary表的基本读取特权。
Power Automate 特定安全角色
以下安全角色在 Power Automate 中现成可用。
环境创建者
Dataverse 中的环境创建者角色是一个内置的安全角色,允许用户创建和管理与环境相关的资源。 包括应用、连接、自定义 API、网关、云端流和桌面流,只要用户拥有预期产品范畴的适当许可证。
桌面流计算机配置管理员
此角色通常分配给管理 VM 映像和虚拟网络的 CoE 或 IT 管理员。 具有此角色的用户对特定于 VM 映像和 VNet 的表具有完全特权,这些表用于托管计算机场景。 特别是,它允许具有此角色的用户添加 VM 映像、映像版本和共享/取消共享 VM 映像以用于在环境中创建的托管计算机场景。
桌面流计算机负责人
此角色允许用户管理自己负责的计算机和计算机组,包括创建、编辑、共享和删除计算机和计算机组。
桌面流计算机用户
此角色允许用户运行桌面流,但不能配置计算机。 CoE 可能会将此角色分派给环境的其他用户,以便用户可以使用由 CoE 创建和共享的计算机,但不能编辑或共享这些角色。
桌面流计算机用户可以共享
此角色扩展了桌面流计算机用户角色,允许用户共享已与其共享的计算机。
桌面流运行时应用程序用户
此角色由 Power Automate 云服务在与 Dataverse 环境交互时使用。
桌面流计算机应用程序用户
此角色由 Power Automate 云服务在与 Dataverse 环境交互时使用。
备注
桌面流运行时应用程序用户和桌面流计算机应用程序用户角色在与 Dataverse 环境交互时由 Power Automate 云服务使用。 修改这些角色的特权和配置可能会破坏桌面流功能。