Feedback

Securitatea ierarhică pentru controlul accesului

  • Articol
  • 10 minute de lectură

Modelul de securitate ierarhică este o extensie a modelelor de securitate existente care utilizează unități de business, roluri de securitate, partajare și echipe. Acesta poate fi folosit împreună cu toate celelalte modele de securitate existente. Securitatea ierarhică oferă organizației un acces mai granular la înregistrări și ajută la reducerea costurilor de întreținere. De exemplu, în scenariile complexe puteți începe cu crearea mai multor unități de business și apoi puteți adăuga securitatea ierarhică. Astfel veți obține un acces mai granular la date cu costuri de întreținere mult mai mici, obiective vizate de numeroase unități de business.

Modelele de securitate Ierarhia managerilor și Ierarhia de poziții

Pentru ierarhii se pot folosi două modele de securitate, Ierarhia managerilor și Ierarhia de poziții. În ceea ce privește Ierarhia managerilor, un manager trebuie să activeze în aceeași unitate de business ca și subordonatul, sau în unitatea de business principală a unității de business a subordonatului, pentru a avea acces la datele unui subordonat. Ierarhia de poziții permite accesul la datele din toate unitățile de business. Dacă sunteți o organizație financiară, puteți alege modelul Ierarhiei managerilor pentru a preveni accesarea de către manageri a datelor din afara unităților lor de business. Cu toate acestea, dacă faceți parte dintr-o organizație de Customer Service și doriți ca managerii să aibă acces la cazurile de servicii gestionate în diferite unități de business, Ierarhia de poziții poate fi o soluție mai bună pentru dvs.

Notă

În timp ce modelul de securitate ierarhică oferă un anumit nivel de acces la date, accesul suplimentar poate fi obținut prin alte forme de securitate, ca de exemplu rolurile de securitate.

Ierarhia managerilor

Modelul de securitate Ierarhie manageri se bazează pe lanțul de management sau pe structura de subordonați direct, în care relația managerului și a subordonatului este stabilită utilizând câmpul Manager din tabelul utilizatorului de sistem. Cu ajutorul acestui model de securitate, managerii pot accesa datele la care au acces subordonații lor. Aceștia pot executa sarcini în numele subordonaților lor direcți sau pot accesa informații care au nevoie de aprobare.

Notă

În modelul de securitate Ierarhia managerilor, un manager are acces la înregistrările deținute de utilizator sau de echipa al cărei membru este un utilizator, și la înregistrările care sunt partajate direct cu utilizatorul sau cu echipa al cărei membru este un utilizator. Atunci când o înregistrare este partajată de un utilizator care se află în afara lanțului de gestionare unui utilizator subordonat direct cu acces numai în citire, managerul subordonatului direct are acces doar în citire la înregistrarea partajată.

Când ați activat Proprietatea asupra înregistrărilor în toate unitățile de business, managerul poate avea subordonați direcți din diferite unități de business. Puteți folosi următoarele setări ale bazei de date a mediului pentru a elimina restricția unității de business.

ManagersMustBeInSameOrParentBusinessUnitAsReports

implicit = fals

Puteți seta la adevărat și atunci nu este necesar ca unitatea de business a managerului să fie aceeași cu unitatea de business a subordonatului direct.

În plus față de modelul de securitate Ierarhia managerilor, un manager trebuie să aibă cel puțin privilegiul Citire la nivel de utilizator dintr-un tabel pentru a vedea datele subordonaților săi. De exemplu, dacă un manager nu are acces de tip Citire la tabelul Caz, acel manager nu va putea vedea cazurile la care au acces subordonații săi.

Pentru ca managerul să poată vedea toate înregistrările raportului direct, utilizatorul raportului direct trebuie să aibă un statut de utilizator „activat”. Managerul nu va putea vedea înregistrările utilizatorului 'dezactivat'.

Pentru un non-raport direct din același lanț de administrare al administratorului, un manager are acces doar-în-citire la datele non-raportului direct. Pentru un raport direct, managerul are acces Citire, Scriere, Adăugare, Adăugare la datele raportului. Pentru a ilustra modelul de securitate Ierarhia managerilor, să aruncăm o privire la diagrama de mai jos. Directorul general poate citi sau actualiza datele despre VP de Vânzări și datele despre VP de Serviciu. Cu toate acestea, Directorul general poate doar să citească datele despre Managerul de vânzări și Managerul de serviciu, precum și datele despre Vânzări și Asistență. Puteți restricționa suplimentar volumul de date accesibile unui manager cu „Profunzime”. Profunzimea este utilizată pentru a restricționa numărul de niveluri de acces Doar în citire ale unui manager la datele subordonaților săi. De exemplu, dacă profunzimea este setată la 2, Directorul general poate vedea datele despre VP de vânzări, VP de serviciu și Managerii de Vânzări și de Serviciu. Cu toate acestea, Directorul general nu poate vedea datele despre Vânzări sau Asistență.

Manager securitate ierarhie.

