Drošības koncepcijas pakalpojumā Microsoft Dataverse

  • Raksts

Viens no galvenajiem Dataverse līdzekļiem ir tās bagātinātais drošības modelis, ko var pielāgot daudziem uzņēmuma izmantošanas scenārijiem. Šis drošības modelis tiek izmantots tikai tad, ja vidē ir Dataverse datu bāze. Jūs kā administrators, visticamāk, pats nebūvēsiet visu drošības modeli, bet bieži vien būsiet iesaistīts lietotāju pārvaldības procesā un nodrošināsiet, lai viņiem būtu pareiza konfigurācija un ar drošību saistītu problēmu novēršana.

Padoms

Video simbolsNoskatieties šo videoklipu:- Drošības koncepcijas, Microsoft Dataverse kas parādītas demonstrācijās.

Uz lomām balstītā drošība

Dataverse izmanto lomai atbilstošu drošību, lai grupētu atļauju kolekciju. Šīs drošības lomas var būt saistītas tieši ar lietotājiem, vai arī tās var būt saistītas ar Dataverse darba grupām un struktūrvienībām. Pēc tam lietotāji var būt saistīti ar darba grupu, tādēļ visi ar darba grupu saistītie lietotāji būs ieguvēji no šīs lomas. Galvenā Dataverse drošības koncepcija, kas jāsaprot, ir tas, ka visi atļauju piešķīrumi uzkrājas, dominējot lielākajam piekļuves apjomam. Ja esat piešķīris plašas organizācijas līmeņa lasīšanas piekļuvi visiem kontaktpersonu ierakstiem, nevarat atgriezties un paslēpt vienu ierakstu.

Struktūrvienības

Padoms

Video simbolsNoskatieties šo videoklipu: Biznesa vienību modernizēšana.

Struktūrvienības darbojas ar drošības lomām, lai noteiktu lietotājam efektīvu drošību. Struktūrvienības ir drošības modelēšanas pamata bloks, kas palīdz pārvaldīt lietotājus un datus, kuriem viņi var piekļūt. Struktūrvienības definē drošības robežu. Katrai Dataverse datu bāzei ir viena saknes struktūrvienība.

Varat izveidot pakārtotās struktūrvienības, lai palīdzētu sīkāk segmentēt jūsu lietotājus un datus. Visi videi piešķirtie lietotāji ietilpst struktūrvienībā. Lai gan struktūrvienības var tikt izmantotas, lai modelētu 1:1 patiesu organizācijas hierarhiju, biežāk tās sliecas vairāk uz tikko definētajām drošības robežām, lai palīdzētu īstenot drošības modeļa vajadzības.

Lai to labāk izprastu, apskatīsim tālāk minēto piemēru. Mums ir trīs struktūrvienības. Woodgrove ir saknes struktūrvienība un vienmēr būs augšpusē — tas nav maināms. Esam izveidojuši divas citas pakārtotās struktūrvienības A un B. Lietotājiem šajās struktūrvienībās ir ļoti atšķirīgas piekļuves vajadzības. Kad mēs sasaistām lietotāju ar šo vidi, mēs varam iestatīt lietotāju kādā no šīm trim struktūrvienībām. Tas, kur lietotājs ir piesaistīts, noteiks, kurai struktūrvienībai pieder ieraksti, kuru īpašnieks ir attiecīgais lietotājs. Šāda sasaistīšana ļauj mums pielāgot drošības lomu, lai lietotājs varētu skatīt visus ierakstus šajā struktūrvienībā.

Hierarhiska datu piekļuves struktūra

Klienti var izmantot organizācijas struktūru, kur dati un lietotājs tiek ar kokām līdzīgu hierarhiju apciršana apciršanu.

Saistot lietotāju ar šo vidi, mēs varam iestatīt, lai lietotājs būtu kādā no šīm trīs struktūrvienībām un piešķirtu lietotājam drošības loma struktūrvienības ierakstu. Ar lietotāju saistītā struktūrvienība nosaka, kura struktūrvienība pieder ierakstiem, kad lietotājs izveido ierakstu. Ar šādu saistību tas ļauj mums pielāgot drošības lomu, kas ļauj lietotājam skatīt ierakstus šajā struktūrvienībā.

