Ruoli di sicurezza e privilegi

Per controllare l'accesso ai dati, devi impostare una struttura organizzativa in grado sia di proteggere i dati sensibili sia di consentire la collaborazione. Si ottiene questo risultato tramite la configurazione di Business Unit, ruoli di sicurezza e profili di sicurezza dei campi.

Suggerimento

Guarda il video: Come configurare ruoli di sicurezza.

Ruoli di sicurezza

Con un ruolo di sicurezza viene definita l'accessibilità da parte di utenti differenti, ad esempio i venditori, a tipi diversi di record. Per controllare l'accesso ai dati, è possibile modificare i ruoli di sicurezza esistenti, creare nuovi ruoli di sicurezza o modificare i ruoli di sicurezza assegnati a ogni utente. Ogni utente può disporre di più ruoli di sicurezza.

I privilegi di un ruolo di sicurezza sono cumulativi, pertanto più ruoli di sicurezza offrono a un utente tutti i privilegi disponibili in tutti i ruoli.

Ogni ruolo di sicurezza è costituito da privilegi a livello di record e privilegi basati sulle attività.

Con i privilegi a livello di record vengono definite le attività che possono essere eseguite da un utente che ha accesso al record, ad esempio Lettura, Creazione, Eliminazione, Scrittura, Assegnazione, Condivisione, Aggiunta e Aggiunta a. Aggiunta significa aggiungere un altro record, ad esempio un impegno o una nota, a un record. Aggiunta a significa essere aggiunto un record. Ulteriori informazioni: Privilegi a livello di record.

I privilegi basati sulle attività, nella parte inferiore del modulo, forniscono a un utente dei privilegi per eseguire attività specifiche, come pubblicare gli articoli.

I cerchi colorati nella pagina delle impostazioni del ruolo di sicurezza definiscono il livello di accesso per tale privilegio. I livelli di accesso determinano dove l'utente può eseguire il privilegio specificato all'interno della gerarchia della business unit organizzativa. Nella tabella seguente sono elencati i livelli di accesso disponibili nell'app, a partire dal livello che fornisce agli utenti il maggiore accesso.

Icona Descrizione
Livello di accesso globale Globale. Questo livello di accesso consente a un utente di accedere a tutti record nell'organizzazione, indipendentemente dal livello gerarchico della Business Unit a cui appartiene l'ambiente o l'utente. Gli utenti con livello di accesso globale possiedono automaticamente l'accesso esteso, locale e di base.

Poiché questo livello di accesso consente di accedere alle informazioni nell'organizzazione, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili che dispongono di autorità sull'organizzazione.

L'applicazione fa riferimento a questo livello di accesso come Organizzazione.
Livello di accesso esteso Esteso. Questo livello di accesso consente a un utente di accedere ai record della Business Unit dell'utente e in tutte le Business Unit a essa subordinate.

Gli utenti con livello di accesso esteso possiedono automaticamente l'accesso locale e di base.

Poiché questo livello di accesso consente di accedere a informazioni nella Business Unit e nelle Business Unit correlate, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili che dispongono di autorità sulle Business Unit.

L'applicazione fa riferimento a questo livello di accesso come Business Unit padre-figlio.
Livello di accesso locale Locale. Questo livello di accesso consente a un utente di accedere ai record della Business Unit dell'utente.

Gli utenti con livello di accesso locale possiedono automaticamente anche l'accesso di base.

Poiché questo livello di accesso consente di accedere a informazioni nella Business Unit, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili con dispongono di autorità sulla Business Unit.

L'applicazione fa riferimento a questo livello di accesso come Business Unit.
Livello di accesso base Di base. Questo livello di accesso consente a un utente di accedere ai record di sua proprietà, a oggetti condivisi con l'utente e a quelli condivisi con un team di cui l'utente è membro.

Questo è il livello di accesso tipico per i rappresentanti di vendita e del servizio.

