Conceptos de seguranza en Microsoft Dataverse

Unha das características clave de Dataverse é o seu modelo de seguridade enriquecido que se pode adaptar a moitos escenarios de uso empresarial. Este modelo de seguridade só está en xogo cando hai unha base de datos de Dataverse no ambiente. Como administrador, é probable que non estea a construír todo o modelo de seguridade, pero con frecuencia participará no proceso de xestión dos usuarios e de asegurarse de que teñen a configuración adecuada e da resolución de problemas relacionados co acceso á seguridade.

Suxestión

Consulte o seguinte vídeo: Microsoft Dataverse – Conceptos de seguridade mostrados en Demos.

Seguranza baseada en roles

Dataverse usa seguranza baseada en roles para agrupar unha colección de privilexios. Estes roles de seguranza pódense asociar directamente aos usuarios ou pódense asociar aos equipos de Dataverse e unidades empresariais. Os usuarios poden asociarse ao equipo e, polo tanto, todos os usuarios asociados ao equipo beneficiaranse do rol. Un concepto clave da seguranza de Dataverse é comprender que todas as concesións de privilexios son acumulativas, prevalecendo a maior cantidade de acceso. Se concedeu acceso de lectura a nivel organizativo amplo a todos os rexistros de contactos, non pode volver atrás e ocultar un só rexistro.

Unidades empresariais

Suxestión

Consulta o seguinte vídeo: Modernizar as unidades de negocio.

As unidades empresariais traballan con roles de seguranza para determinar a seguridade efectiva que ten un usuario. As unidades empresariais son un bloque de creación de modelos de seguridade que axuda á xestión de usuarios e aos datos aos que poden acceder. As unidades empresariais definen un límite de seguridade. Cada base de datos de Dataverse ten unha unidade empresarial raíz única.

Pode crear unidades de empresariais secundarias para axudar a segmentar aínda máis os seus usuarios e datos. Cada usuario atribuído a un ambiente pertencerá a unha unidade empresarial. Aínda que as unidades empresariais poden usarse para modelar 1:1 unha verdadeira xerarquía de organización, moitas veces inclínanse máis cara a límites de seguridade só definidos para axudar ás necesidades do modelo de seguridade.

Para entendelo mellor, vexamos o seguinte exemplo. Temos tres unidades empresariais. Woodgrove é a unidade empresarial raíz e sempre estará na parte superior, iso é inalterable. Creamos outras dúas unidades empresariais secundarias A e B. Os usuarios destas unidades empresariais teñen necesidades de acceso moi diferentes. Cando asociamos un usuario con este ambiente , podemos establecer o usuario nunha destas tres unidades empresariais. Onde o usuario estea asociado determinará qué unidade empresarial é propietaria dos rexistros dos que o usuario é o propietario. Ao ter esa asociación podemos adaptar un rol de seguranza para que o usuario poida ver todos os rexistros desa unidade empresarial.

Estrutura xerárquica de acceso aos datos

Os clientes poden usar unha estrutura organizativa onde os datos e o usuario están compartimentados nunha xerarquía similar a unha árbore.

Cando asociamos un usuario a este ambiente, podemos configurar o usuario nunha destas tres unidades empresariais e asignarlle ao usuario un rol de seguranza da unidade empresarial. A unidade empresarial á que está asociado o usuario determina que unidade empresarial posúe os rexistros cando o usuario crea un rexistro. Ao ter esa asociación, permítenos adaptar un rol de seguranza que lle permite ao usuario ver os rexistros desa unidade empresarial.

O usuario A está asociado á división A e ten asignado un rol de seguranza Y da división A. Isto permite ao usuario A acceder aos rexistros de Contacto n.º 1 e Contacto n.º 2. Mentres o usuario B da División B non pode acceder aos rexistros de contacto da División A, pero pode acceder ao rexistro de Contacto n.º 3.

Estrutura de acceso aos datos da matriz (unidades empresariais modernizadas)

Os clientes poden usar unha estrutura organizativa onde os datos se compartimentan nunha xerarquía en forma de árbore e os usuarios poden traballar e acceder aos datos de calquera unidade empresarial independentemente da unidade empresarial á que estea asignado o usuario.