Lietotājs A ir saistīts ar A nodaļu un viņam ir piešķirta drošības loma Y no nodaļas A. Tādējādi lietotājs A var piekļūt kontaktpersonu un #1 kontaktpersonu #2 ierakstiem. B nodaļas lietotājs nevar piekļūt nodaļas kontaktpersonu ierakstiem, bet var piekļūt kontaktpersonu #3 ierakstam.

Matricas datu piekļuves struktūras piemērs

Matricas datu piekļuves struktūra (Modernizētas struktūrvienības)

Klienti var izmantot organizācijas struktūru, kur dati tiek nostatīti pēc kokam līdzīgas hierarhijas, un lietotāji var strādāt un piekļūt jebkuras struktūrvienības datiem neatkarīgi no tā, kādai struktūrvienībai lietotājs piešķirts.

Kad mēs sasaistām lietotāju ar šo vidi, mēs varam iestatīt lietotāju kādā no šīm trim struktūrvienībām. Lai atļautu lietotājiem piekļūt struktūrvienības datiem, lietotājam var piešķirt drošības lomu no konkrētās struktūrvienības. Kad lietotājs izveido ierakstu, lietotājs var iestatīt, lai struktūrvienība pieder ierakstam.

Lietotājs A var tikt saistīts ar jebkuru struktūrvienību, iekļaujot saknes struktūrvienību. Lietotājam A tiek piešķirta drošības loma Y nodaļā, kas lietotājam sniedz piekļuvi kontaktpersonu un #1 ierakstu #2 ierakstiem. Lietotājam A tiek piešķirta drošības loma Y B nodaļā, kas lietotājam sniedz piekļuvi kontaktpersonu #3 ierakstiem.

Hierarhiskas datu piekļuves struktūras paraugs

Iespējojiet matricas datu piekļuves struktūras

Piezīmes

Pirms šī līdzekļa iespējošanas ir jāpublicē visi pielāgojumi, lai iespējotu visas jaunās nepublicētās līdzekļa tabulas. Ja jūsu lapā ir nepublicētas tabulas, kurās šī funkcija nedarbojas, lai arī esat to ieslēguši, jūs varat iestatīt RecomputeOwnershipAcrossBusinessUnits iestatījumu, izmantojot OrgDBOrgSettings tool for Microsoft Dynamics CRM. Iestatot RecomputeOwnershipAcrossBusinessUnits uz true, var iestatīt un atjaunināt lauku Owning Business Unit .

  1. Piesakieties Power Platform administrēšanas centrā kā administrators (Dynamics 365 administrators, globālais administrators vai Microsoft Power Platform administrators).
  2. Atlasiet cilni Vides un pēc tam izvēlieties vidi, kurai vēlaties iespējot šo līdzekli.
  3. Atlasiet Iestatījumi>Prece>Līdzekļi.
  4. Iespējojiet Ierakstu īpašumtiesības struktūrvienībās slēdzi kā Ieslēgtu.

Kad šis līdzekļa slēdzis ir ieslēgts, varat atlasīt struktūrvienību, lietotājam piešķirot drošības lomu. Tas ļauj piešķirt lietotājam drošības lomu no dažādām struktūrvienībām. Tāpat lietotājam ir nepieciešama drošības loma, ko piešķīrusi tā struktūrvienība, kurā lietotājam ir lietotāja iestatījumu pilnvaras modeļa vadītu programmu palaišanai. Varat atsaukties uz Pamata lietotāja drošības lomu, lai uzzinātu, kā ir iespējotas šīs lietotāja iestatījumu privilēģijas.

Lietotāju var piešķirt kā ieraksta īpašnieku jebkurā struktūrvienībā, bez nepieciešamības ierakstam piešķirt drošības loma atbildīgajā struktūrvienībā, ja vien lietotājam ir drošības loma ar lasīšanas atļauju attiecībā uz ierakstu tabulu. Skatiet rakstu Ierakstu īpašumtiesības modernizētās struktūrvienībās.

Note

Šī līdzekļa pārslēgs tiek glabāts EnableOwnershipAcrossBusinessUnits vides datu bāzu iestatījumos, un to var arī iestatīt izmantojot OrgDBOrgSettings tool for Microsoft Dynamics CRM.