L'applicazione fa riferimento a questo livello di accesso come Utente.
Livello di accesso non specificato Nessuno. Non è consentito alcun accesso.

Importante

Per garantire che gli utenti possano visualizzare e accedere a tutti i campi dell'applicazione Web, ad esempio moduli delle entità, barra di spostamento o barra dei comandi, tutti i ruoli di sicurezza nell'organizzazione devono includere il privilegio di lettura nell'entità Web Resource. Ad esempio, senza autorizzazioni di lettura, l'utente non potrà aprire un modulo che contiene una risorsa Web e verrà visualizzato un messaggio di errore simile al seguente: "Privilegio prvReadWebResource mancante". Ulteriori informazioni: Creare o modificare un ruolo di sicurezza

Privilegi a livello di record

PowerApps e le app di interazione con i clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) utilizzano otto diversi privilegi a livello di record che determinano il livello di accesso di un utente a un record specifico o tipo di record.

Privilegio Descrizione
Crea Necessario per eseguire un nuovo record. I record che è possibile creare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Lettura Necessario per aprire un record per visualizzare il contenuto. I record che è possibile leggere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Scrittura Necessario per modificare un record. I record che è possibile modificare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Elimina Necessario per rimuovere in modo permanente un record. I record che è possibile eliminare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.
Aggiunta Necessario per associare il record corrente a un altro record. Se un utente dispone dei diritti Aggiunta per una nota, ad esempio, potrà allegare una nota a un'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Nelle relazioni molti-a-molti è necessario disporre del privilegio Aggiunta per entrambe le entità che sono associate o dissociate.
Aggiunta a Necessario per associare un record al record corrente. Se un utente dispone dei diritti Aggiunta a per un'opportunità, ad esempio, potrà aggiungere una nota all'opportunità. I record che è possibile aggiungere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Assegnazione Necessario per assegnare la proprietà di un record a un altro utente. I record che è possibile assegnare dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di sicurezza.
Condivisione Necessario per concedere l'accesso a un record a un altro utente mantenendo il proprio accesso. I record che è possibile condividere dipendono dal livello di accesso dell'autorizzazione definito nel ruolo di protezione.

Sostituzione dei ruoli di sicurezza

Il proprietario di un record o un utente con il privilegio Condivisione per un record può condividere un record con altri utenti o team. Con la condivisione è possibile aggiungere i privilegi Lettura, Scrittura, Eliminazione, Aggiunta, Assegnazione e Condivisione per record specifici.

I team vengono principalmente utilizzati per condividere record a cui i membri del team non possono normalmente accedere. Ulteriori informazioni: Gestire la sicurezza, gli utenti e i team.

Non è possibile rimuovere l'accesso per un determinato record. Qualsiasi modifica apportata a un privilegio di un ruolo di sicurezza viene applicata a tutti i record dello stesso tipo.

Ereditarietà privilegio del membro del team

Privilegi degli utenti e del team

  • Privilegi utente: all'utente sono assegnati direttamente questi privilegi quando un ruolo di sicurezza viene assegnato all'utente. L'utente può creare e dispone dell'accesso ai record creati o di proprietà dell'utente quando è stato assegnato il livello di accesso di base per creazione e lettura. Questa è l'impostazione predefinita per nuovi ruoli di sicurezza.
  • Privilegi team: all'utente sono assegnati questi privilegi come membro del team. I membri del team che non si dispongono di propri privilegi utente possono creare solo record con il team come proprietario e hanno accesso ai record appartenenti al team quando è stato assegnato il livello di accesso di base per creazione e lettura.

Un ruolo di sicurezza può essere impostato per fornire a un membro del team i privilegi utente del livello di accesso di base diretti. Un membro del team può creare record di sua proprietà e record con il team come proprietario quando è stato assegnato il livello di accesso di base per creazione. Quando è stato assegnato il livello di accesso di base per lettura, il membro del team può accedere ai record che appartengono sia a quel membro del team e che al team.