Cando asociamos un usuario con este ambiente , podemos establecer o usuario nunha destas tres unidades empresariais. Para cada unidade empresarial que un usuario necesita para acceder aos datos, asígnaselle ao usuario un rol de seguranza desa unidade empresarial. Cando o usuario crea un rexistro, o usuario pode configurar a unidade empresarial para que posúa o rexistro.

O usuario A pode asociarse a calquera das unidades empresariais, incluída a unidade empresarial raíz. Un rol de seguranza Y da división A está asignado ao usuario A, o que lle dá acceso aos rexistros de Contacto n.º 1 e Contacto n.º 2. Un rol de seguranza Y da división B está asignado ao usuario A, o que lle dá acceso ao rexistro de Contacto n.º 3.

Activar a estrutura de acceso aos datos da matriz

Nota

Antes de activar esta función, debe publicar todas as súas personalizacións para activar todas as súas novas táboas sen publicar para a función. Se as súas táboas sen publicar non están funcionando con esta función despois de activala, pode establecer a configuración RecomputeOwnershipAcrossBusinessUnits usando a ferramenta OrgDBOrgSettings para Microsoft Dynamics CRM. A configuración de RecomputeOwnershipAcrossBusinessUnits permite establecer e actualizar o campo da Unidade de Negocios de Propiedade.

1. Inicie sesión no centro de administración de Power Platform como administrador (administrador de Dynamics 365, administrador global ou administrador de Microsoft Power Platform).
2. Seleccione Ambientes e escolla o ambiente para o que desexa habilitar esta función.
3. Seleccione Configuración>Produto>Funcionalidades.
4. Active o conmutador propiedade do rexistro nas unidades empresariais.

Unha vez activado este interruptor de funcións, pode seleccionar a Unidade empresarial cando asigne un rol de seguranza a un usuario. Isto permítelle asignar o rol de seguridade de diferentes unidades empresariais a un usuario. O usuario tamén necesita un rol de seguranza da unidade empresarial á que está asignado o usuario con privilexios de configuración de usuario para executar aplicacións controladas por modelos. Pode consultar o rol de seguranza de Usuario básico para saber como se activan estes privilexios de configuración de usuario.

Podes asignar un usuario como propietario do rexistro en calquera unidade empresarial sen necesidade de asignar un rol de seguranza na unidade empresarial propietaria do rexistro sempre que o usuario teña un rol de seguranza que teña privilexios de lectura na táboa de rexistros. Consulte Propiedade de rexistros en unidades empresariais modernizadas.

Nota

Este interruptor de función gárdase na configuración EnableOwnershipAcrossBusinessUnits e pódese establecer mediante a ferramenta OrgDBOrgSettings para Microsoft Dynamics CRM.

Asociar unha unidade de negocio a un Microsoft Entra grupo de seguridade

Podes usar un Microsoft Entra grupo de seguridade para mapear a súa unidade de negocio para axilizar a súa administración de usuarios e asignación de roles.

Crear un Microsoft Entra grupo de seguridade para cada unidade de negocio e asignar a respectiva unidade de negocio rol de seguranza a cada equipo do grupo.

Para cada unidade de negocio, crear un grupo de Microsoft Entra seguridade. Crear un Dataverse equipo de grupo para cada Microsoft Entra grupo de seguridade. Atribúa o rol de seguranza correspondente da unidade empresarial a cada equipo de grupo de Dataverse. O usuario do diagrama anterior crearase na unidade empresarial raíz cando o usuario acceda ao ambiente. Está ben que o usuario e os equipos de grupo de Dataverse estean na unidade empresarial raíz. Só teñen acceso aos datos da unidade empresarial onde está asignado o rol de seguranza.

Engadir usuarios ao respectivo Microsoft Entra grupo de seguridade para concederlles o acceso á unidade de negocio. Os usuarios poden executar inmediatamente a aplicación e acceder aos seus recursos/datos.