Struktūrvienības saistīšana ar Microsoft Entra drošības grupu

Varat izmantot Microsoft Entra drošības grupu, lai kartētu savu struktūrvienību lietotāju administrēšanas un lomu piešķiršanas racionalizēšanai.

Microsoft Entra Izveidojiet drošības grupu katrai struktūrvienībai un piešķiriet attiecīgajai struktūrvienībai drošības loma katrai grupas darba grupai.

Izveidojiet Microsoft Entra drošības grupu katrai struktūrvienībai.

Katrai struktūrvienībai Microsoft Entra izveidojiet drošības grupu. Izveidojiet Dataverse grupas darba grupu katrai Microsoft Entra drošības grupai. Katrai Dataverse darba grupai piešķiriet attiecīgu struktūrvienības drošības lomu. Iepriekš minētajā shēmā minētais lietotājs tiks izveidots saknes struktūrvienībā, kad lietotājs piekļūst videi. Ir labi, ja lietotājs un grupas darba Dataverse grupas atrodas saknes struktūrvienībā. Viņiem ir piekļuve tikai tās struktūrvienības datiem, kur drošības loma piešķirts.

Pievienojiet lietotājus attiecīgajai Microsoft Entra drošības grupai, lai piešķirtu tiem piekļuvi struktūrvienībai. Lietotāji var nekavējoties palaist programmu un piekļūt tās resursiem/datiem.

Matricas datu piekļuvē, kur lietotāji var strādāt un piekļūt datiem no vairākām struktūrvienībām, pievienojiet lietotājus Microsoft Entra drošības grupām, kas kartētas uz šīm struktūrvienībām.

Atbildīgā biznesa vienība

Katram ierakstam ir kolonna Piederoša struktūrvienība, kas nosaka, kurai struktūrvienībai pieder ieraksts. Šī kolonna pēc noklusējuma tiek iestatīta lietotāja struktūrvienībā ieraksta izveides laikā, un to nevar mainīt, izņemot gadījumus, kad ir ieslēgts līdzekļa slēdzis.

Note

Mainot to, kurai struktūrvienībai pieder ieraksts, noteikti pārbaudiet tālāk norādīto informāciju par kaskādes efektiem: SDK .NET izmantošana, lai konfigurētu kaskādes darbību.

Varat pārvaldīt, vai vēlaties ļaut savam lietotājam iestatīt kolonnu Pieder struktūrvienība, kad līdzekļa slēdzis ir IESLĒGTS. Lai iestatītu kolonnu Pieder struktūrvienība, lietotājam jāpiešķir drošības loma struktūrvienības tabulas Pievienošanas privilēģijas ar lokāla līmeņa atļauju.

Lai ļautu lietotājam iestatīt šo kolonnu, varat iespējot kolonnu šādi:

  1. Veidlapa – pamatteksts un galvene.
  2. Skatīšana.
  3. Kolonnu kartējumi. Ja izmantojat AutoMapEntity, varat norādīt kolonnu savā kolonnas kartējumā.

Note

Ja jums ir darbs/process, lai sinhronizētu datus vižu starpā, un Atbildīgā struktūrvienība ir iekļauta kā daļa no shēmas, jūsu uzdevums neizdosies, rādot ierobežojuma pārkāpjumu Sveša atslēga, ja mērķa videi nav tāda pati atbildīgās struktūrvienības vērtība.

Varat vai nu noņemt atbildīgās struktūrvienības kolonnu no avota shēmas, vai atjaunināt avota atbildīgās struktūrvienības kolonnas vērtību uz jebkuru no mērķa struktūrvienībām.

Ja jums ir darbs / process, lai kopētu datus no vides uz ārēju resursu, piemēram, PowerBI, jums vajadzēs no avota atlasīt kolonnu atbildīgā struktūrvienība vai atlasi atsaukt. Atlasiet, ja resurss var to saņemt; pretējā gadījumā atlasi atsauciet.

