แนวคิดด้านการรักษาความปลอดภัยใน Microsoft Dataverse
หนึ่งในคุณสมบัติที่สำคัญของ Dataverse คือโมเดลการรักษาความปลอดภัยที่หลากหลายซึ่งสามารถปรับให้เข้ากับสถานการณ์การใช้งานทางธุรกิจจำนวนมาก โมเดลการรักษาความปลอดภัยนี้จะถูกใช้งานเมื่อมีฐานข้อมูล Dataverse ในสภาพแวดล้อมเท่านั้น ในฐานะผู้ดูแลระบบ คุณอาจจะไม่ได้สร้างโมเดลความปลอดภัยทั้งหมดด้วยตัวเอง แต่มักจะมีส่วนร่วมในกระบวนการจัดการผู้ใช้และตรวจสอบให้แน่ใจว่าพวกเขามีการกำหนดค่าที่เหมาะสมและแก้ไขปัญหาที่เกี่ยวกับการเข้าถึงความปลอดภัย
เคล็ดลับ
ดูวิดีโอต่อไปนี้: Microsoft Dataverse – แนวคิดด้านความปลอดภัยที่แสดงในการสาธิต
ตามบทบาทความปลอดภัย
Dataverse ใช้การรักษาความปลอดภัยตามบทบาทเพื่อจัดกลุ่มตามชุดของสิทธิ์การใช้งาน บทบาทความปลอดภัย เหล่านี้สามารถเชื่อมโยงได้โดยตรงกับผู้ใช้ หรือเชื่อมโยงกับทีมและหน่วยธุรกิจของ Dataverse ผู้ใช้สามารถเชื่อมโยงกับทีม ดังนั้นผู้ใช้ทั้งหมดที่เชื่อมโยงกับกลุ่มนั้นจะได้รับประโยชน์จากบทบาทเดียวกัน แนวคิดหลักของความปลอดภัยของ Dataverse ที่เข้าใจได้ คือ การให้สิทธิ์การใช้งานทั้งหมดจะสะสมทบไปตามปริมาณที่มากที่สุดของการเข้าถึงที่เหนือกว่า หากคุณให้สิทธิ์การเข้าถึงเรกคอร์ดผู้ติดต่อทั้งหมดในระดับองค์กรในระดับกว้าง คุณจะย้อนกลับไปและซ่อนเรกคอร์ดเดียวไม่ได้
หน่วยธุรกิจ
เคล็ดลับ
ดูวิดีโอต่อไปนี้: ปรับปรุงหน่วยธุรกิจให้ทันสมัย
หน่วยธุรกิจทำงานร่วมกับบทบาทความปลอดภัยเพื่อกำหนดความปลอดภัยที่มีประสิทธิภาพที่ผู้ใช้มี หน่วยธุรกิจเป็นหน่วยพื้นฐานของโมเดลความปลอดภัยที่ช่วยในการจัดการผู้ใช้และข้อมูลที่ผู้ใช้สามารถเข้าถึงได้ หน่วยธุรกิจจะกำหนดขอบเขตของการรักษาความปลอดภัย ทุกฐานข้อมูล Dataverse มีหน่วยธุรกิจรากหน่วยเดียว
คุณสามารถ สร้างหน่วยธุรกิจรอง เพื่อช่วยเซ็กเมนต์ผู้ใช้และข้อมูลของคุณเพิ่มเติม ผู้ใช้ทุกคนที่กำหนดให้กับสภาพแวดล้อมจะอยู่ในหน่วยธุรกิจ หน่วยธุรกิจอาจเคยใช้โมเดลหนึ่งต่อหนึ่งซึ่งเป็นลำดับชั้นขององค์กรที่แท้จริง แต่บ่อยครั้งหน่วยธุรกิจเหล่านั้นเอนเอียงไปใช้เพียงการกำหนดขอบเขตความปลอดภัยเพื่อช่วยให้บรรลุความจำเป็นของโมเดลความปลอดภัยได้
เพิ่มให้เข้าใจมากขึ้น ลองดูตัวอย่างต่อไปนี้ เรามีหน่วยธุรกิจสามหน่วย Woodgrove เป็นหน่วยธุรกิจราก และจะอยู่เหนือสุดเสมอ สิ่งนี้ไม่สามารถเปลี่ยนแปลงได้ เราได้สร้างหน่วยธุรกิจย่อยอีกสองหน่วย A และ B ผู้ใช้ในหน่วยธุรกิจเหล่านี้มีความต้องการในการเข้าถึงที่แตกต่างกันมาก เมื่อเราเชื่อมโยงผู้ใช้คนหนึ่งเข้ากับสภาพแวดล้อมนี้ เราสามารถกำหนดให้ผู้ใช้คนนั้นอยู่ในหนึ่งในหน่วยธุรกิจสามหน่วยนี้ ตำแหน่งที่ผู้ใช้ถูกเชื่อมโยงจะกำหนดว่าหน่วยธุรกิจใดเป็นเจ้าของเรกคอร์ดที่ผู้ใช้เป็นเจ้าของ การเชื่อมโยงดังกล่าวจะช่วยให้เราสามารถปรับแต่งบทบาทความปลอดภัยซึ่งช่วยให้ผู้ใช้สามารถดูเรกคอร์ดทั้งหมดในหน่วยธุรกิจนั้นได้
