Dela via

Hierarkisäkerhet för att styra åtkomsten

  • Artikel

Säkerhetsmodellen i hierarkin är ett tillägg till de befintliga säkerhetsmodeller som använder affärsenheter, säkerhetsroller, delning och team. Den kan användas med andra befintliga säkerhetsmodeller. Hierarkisäkerhet ger en bättre åtkomst till poster för en organisation och hjälper dig att hålla ned underhållskostnaderna.

I komplexa scenarier kan du till exempel börjar med att skapa flera affärsenheter och sedan lägga till hierarkisäkerhet. Denna extra säkerhet ger en bättre åtkomst till data med mycket mindre underhållskostnader än ett stort antal affärsenheter kan kräva.

Säkerhetsmodeller för chefshierarki och befattningshierarki

Två säkerhetsmodeller kan användas för hierarkier, chefshierarkin och befattningshierarkin. Med chefshierarkin måste en chef måste vara inom samma affärsenhet som rapporten, eller i den överordnade affärsenheten för rapportens affärsenhet, för att ha tillgång till informationen i rapporten. Befattningshierarkin ger tillgång till data över affärsenheter. Om du är ett finansiellt företag kanske du föredrar chefshierarkimodellen för att hindra att chefen får åtkomst till data utanför sin affärsenheter. Dock om du är en del av en kundtjänstorganisation och vill att chefer att komma åt serviceärenden som hanterats i olika affärsenheter kan befattningshierarkin fungera bättre för dig.

Kommentar

Även om hierarkisäkerhetsmodellen innehåller en viss nivå av åtkomst till data, kan ytterligare åtkomst erhållas med hjälp av andra former av säkerhet, till exempel säkerhetsroller.

Chefshierarki

Säkerhetsmodellen Chefshierarki baseras på chefskedjan eller en direkt rapporteringsstruktur, där chefens och rapportens relation upprättas med hjälp av fältet Chef på systemets användartabell. Med den här säkerhetsmodellen kan chefer komma åt data som deras rapporter har tillgång till. De kan utföra arbete för sina underställda eller komma åt information som kräver godkännande.

Kommentar

Med säkerhetsmodellen Chefshierarki har en chef tillgång till poster som ägs av användaren eller teamet som användaren är medlem i, och till de poster som delas direkt med användaren eller det team som användaren är medlem i. När en post delas av en användare som är utanför hanteringskedja till en direktrapportanvändare med skrivskyddad åtkomst har den direkt överordnade chefen bara har skrivskyddad åtkomst till den delade posten.

När du har aktiverat alternativet Registrera ägarskap för olika affärsenheter, kan chefen ha direktrapporter från olika affärsenheter. Du kan använda följande miljödatabasinställningar för att ta bort affärsenhetsbegränsningen.

ManagersMustBeInSameOrParentBusinessUnitAsReports

standard = sant

Du kan ange att den ska vara falsk och chefens affärsenhet behöver inte vara samma som affärsenheten för direktrapporten.

Förutom säkerhetsmodellen Chefshierarki måste en chef ha minst läsprivilegium på användarnivå för en tabell för att visa data i rapporter. Till exempel om en chef inte har läsprivilegium för tabellen ärende, kommer chefen inte att kunna se de ärenden som deras rapporter har tillgång till.

För en icke-direkt rapport i samma hanteringskedja för chefen har chefen skrivskyddad åtkomst till icke-direkt rapportens data. För en direktrapport har en chef åtkomsterna Läsa, Skriva, Lägga till och Tillägg till för data i rapporten. För att illustrera säkerhetsmodellen Chefshierarki ska vi ta en titt på diagrammet nedan. VD kan läsa eller uppdatera data för VP Sales och VP Service. VD kan emellertid endast läsa försäljningsansvarigs data och serviceansvarigs data, samt data för försäljning och support. Du kan ytterligare begränsa mängden data som kan nås av en chef med Djup. Djup används för att begränsa för hur många nivåer en chef har skrivskyddad åtkomst till data i sina rapporter. Om djupet är 2 kan VD se data för VP Sales, VP Service och sälj- och serviceansvariga. VD kan emellertid inte visa försäljnings- eller supportdata.

Skärmbild som visar chefshierarkin. Den här hierarkin omfattar VD, försäljningsdirektör, vice VD, försäljningsansvariga, serviceansvariga, försäljning och support.

Det är viktigt att observera att om en direktrapport har djupare säkerhetsåtkomst till en tabell än deras chef så kan kanske inte chefen se alla poster som direktrapporten har åtkomst till. Följande exempel visar detta.

  • En enskild affärsenhet har tre användare: Användare 1, Användare 2 och Användare 3.

  • Användare 2 är en direktrapport till Användare 1.

  • Användare 1 och Användare 3 har läsbehörighet till tabellen Konto. Den här åtkomstnivån ger användaren åtkomst till poster som de äger, poster som delas med användaren och poster som delas med teamet som användaren tillhör.

