אבטחה הירארכית‬ כדי לשלוט בגישה

מודל האבטחה ההירארכית הוא הרחבה של המודלים הקיימים של אבטחה המשתמשים ביחידות עסקיות, בתפקידי אבטחה, שיתוף וצוותים. הוא יכול לשמש בשילוב עם כל דגמי האבטחה האחרים שקיימים. אבטחת ההירארכיה מציעה גישה מדוקדקת יותר לרשומות עבור ארגון ועוזרת לחסוך בעלויות התחזוקה. לדוגמה, בתרחישים מורכבים, באפשרותך להתחיל ביצירת מספר יחידות עסקיות ולאחר מכן להוסיף את אבטחת ההירארכיה. כך תשיג גישה מדוקדקת יותר לנתונים עם הרבה פחות עלויות תחזוקה שעשויות לחייב מספר גדול של יחידות עסקיות.

מודל אבטחה הירארכית של הירארכיית ניהול והירארכיית תפקידים

שני מודלים של אבטחה יכולים לשמש עבור הירארכיות, הירארכיית הניהול והירארכיית המיקום. בהירארכיית ניהול, מנהל חייב להיות בתוך באותה יחידה עסקית כמו הדוח, או ביחידת האב העסקית של היחידה העסקית של הדוח, כדי שתהיה לו גישה לנתונים של הדוח. הירארכיית המיקום מאפשרת גישה לנתונים ביחידות עסקיות שונות. אם אתה עובד בארגון פיננסי, ייתכן שתעדיף את מודל הירארכיית הניהול, כדי למנוע ממנהלים לגשת לנתונים שמחוץ ליחידות העסקיות שלהם. עם זאת, אם אתה חלק מארגון שירות לקוחות וברצונך שהמנהלים יוכלו לגשת לאירועי שירות שטופלו ביחידות עסקיות שונות, הירארכיית התפקידים עשויה לעבוד טוב יותר עבורך.

הערה

בעוד מודל אבטחת ההירארכיה מספק רמה מסוימת של גישה לנתונים, ניתן להשיג גישה נוספת על-ידי שימוש בצורות אחרות של אבטחה, כגון תפקידי אבטחה.

הירארכיית מנהלים

מודל האבטחה של הירארכיית המנהלים מבוסס על שרשרת ניהול או מבנה דיווח ישיר, שבו נוצר קשר גומלין של המנהל והדוח באמצעות השדה 'מנהל' בטבלת משתמש המערכת. באמצעות מודל אבטחה זה, למנהלים יש אפשרות לגשת לנתונים שלדוחות שלהם יש גישה אליהם. הם יכולים לבצע עבודה בשמו של עובד ישיר שלהם או לגשת למידע הדורש את האישור שלהם.

הערה

במודל האבטחה של הירארכיית מנהלים, למנהל יש גישה לרשומות שבבעלות המשתמש או הצוות שאליו שייך המשתמש, ולרשומות שבשיתוף ישיר עם המשתמש או הצוות. כאשר רשומה משותפת על-ידי משתמש שמחוץ לשרשרת הניהול עם משתמש שהוא עובד ישיר, עם גישה לקריאה בלבד, למנהל של העובד הישיר יש רק גישה לקריאה בלבד לרשומה המשותפת.

כאשר הפעלת את בעלות על רשומות ביחידות עסקיות שונות, מנהל יכול לקבל דיווחים ישירים מיחידות עסקיות שונות. באפשרותך להשתמש בהגדרות מסד הנתונים של הסביבה הבאות כדי להסיר את מגבלת היחידה העסקית.

ManagersMustBeInSameOrParentBusinessUnitAsReports

ברירת מחדל = False

באפשרותך להגדיר אותה כ- true, והיחידה העסקית של המנהל לא צריכה להיות זהה ליחידה העסקית של הדוח הישיר.

בנוסף למודל האבטחה של הירארכיית המנהלים, למנהל חייבת להיות לפחות הרשאת קריאה ברמת משתמש בטבלה, כדי לראות את נתוני הדוחות. לדוגמה, אם למנהל אין גישת קריאה לטבלה 'אירוע', המנהל לא יוכל לראות את האירועים שהדוחות שלהם יכולים לגשת אליהם.