โครงสร้างการเข้าถึงข้อมูลตามลำดับชั้น
ลูกค้าสามารถใช้โครงสร้างองค์กรที่ข้อมูลและผู้ใช้แบ่งออกเป็นลำดับชั้นแบบต้นไม้ได้
เมื่อเราเชื่อมโยงผู้ใช้กับสภาพแวดล้อมนี้ เราสามารถกำหนดให้ผู้ใช้อยู่ในหน่วยธุรกิจหนึ่งในสามหน่วยนี้ และกำหนดบทบาทความปลอดภัยจากหน่วยธุรกิจให้กับผู้ใช้ได้ หน่วยธุรกิจที่ผู้ใช้เชื่อมโยงจะกำหนดว่าหน่วยธุรกิจใดที่เป็นเจ้าของเรกคอร์ดเมื่อผู้ใช้สร้างเรกคอร์ด ด้วยการเชื่อมโยงดังกล่าวจะช่วยให้เราสามารถปรับแต่งบทบาทความปลอดภัยซึ่งช่วยให้ผู้ใช้สามารถดูเรกคอร์ดในหน่วยธุรกิจนั้นได้
ผู้ใช้ A เชื่อมโยงกับแผนก A และได้รับการกำหนดบทบาทความปลอดภัย Y จากแผนก A ซึ่งอนุญาตให้ผู้ใช้ A เข้าถึงเรกคอร์ดผู้ติดต่อ #1 และผู้ติดต่อ #2 ในขณะที่ผู้ใช้ B ในแผนก B ไม่สามารถเข้าถึงเรกคอร์ดผู้ติดต่อของแผนก A ได้ แต่สามารถเข้าถึงเรกคอร์ดผู้ติดต่อ #3 ได้
โครงสร้างการเข้าถึงข้อมูลเมทริกซ์ (หน่วยธุรกิจแบบสมัยใหม่)
ลูกค้าสามารถใช้โครงสร้างองค์กรที่มีการแบ่งส่วนข้อมูลในลำดับชั้นที่เหมือนต้นไม้ และผู้ใช้สามารถทำงานและเข้าถึงข้อมูลของหน่วยธุรกิจใดก็ได้ โดยไม่คำนึงถึงหน่วยธุรกิจที่ผู้ใช้ได้รับการกำหนดบทบาท
เมื่อเราเชื่อมโยงผู้ใช้คนหนึ่งเข้ากับสภาพแวดล้อมนี้ เราสามารถกำหนดให้ผู้ใช้คนนั้นอยู่ในหนึ่งในหน่วยธุรกิจสามหน่วยนี้ สำหรับแต่ละหน่วยธุรกิจที่ผู้ใช้ต้องเข้าถึงข้อมูล คุณสามารถกำหนดบทบาทความปลอดภัยจากหน่วยธุรกิจนั้นให้กับผู้ใช้ได้ เมื่อผู้ใช้สร้างเรกคอร์ด ผู้ใช้สามารถตั้งค่าหน่วยธุรกิจที่เป็นเจ้าของเรกคอร์ดได้
ผู้ใช้ A สามารถเชื่อมโยงกับหน่วยธุรกิจใดๆ รวมถึงหน่วยธุรกิจราก บทบาทความปลอดภัย Y จากแผนก A ได้รับการกำหนดให้กับผู้ใช้ A ซึ่งให้ผู้ใช้เข้าถึงเรกคอร์ดผู้ติดต่อ #1 และผู้ติดต่อ #2 บทบาทความปลอดภัย Y จากแผนก B ได้รับการกำหนดให้กับผู้ใช้ A ซึ่งให้ผู้ใช้เข้าถึงเรกคอร์ดผู้ติดต่อ #3
เปิดใช้งานโครงสร้างการเข้าถึงข้อมูลเมทริกซ์
หมายเหตุ
ก่อนที่คุณจะเปิดใช้งานฟีเจอร์นี้ คุณต้องเผยแพร่การปรับแต่งทั้งหมดของคุณเพื่อเปิดใช้งานตารางใหม่ที่ยังไม่ได้เผยแพร่ทั้งหมดสำหรับฟีเจอร์นี้ หากคุณพบว่าคุณมีตารางที่ไม่ได้เผยแพร่ซึ่งใช้งานไม่ได้กับคุณลักษณะนี้หลังจากที่คุณเปิดใช้งาน คุณสามารถตั้งค่าการตั้งค่า RecomputeOwnership ทั่วทั้งหน่วยธุรกิจ โดยใช้ เครื่องมือ OrgDBOrgSettings สำหรับ Microsoft Dynamics CRM การตั้งค่า RecomputeOwnershipAcrossBusinessUnits เป็นจริง อนุญาตให้ตั้งค่าและอัปเดตฟิลด์ การเป็นเจ้าของหน่วยธุรกิจ