  • Användare 2 har läsbehörighet för affärsenhet på tabellen Konto. Detta tillåter Användare 2 att visa alla konton för affärsenheten, inklusive alla konton som ägs av Användare 1 och Användare 3.

  • Användare 1, som närmaste chef till Användare 2, har åtkomst till konton som ägs av eller delas med Användare 2 och alla konton som delas med eller ägs av ett team där Användare 2 är medlem i. Men Användare 1 har inte åtkomst till konton för Användare 3, även om hans eller hennes direktrapport har åtkomst till Användaren 3:s konton.

Befattningshierarki

Befattningshierarkin baseras inte på direkt rapporteringsstruktur som chefshierarkin. En användare behöver inte vara en faktisk chef för en annan användare för att komma åt användarens data. Som administratör kan du definiera olika befattningar i organisationen och ordna dem i befattningshierarkin. Sedan du lägga till användare till en viss befattning eller, som vi också säger märka en användare med en viss befattning. En användare kan bara vara märkt med en befattning i en viss hierarki, men en befattning kan användas för flera användare. Användare på högre befattningar i hierarkin har tillgång till data för användarna på de lägre befattningarna, i direkt överordnad sökväg. Direkt högre befattningar har åtkomsterna Läsa, Skriva, Lägga till och Tillägg till för de lägre befattningarnas data i den direkt överordnade sökvägen. Icke-direkt högre befattningar har skrivskyddad åtkomst till de lägre befattningarnas data i den direkt överordnade sökvägen.

För att illustrera begreppet direkt överordnad sökväg ska vi titta på diagrammet nedan. Försäljningschefbefattningen har åtkomst till data för försäljning, men har inte tillgång till supportdata som finns i en annan överordnad sökväg. Detsamma gäller för befattningen serviceansvarig. Den har inte tillgång till data för försäljning, som finns i sökvägen för försäljning. I chefshierarkin kan du begränsa mängden data som är tillgänglig för högre befattningar med Djup. Djup begränsar för hur många nivåer en högre befattning har en skrivskyddad åtkomst till lägre befattningars data i den direkt överordnade sökvägen. Om djupet är 3 kan VD-befattningen till exempel se data ända ned från befattningarna VP Sales och VP Service till befattningarna Försäljning och Support.

Skärmbild som visar befattningshierarkin. Den här hierarkin omfattar VD, försäljningsdirektör, vice VD, försäljningsansvariga, serviceansvariga, försäljning och support.

Kommentar

Med säkerhetsmodellen Befattningshierarki har en användare på en högre befattning tillgång till poster som ägs av en användaren med lägre befattning eller teamet som användaren är medlem i, och till de poster som delas direkt med användaren eller det team som användaren är medlem i.

Förutom säkerhetsmodellen Befattningshierarki måste användare på en högre nivå ha minst läsprivilegium på användarnivå för en tabell för att visa de poster som användarna på lägre befattningar har tillgång till. Till exempel om en användare på en högre nivå inte har läsprivilegium för tabellen Ärende, kommer den användaren inte att kunna se de ärenden som användarna på lägre befattningar har tillgång till.

Konfigurera hierarkisäkerhet

För att ställa in hierarkisäkerhet, se till att du har behörigheter för systemadministratör för att uppdatera inställningen.

Hierarkisäkerhet är inaktiverad som standard. För att aktivera hierarkisäkerhet, slutför följande steg.

  1. Välj en miljö och gå till Inställningar>Användare + behörigheter>Hierarkisäkerhet.

  2. Under Hierarkimodell, välj antingen Aktivera modellen hierarki för hanterare eller Aktivera modellen hierarki för befattning beroende på dina krav.

    Viktigt!

    För att göra ändringar i Hierarkisäkerhet måste du ha privilegiet Ändra säkerhetsinställningar för hierarkin.

    I området Hantering av hierarkitabeller alla systemtabeller är aktiverade för hierarkisäkerhet som standard, men du kan utesluta selektiva tabeller från hierarkin. För att utesluta specifika tabeller från hierarkimodellen, avmarkera kryssrutorna för de tabeller som du vill exkludera och spara dina ändringar.

    Skärmbild på sidan Hierarkisäkerhet i Inställningar för miljöer.

  3. Ange ett önskat värde för Djup för att begränsa i hur många nivåer en chef har skrivskyddad åtkomst till data i sina rapporter.

    Exempelvis om djupet är lika med 2 kan en chef kan bara komma åt sin egen bokföring och rapporternas bokföring två nivåer djupt. I vårt exempel, om du loggar in i appar för kundengagemang som icke-administratör försäljningsdirektör, ser du bara de aktiva kontona för användarna som visas:

    Skärmbild som visar läsåtkomst för försäljningsdirektör och andra poster.

