Hierarkisikkerhet for å kontrollere tilgang

Modellen for hierarkisk sikkerhet er et tillegg til de eksisterende sikkerhetsmodellene som bruker forretningsenheter, sikkerhetsroller, deling og team. Den kan brukes med alle andre eksisterende sikkerhetsmodeller. Hierarkisk sikkerhet gir en mer detaljert tilgang til oppføringer for en organisasjon, og bidrar til å redusere vedlikeholdskostnadene.

I komplekse scenarier kan du for eksempel begynne med å opprette flere forretningsenheter og deretter legge til hierarkisk sikkerhet. Denne ekstra sikkerheten gir en mer detaljert tilgang til data med langt færre vedlikeholdskostnader som et stort antall forretningsenheter kan ha behov for.

Sikkerhetsmodellene Overordnet hierarki og posisjonshierarki

To sikkerhetsmodeller kan brukes for hierarkier: det overordnede hierarkiet og posisjonshierarkiet. Når det gjelder lederhierarkiet, må en overordnet være i samme forretningsenhet som rapporten eller i den overordnede forretningsenheten for rapportens forretningsenhet for å kunne ha tilgang til dataene i rapporten. Stillingshierarkiet gir tilgang til data på tvers av forretningsenheter. Hvis du er en finansorganisasjon, foretrekker du kanskje det overordnede hierarkiet for å unngå at overordnede får tilgang til data utenfor forretningsenhetene sine. Men hvis du er en del av en kundeserviceorganisasjon og vil at overordnede skal ha tilgang til servicesaker som håndteres i ulike forretningsenheter, fungerer kanskje posisjonshierarkiet bedre for deg.

Merk

Modellen for hierarkisk sikkerhet gir et visst nivå av tilgang til data, men du kan gi ytterligere tilgang ved å bruke andre former for sikkerhet, for eksempel sikkerhetsroller.

Overordnet hierarki

Sikkerhetsmodellen for overordnet hierarki er basert på administrasjonskjeden eller strukturen for direkte rapportering, der den overordnedes og underordnedes relasjon opprettes ved hjelp av Overordnet-feltet for systembrukertabellen. Med denne sikkerhetsmodellen får overordnede tilgang til dataene som deres underordnede har tilgang til. De kan utføre arbeid på vegne av sine direkte underordnede eller få tilgang til informasjon som trenger godkjenning.

Obs!

Med sikkerhetsmodellen for overordnet hierarki har en overordnet tilgang til oppføringene som eies av brukeren eller teamet som en bruker er medlem av, og til oppføringene som deles direkte med brukeren eller teamet som en bruker er medlem av. Når en oppføring deles av en bruker som er utenfor administrasjonskjeden, til en direkte rapportbruker med skrivebeskyttet tilgang, har den overordnede for direkterapporten bare skrivebeskyttet tilgang til den delte oppføringen.

Etter at du aktiverte alternativet Oppføringseierskap på tvers av forretningsenheter, kan ledere få direkterapporter fra ulike forretningsenheter. Du kan bruke følgende innstillingene for miljødatabasen nedenfor for å fjerne begrensningen for forretningsenheten.

ManagersMustBeInSameOrParentBusinessUnitAsReports

standard = true

Du kan sette den til false, og forretningsenheten for en leder trenger ikke å være den samme som forretningsenheten i direkterapporten.

I tillegg til sikkerhetsmodellen for overordnet hierarki må en overordnet minst ha leserettighet til en tabell på brukernivå for å kunne se dataene til de underordnede. Hvis overordnede for eksempel ikke har lesetilgang til Sak-tabellen, kan ikke de overordnede se sakene som deres underordnede har tilgang til.