כדי שהמנהל יוכל לראות את כל רשומות העובד הישיר, משתמש העובד הישיר מוכרח להיות בעל מצב משתמש 'מופעל'. המנהל לא יוכל לראות את רשומות המשתמש ה'מושבתות'.

עבור עובד לא ישיר באותה שרשרת הניהול שבה נמצא המנהל, למנהל יש גישת קריאה בלבד לנתוני העובד הלא ישיר. עבור דוח ישיר, למנהל יש גישה לנתונים של הדוח עם הרשאת קריאה, כתיבה, צירוף ו'צירוף אל'. כדי להמחיש את מודל האבטחה של הירארכיית המנהלים, נבחן את הדיאגרמה שלהלן. המנכ"ל יכול לקרוא או לעדכן את הנתונים של סמנכ"ל המכירות ושל סמנכ"ל השירות. עם זאת, המנכ"ל יכול רק לקרוא את הנתונים של מנהל המכירות ושל מנהל השירות, כמו גם את נתוני המכירות והתמיכה. באפשרותך להגביל עוד יותר את כמות הנתונים שנגישה למנהל עם "עומק". עומק משמש כדי להגביל את מספר רמות העומק שלמנהל יש גישה לקריאה בלבד לנתוני הדוחות שלהם. לדוגמה, אם העומק מוגדר כ-2, המנכ"ל יכול לראות את הנתונים של סגן נשיא המכירות, סגן נשיא השירות, מנהלי המכירות ומנהלי השירות. עם זאת, המנכ"ל לא יוכל לראות את נתוני המכירות או את נתוני התמיכה.

אבטחה של הירארכיית מנהלים.

חשוב לציין כי אם לעובד ישיר יש אבטחת גישה עמוקה יותר לטבלה מאשר למנהל שלו, ייתכן שלמנהל אין אפשרות לראות את כל הרשומות שהעובד רואה. הדוגמה הבאה ממחישה נקודה זו.

  • ביחידה עסקית אחת יש שלושה משתמשים: משתמש 1, משתמש 2 ו- משתמש 3.

  • משתמש 2 הוא עובד ישיר של משתמש 1.

  • למשתמש 1 ולמשתמש 3 יש גישת משתמש ברמת קריאה לטבלה 'תיק לקוח'. רמת גישה זו מעניקה למשתמשים גישה לרשומות שבבעלותם, לרשומות שמשותפות עם המשתמש ולרשומות המשותפות עם הצוות שבו העובד חבר.

  • למשתמש 2 יש גישת קריאה ליחידה העסקית בטבלה 'תיק לקוח'. הדבר מאפשר למשתמש 2 להציג את כל תיקי הלקוחות עבור היחידה העסקית, כולל כל תיקי הלקוחות שבבעלות משתמש 1 ומשתמש 3.

  • למשתמש 1, כמנהל ישיר של משתמש 2, יש גישה לתיקי הלקוחות שבבעלותו או ששותפו עם משתמש 2 ולכל תיקי הלקוחות המשותפים עם או בבעלות הצוות שמשתמש 2 חבר בו. עם זאת, למשתמש 1 אין גישה לתיקי הלקוחות של משתמש 3, אף-על-פי שהעובד הישיר שלו יכול לגשת לתיקי הלקוחות של משתמש 3.

הירארכיית תפקידים

הירארכיית התפקידים לא מבוססת על מבנה דיווח ישיר, כמו הירארכיית הניהול. משתמש לא חייב להיות מנהל בפועל של משתמש אחר כדי לקבל גישה לנתונים של המשתמש. כמנהל מערכת, תגדיר תפקידים שונים בארגון ותסדר אותם בהירארכיית התפקידים. לאחר מכן, תוסיף משתמשים לתפקיד נתון, או, כפי שמקובל לומר, "תתייג" משתמש בעל תפקיד מסויים. משתמש יכול להיות מתויג רק עם תפקיד אחד בהירארכיה נתונה. עם זאת, ניתן להשתמש באותו תפקיד עבור משתמשים מרובים. למשתמשים בתפקיד גבוה יותר בהירארכיה יש גישה לנתונים של המשתמשים שנמצאים בתפקיד נמוך יותר, בנתיב אב ישיר. לתפקידים שבמיקום ישיר גבוה יותר יש הרשאות קריאה, כתיבה, עדכון, צירוף אל וצירוף לנתונים של תפקידים שבמיקום נמוך יותר בנתיב אב ישיר. לתפקידים שבמיקום גבוה יותר אך בנתיב לא-ישיר יש הרשאות קריאה בלבד לנתונים של תפקידים שבמיקום נמוך יותר בנתיב אב ישיר.

