Como a segurança baseada no registro pode ser usada para controlar o acesso aos registros no Microsoft Dynamics 365
Publicado: janeiro de 2017
Aplicável a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
A segurança baseada em registro no Microsoft Dynamics 365 e Microsoft Dynamics 365 (online) é aplicada aos registros individuais. É fornecida usando os direitos de acesso.
A relação entre um privilégio e um direito de acesso é que os direitos de acesso são aplicáveis somente depois que os privilégios entraram em vigor. Por exemplo, se um usuário não tiver o privilégio de ler contas, não poderá ler nenhuma conta, independentemente dos direitos de acesso que outro usuário possa conceder a eles em uma conta específica por meio de compartilhamento.
Neste tópico
Direitos de acesso
Compartilhamento de registros
Atribuindo registros
Recuperando os direitos de acesso a um registro
Dependências entre os direitos de acesso
Direitos de acesso
Os direitos de acesso são concedidos ao usuário para um registro específico. A tabela a seguir lista as descrições desses direitos de acesso.
Direitos de aAcesso |
AccessRights valor de enumeração |
Descrição |
|---|---|---|
Leitura |
ReadAccess |
Controla se o usuário pode ler um registro. |
Gravar |
WriteAccess |
Controla se o usuário pode atualizar um registro. |
Atribuir |
AssignAccess |
Determina se o usuário pode atribuir um registro a outro usuário. |
Acrescentar |
AppendAccess |
Determina se o usuário pode anexar outro registro ao registro especificado. Os direitos de acesso Append e Append To funcionam em combinação. Sempre que um usuário anexa um registro a outro, o usuário deve ter ambos os direitos. Por exemplo, se você anexar uma anotação a uma ocorrência, é necessário ter direitos de acesso Append na anotação e Append to na ocorrência para a operação funcionar. |
Acrescentar a |
AppendToAccess |
Determina se o usuário pode anexar o registro em questão a outro registro. Os direitos de acesso Append e Append To funcionam em combinação. Para obter mais informações, consulte a descrição de Append. |
Compartilhar |
ShareAccess |
Determina se o usuário pode compartilhar um registro com outro usuário ou equipe. Compartilhar fornece acesso a outro usuário a um registro. Para obter mais informações, consulte Compartilhamento de registros. |
Excluir |
DeleteAccess |
Controla se o usuário pode excluir um registro. |
Criar acesso
O direito de criar um registro para um tipo de entidade não está incluído na tabela anterior porque esse direito não se aplica a um registro individual, mas a uma classe de entidades. Criar é manipulado como um privilégio em vez de um direito de acesso. O usuário que cria um registro tem todos os direitos nesse registro, a menos que seus outros privilégios proíbam um direito específico.
O privilégio Create controla se você pode criar um registro. Se você tiver o privilégio Create com acesso local, profundo ou global, é possível criar registros para outros usuários. Se você tiver privilégios Create e Read com acesso básico, você pode criar registros sozinho.
Para obter mais informações sobre dependências relacionadas à criação de privilégios, consulte Dependências entre os direitos de acesso.
Compartilhamento de registros
Compartilhar permite aos usuários fornecerem a outros usuários ou equipes acesso a informações específicas do cliente. Isso é útil para compartilhar informações com usuários que têm apenas as funções de nível de acesso básico. Por exemplo, em uma organização que fornece acesso de leitura e gravação básica de contas para vendedores, um vendedor pode compartilhar uma oportunidade com outro vendedor para que possam acompanhar o andamento de uma venda importante.
Por motivo de segurança, desenvolva a ação de compartilhamento apenas dos registros necessários com o menor conjunto de usuários possível. Conceda apenas o acesso mínimo necessário para os usuários fazerem seu trabalho.
O Microsoft Dynamics 365 proporciona os seguintes recursos de compartilhamento:
Compartilhar. Qualquer usuário que tenha privilégios de compartilhamento em um determinado tipo de entidade pode compartilhar registros desse tipo com qualquer outro usuário ou equipe no Microsoft Dynamics 365. Para compartilhar um registro, use o GrantAccessRequest.
Quando você compartilha um registro com outro usuário, indique quais direitos de acesso (Leitura, Gravação, Exclusão, Anexo, Atribuição e Compartilhamento) você desejar conceder a outro usuário. Os direitos de acesso em um registro compartilhado podem ser diferentes para cada usuário que o registro foi compartilhado. Entretanto, você não pode conceder a um usuário direitos que não tem para esse tipo de entidade, com base na função atribuída ao usuário. Por exemplo, se um usuário não tem privilégios de Leitura nas contas e você compartilha uma conta com esse usuário, o usuário não poderá ver a conta.
Modificar compartilhamento. É possível alterar os direitos concedidos a um registro compartilhado depois que foi compartilhado. Para modificar um compartilhamento de um registro, use ModifyAccessRequest.
Remover compartilhamento. Se você compartilhar um registro com outro usuário ou equipe, é possível parar o compartilhamento do registro. Após a remoção de um registro compartilhado, o outro usuário ou equipe perde os direitos de acesso ao registro. Para remover um compartilhamento de um registro, use RevokeAccessRequest.