For en ikke-direkte rapport i den samme administrasjonskjeden til lederen, har lederen skrivebeskyttet tilgang til dataene i den ikke-direkte rapporten. Når det gjelder en direkte underordnet, har den overordnede rettighetene Lese, Skrive, Tilføye og Tilføye i for den underordnedes data. La oss se på diagrammet nedenfor for å illustrere sikkerhetsmodellen for overordnet hierarki. Administrerende direktør kan lese eller oppdatere dataene til viseadministrerende direktør for salg og viseadministrerende direktør for service. Administrerende direktør kan imidlertid bare lese dataene til salgslederen og servicelederen samt salgs- og kundestøttedataene. Du kan ytterligere begrense mengden data som er tilgjengelig for en leder med dybde. Dybde brukes til å begrense hvor mange nivåer ned en overordnet har lesetilgang til dataene til de underordnede. Hvis for eksempel 2 er angitt for dybden, kan administrerende direktør for eksempel se dataene til viseadministrerende direktør for salg, viseadministrerende direktør for service, salgsledere og serviceledere. Administrerende direktør kan imidlertid ikke se salgs- eller kundestøttedataene.

Det er viktig å merke seg at hvis en direkte underordnet har dypere sikkerhetstilgang til en tabell enn den overordnede, kan ikke den overordnede kunne se alle postene som den direkte rapporten har tilgang til. Eksemplet nedenfor illustrerer dette.

• En enkelt forretningsenhet har tre brukere: bruker 1, bruker 2 og bruker 3.

• Bruker 2 er en direkte underordnet av bruker 1.

• Bruker 1 og bruker 3 har lesetilgang på brukernivå i tabellen Forretningsforbindelse. Dette tilgangsnivået gir brukere tilgang til oppføringer de eier, oppføringer som deles med brukeren, og oppføringer som deles med teamet som brukeren er medlem av.

• Bruker 2 har lesetilgang for forretningsenhet i tabellen Forretningsforbindelse. Denne tilgangen gjør at bruker 2 kan vise alle kontoene for konsernet, inkludert alle forretningsforbindelser som eies av bruker 1 og bruker 3.

• Bruker 1, som direkte overordnet bruker 2, har tilgang til kontoer som eies av eller deles med bruker 2, inkludert kontoer som er delt med eller eies av andre bruker 2-team. Imidlertid har ikke bruker 1 tilgang til kontoene til bruker 3, selv om vedkommendes direkte underordnede kan ha tilgang til bruker 3-kontoer.

Posisjonshierarki

Posisjonshierarkiet er ikke basert på strukturen for direkte rapportering, slik lederhierarkiet er. En bruker trenger ikke å være en faktisk overordnet for en annen bruker for å få tilgang til brukerens data. Som administrator definerer du ulike stillinger i organisasjonen og ordner dem i posisjonshierarkiet. Deretter legger du til brukere i en gitt posisjon, eller, sagt på en annen måte, merker en bruker med en bestemt posisjon. En bruker kan bare merkes med én posisjon i et gitt hierarki, men en posisjon kan brukes for mange brukere. Brukere i høyere posisjoner i hierarkiet har tilgang til dataene til brukerne i lavere posisjoner i banen for direkte overordnet element. De direkte høyere posisjonene har rettighetene Lese, Skrive, Tilføye og Tilføye i til dataene til de lavere posisjonene i banen for direkte overordnet element. De ikke-direkte høyere posisjonene har lesetilgang til dataene til de lavere posisjonene i banen for direkte overordnet element.

La oss se på følgende diagram for å illustrere begrepet om banen for direkte overordnet element. Salgslederposisjonen har tilgang til salgsdataene, men den har ikke tilgang til kundestøttedata, som er i en annen bane for direkte overordnet element. Det samme gjelder for servicelederposisjonen. Den har ikke tilgang til salgsdataene, som er i salgsbanen. Som i det overordnede hierarkiet kan du begrense mengden data som er tilgjengelig for høyere posisjoner, med dybde. Dybden begrenser hvor mange nivåer ned en høyere posisjon har lesetilgang til dataene til de lavere posisjonene, i banen for direkte overordnet element. Hvis for eksempel 3 er angitt for dybden, kan posisjonen for administrerende direktør se alle dataene helt ned fra posisjonene for viseadministrerende direktør for salg og viseadministrerende direktør for service til salgs- og kundestøtteposisjonene.