No acceso aos datos matriz, onde os usuarios poden traballar e acceder a datos de varias unidades de negocio, engaden os usuarios aos Microsoft Entra grupos de seguridade que mapearon a esas unidades de negocio.

Unidade empresarial propietaria

Cada rexistro ten unha columna da Unidade de Negocios de Propiedade que determina que unidade de negocio posúe o rexistro. Esta columna predefinida é a unidade empresarial do usuario cando se crea o rexistro e non se pode cambiar excepto cando o interruptor de función está activado.

Nota

Cando cambies que unidade de negocio posúe un rexistro, asegúrese de comprobar o seguinte para os efectos en fervenza: Usar SDK para .NET para configurar o comportamento en cascada.

Pode xestionar se quere que o seu usuario configure a columna de Unidade empresarial propietaria cando o interruptor de función estea ACTIVADO. Para configurar a columna Unidade empresarial propietaria, cómpre conceder ao rol de seguranza do usuario o privilexio Anexar a da táboa da unidade empresarial co permiso de nivel local.

Para permitir que o seu usuario configure esta columna, pode activar este columna no seguinte xeito:

1. Formulario - tanto o corpo como a cabeceira.
2. Visualizar.
3. Asignacións de columnas. Se está a usar AutoMapEntity, pode especificar a columna na asignación de columnas.

Nota

Se ten un traballo/proceso para sincronizar datos entre ambientes e a Unidade empresarial propietaria está incluída como parte do esquema, o seu traballo fallará cunha infracción de limitación de CLAVE estranxeira se o ambiente de destino non ten o mesmo valor de Unidade empresarial propietaria.

Pode eliminar a columna Unidade empresarial propietaria do esquema de orixe ou actualizar o valor da columna de Unidade empresarial propietaria da fonte a calquera das unidades empresariais do destino.

Se ten un traballo/proceso para copiar datos dun ambiente a un recurso externo, por exemplo PowerBI, terá que seleccionar ou deseleccionar a columna Unidade empresarial propietaria da súa fonte. Seleccióneo se o seu recurso pode recibilo, do contrario, anule a súa selección.

Propiedade da táboa/rexistro

Dataverse admite dous tipos de propiedade de rexistros. Propiedade da organización e propietario do usuario ou equipo. Esta é unha opción que sucede no momento en que se crea a táboa e non se pode cambiar. Por motivos de seguridade, os rexistros que son propiedade da organización, a única opción de nivel de acceso é que o usuario poida facer a operación ou non. Para os rexistros de propiedade de usuarios e equipos, as opcións de nivel de acceso para a maioría dos privilexios son Organización por niveles, Unidade empresarial e Unidade empresarial secundaria ou só os rexistros propios do usuario. Isto significa que para o privilexio de lectura no contacto, podería establecer a propiedade do usuario e o usuario só vería os seus propios rexistros.

Para dar outro exemplo, digamos que o usuario A está asociado á división A e concedémoslle acceso de nivel de unidade empresarial no contacto. Poderían ver o contacto número 1 e número 2, pero non o contacto número 3.

Cando configure ou edite os privilexios de rol de seguranza, estará configurando o nivel de acceso para cada opción. O seguinte é un exemplo do editor de privilexios do rol de seguranza.

No anterior pode ver os tipos de privilexios estándar para cada táboa Crear, ler, escribir, eliminar, engadir, engadir a, asignar e compartir. Pode editar cada un deles individualmente. A visualización visual de cada un coincidirá coa clave seguinte en canto a que nivel de acceso concedeu.

No exemplo anterior, concedemos acceso de nivel de organización a Contacto, o que significa que o usuario da División A pode ver e actualizar os contactos que sexan propiedade de calquera persoa. De feito, un dos erros administrativos máis comúns é frustrarse con permisos e conceder máis acceso do necesario. Moi rápido un modelo de seguridade ben traballado comeza a semellarse a queixo suizo (cheo de buracos!).