Entītijas/ieraksta īpašumtiesības

Dataverse atbalsta divu veidu ieraksta īpašumtiesības. Organizācijai piederoši un lietotājam vai darba grupai piederoši ieraksti Šī ir izvēle, kas notiek tabulas izveides laikā, un to nevar mainīt. Drošības nolūkos ieraksti, kas pieder organizācijai, vienīgā piekļuves līmeņa izvēle ir vai nu lietotājs var veikt operāciju, vai nevar. Attiecībā uz lietotājam un darba grupai piederošiem ierakstiem piekļuves līmeņa izvēle lielākajai daļai atļauju ir pakāpju organizācija, struktūrvienība, struktūrvienība un pakārtotā struktūrvienība vai tikai lietotāja ieraksti. Tas nozīmē, ka lasīšanas atļauju par kontaktpersonu es varēju iestatīt kā lietotājam piederošu, un lietotājs var redzēt tikai pats savus ierakstus.

Lai minētu citu piemēru, pieņemsim, ka lietotājs A ir saistīts ar nodaļu A, un mēs tam piešķiram struktūrvienības līmeņa lasīšanas piekļuvi attiecībā uz kontaktpersonu. Viņi var redzēt Contact #1 un #2, bet ne Contact #3.

Konfigurējot vai rediģējot drošības loma atļaujas, katrai opcijai tiek iestatīts piekļuves līmenis. Tālāk ir sniegts drošības lomas atļaujas redaktora piemērs.

Drošības loma privilēģijas.

Iepriekš minētajā sadaļā ir norādīti katras tabulas izveides, lasīšanas, rakstīšanas, dzēšanas, pievienošanas, pievienošanas, piešķiršanas un kopīgošanas standarta atļauju tipi. Katru no tām var rediģēt atsevišķi. Katra vizuālais displejs atbilst tālāk redzamajai atslēgai par to, kādu piekļuves līmeni esat piešķīris.

Drošības loma privilēģiju atslēga.

Iepriekš minētajā piemērā mēs esam piešķīruši organizācijas līmeņa piekļuvi kontaktpersonai, kas nozīmē, ka lietotājs struktūrvienībā A var skatīt un atjaunināt kontaktpersonas, kas pieder jubkuram. Faktiski viena no izplatītākajām administratīvajām kļūdām ir kļūt neapmierinātiem ar atļaujām un tieši ar piekļuves piešķiršanu. Ļoti ātri labi izstrādāts drošības modelis sāk izskatīties pēc Šveices siera (pilns ar caurumiem!).

Skatiet rakstu Ierakstu īpašumtiesības modernizētās struktūrvienībās

Modernizētās struktūrvienībās varat iestatīt, lai lietotāji jebkurā struktūrvienībā būtu ierakstu īpašnieki. Visiem lietotājiem ir nepieciešama atļauja drošības loma (jebkura struktūrvienība), kurai ierakstu tabulas lasīšanas atļauja ir atļauja. Lietotājiem nav nepieciešams, lai katrā struktūrvienībā drošības loma ieraksts tiek piešķirts.

Ja priekšskatījuma laikā jūsu ražošanas vidē bija iespējots vienums Reģistrēt īpašumtiesības dažādās struktūrvienībās, jums jāveic šādas darbības, lai iespējotu īpašumtiesību reģistrēšanu dažādās struktūrvienībās:

  1. Instalējiet rīku Organization Settings editor
  2. Iestatiet RecomputeOwnershipAcrossBusinessUnits organizācijas iestatījumus uz true. Ja šis iestatījums ir iestatīts kā patiess, sistēma ir bloķēta, un var paiet līdz 5 minūtēm, lai veiktu atkārtotu aprēķinu, lai iespējotu iespēju, kurā lietotājiem tagad var piederēt ieraksti dažādās struktūrvienībās bez nepieciešamības piešķirt atsevišķus drošības loma no katras struktūrvienības. Tas ļauj ieraksta īpašniekam piešķirt savu ierakstu kādai personai ārpus ierakstam piederošās struktūrvienības.
  3. Iestatiet vērtību AlwaysMoveRecordToOwnerBusinessUnit kā false. Tādējādi ieraksts paliek sākotnējā struktūrvienībā, kas ir īpašnieks, kad tiek mainītas ieraksta īpašumtiesības.

Visām vidēm, kas nav ražošanas vides, lai izmantotu šo iespēju, jums ir jāiestata AlwaysMoveRecordToOwnerBusinessUnit kā false.