Merk

Med sikkerhet for posisjonshierarki har en bruker i en høyere posisjon tilgang til oppføringene som eies av en bruker i en lavere posisjon eller teamet som en bruker er medlem av, og til oppføringene som deles direkte med brukeren eller teamet som en bruker er medlem av.

I tillegg til sikkerhetsmodellen for posisjonshierarki må brukere på et høyere nivå minst ha leserettighet til en tabell på brukernivå for å kunne se oppføringene som brukerne i lavere posisjoner har tilgang til. Hvis en bruker på et høyere nivå for eksempel ikke har lesetilgang til Sak-tabellen, kan ikke denne brukeren se sakene som brukerne i lavere posisjoner har tilgang til.

Konfigurere hierarkisk sikkerhet

For å kunne konfigurere hierarkisikkerhet må du ha systemadministratortillatelse til å oppdatere innstillingen.

• Følg fremgangsmåten under Vise brukerprofilen.
• Har du ikke de riktige tillatelsene? Kontakt systemansvarlig.

Hierarkisk sikkerhet er deaktivert som standard. Fullfør fremgangsmåten nedenfor for å aktivere hierarkisikkerhet.

1. Velg et miljø og gå til Innstillinger>Brukere + tillatelser>Hierarkisikkerhet.

2. Velg Aktiver modell for overordnet hierarki eller Aktiver modell for posisjonshierarki under Hierarkimodell etter behov.

   Viktig

   Hvis du vil gjøre endringer i Hierarkisk sikkerhet, må du ha rettigheten Endre innstillinger for hierarkisk sikkerhet.

   I området Administrasjon av hierarkitabell er alle systemtabeller aktivert for hierarkisikkerhet som standard, men du kan utelate selektive tabeller fra hierarkiet. Hvis du vil utelate bestemte tabeller fra hierarkimodellen, fjerner du merket for tabellene du vil utelate, og lagrer endringene.

   

3. Angi ønsket verdi for Dybde for å begrense hvor mange nivåer ned en overordnet har skrivebeskyttet tilgang til dataene til de underordnede.

   Hvis dybden for eksempel er lik 2, har overordnede bare tilgang til sine egne kontoer og kontoene til underordnede to nivåer ned. Hvis du logger på Customer Engagement-apper som viseadministrerende direktør for salg som ikke-administrator, kan du i vårt eksempel bare se de aktive forretningsforbindelsene til brukerne som vist:

   

   Merk

   Hierarkisk sikkerhet gir den viseadministrerende direktøren for salg tilgang til oppføringene i det røde rektangelet, men ytterligere tilgang kan være tilgjengelig basert på en sikkerhetsrollen til den viseadministrerende direktøren for salg.

4. I delen Administrasjon av hierarkitabell er alle systemtabeller som standard aktivert for hierarkisikkerhet. Hvis du vil utelate en bestemt tabell fra hierarkimodellen, fjerner du merket ved siden av tabellnavnet og lagrer endringene.

   Nytt, moderne brukergrensesnitt i forhåndsversjon

   

   Viktig!

   • Dette er forhåndsversjonsfunksjon.
   • Forhåndsversjonsfunksjonene er ikke ment for produksjonsbruk og kan ha begrenset funksjonalitet. Disse funksjonene er tilgjengelige før en offisiell utgivelse, slik at kunder kan få tidlig tilgang og gi tilbakemeldinger.