Este important să rețineți că, dacă un subordonat direct are acces de securitate de nivel mai mare la un tabel decât managerul său, este posibil ca managerul să nu poată vedea toate înregistrările la care are acces subordonatul direct. Următorul exemplu ilustrează acest punct.

  • O singură unitate de business are trei utilizatori: Utilizatorul 1, Utilizatorul 2 și Utilizatorul 3.

  • Utilizatorul 2 este un subordonat direct al Utilizatorului 1.

  • Utilizatorul 1 și Utilizatorul 3 au nivel de utilizator de tip Citire pentru tabelul Cont. Acest nivel de acces oferă utilizatorilor acces la înregistrările pe care le dețin, înregistrările partajate cu utilizatorul și înregistrările partajate cu echipa din care face parte utilizatorul.

  • Utilizatorul 2 are acces de citire de tip Unitate de business pentru tabelul Cont. Acest lucru permite Utilizatorului 2 să vizualizeze toate conturile pentru unitatea de business, inclusiv toate conturile deținute de Utilizatorul 1 și de Utilizatorul 3.

  • Utilizatorul 1, ca manager direct al Utilizatorului 2, are acces la conturile deținute de sau partajate cu Utilizatorul 2 și la conturile partajate cu sau deținute de o echipă din care face parte Utilizatorul 2. Cu toate acestea, Utilizatorul 1 nu are acces la conturile Utilizatorului 3, chiar dacă subalternul său direct poate avea acces la conturile Utilizatorului 3.

Ierarhia de poziții

Ierarhia de poziții nu se bazează pe structura de raportare directă, precum Ierarhia managerilor. Un utilizator nu trebuie să fie managerul unui alt utilizator pentru a accesa datele acestuia. Ca administrator, veți defini diferite poziții în cadrul organizației și le veți aranja sub formă de Ierarhie de poziții. Apoi, veți adăuga utilizatori în orice poziție, sau, cum mai spunem noi, veți eticheta un utilizator cu o anumită poziție. Un utilizator poate fi etichetat cu o singură poziție dintr-o anumită ierarhie, dar o poziție poate fi folosită pentru mai mulți utilizatori. Utilizatorii cu poziții mai înalte în ierarhie au acces la datele utilizatorilor cu poziții inferioare, pe calea predecesorilor direcți. Pozițiile superioare directe au acces Citire, Scriere, Adăugare, Adăugare pentru a accesa datele pozițiilor inferioare din calea strămoșului direct. Pozițiile superioare indirecte au acces Doar în citire la datele pozițiilor inferioare de pe calea predecesorilor direcți.

Pentru a ilustra conceptul de cale a predecesorilor direcți, să examinăm diagrama de mai jos. Poziția de Manager de Vânzări are acces la datele despre Vânzări, însă nu are acces la datele despre Asistență, care se află pe calea predecesorilor direcți. Același lucru este valabil și pentru poziția de Manager de Serviciu. Acesta nu are acces la datele despre Vânzări, care se află pe calea Vânzări. În mod similar cu Ierarhia managerilor, puteți restricționa volumul de date accesibile pozițiilor superioare cu „Profunzime”. Profunzimea va restricționa numărul de niveluri de acces Doar în citire ale unei poziții superioare la datele pozițiilor inferioare de pe calea predecesorilor direcți. De exemplu, dacă profunzimea este setată la 3, poziția de Director general poate vedea datele tuturor pozițiilor, de la VP de Vânzări și VP de Serviciu, la pozițiile de Vânzări și Asistență.

Ierarhia de poziții.

Notă

În modelul de securitate Ierarhia de poziții, un utilizator cu o poziție superioară are acces la înregistrările deținute de un utilizator cu o poziție inferioară sau de echipa al cărei membru este un utilizator, și la înregistrările care sunt partajate direct cu utilizatorul sau cu echipa al cărei membru este un utilizator.

În plus față de modelul de securitate Ierarhie de poziții, utilizatorii cu o poziție superioară trebuie să aibă cel puțin privilegiul Citire la nivel de utilizator pentru un tabel pentru a vedea înregistrările la care au acces utilizatorii cu poziții inferioare. De exemplu, dacă un utilizator cu o poziție superioară nu are acces de tip Citire la tabelul Caz, acesta nu va putea vedea cazurile la care au acces utilizatorii cu poziții inferioare.

Pentru ca utilizatorul din poziția superioară să vadă toate înregistrările utilizatorului din poziția inferioară, utilizatorul din poziția inferioară trebuie să aibă un statut de utilizator „activat”. Utilizatorul cu poziție superioară nu va putea vedea înregistrările utilizatorului cu poziție inferioară „dezactivate”.

Configurarea securității ierarhice

Aceste setări pot fi găsite în centrul administrativ Microsoft Power Platform accesând Medii > [selectați un mediu] > Setări > Utilizatori + Permisiuni > Ierarhie securitate.

Asigurați-vă că aveți permisiunea de administrator de sistem pentru a actualiza setarea.

