Power Platform: App Maker Challenge, deel 17

Ingediend door Dirk Hornstra op 06-jun-2022 18:01

Het zeventiende deel, verwachte tijd: drie kwartier.
Dit deel gaat over security rollen in Dataverse.

In de introductie wordt even het voorbeeld gegeven van de verschillende omgevingen die je kunt hebben, development, test en productie. En hoe je verschillende mensen daar toegang (of juist geen toegang) tot wilt geven.
Als opmerking staat hier nog bij dat toegang tot een omgeving een gebruiker nog geen rechten geeft om data te bekijken, apps en/of workflows in die omgeving te gebruiken. Een administrator in Dataverse moet daarvoor expliciet toegang geven.

De 2 rollen die in standaard aanwezig zijn, zijn:

System Administrator

  • kan mensen of groepen toevoegen of verwijderen uit de Environment Admin en/of Environment Maker rol.
  • kan een Microsoft Dataverse database provisionen.
  • kan alle resources in een omgeving bekijken en beheren
  • kan policies instellen om te voorkomen dat er data verloren gaat


Environment Maker

  • dit zijn de makers. Kunnen resources aanmaken zoals apps, connecties, connectors, gateways, apps die Power Apps gebruiken en flows die Power Automate gebruiken.
  • tevens kan de maker zijn/haar gebouwde apps distribueren naar andere gebruikers.
  • hebben niet automatisch toegang tot de database (als die er is), de Database owner moet expliciet toegang geven.
  • als een nieuwe gebruiker zich aanmeldt voor Power Apps, dan krijg die automatisch de Maker rol van de standaard omgeving.
  • als je een user toevoegt, dan wordt deze Dataverse User (als de omgeving een Dataverse database heeft) en Environment Maker.


Toevoegen of uitschakelen van een gebruiker kan binnen het Admin Center.
Wil je iemand uitschakelen, dan verwijder je de licentie van de gebruiker of verwijder je deze uit de security groep die rechten heeft. Meer info is hier te vinden (link) en hier over het uitschakelen: link.
De beveiliging is rol-gebaseerd. Vaak wordt een indeling gedaan op basis van business units.

Een business unit kan 1 of meerdere teams bevatten. In het standaard team zitten altijd alle users van de business unit.
Je hebt owning teams, access teams en Azure AD group teams.

Hierna volgt een voorbeeld, waarbij de credit-limiet van klanten alleen inzichtelijk is voor account managers en system administrators.

Ook heb je hierarchy security. Hierdoor kan een manager de data bekijken van de "ondergeschikten".

Manager hierarchy, hierbij zitten manager en medewerkers in 1 business unit. Volledige rechten op directe rapporten, alleen lezen rechten op andere data.

Position hierarchy, doordat verschillene mensen met verschillende rollen op verschillende plekken zitten, kun je in het veld Position (een lookup kolom) aangeven op welke positie de medewerker in de hierarchie zit. Hierme kan hij/zij bij data van mensen die lager in de ranking staan.

Als je een nieuwe Dataverse instantie aanmaakt wordt een database met standaard rollen aangemaakt.

Het overzicht is als volgt:

  • environment admin, mag en kan alles.
  • environment maker, kan zaken aanpassen, maar niet bij de data.
  • system administrator, kan veel.
  • system customizer, kan eigen data bewerken en zaken aanpassen (customization).
  • basis user, kan eigen data zien en aanpassen.
  • delegate, acteert op basis an een andere bestaande gebruiker en heeft die rechten.
  • support user, kan aanpassingen bekijken, kan business management instellingen bekijken.


Environment admin en maker zijn alleen bedoeld voor omgevingen zonder database.

Het volgende voorbeeld laat zien hoe je zelf een rol aanmaakt.

Hierna hoe je de rollen bij een gebruiker kunt zien (simpel).

Er volgt nog een uitleg hoe de rechten ook ingesteld kunnen worden via Azure Active Directory.
Azure AD Groups bestaan uit 2 smaken: Office en Security.

Hierna volgen de vragen. Zo wordt gevraagd welke rollen iemand automatisch krijgt als hij/zij aan Dataverse wordt toegevoegd. Ik had Basic User aangevinkt, maar het moet (natuurlijk) System Customizer zijn.