Dica
Use GrantAccessRequest, ModifyAccessRequest e RevokeAccessRequest para compartilhamento.
Um usuário pode ter acesso ao mesmo registro em mais de um contexto. Por exemplo, um usuário pode compartilhar um registro diretamente com direitos de acesso específicos e também podem estar em uma equipe no qual o mesmo registro foi compartilhado com direitos de acesso diferentes. Neste caso, os direitos de acesso que este usuário tem sobre o registro é uma união de todos os direitos.
Para obter uma lista de entidades que suportam o compartilhamento, consulte o GrantAccessRequest.
Compartilhamento e herança
Se um registro for criado e registro principal tiver determinadas propriedades de compartilhamento, o novo registro herda as propriedades. Por exemplo, Joe e Mike estão trabalhando em um alto cliente potencial. Joe cria um novo cliente potencial e duas atividades, compartilha o cliente potencial com Mike e seleciona compartilhar em cascata. Mike faz uma chamada telefônica e envia um email relacionado ao novo cliente potencial. Joe vê que Mike entrou em contato com a empresa duas vezes, portanto, ele não faz outra ligação.
Compartilhar é mantido em registros individuais. Um registro herda as propriedades de compartilhamento de seus principais e também mantém suas próprias propriedades de compartilhamento. Portanto, um registro pode ter dois conjuntos de propriedades de compartilhamento - um que tenha seu próprio e um que herde do primário.
Remover o compartilhamento de um registro primário remove as propriedades de compartilhamento de objetos (registros) herdados do principal. Isto é, todos os usuários que tinham visibilidade anteriormente neste registro não terão mais visibilidade. Os objetos secundários ainda podem ser compartilhados a qualquer um desses usuários se foram compartilhados individualmente, não do registro primário.
Atribuindo registros
Qualquer pessoa com privilégios Atribuir em um registro pode atribuir esse registro a outro usuário. Quando um registro é atribuído, o novo usuário ou equipe se tornará o proprietário do registro e de seus registros relacionados. O usuário ou a equipe original perde a propriedade do registro, mas automaticamente compartilha com o novo proprietário.
No Microsoft Dynamics 365, o administrador do sistema pode decidir para uma organização se os registros devem ser compartilhados com proprietários anteriores ou não depois da operação de atribuição. Se Compartilhar com o proprietário anterior for selecionado, o proprietário anterior compartilha o registro com todos os direitos de acesso depois da operação de atribuição. Caso contrário, o proprietário anterior não compartilha o registro e não pode acessar o registro, dependendo dos privilégios. O atributo Organization.ShareRoPreviousOwnerOnAssign controla essa configuração.
Para obter uma lista de entidades que suportam o compartilhamento, consulte o AssignRequest.
Recuperando os direitos de acesso a um registro
Use a mensagem RetrievePrincipalAccessRequest para recuperar os direitos de acesso especificados no principal de segurança (usuário ou equipe) com um registro.
Use a mensagem RetrieveSharedPrincipalsAndAccessRequest para recuperar todas as entidades de segurança (usuários ou equipes) que têm acesso a um registro, juntamente com seus direitos de acesso ao registro.
Dependências entre os direitos de acesso
Às vezes, as dependências de segurança existem porque é necessário ter mais de um direito de acesso para executar uma determinada ação. Por exemplo, se você possui os direitos de acesso criar para contas, é possível criar um registro do tipo de entidade de conta. Entretanto, se você também tem o privilégio de leitura para contas, não é possível criar um registro de conta e ser o proprietário dessa nova conta.
A tabela a seguir lista as dependências de direitos de acesso para as ações especificadas.
Ação |
Direitos de acesso exigidos |
|---|---|
Para Criar um registro e o proprietário do registro |
CRIAR LEITURA |
Para Compartilhar um registro |
SHARE. Este direito é necessário pela pessoa que fizer a operação de compartilhamento. LEITURA. Este direito é necessário pela pessoa que fizer a operação de compartilhamento e também pela pessoa com quem o registro está sendo compartilhado. |
Para Atribuir um registro |
ATRIBUIR GRAVAR LEITURA |
Para Acrescentar a um registro |
LER APPENDTO |
Para Acrescentar um registro |
LER APPEND |
Outro tipo de dependência existe quando os objetos estão subordinados a outro objeto. Por exemplo, o objeto de oportunidade não pode existir isoladamente. Cada oportunidade é sempre anexada a uma conta ou contato. Para criar uma oportunidade, será preciso obter os direitos de acesso appendto em contas e os direitos de acesso append em oportunidades.
Confira Também
AccessRights
RetrievePrincipalAccessRequest
O modelo de segurança do Microsoft Dynamics 365
Como o acesso baseado no direito de acesso pode ser usado para controlar o acesso às entidades no Microsoft Dynamics 365
Como a segurança de campo pode ser usada para controlar o acesso aos valores de campo no Microsoft Dynamics 365
Introdução às entidades no Microsoft Dynamics 365
Comportamento do relacionamento entre entidades
Microsoft Dynamics 365
© 2017 Microsoft. Todos os direitos reservados. Direitos autorais