כדי להמחיש את הרעיון של נתיב אב ישיר, נבחן את הדיאגרמה שלהלן. לתפקיד מנהל המכירות יש גישה לנתוני מכירות, אך אין לו גישה לנתוני התמיכה, אשר נמצאת בנתיב אב אחר. הדבר נכון גם עבור התפקיד של מנהל השירות. אין לו גישה לנתוני המכירות, שנמצאים בנתיב המכירות. בדומה להירארכיית המנהלים, באפשרותך להגביל את כמות הנתונים הנגישים לתפקידים הגבוהים יותר עם "עומק". העומק יגביל את מספר הרמות לעומק שלתפקיד במיקום גבוה יותר יש גישת קריאה בלבד אליהן, לנתונים של המיקומים הנמוכים יותר בנתיב אב ישיר. לדוגמה, אם הגדרת העומק היא 3, תפקיד המנכ"ל יוכל לראות את הנתונים כל הדרך למטה של תפקידי סמנכ"ל המכירות וסמנכ"ל השירות, עד לתפקידי המכירות והתמיכה.

הירארכיית תפקידים.

הערה

במודל האבטחה של הירארכיית התפקידים, למשתמש שבתפקיד גבוה יותר יש גישה לרשומות שבבעלות משתמש או צוות שאליו שייך המשתמש שנמצאים ברמה נמוכה יותר, ולרשומות שבשיתוף ישיר עם המשתמש או הצוות.

בנוסף למודל האבטחה של הירארכיית התפקידים, למשתמשים ברמה גבוהה יותר צריכה להיות לפחות גישה ברמת משתמש עם הרשאת קריאה לטבלה כדי לראות את הרשומות שמשתמשים ברמה נמוכה יותר יכולים לראות. לדוגמה, אם למנהל ברמה גבוהה יותר אין גישת קריאה לטבלה 'אירוע', אותו משתמש לא יוכל לראות את האירועים שהמשתמשים שנמצאים בתפקיד נמוך יותר יכולים לגשת אליהם.

כדי שהמשתמש בתפקיד במיקום הגבוה יותר יוכל לראות את רשומות המשתמש בתפקיד במיקום הנמוך יותר, למשתמש בתפקיד במיקום הנמוך יותר מוכרח להיות מצב משתמש 'מופעל'. המשתמש בתפקיד במיקום הגבוה יותר לא יוכל לראות את רשומות המשתמש בתפקיד במיקום הנמוך יותר 'המושבת'.

הגדרת אבטחה להירארכיה

ניתן למצוא הגדרות אלה במרכז הניהול של Microsoft Power Platform על ידי מעבר אל סביבות > [בחר סביבה] > הגדרות > משתמשים והרשאות > אבטחה הירארכית.

ודא שקיבלת את תפקיד האבטחה 'מנהל מערכת' או 'אחראי על התאמה אישית של המערכת' או הרשאות שוות ערך כדי לעדכן את ההגדרה.

אבטחת ההירארכיה מושבתת כברירת מחדל. כדי להפוך לזמין:

  1. בחר סביבה ועבור אל הגדרות > משתמשים והרשאות > אבטחה הירארכית.

  2. תחת הפעלת מידול הירארכיה, בחר הפוך מידול הירארכיה לזמין.

חשוב

כדי לבצע שינויים ב- אבטחת ההירארכיה, דרושה לך הרשאה של שינוי הגדרות אבטחה של הירארכיה.

לאחר שתפעיל את מידול ההירארכיה, בחר דגם מסוים על-ידי בחירת הירארכיית מנהלים או הירארכיית תפקידים מותאמת אישית. כל טבלאות המערכת זמינות עבור אבטחת ההירארכיה המוכנה מראש, אך באפשרותך לא לכלול טבלאות מסוימות בהירארכיה. החלון אבטחת הירארכיה מוצג להלן:

הגדרת אבטחה להירארכיה.