Il ruolo di ereditarietà privilegio di questo membro è applicabile a Proprietario e Team del gruppo Azure Active Directory (Azure AD).

Nota

Prima del rilascio dell'ereditarietà dei privilegi dei membri del team nel maggio 2019, i ruoli di sicurezza si comportavano come Privilegi team. I ruoli di sicurezza creati prima di questa versione sono impostati come Privilegi team e i ruoli di sicurezza creati dopo questa versione sono impostati per impostazione predefinita come Privilegi utente.

Creare un ruolo di sicurezza con ereditarietà privilegio del membro del team

Prerequisiti

Queste impostazioni sono disponibili nell'interfaccia di amministrazione di Power Platform passando a Ambienti > [selezionare un ambiente] > Impostazioni > Utenti + autorizzazioni > Ruoli di sicurezza.

Assicurarsi di disporre del ruolo di sicurezza Amministratore di sistema, Addetto personalizzazione sistema o di autorizzazioni equivalenti.

Controllare il ruolo di sicurezza:

  • Esegui la procedura descritta in Visualizzare il profilo utente.
  • Se non si dispone delle autorizzazioni appropriate contattare l'amministratore di sistema.
  1. Selezionare un ambiente e andare a Impostazioni > Utenti + autorizzazioni > Ruoli di sicurezza.

  2. Nella barra dei comandi, selezionare Nuovo.

  3. Immetti un nome per il ruolo.

  4. Seleziona l'elenco a discesa Ereditarietà privilegio del membro.

  5. Seleziona Privilegi team e livello di accesso utente diretto/di base.

  6. Passa a ogni scheda e imposta i privilegi appropriati per ogni entità.

    Per modificare il livello di accesso per un privilegio, seleziona il simbolo del livello di accesso finché non viene visualizzato il simbolo desiderato. I livelli di accesso disponibili dipendono dal fatto che il tipo di record sia di proprietà dell'organizzazione o di proprietà dell'utente.

Nota

È inoltre possibile impostare questa proprietà di ereditarietà privilegio per tutti i ruoli di sicurezza predefiniti ad eccezione del ruolo di amministratore di sistema. Quando un ruolo di sicurezza di ereditarietà privilegio è assegnato a un utente, l'utente ottiene direttamente tutti i privilegi, proprio come un ruolo di sicurezza senza ereditarietà privilegio.

Puoi selezionare solo i privilegi di livello Base nell'eredità privilegio del membro del team. Se devi fornire l'accesso a una business unit figlio, devi elevare il privilegio a Esteso; ad esempio, devi assegnare un ruolo di sicurezza al team del gruppo e desideri che i membri di quel gruppo siano in grado di accodarsi all'account. Configuri il ruolo di sicurezza con un'ereditarietà privilegio del membro del team di livello Base e nel privilegio Aggiungi all'account, la imposti su Estesa. Questo perché i privilegi di base sono applicabili solo alla business unit dell'utente.

Assegnazione ruoli di sicurezza in corso

Per assegnare ruoli di sicurezza a un utente, è necessario disporre dei privilegi appropriati (i privilegi minimi sono "lettura" e "assegnazione" sull'entità ruolo di sicurezza). Per impedire l'elevazione dei privilegi ruolo di sicurezza, la persona che sta assegnando il ruolo di sicurezza non può assegnare a qualcun altro un ruolo di sicurezza che ha più privilegi del concedente, ad esempio un manager CSR non può assegnare un ruolo di amministratore di sistema a un altro utente.

Per impostazione predefinita, il ruolo di sicurezza amministratore di sistema ha tutti i privilegi necessari per assegnare ruoli di sicurezza a qualsiasi utente, inclusa l'assegnazione del ruolo di sicurezza amministratore di sistema. Se è necessario consentire agli amministratori non di sistema di assegnare ruoli di sicurezza, è opportuno considerare la creazione di un ruolo di sicurezza personalizzato. Vedi Creare un utente amministrativo e impedire l'elevazione del privilegio del ruolo di sicurezza.