Piezīmes

Ja izslēgsit līdzekli Ierakstīt īpašumtiesības dažādās struktūrvienībās vai iestatījums RecomputeOwnershipAcrossBusinessUnits iestatīsitvērtību aplams, izmantojot CRM rīku OrgDBOrgSettings Microsoft Dynamics , nevarēsit iestatīt vai atjauninātlauku Kam pieder struktūrvienība , un visi ieraksti, kuru lauks Pieder struktūrvienībai atšķiras no īpašnieka struktūrvienības , tiks atjaunināti uz īpašnieka struktūrvienību.

Komandas (tostarp darba grupas)

Darba grupas ir vēl viens svarīgs drošības veidošanas bloks. Darba grupas pieder struktūrvienībai. Katrai struktūrvienībai ir viena noklusējuma darba grupa, kas tiek izveidota automātiski, izveidojot struktūrvienību. Noklusējuma darba grupas dalībniekus pārvalda Dataverse, un tajā vienmēr tiek iekļauti visi lietotāji, kas saistīti ar šo struktūrvienību. Jūs nevarat manuāli pievienot vai noņemt dalībniekus no noklusējuma darba grupas — sistēma tos dinamiski pielāgo kā jaunus lietotājus, kas saistīti/nav saistīti ar uzņēmuma struktūrvienībām. Ir divu veidu darba grupas — atbildīgās darba grupas un piekļuves darba grupas.

  • Atbildīgām darba grupām var piederēt ieraksti, kas nodrošina jebkuram grupas dalībniekam tiešu piekļuvi šim ierakstam. Lietotāji var būt vairāku darba grupu dalībnieki. Tādējādi tas būs efektīvs veids, kā lietotājiem plaši piešķirt atļaujas bez piekļuves sīkas pārvaldības atsevišķa lietotāja līmenī.
  • Piekļuves darba grupas ir aprakstītas nākamajā sadaļā kā daļa no ieraksta kopīgošanas.

Ierakstu kopīgošana

Atsevišķus ierakstus var koplietot pa vienam ar citu lietotāju. Tas ir efektīvs veids, kā rīkoties ar izņēmumiem, kas neietilpst ieraksta īpašumtiesībās vai ir struktūrvienības piekļuves modeļa dalībnieks. Tomēr tam vajadzētu būt izņēmumam, jo tas ir mazāk efektīvs veids, kā kontrolēt piekļuvi. Koplietošanu ir grūtāk novērst ar problēmām, jo tā nav konsekventi ieviesta piekļuves kontrole. Kopīgošanu var veikt gan lietotāja, gan darba grupas līmenī. Kopīgošana ar darba grupu ir efektīvāks kopīgošanas veids. Sarežģītāka koplietošanas koncepcija ir ar Access Teams, kas nodrošina automātisku darba grupas izveidi, un ierakstu piekļuves koplietošana ar darba grupu ir balstīta uz Access darba grupas veidni (atļauju veidni), kas tiek lietota. Access darba grupas var izmantot arī bez veidnēm, vienkārši manuāli pievienojot vai noņemot tās dalībniekus. Piekļuves darba grupu veiktspēja ir lielāka, jo tās neļauj ierakstiem būt darba grupas īpašumā vai arī darba grupai piešķirt drošības lomas. Lietotāji iegūst piekļuvi, jo ieraksts tiek koplietots ar darba grupu, un attiecīgais lietotājs ir tās dalībnieks.

Ieraksta līmeņa drošība pakalpojumā Dataverse

Jums varētu rasties jautājums — kas nosaka piekļuvi ierakstam? Izklausās kā vienkāršs jautājums, bet attiecībā uz jebkuru konkrētu lietotāju tā ir visu viņa drošības lomu kombinācija, struktūrvienība, ar ko tas ir saistīti, darba grupas, ko dalībnieks tas ir, un ar to kopīgoti ieraksti. Galvenais, kas ir jāatceras, ir tas, ka visa piekļuve uzkrājas šajās koncepcijās Dataverse datu bāzes vides tvērumā. Šīs pilnvaras tiek piešķirtas tikai vienā datu bāzē un tiek atsevišķi izsekotas katrā Dataverse datu bāzē. Lai to izdarītu, viņiem ir nepieciešama atbilstoša licence, lai piekļūtu Dataverse.