   Gammelt brukergrensesnitt

   

Konfigurere overordnet hierarki og posisjonshierarki

Det overordnede hierarkiet kan enkelt opprettes ved hjelp av relasjonen for overordnet i systembrukeroppføringen. Du bruker oppslagsfeltet Overordnet (ParentsystemuserID) til å angi den overordnede for brukeren. Hvis du har opprettet posisjonshierarkiet, kan du også merke brukeren med en bestemt posisjon i posisjonshierarkiet. I eksemplet nedenfor rapporterer selgeren til salgslederen i det overordnede hierarkiet og har også salgsposisjonen i posisjonshierarkiet:

Hvis du vil legge til en bruker i en bestemt posisjon i posisjonshierarkiet, kan du bruke oppslagsfeltet kalt Posisjon i skjemaet for brukeroppføringen.

Viktig

Hvis du vil legge til en bruker i en posisjon eller endre brukerens posisjon, må du ha rettigheten Tilordne posisjon for en bruker.

Hvis du vil endre posisjonen i skjemaet for brukeroppføringen, velger du Mer (…) i navigasjonsfeltet og deretter en annen posisjon.

Slik oppretter du et posisjonshierarki:

1. Velg et miljø og gå til Innstillinger>Brukere + tillatelser>Posisjoner.

   Oppgi navnet på posisjonen, den overordnede for posisjonen og en beskrivelse for hver posisjon. Legg til brukere i denne posisjonen ved hjelp av oppslagsfeltet Brukere i denne posisjonen. Bildet nedenfor er et eksempel på posisjonshierarki med aktive posisjoner.

   

   Eksemplet på aktiverte brukere med de tilhørende posisjonene vises på bildet nedenfor.

   

Inkluder eller ekskluder oppføringer som eies av direkte underordnet med statusen for deaktivert bruker

Overordnede kan se oppføringene for direkte underordnedes deaktivert-status for miljøer der hierarkisikkerhet er aktivert etter 31. januar 2024. For andre miljøer er ikke oppføringene for direkte underordnedes deaktivert-status inkludert i lederens visning.

Slik inkluderer du oppføringene for direkte underordnedes deaktivert-status:

1. Installer OrganizationSettingsEditor-verktøyet.
2. Oppdater innstillingen AuthorizationEnableHSMForDisabledUsers til sann.
3. Deaktiver Hierarkimodellering.
4. Reaktiver den på nytt.

Slik ekskluderer du oppføringene for direkte underordnedes deaktivert-status:

1. Installer OrganizationSettingsEditor-verktøyet.
2. Oppdater innstillingen AuthorizationEnableHSMForDisabledUsers til usann.
3. Deaktiver Hierarkimodellering.
4. Reaktiver den på nytt.

Merk

• Når du deaktiverer og aktiverer hierarkimodellen på nytt, kan oppdateringen ta tid, siden systemet må beregne oppføringstilgangen for lederen på nytt.
• Hvis du ser et tidsavbrudd, reduserer du antall tabeller under Administrasjon av hierarkitabell-listen for å inkludere bare tabeller som må vises av overordnet. Hvis tidsavbruddet vedvarer, kan du sende en kundestøttebillett for å be om hjelp.
• Oppføringene for direkte underordnedes deaktivert-status inkluderes hvis disse oppføringene deles med en annen direkte underordnet som er aktiv. Du kan utelate disse oppføringene ved å fjerne delingen.

Ytelseshensyn

Vi anbefaler følgende for å øke ytelsen:

• Ikke ha flere enn 50 gjeldende brukere under en overordnet eller posisjon. Hierarkiet kan inneholde flere enn 50 brukere under en overordnet eller posisjon, men du kan bruke innstillingen Dybde til å redusere antall nivåer for lesetilgang, og med denne grensen blir gjeldende antall brukere under en overordnet eller posisjon begrenset til 50 eller færre.

• Bruk hierarkiske sikkerhetsmodeller med andre eksisterende sikkerhetsmodeller for å få mer komplekse scenarier. Unngå å opprette et stort antall forretningsenheter. Opprett i stedet færre forretningsenheter, og legg til hierarkisk sikkerhet.

Se også

Sikkerhet i Microsoft Dataverse
Spørre etter og visualisere hierarkiske data