Ierarhia de securitate este dezactivată în mod implicit. Pentru a activa:

  1. Selectați un mediu și mergeți la Setări > Utilizatori + Permisiuni > Ierarhie de securitate.

  2. Sub Activați Modelarea Ierarhiei selectați Activați Modelarea Ierarhiei.

Important

Pentru a efectua orice modificări în Securitate ierarhică, trebuie să aveți privilegiul Modificare setări de securitate ierarhică.

După ce ați activat modelarea ierarhiei, alegeți modelul specific selectând Ierarhie manageri sau Ierarhie poziții particularizate. Toate tabelele de sistem sunt activate pentru securitatea ierarhică predefinită, dar puteți selecta și exclude anumite tabele din ierarhie. Fereastra Securitate ierarhică ilustrată mai jos:

Configurarea securității ierarhice.

Setați Profunzime la valoarea dorită pentru a restricționa numărul de niveluri de acces Doar în citire ale unui manager la datele subordonaților săi. De exemplu, dacă profunzimea este setată la 2, un manager poate accesa numai conturile sale și conturile subordonaților cu două niveluri ierarhice sub el. În exemplul nostru, dacă vă conectați la aplicații Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, și Dynamics 365 Project Service Automation), nu ca un administrator, care poate vedea toate conturile, ci ca VP de vânzări, veți fi capabil să vedeți doar conturile active ale utilizatorilor afișate în dreptunghiul roșu, așa cum este ilustrat mai jos:

Acces de citire pentru Vicepreședinte de vânzări.

Notă

În timp ce securitatea ierarhică acordă accesul VP de Vânzări la înregistrările din dreptunghiul roșu, accesul suplimentar poate fi oferit pe baza rolului de securitate al VP de Vânzări.

Configurarea Ierarhiei managerilor și a Ierarhiei de poziții

Ierarhia managerilor este ușor de creat prin folosirea relației dintre manageri în înregistrarea utilizatorului de sistem. Utilizați câmpul de căutare a managerului (IDutilizatorsistemprincipal) pentru a specifica managerul utilizatorului. Dacă ați creat deja Ierarhia de poziții, puteți de asemenea să etichetați utilizatorul cu o anumită poziție în Ierarhia de poziții. În următorul exemplu, agentul de vânzări îi raportează managerului de vânzări în Ierarhia managerilor și ocupă, de asemenea, poziția de Vânzări în Ierarhia de poziții:

Înregistrare utilizator agent de vânzări.

Pentru a adăuga un utilizator într-o anumită poziție în Ierarhia de poziții, utilizați câmpul de căutare numit Poziție din formularul înregistrării utilizatorului, după cum se arată mai jos:

Important

Pentru a adăuga un utilizator într-o poziție sau a schimba poziția utilizatorului, trebuie să aveți privilegiul Atribuire poziție pentru un utilizator.

Adăugarea utilizatorului în poziția din securitatea ierarhică.

Pentru a schimba poziția din formularul înregistrării utilizatorului, pe bara de navigare, selectați Mai multe (...) și alegeți o altă poziție, după cum se arată mai jos:

Modificarea poziției în securitatea ierarhică.

Pentru a crea o ierarhie de poziție:

  1. Selectați un mediu și mergeți la Setări > Utilizatori + Permisiuni > Poziții.

    Pentru fiecare poziție, furnizați numele poziției, creatorul poziției și descrierea. Adăugați utilizatori în această poziție utilizând câmpul de căutare numit Utilizatori în această poziție. Mai jos este oferit un exemplu de Ierarhie de poziții cu pozițiile active.

    Poziții active în securitatea ierarhiei.

    Exemplul cu utilizatorii activați cu pozițiile corespunzătoare este oferit mai jos:

    Activat pentru utilizatori cu funcții atribuite.

Considerente de performanță

Pentru a stimula performanța, vă recomandăm:

  • Mențineți securitatea ierarhică efectivă pentru cel mult 50 de utilizatori sub un manager/o poziție. Ierarhia poate avea mai mult de 50 de utilizatori sub un manager/o poziție, dar puteți utiliza setarea de Profunzime pentru a reduce numărul de niveluri pentru acces Doar în citire și veți restricționa astfel numărul efectiv de utilizatori de sub un manager/o poziție la cel mult 50 de utilizatori.

  • Utilizați modelele de securitate ierarhică cu alte modele de securitate existente pentru scenarii mai complexe. Evitați crearea unui număr mare de unități de business, în schimb creați mai puține unități de business și adăugați securitate ierarhică.

Consultați și

Securitate în Microsoft Dataverse
Interogarea și vizualizarea datelor ierarhice

Notă

Ne puteți spune care preferințele dvs. lingvistice pentru documentație? Răspundeți la un chestionar scurt. (rețineți că acest chestionar este în limba engleză)

Chestionarul va dura aproximativ șapte minute. Nu sunt colectate date personale (angajament de respectare a confidențialității).