הגדר את עומק לערך הרצוי כדי להגביל את מספר רמות העומק שלמנהל יש גישה לקריאה בלבד לנתוני הדוחות שלהם לדוגמה, אם העומק הוא 2, מנהל יכול לגשת רק לתיקי הלקוחות שלו ולתיקי הלקוחות של מי שנמצא שתי רמות עומק מתחתיו. בדוגמה שלנו, אם אתה מתחבר ליישומי Customer Engagement ‏(Dynamics 365 Sales, ‏Dynamics 365 Customer Service, Dynamics 365 Field Service‏, Dynamics 365 Marketing, ו- Dynamics 365 Project Service Automation), לא כמנהל מערכת שיכול לראות את כל תיקי הלקוחות, אלא כסמנכ"ל מכירות, תוכל לראות רק את תיקי הלקוחות הפעילים של המשתמשים המוצגים במלבן האדום, כפי שמתואר להלן:

גישת קריאה עבור סמנכ"ל מכירות.

הערה

בעוד אבטחת ההירארכיה מעניקה לסמנכ"ל המכירות גישה לרשומות במלבן האדום, גישה נוספת יכולה להיות זמינה בהתבסס על תפקיד האבטחה שיש לסמנכ"ל המכירות.

הגדרה של הירארכיות מנהלים ותפקידים

הירארכיית המנהלים נוצרת בקלות באמצעות קשר הגומלין של מנהל ברשומת המשתמש של המערכת. השתמש בשדה בדיקת מידע של מנהל (ParentsystemuserID) כדי לציין את המנהל של המשתמש. אם כבר יצרת את הירארכיית התפקידים, תוכל גם לתייג את המשתמש בתפקיד מסויים בהירארכיית התפקידים. בדוגמה הבאה, איש המכירות מדווח למנהל המכירות בהירארכיית המנהלים ויש לו גם תפקיד של מכירות בהירארכיית התפקידים:

רשומת משתמש של איש מכירות.

כדי להוסיף משתמש לתפקיד מסויים בהירארכיית התפקידים, השתמש בשדה בדיקת המידע הנקרא תפקיד בטופס רשומת המשתמש, כפי שמופיע להלן:

חשוב

כדי להוסיף משתמש לתפקיד או לשנות את התפקיד של המשתמש, יש לך הרשאה של הקצאת תפקיד למשתמש קצה.

הוספת משתמש למשרה באבטחה הירארכית.

כדי לשנות את התפקיד בטופס רשומת המשתמש, בסרגל הניווט, בחר יותר (...), ובחר תפקיד שונה, כפי שמוצג להלן:

שינוי משרה באבטחה הירארכית.

כדי ליצור הירארכיית מיקום:

  1. בחר סביבה ועבור אל הגדרות > משתמשים והרשאות > משרות.

    לכל תפקיד, ספק את שם התפקיד, האב של התפקיד ותיאור. הוסף משתמשים לתפקיד זה באמצעות שדה בדיקת מידע שנקרא משתמשים בתפקיד זה. להלן היא דוגמה של הירארכיית תפקידים עם תפקידים פעילים.

    משרות פעילות באבטחה הירארכית.

    הדוגמה של משתמשים זמינים עם התפקיד המתאים שלהם להלן:

    משתמשים זמינים בעלי משרות שהוקצו.

שיקולי ביצועים

כדי להגביר את הביצועים, אנו ממליצים:

  • שמור את אבטחת ההירארכיה יעילה ל- 50 משתמשים או פחות תחת מנהל/מיקום. ייתכן שלהירארכיה שלך יש יותר מ- 50 משתמשים תחת מנהל/תפקיד, אך באפשרותך להשתמש בהגדרת העומק כדי להפחית את מספר הרמות לגישת קריאה בלבד, וכך להגביל את מספר המשתמשים בפועל תחת מנהל/תפקיד ל- 50 משתמשים או פחות.

  • השתמש במודלים של אבטחת הירארכיה בשילוב עם מודלים קיימים אחרים של אבטחה עבור תרחישים מורכבים יותר. הימנע מיצירת מספר גדול של יחידות עסקיות, במקום זאת, צור פחות יחידות עסקיות והוסף אבטחת הירארכיה.

למידע נוסף

אבטחה ב- Microsoft Dataverse
שאילתה ותצוגה חזותית של נתונים הירארכיים