Hvordan postbaseret sikkerhed kan bruges til at styre adgangen til poster i Microsoft Dynamics 365
Udgivet: januar 2017
Gælder for: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Postbaseret sikkerhed i Microsoft Dynamics 365 og Microsoft Dynamics 365 (online) gælder for de enkelte poster. Den findes ved hjælp af adgangsrettigheder.
Relationen mellem en adgangsrettighed og et privilegium er, at adgangsrettigheder først er gældende, når privilegiet er trådt i kraft. Hvis en bruger f.eks. ikke har privilegiet til at læse konti, kan denne bruger ikke læse nogen konti uanset de adgangsrettigheder, en anden bruger tildeler til en bestemt konto via deling.
Dette emne indeholder
Adgangsrettigheder
Deling af poster
Tildeling af poster
Hentning af adgangsrettigheder for en post
Afhængigheder mellem adgangsrettigheder
Adgangsrettigheder
En adgangsrettighed gives til en bruger til en bestemt post. Nedenstående tabel indeholder beskrivelserne af disse adgangsrettigheder.
Adgangsrettighed |
AccessRights optællingsværdi |
Beskrivelse |
|---|---|---|
Læse |
ReadAccess |
Styrer, om brugeren kan læse en post. |
Skriv |
WriteAccess |
Styrer, om brugeren kan opdatere en post. |
Tildel |
AssignAccess |
Styrer, om brugeren kan tildele en post til en anden bruger. |
Tilføj |
AppendAccess |
Styrer, om brugeren kan knytte en anden post til den angivne post. Adgangsrettighederne Føj og Føj til arbejder sammen. Hver gang, en bruger føjer en post til en anden, skal brugeren have begge rettigheder. Når du f.eks. vedhæfter en note til en sag, skal du have adgangsrettigheden Tilføj til noten og adgangsrettigheden Føj til til sagen, for at handlingen kan fungere. |
Føj til |
AppendToAccess |
Styrer, om brugeren kan tilføje den pågældende post til en anden post. Adgangsrettighederne Føj og Føj til arbejder sammen. Du kan finde flere oplysninger under beskrivelsen af Tilføj. |
Del |
ShareAccess |
Styrer, om brugeren kan dele en post med en anden bruger eller et team. Deling giver en anden bruger adgang til en post. Du kan finde flere oplysninger under Deling af poster. |
Slet |
DeleteAccess |
Styrer, om brugeren kan slette en post. |
Oprette adgang
Rettigheden til at oprette en post til en objekttype medtages ikke i den forrige tabel, da denne rettighed ikke gælder for en enkelt post, men i stedet for en klasse af objekter. Opret håndteres som en rettighed i stedet for som en adgangsrettighed. Den bruger, der opretter en post har alle rettigheder til denne post, medmindre hans eller hendes rettigheder forbyder en bestemt rettighed.
Rettigheden Opret angiver, om du kan oprette en post. Hvis du har rettigheden Opret med lokal, dyb eller global adgang, kan du oprette poster til andre brugere. Hvis du har rettighederne Opret og Læs med grundlæggende adgang, kan du oprette poster til dig selv.
Du kan finde flere oplysninger om afhængigheder, der er relateret til at oprette rettigheder, i Afhængigheder mellem adgangsrettigheder.
Deling af poster
Med deling kan brugere give andre brugere eller teams adgang til specifikke kundeoplysninger. Dette er nyttigt ved deling af oplysninger med andre brugere i roller, der har kun det grundlæggende adgangsniveau. I en organisation, der f.eks. giver sælgere grundlæggende læse- og skriveadgang til konti, kan en sælger dele en salgsmulighed med en anden sælger, så de begge kan spore status for et vigtigt salg.
Af sikkerhedsmæssige årsager skal der indføres en praksis med kun at dele de nødvendige poster med den mindst mulige mængde brugere. Giv kun den minimale adgang, der kræves, for at brugerne kan udføre deres arbejde.
Microsoft Dynamics 365 indeholder følgende muligheder for deling:
Del. Alle brugere, der har delerettigheder til en bestemt objekttype, kan dele poster af denne type med enhver anden bruger eller et team i Microsoft Dynamics 365. Til deling af en post brug GrantAccessRequest.
Når du deler en post med en anden bruger, kan du angive hvilke adgangsrettigheder (Læs, Skriv, Slet, Tilføj, Tildel og Del) du vil give til den anden bruger. Adgangsrettigheder til en delt post kan være forskellige for hver enkelt bruger, som posten deles med. Men, du kan ikke give en bruger rettigheder, han eller hun ikke ville have til det pågældende objekt, ud fra den rolle, den pågældende bruger er tildelt. Hvis en bruger f.eks. ikke har læserettigheder til konti, og du deler en konto med denne bruger, kan brugeren ikke se denne konto.
Redigere deling. Du kan ændre de rettigheder, der er givet til en delt post, når den er blevet delt. Hvis du vil ændre deling af en post, skal du bruge ModifyAccessRequest.
Fjerne deling. Hvis du deler en post med en anden bruger eller et team, kan du stoppe deling af posten. Når du fjerner delingen af en post, mister den anden bruger eller teamet adgangsrettigheder til posten. Hvis du vil fjerne deling af en post, skal du bruge RevokeAccessRequest.