    Kommentar

    När hierarkisäkerheten ger VP Sales åtkomst till posterna i den röda rektangeln, kan ytterligare åtkomst finnas utifrån den säkerhetsroll som VP Sales har.

  4. I avsnittet Hantering av hierarkitabeller är alla systemtabeller aktiverade som standard för hierarkisäkerhet. Om du vill utesluta en specifik tabell från hierarkimodellen avmarkerar du kryssrutan bredvid tabellnamnet och sparar ändringarna.

    Skärmbild som visar var hierarkisäkerhet ska konfigureras i Inställningar för det nya, modernaste användargränssnittet.

    Viktigt

    • Detta är en förhandsversion.
    • Förhandsversionsfunktioner ska inte användas i produktion och funktionerna kan vara begränsade. funktionerna är tillgängliga före den officiella publiceringen så att kunderna kan få tillgång tidigare och ge oss feedback.

Konfigurera chefs- och befattningshierarkier

Chefshierarkin skapas enkelt med hjälp av chefsrelationen i systemets användarpost. Du kan använda chefens (ParentsystemuserID) uppslagsfält för att ange chefen för användaren. Om du redan har skapat befattningshierarkin kan du också märka användare med en viss befattning i befattningshierarkin. I följande exempel rapporterar försäljaren till försäljningschefen i chefshierarkin, och har även befattningen Försäljning i befattningshierarkin:

Skärmbild som visar en användarpost för en säljare.

Om du vill lägga till en användare till en viss befattning i befattningshierarkin använder du uppslagsfältet Befattning i användarpostens formulär enligt nedan.

Viktigt!

Om du vill lägga till en användare till en befattning eller ändra användarens befattning, måste du ha privilegiet Tilldela befattning för en användare.

Skärmbild som visar hur du lägger till en användare till en befattning i hierarkisäkerhet

Om du vill ändra befattningen på användarpostens formulär, väljer de Mer (...) i navigeringsfältet och väljer en annan befattning enligt nedan.

Ändra position i hierarkisäkerhet

Att skapa en befattningshierarki:

  1. Välj en miljö och gå till Inställningar>Användare + behörigheter>Positioner.

    Ange namnet på befattningen, överordnad befattning och beskrivning för varje befattning. Lägg till användare i den här befattningen genom att använda uppslagsfältet Användare i den här befattningen. Följande bild är ett exempel på positionshierarki med de aktiva positionerna.

    Aktiva positioner i hierarkisäkerhet

    Exempel på aktiverade användare med deras motsvarande befattningar visas på följande bild.

    Skärmbild som visar aktiverade användare med tilldelade befattningar.

Ta med eller utesluta poster som ägs av direktrapport med användarstatus inaktiverad

Chefer kan se poster för deras inaktiverade status direktrapport för miljöer där hierarkisäkerhet är aktiverat efter 31 januari 2024. För andra miljöer tas inte poster för inaktiverade status direktrapport med i chefsvyn.

Så här tar du med poster för inaktiverad status direktrapport:

  1. Installera OrganizationSettingsEditor verktyget.
  2. Uppdatera inställningen AuthorizationEnableHSMForDisabledUsers till sant.
  3. Inaktivera hierarkimodell.
  4. Aktivera den igen.

Så här exkluderar du med poster för inaktiverad status direktrapport:

  1. Installera OrganizationSettingsEditor verktyget.
  2. Uppdatera inställningen AuthorizationEnableHSMForDisabledUsers till falsk.
  3. Inaktivera hierarkimodell.
  4. Aktivera den igen.

Kommentar

  • När du inaktiverar och återaktiverar hierarkimodell kan uppdateringen ta tid eftersom systemet måste omkompilera om åtkomsten till chefsposten.
  • Om en tidsgräns visas kan du minska antalet tabeller under listan Hantering av hierarkitabeller och endast ta med tabeller som behöver visas av chef. Om tidsgränsen kvarstår skickar du en supportärende för att begära hjälp.
  • Poster för inaktiverad status direktrapport tas med om dessa poster delas med en annan direktrapport som är aktiv. Du kan utesluta dessa poster genom att ta bort dela.

Prestandaöverväganden

Om du vill öka prestanda rekommenderar vi:

  • Hålla den effektiva hierarkisäkerheten till 50 användare eller färre under en chef eller befattning. Hierarkin kan ha mer än 50 användare under en chef/befattning, men du kan använda Djup-inställningen för att minska antalet nivåer för skrivskyddad åtkomst och på så sätt begränsa det effektiva antalet användare under en chef/befattning till 50 användare eller mindre.

  • Använd hierarkisäkerhetsmodeller med andra befintliga säkerhetsmodeller för mer komplexa scenarier. Undvika att skapa ett stort antal affärsenheter, skapa i stället färre affärsenheter och lägg till hierarkisäkerhet.

Se även

Säkerhet i Microsoft Dataverse
Fråga och visualisera hierarkiska data