Propiedade de rexistros en unidades empresariais modernizadas

Nas Unidades empresariais modernizadas, pode que os usuarios sexan propietarios de rexistros en todas as unidades empresariais. Todo o que necesitan os usuarios é un rol de seguranza (calquera unidade empresarial) que teña privilexios de lectura na táboa de rexistros. Os usuarios non precisan ter un rol de seguranza asignado en cada unidade empresarial onde reside o rexistro.

Se se activou Propiedade de rexistros en unidades empresariais modernizadas no seu ambiente de produción durante o período de versión preliminar, debe realizar o seguinte para activar a propiedade de rexistros en todas as unidades empresariais:

1. Instalar o Editor de configuración da organización
2. Estableza a configuración da organización RecomputeOwnershipAcrossBusinessUnits en verdadeiro. Cando esta configuración é certa, o sistema está bloqueado e pode tardar ata 5 minutos en facer a recomputación para permitir a capacidade onde os usuarios agora poden posuír rexistros en todas as unidades de negocio sen necesidade de ter un rol de seguranza separado asignado de cada unidade de negocio. Isto permite que un propietario dun rexistro asigne o seu rexistro a alguén fóra da unidade de negocio propietaria do rexistro.
3. Estableza AlwaysMoveRecordToOwnerBusinessUnit en falso. Isto fai que o rexistro permaneza na unidade empresarial propietaria orixinal cando se cambia a propiedade do rexistro.

Para todos os ambientes non de produción, só ten que configurar AlwaysMoveRecordToOwnerBusinessUnit en falso para utilizar esta capacidade.

Nota

Se desactivas ou ben a propiedade de Record en todas as unidades de negocio ou establece a configuración de RecomputeOwnershipAcrossBusinessUnits para falsear usando a ferramenta OrgDBOrgSettings para CRM , non poderás configurar nin actualizar o campo da unidade de negocio de Owning Business, e todos os rexistros onde o Microsoft Dynamics campo da Unidade de Negociosde Propiedade é diferente da unidade de negocio do propietario serán actualizados á unidade de negocio do propietario.

Equipos (incluídos equipos de grupo)

Os equipos son outro dos bloques de seguridade importantes. Os equipos son propiedade dunha Unidade empresarial. Cada unidade empresarial ten un equipo predeterminado que se crea automaticamente cando se crea a unidade empresarial. Os membros do equipo predefinido están xestionados por Dataverse e sempre conteñen todos os usuarios asociados a esa unidade empresarial. Non pode engadir ou eliminar manualmente os membros do equipo predeterminado; o sistema axústaos dinamicamente a medida que os novos usuarios se asocian ou cancela a súa asociación con unidades empresariais. Hai dous tipos de equipos: equipos propietarios e equipos con acceso.

• Os equipos propietarios poden posuír rexistros, que dan a calquera membro do equipo acceso directo a ese rexistro. Os usuarios poden ser membros de varios equipos. Isto permitiralle ser unha maneira eficaz de conceder permisos aos usuarios dun xeito amplo sen acceso de microxestión a nivel de usuario individual.
• Os equipos con acceso falaranse na seguinte sección como parte do uso compartido de rexistros.

Compartir rexistros

Os rexistros individuais poden ser compartidos de forma individual con outro usuario. Esta é unha forma poderosa de manexar excepcións que non caen na propiedade do rexistro ou é membro dun modelo de acceso a unidades de negocio. Non obstante, debería ser unha excepción, porque é unha forma menos performante de controlar o acceso. Compartir é máis difícil de solucionar problemas porque non é un control de acceso implementado de forma consistente. Pódese compartir tanto a nivel de usuario como de equipo. Compartir cun equipo é unha maneira de compartir máis eficiente. Un concepto máis avanzado de compartir é con Access Teams, que proporciona a creación automática dun equipo e compartir o acceso de rexistro co equipo baséase nun Modelo de Equipo de Acceso (modelo de permisos) que se aplica. Os equipos de acceso tamén se poden usar sen os modelos, con só engadir ou eliminar manualmente os seus membros. Os equipos con acceso son máis eficaces porque non permiten posuír rexistros do equipo nin ter asignados roles de seguridade ao equipo. Os usuarios teñen acceso porque o rexistro é compartido co equipo e o usuario é membro.