Tip
Brug GrantAccessRequest, ModifyAccessRequest og RevokeAccessRequest til deling.
En bruger klan have adgang til den samme post i mere end én sammenhæng. En bruger kan f.eks. dele en post direkte med specifikke adgangsrettigheder, og han eller hun kan også være i et team, hvor den samme post er delt med forskellige adgangsrettigheder. I dette tilfælde er de rettigheder, som denne bruger har til posten, foreningen af alle rettigheder.
Du kan se en liste over objekter, der understøtter deling i GrantAccessRequest.
Deling og arv
Hvis der oprettes en post, og den overordnede post har visse deleegenskaber, arver den nye post disse egenskaber. Joe og Mike arbejder f.eks. på en potentiel kunde med høj prioritet. Joe opretter en ny potentiel kunde og to aktiviteter, deler den potentielle kunde med Mike og vælger overlappet deling. Mike foretager et telefonopkald og sender en e-mail om den nye potentielle kunde. Joe ser, at Mike har kontaktet firmaet to gange, så han foretager ikke et andet opkald.
Deling vedligeholdes på individuelle poster. En post arver delingsegenskaber fra den overordnede post og bevarer også sine egne delingsegenskaber. Derfor kan en post kan have to sæt delingsegenskaber – en, der er dens egen, og en, der er arvet fra dens overordnede post.
Hvis du fjerner deling af en overordnet post fjernes delingsegenskaberne fra objekter (poster), der er nedarvet fra det overordnede objekt. Det vil sige, har alle brugere, der tidligere har kunne se denne post, ikke længere kan se den. Underordnede objekter kan stadig være delt til nogle af disse brugere, hvis de blev delt enkeltvis og ikke fra den overordnede post.
Tildeling af poster
Alle med rettighederne Tildel på en post kan tildele posten til en anden bruger. Når der tildeles en post, bliver den nye bruger eller det nye team ejer af posten og de relaterede poster. Den oprindelige bruger eller det oprindelige team mister ejerskabet til posten, men deler den automatisk med den nye ejer.
I Microsoft Dynamics 365 kan systemadministratoren for en organisation bestemme, om posterne skal deles med tidligere ejere eller ikke, efter tildelingshandlingen. Hvis Del med tidligere ejer er markeret, så deler den tidligere ejer posten med alle rettigheder efter tildelingshandlingen. Ellers deler den tidligere ejer ikke posten og har muligvis ikke adgang til posten, afhængigt af hans eller hendes rettigheder. Attributten Organization.ShareRoPreviousOwnerOnAssign styrer denne indstilling.
Du kan se en liste over objekter, der understøtter tildeling, i AssignRequest.
Hentning af adgangsrettigheder for en post
Brug meddelelsen RetrievePrincipalAccessRequest til at hente de adgangsrettigheder, som den angivne sikkerhedskonto (bruger eller team) har til en post.
Brug meddelelsen RetrieveSharedPrincipalsAndAccessRequest til at hente alle sikkerhedskonti (brugere og teams), der har adgang til en post, sammen med deres adgangsrettigheder til denne post.
Afhængigheder mellem adgangsrettigheder
Nogle gange findes der sikkerhedsafhængigheder, da det er nødvendigt at have mere end én adgangsretttighed for at udføre en given handling. Hvis du f.eks. har adgangsrettigheden Opret til konti, kan du oprette en post af objekttypen Konto. Men, medmindre du også har læseadgang til konti, kan du ikke oprette en firmapost og være ejer af den nye post.
I nedenstående tabel vises afhængighederne af adgangsrettighederne for de handlinger, der er angivet.
Handling |
Påkrævede adgangsrettigheder |
|---|---|
Hvis du vil oprette en post og være postejer |
OPRET LÆSE |
Hvis du vil dele en post |
DELE. Denne rettighed er påkrævet for den person, der udfører delingshandlingen. LÆSE. Denne rettighed er påkrævet af den person, der udfører delingshandlingen, og også af den person, som posten deles med. |
Hvis du vil tildele en post |
TILDEL SKRIVE LÆSE |
Hvis du vil føje til en post |
LÆS FØJ TIL |
Hvis du vil tilføje en post |
LÆS TILFØJE |
Der findes en anden type afhængighed, når objekter er underordnede i forhold til et andet objekt. F.eks. kan ikke salgsmulighedsobjektet ikke eksistere som selvstædigt objekt. Hver salgsmulighed er altid knyttet til et firma eller en kontaktperson. Hvis du vil oprette en salgsmulighed, skal du have adgangsrettigheden Føj til på konti og adgangsrettigheden Tilføj på salgsmuligheder.
Se også
AccessRights
RetrievePrincipalAccessRequest
Sikkerhedsmodellen for Microsoft Dynamics 365
Hvordan rollebaseret sikkerhed kan bruges til at styre adgangen til objekter i Microsoft Dynamics 365
Hvordan feltsikkerhed kan bruges til at styre adgangen til feltværdier i Microsoft Dynamics 365
Introduktion til objekter i Microsoft Dynamics 365
Relationsfunktionsmåde for objekt
Microsoft Dynamics 365
© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret