Kongsi melalui

Keselamatan hierarki untuk mengawal akses

  • Artikel

Model keselamatan hierarki adalah lanjutan kepada model keselamatan sedia ada yang menggunakan unit perniagaan, peranan keselamatan, perkongsian, dan pasukan. Ia boleh digunakan dengan semua model keselamatan sedia ada yang lain. Keselamatan hierarki menawarkan akses yang lebih terperinci kepada rekod untuk organisasi dan membantu menurunkan kos penyelenggaraan.

Sebagai contoh, dalam senario yang kompleks, anda boleh memulakan dengan mencipta beberapa unit perniagaan dan menambah keselamatan hierarki. Keselamatan tambahan ini menyediakan akses yang lebih terperinci kepada data dengan kos penyelenggaraan yang jauh lebih sedikit yang mungkin diperlukan oleh sebilangan besar unit perniagaan.

Model keselamatan hierarki pengurus dan hierarki kedudukan

Dua model keselamatan boleh digunakan untuk hierarki, hierarki pengurus dan hierarki kedudukan. Dengan hierarki pengurus, pengurus mesti berada dalam unit perniagaan yang sama seperti laporan, atau dalam unit perniagaan induk unit perniagaan laporan, untuk mempunyai akses kepada data laporan. Hierarki kedudukan membolehkan akses data merentas unit perniagaan. Jika anda organisasi kewangan, anda mungkin lebih suka model hierarki pengurus, untuk menghalang pengurus mengakses data di luar unit perniagaan mereka. Walau bagaimanapun, jika anda sebahagian daripada organisasi khidmat pelanggan dan ingin pengurus mengakses kes perkhidmatan yang dikendalikan dalam unit perniagaan yang berbeza, hierarki kedudukan mungkin berfungsi dengan lebih baik untuk anda.

Nota

Manakala model keselamatan hierarki menyediakan satu tahap capaian kepada data, akses tambahan boleh diperoleh dengan menggunakan bentuk keselamatan lain, seperti peranan Keselamatan.

Hierarki Pengurus

Model keselamatan hierarki pengurus adalah berdasarkan rantaian pengurusan atau struktur pelaporan langsung, di mana perhubungan pengurus dan laporan ditubuhkan dengan menggunakan medan Pengurus pada jadual pengguna sistem. Dengan model keselamatan ini, pengurus dapat mengakses data yang boleh diakses oleh laporan mereka. Mereka boleh melakukan kerja bagi pihak laporan langsung mereka atau mengakses maklumat yang memerlukan kelulusan.

Nota

Dengan model keselamatan hierarki pengurus, pengurus mempunyai akses kepada rekod yang dimiliki oleh pengguna atau oleh pasukan yang pengguna adalah ahli, dan kepada rekod yang dikongsi secara langsung dengan pengguna atau pasukan yang pengguna adalah ahli. Apabila rekod dikongsi oleh pengguna yang berada di luar rantaian pengurusan kepada pengguna laporan langsung dengan akses baca sahaja, pengurus laporan langsung hanya mempunyai akses baca sahaja kepada rekod dikongsi.

Apabila anda mendayakan opsyen Pemilikan rekod merentasi unit perniagaan, pengurus boleh mempunyai laporan langsung daripada unit perniagaan yang berbeza. Anda boleh menggunakan tetapan pangkalan data persekitaran berikut untuk mengalih keluar sekatan unit perniagaan.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Lalai = benar

Anda boleh menetapkannya palsu, dan unit perniagaan pengurus tidak perlu sama dengan unit perniagaan laporan langsung.

Selain model keselamatan hierarki pengurus, pengurus mesti mempunyai sekurang-kurangnya aras pengguna Keistimewaan baca pada jadual, untuk melihat data laporan. Contohnya, jika pengurus tidak mempunyai capaian Baca kepada jadual Kes, pengurus tidak dapat melihat kes yang mempunyai akses kepada laporan mereka.

Untuk laporan tidak langsung dalam rantaian pengurusan pengurus yang sama, pengurus mempunyai akses baca sahaja kepada data laporan tidak langsung. Untuk laporan langsung, pengurus mempunyai akses Baca, Tulis, Tambah, TambahUntuk mengakses data laporan. Untuk menggambarkan model keselamatan hierarki pengurus, mari kita lihat gambar rajah berikut. CEO boleh membaca atau mengemas kini data Jualan Naib Presiden dan Naib Presiden data Perkhidmatan. Walau bagaimanapun, CEO hanya boleh membaca data pengurus jualan dan data pengurus perkhidmatan, serta data jualan dan sokongan. Anda boleh mengehadkan lagi jumlah data yang boleh diakses oleh pengurus dengan kedalaman. Kedalaman digunakan untuk mengehadkan bilangan tahap dalam pengurus yang mempunyai akses baca sahaja kepada data laporan mereka. Sebagai contoh, jika kedalaman ditetapkan kepada 2, Ketua Pegawai Eksekutif dapat melihat data VP Jualan, VP Perkhidmatan, dan pengurus jualan dan perkhidmatan. Walau bagaimanapun, CEO tidak melihat data jualan atau data sokongan.

Petikan skrin yang menunjukkan Hierarki Pengurus. Hierarki ini termasuk Ketua Pegawai Eksekutif, VP Jualan, VP Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Adalah penting untuk ambil perhatian bahawa jika laporan langsung mempunyai capaian keselamatan yang lebih mendalam kepada jadual berbanding pengurus mereka, pengurus mungkin tidak dapat melihat semua rekod yang mempunyai akses kepada laporan langsung tersebut. Contoh berikut menerangkan perkara ini.

  • Satu unit perniagaan mempunyai tiga pengguna: Pengguna 1, Pengguna 2 dan Pengguna 3.

  • Pengguna 2 ialah laporan langsung Pengguna 1.

  • Pengguna 1 dan Pengguna 3 mempunyai akses baca peringkat pengguna pada jadual Akaun. Tahap akses ini memberikan pengguna akses kepada rekod yang mereka miliki, rekod yang dikongsi bersama pengguna dan rekod yang dikongsi bersama pasukan yang pengguna menjadi ahli.

  • Pengguna 2 mempunyai akses unit baca perniagaan pada jadual Akaun. Akses ini membolehkan Pengguna 2 melihat semua akaun untuk unit perniagaan, termasuk semua akaun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

  • Pengguna 1, sebagai pengurus langsung Pengguna 2, mempunyai akses kepada akaun yang dimiliki oleh atau dikongsi dengan Pengguna 2, termasuk akaun yang dikongsi dengan atau dimiliki oleh pasukan Pengguna 2 yang lain. Walau bagaimanapun, Pengguna 1 tidak mempunyai akses kepada akaun Pengguna 3, walaupun laporan langsung mereka mungkin mempunyai akses kepada akaun Pengguna 3.

Hierarki kedudukan

Hierarki kedudukan tidak berdasarkan struktur pelaporan langsung, seperti hierarki pengurus. Pengguna tidak perlu menjadi seorang pengurus sebenar bagi pengguna lain untuk mengakses data pengguna. Sebagai pentadbir, anda menentukan pelbagai jawatan kerja dalam organisasi dan mengaturnya dalam hierarki kedudukan. Kemudian, anda menambah pengguna ke mana-mana kedudukan tertentu, atau, seperti yang kita katakan, tag pengguna dengan kedudukan tertentu. Pengguna boleh ditag hanya dengan satu kedudukan dalam hierarki yang tertentu, walau bagaimanapun, kedudukan boleh digunakan untuk berbilang pengguna. Pengguna pada kedudukan lebih tinggi dalam hierarki mempunyai akses kepada data pengguna pada kedudukan yang lebih rendah, dalam laluan leluhur langsung. Kedudukan langsung yang lebih tinggi mempunyai akses Baca, Tulis, Kemas Kini, Tambah, AppendTo kepada data kedudukan lebih rendah dalam laluan moyang terus. Kedudukan yang lebih tinggi tidak langsung mempunyai akses baca sahaja kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung.

Untuk menggambarkan konsep laluan nenek moyang langsung, mari kita lihat gambar rajah berikut. Kedudukan pengurus jualan mempunyai akses kepada data jualan, bagaimanapun, ia tidak mempunyai akses kepada data sokongan, yang berada dalam laluan nenek moyang yang berbeza. Perkara yang sama berlaku untuk jawatan pengurus perkhidmatan. Ia tidak mempunyai akses kepada data jualan, yang berada dalam laluan jualan. Seperti dalam hierarki pengurus, anda boleh mengehadkan jumlah data yang boleh diakses oleh kedudukan yang lebih tinggi dengan kedalaman. Kedalaman mengehadkan berapa tahap dalam kedudukan yang lebih tinggi mempunyai akses baca sahaja, kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung. Sebagai contoh, jika kedalaman ditetapkan kepada 3, kedudukan CEO dapat melihat data dari kedudukan VP Jualan dan VP Perkhidmatan, ke kedudukan jualan dan sokongan.

Petikan skrin yang menunjukkan Hierarki Kedudukan. Hierarki ini termasuk Ketua Pegawai Eksekutif, VP Jualan, VP Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Nota

Dengan keselamatan hierarki kedudukan, pengguna pada kedudukan yang lebih tinggi mempunyai akses kepada rekod yang dimiliki oleh pengguna kedudukan yang lebih rendah atau oleh pasukan yang pengguna adalah ahli, dan kepada rekod yang dikongsi secara langsung kepada pengguna atau pasukan yang pengguna adalah ahli.

Sebagai tambahan kepada model keselamatan hierarki kedudukan, pengguna pada tahap yang lebih tinggi mesti mempunyai sekurang-kurangnya keistimewaan baca aras pengguna pada jadual untuk melihat rekod yang pengguna pada kedudukan yang lebih rendah mempunyai capaian. Contohnya, jika pengguna pada aras yang lebih tinggi tidak mempunyai capaian baca kepada jadual Kes, pengguna tersebut tidak akan dapat melihat kes yang pengguna pada kedudukan yang lebih rendah mempunyai capaian.

Sediakan keselamatan hierarki

Untuk menyediakan keselamatan hierarki, pastikan anda mempunyai keizinan Pentadbir Sistem untuk mengemas kini seting.

Keselamatan hierarki dinyahdayakan secara lalai. Untuk mendayakan keselamatan hierarki, lengkapkan langkah berikut.

  1. Pilih persekitaran dan pergi ke Tetapan>Pengguna + Keizinan>Keselamatan hierarki.

  2. Di bawah Model Hierarki, pilih sama ada Dayakan Model Hierarki Pengurus atau Dayakan Model Hierarki Jawatan bergantung pada keperluan anda.

    Penting

    Untuk membuat sebarang perubahan dalam Keselamatan hierarki, anda mesti mempunyai keistimewaan Tukar Tetapan Keselamatan Hierarki keistimewaan.

    Dalam kawasan Pengurusan Jadual Hierarki, semua jadual sistem didayakan untuk keselamatan hierarki secara lalai tetapi anda boleh mengecualikan jadual terpilih daripada hierarki. Untuk mengecualikan jadual tertentu daripada model hierarki, kosongkan kotak semak jadual yang anda ingin kecualikan dan simpan perubahan anda.

    Petikan skrin halaman Keselamatan Hierarki dalam Seting untuk Persekitaran.

  3. Tetapkan Kedalaman kepada nilai yang dikehendaki untuk mengehadkan bilangan aras dalam pengurus yang mempunyai akses baca sahaja kepada data laporan mereka.

    Sebagai contoh, jika kedalaman sama dengan 2, pengurus hanya boleh mengakses akaun mereka sendiri dan akaun laporan dua tahap mendalam. Dalam contoh kami, jika anda log masuk ke aplikasi Customer Engagement sebagai VP Jualan bukan pentadbir, anda hanya melihat akaun aktif pengguna seperti yang ditunjukkan:

    Petikan skrin yang menunjukkan Baca akses untuk VP Jualan dan kedudukan lain.

    Nota

    Manakala, keselamatan hierarki memberi akses kepada Naib Presiden jualan untuk mengakses rekod-rekod dalam segi empat merah, akses tambahan boleh disediakan berdasarkan peranan keselamatan yang dimiliki oleh Naib Presiden Jualan ini.

  4. Dalam seksyen Pengurusan Jadual Hierarki, semua jadual sistem didayakan untuk keselamatan hierarki, secara lalai. Untuk mengecualikan jadual tertentu daripada model hierarki, kosongkan tanda semak di sebelah nama jadual dan simpan perubahan anda.

    Petikan skrin yang menunjukkan tempat untuk menyediakan keselamatan hierarki dalam Seting UI baharu dan moden.

    Penting

    • Ini adalah ciri pratonton.
    • Ciri pratonton bukan untuk kegunaan pengeluaran dan kefungsian mungkin terbatas. Ciri ini tersedia sebelum keluaran rasmi agar pelanggan boleh mendapat akses awal dan memberikan maklum balas.

Menyediakan pengurus dan hierarki kedudukan

Hierarki pengurus mudah dicipta dengan menggunakan perhubungan pengurus pada rekod pengguna sistem. Anda menggunakan medan carian Pengurus (ParentsystemuserID) untuk menentukan Pengurus bagi pengguna. Jika anda mencipta hierarki kedudukan, anda juga boleh mengetag pengguna dengan kedudukan tertentu dalam hierarki kedudukan. Dalam contoh berikut, orang jualan melaporkan kepada pengurus jualan dalam hierarki pengurus dan juga mempunyai kedudukan jualan dalam hierarki kedudukan:

Petikan skrin yang menunjukkan rekod pengguna orang jualan.

Untuk menambah pengguna pada kedudukan tertentu dalam hierarki kedudukan, gunakan medan carian yang dipanggil Posisi pada borang rekod pengguna.

Penting

Untuk menambah pengguna ke kedudukan atau mengubah kedudukan pengguna, anda perlu mempunyai keistimewaan Memperuntukkan kedudukan bagi pengguna.

Petikan skrin yang menunjukkan cara menambah pengguna pada kedudukan dalam Keselamatan Hierarki

Untuk mengubah kedudukan pada borang rekod pengguna, pada bar navigasi, pilih Lagi (...) dan pilih kedudukan lain.

Tukar kedudukan dalam keselamatan hierarki

Untuk mencipta hierarki kedudukan:

  1. Pilih persekitaran dan pergi ke Tetapan>Pengguna + Keizinan>Kedudukan.

    Bagi setiap kedudukan, beri nama kedudukan, induk kedudukan tersebut, dan keterangan. Tambah pengguna kepada kedudukan ini dengan menggunakan medan carian yang dipanggil Pengguna dalam kedudukan ini. Imej berikut ialah contoh hierarki kedudukan dengan kedudukan aktif.

    Kedudukan aktif dalam Keselamatan Hierarki

    Contoh pengguna yang didayakan dengan kedudukan yang sepadan ditunjukkan dalam imej berikut.

    Petikan skrin yang menunjukkan pengguna yang didayakan dengan kedudukan yang diberikan.

Memasukkan atau mengecualikan rekod yang dimiliki oleh laporan langsung dengan status pengguna yang dilumpuhkan

Pengurus boleh melihat rekod laporan langsung status dinyahdayakan mereka untuk persekitaran yang keselamatan hierarki didayakan selepas 31 Januari 2024. Untuk persekitaran lain, rekod laporan langsung status dinyahdayakan tidak termasuk dalam pandangan pengurus.

Untuk menyertakan rekod laporan langsung status dinyahdayakan:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini seting AuthorizationEnableHSMForDisabledUsers kepada benar.
  3. Nyahdayakan pemodelan Hierarki.
  4. Dayakan semula sekali lagi.

Untuk mengecualikan rekod laporan langsung status dinyahdayakan:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini seting AuthorizationEnableHSMForDisabledUsers kepada palsu.
  3. Nyahdayakan pemodelan Hierarki.
  4. Dayakan semula sekali lagi.

Nota

  • Apabila anda menyahdayakan dan mendayakan semula pemodelan hierarki, kemas kini boleh mengambil masa, kerana sistem perlu menyusun semula capaian rekod pengurus.
  • Jika anda melihat tamat masa, kurangkan bilangan jadual di bawah senarai Pengurusan Jadual Hierarki untuk memasukkan hanya jadual yang perlu dilihat oleh pengurus. Sekiranya tamat masa berterusan, serahkan tiket sokongan untuk meminta bantuan.
  • Rekod laporan langsung status dinyahdayakan disertakan jika rekod ini dikongsi dengan laporan langsung lain yang aktif. Anda boleh mengecualikan rekod ini dengan mengalih keluar bahagian.

Pertimbangan prestasi

Untuk meningkatkan prestasi, kami mengesyorkan:

  • Kekalkan keselamatan hierarki yang berkesan kepada 50 pengguna atau kurang di bawah pengurus atau kedudukan. Hierarki anda mungkin mempunyai lebih daripada 50 pengguna di bawah pengurus atau kedudukan, tetapi anda boleh menggunakan seting Kedalaman untuk mengurangkan bilangan aras untuk capaian baca sahaja dan dengan ini mengehadkan bilangan pengguna yang berkesan di bawah pengurus atau kedudukan kepada 50 pengguna atau kurang.

  • Gunakan model keselamatan hierarki dengan model keselamatan sedia ada yang lain untuk senario yang lebih kompleks. Elak daripada mencipta sejumlah besar unit-unit perniagaan, sebaliknya, wujudkan unit-unit perniagaan yang kurang dan tambah keselamatan hierarki.

Lihat juga

Keselamatan dalam Microsoft Dataverse
Tanya dan bayangkan data hierarki