Seguridade de nivel de rexistro en Dataverse

Pode que se estea preguntando: que determina o acceso a un rexistro? Isto parece unha pregunta sinxela pero para un usuario determinado é a combinación de todos os seus roles de seguridade, a unidade empresarial coa que están asociados, os equipos dos que son membros e os rexistros que se comparten con eles. O qwue hai que lembrar é que todo acceso é acumulativo en todos os conceptos no ámbito dun ambiente da base de datos de Dataverse. Estes dereitos só se conceden nunha única base de datos e rastrexan individualmente en cada base de datos de Dataverse. Todo isto require que teñan unha licenza adecuada para acceder a Dataverse.

Seguranza de nivel de columna en Dataverse

Ás veces o control de acceso a nivel de nivel de rexistro non é adecuado para algúns escenarios empresariais. Dataverse ten unha característica de seguranza de nivel de columna que permite un control máis granular da seguridade a nivel de columna. A seguridade a nivel de columna pode habilitarse en todas as columnas personalizadas e na maioría das columnas do sistema. A maioría das columnas do sistema que inclúen información de identificación persoal (PII) poden ser protexidas individualmente. Os metadatos de cada columna definen se esa é unha opción dispoñible para a columna do sistema.

A seguranza de nivel de columna está habilitada columna por columna. O acceso xestiónase creando un perfil de seguridade de columna. O perfil contén todas as columnas que teñen unha seguridade de nivel de columna habilitada e o acceso concedido por ese perfil específico. Cada columna pódese controlar dentro do perfil de acceso a creación, actualización e lectura. Os perfís de seguridade da columna asócianse entón cun usuario ou equipos para conceder eses privilexios aos usuarios aos rexistros aos que xa teñen acceso. É importante ter en conta que a seguridade a nivel de columna non ten nada que ver coa seguridade a nivel de rexistro. Un usuario xa debe ter acceso ao rexistro do perfil de seguridade de columna para outorgarlle acceso ás columnas. A seguridade de nivel de columna debe usarse segundo sexa necesario e non excesivamente, xa que pode engadir gastos xerais que son prexudiciais se se usan demasiado.

Xestión de seguridade en varios ambientes

Os roles de seguridade e os perfís de seguridade de columna pódense empaquetar e mover dun ambiente ao seguinte mediante a utilización de solucións de Dataverse. As unidades empresariais e os equipos deben crearse e xestionarse en cada ambiente xunto coa asignación de usuarios aos compoñentes de seguridade necesarios.

Configurar a seguranza do ambiente dos usuarios

Unha vez que se crean roles, equipos e unidades empresariais nun ambiente, é hora de asignar aos usuarios as súas configuracións de seguridade. En primeiro lugar, cando crea un usuario, asociará este a unha unidade empresarial. Por defecto, esta é a unidade empresarial raíz na organización. Tamén se engaden ao equipo predeterminado desa unidade empresarial.

Ademais, atribuiríanselle os roles de seguridade que o usuario precise. Tamén os engadirá como membros de calquera equipo. Lembre que os equipos tamén poden ter funcións de seguranza, polo que os dereitos efectivos do usuario é a combinación de roles de seguranza asignados directamente combinados cos de calquera equipo do que sexan membros. A seguridade sempre é aditiva ofrecendo o permiso menos restritivo de calquera dos seus dereitos. Esta é unha boa guía sobre como configurar a seguridade do ambiente.

Se utilizou seguridade a nivel de columna, tería que asociar o usuario ou un equipo do usuario a un dos perfís de de seguridade de columna que creou.

A seguridade é un artigo complexo que se realiza mellor como un esforzo conxunto entre os creadores de aplicacións e o equipo que administra os permisos dos usuarios. Calquera cambio importante debe coordinarse antes de implementar os cambios no ambiente.

Consulte tamén

Configurar seguranza do ambiente
Roles de seguranza e privilexios