Kolonnas līmeņa drošība pakalpojumā Dataverse

Dažreiz piekļuves ieraksta līmeņa kontrole dažiem biznesa scenārijiem nav piemērota. Dataverse ir kolonnas līmeņa drošības līdzeklis, kas nodrošina pakāpeniskāku drošības kontroli kolonnas līmenī. Kolonnas līmeņa drošību var iespējot visās pielāgotajās kolonnās un lielākajā daļā sistēmas kolonnu. Lielāko daļu sistēmas kolonnu, kas ietver personas identificējamu informāciju (PII), var atsevišķi nodrošināt. Katras kolonnas metadati tiek definēti, ja sistēmas kolonnas opcijai tas ir pieejams.

Kolonnas līmeņa drošība ir iespējota kolonnā, pamatojoties uz kolonnu. Pēc tam piekļuves tiek pārvaldīta, izveidojot kolonnas drošības profilu. Profilā ir iekļauti visas kolonnas, kurām ir iespējota kolonnas līmeņa drošība un šā konkrētā profila piešķirtā piekļuve. Katru kolonnu var kontrolēt izveides, atjaunināšanas un lasīšanas piekļuves profilā. Pēc tam kolonnu drošības profili tiek saistīti ar lietotāju vai darba grupām, lai lietotājiem piešķirtu šīs atļaujas tiem ierakstiem, kuriem lietotājiem jau ir piekļuve. Ir svarīgi ņemt vērā, ka kolonnas līmeņa drošībai nav nekāda sakara ar ieraksta līmeņa drošību. Lietotājam jau ir jābūt piekļuvei kolonnas drošības profila ierakstam, lai piešķirtu viņiem piekļuvi kolonnām. Kolonnas līmeņa drošība ir jāizmanto pēc vajadzības, taču ne pārmērīgi, jo tā var palielināt papildu izmaksas, kas ir neizdevīgi, ja to izmanto par daudz.

Drošības pārvaldība vairākās vidēs

Drošības lomas un Kolonnas drošības profilus var apvienot pakotnēs un pārvietot no vienas vides uz nākamo, izmantojot pakalpojuma Dataverse risinājumus. Struktūrvienības un darba grupas ir jāizveido un jāpārvalda katrā vidē, vienlaikus piešķirot lietotājiem nepieciešamos drošības komponentus.

Lietotāju vides drošības konfigurēšana

Kad lomas, darba grupas un struktūrvienības ir izveidotas vidē, ir pienācis laiks lietotājiem piešķirt savas drošības konfigurācijas. Vispirms, izveidojot lietotāju, lietotājs ir jāsaista ar struktūrvienību. Pēc noklusējuma tā ir organizācijas saknes struktūrvienība. Tās tiek pievienotas arī šīs struktūrvienības noklusējuma darba grupai.

Turklāt lietotājam ir jāpiešķir arī jebkādas nepieciešamās drošības lomas. Jūs tos arī pievienosit kā darba grupu dalībniekus. Ņemiet vērā, ka darba grupām var būt arī drošības lomas, tādēļ lietotāja faktiskās tiesības ir tieši piešķirto drošības lomu apvienojums ar lomām, kas ir piešķirtas visām darba grupām, kuru dalībnieki tie ir. Drošība vienmēr ir papildinājums, kas piedāvā lietotāju pilnvaru vismazāk ierobežojušās atļaujas. Sīks aprakstīts, kā konfigurēt vides drošību.

Ja izmantojāt kolonnas līmeņa drošību, lietotājs vai lietotāja darba grupa ir jāsaista ar kādu no izveidotajiem kolonnas profiliem.

Drošība ir sarežģīts raksts, un to vislabāk var paveikt kā kopīgu darbu starp lietojumprogrammas veidotājiem un grupu, kas administrē lietotāju atļaujas. Jebkādas būtiskas izmaiņas būtu jākoordinē ļoti savlaikus pirms izmaiņu izvietošanas vidē.

Skatiet arī

Vides drošības konfigurēšana
Drošības lomas un atļaujas