- เข้าสู่ระบบ ศูนย์การจัดการ Power Platform ในฐานะผู้ดูแลระบบ (ผู้ดูแลระบบ Dynamics 365 ผู้ดูแลระบบส่วนกลาง หรือผู้ดูแลระบบ Microsoft Power Platform)
- เลือก สภาพแวดล้อม จากนั้นเลือกสภาพแวดล้อมที่คุณต้องการเปิดใช้งานคุณลักษณะนี้
- เลือก การตั้งค่า>ผลิตภัณฑ์>คุณสมบัติ
- เปิดความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจ
เมื่อเปิดคุณลักษณะนี้ คุณสามารถเลือกหน่วยธุรกิจเมื่อคุณ กำหนดบทบาทความปลอดภัยให้กับผู้ใช้ ได้ ซึ่งช่วยให้คุณสามารถกำหนดบทบาทความปลอดภัยจากหน่วยธุรกิจต่างๆ ให้กับผู้ใช้ได้ ผู้ใช้ยังต้องการบทบาทความปลอดภัยจากหน่วยธุรกิจที่ผู้ใช้ถูกกำหนดด้วย สิทธิ์การตั้งค่าผู้ใช้ เพื่อเรียกใช้แอปแบบจำลอง คุณสามารถอ้างถึงบทบาทความปลอดภัย ผู้ใช้พื้นฐาน เพื่อค้นหาวิธีเปิดใช้งานสิทธิ์การตั้งค่าผู้ใช้เหล่านี้
คุณสามารถกำหนดผู้ใช้ให้เป็นเจ้าของบันทึกในหน่วยธุรกิจใดก็ได้โดยไม่ต้องกำหนดบทบาทความปลอดภัยในหน่วยธุรกิจที่เป็นเจ้าของเรกคอร์ดตราบเท่าที่ผู้ใช้มีบทบาทความปลอดภัยที่มีสิทธิ์การใช้งานในการอ่านในตารางเรกคอร์ด ดูที่ ความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจแบบสมัยใหม่
หมายเหตุ
สวิตช์คุณลักษณะนี้ถูกเก็บไว้ในการตั้งค่า EnableOwnershipAcrossBusinessUnits และยังสามารถตั้งค่าได้โดยใช้ เครื่องมือ OrgDBOrgSettings สำหรับ Microsoft Dynamics CRM
เชื่อมโยงกับหน่วยธุรกิจกับกลุ่มความปลอดภัย Microsoft Entra
คุณสามารถใช้กลุ่มความปลอดภัย Microsoft Entra เพื่อแมปหน่วยธุรกิจของคุณสำหรับการปรับปรุงการดูแลระบบผู้ใช้และการกำหนดบทบาทของคุณ
สร้างกลุ่มความปลอดภัย Microsoft Entra สำหรับแต่ละหน่วยธุรกิจและกำหนดหน่วยธุรกิจที่เกี่ยวข้องบทบาทความปลอดภัยให้กับแต่ละทีม
สำหรับแต่ละหน่วยธุรกิจ สร้างกลุ่มความปลอดภัย Microsoft Entra สร้าง ทีมในกลุ่ม Dataverse สำหรับแต่ละกลุ่มความปลอดภัย Microsoft Entra กำหนดบทบาทความปลอดภัยตามลำดับจากหน่วยธุรกิจให้กับแต่ละทีมในกลุ่ม Dataverse ผู้ใช้ในไดอะแกรมด้านบนจะถูกสร้างขึ้นในหน่วยธุรกิจหลักเมื่อผู้ใช้เข้าถึงสภาพแวดล้อม ซึ่งเป็นเรื่องปกติที่จะมีผู้ใช้และทีมในกลุ่ม Dataverse ที่จะอยู่ในหน่วยธุรกิจหลัก พวกเขามีสิทธิ์เข้าถึงข้อมูลในหน่วยธุรกิจที่มีการกำหนดบทบาทความปลอดภัยเท่านั้น
เพิ่มผู้ใช้ลงในกลุ่มความปลอดภัย Microsoft Entra ที่เกี่ยวข้องเพื่อให้เข้าถึงหน่วยธุรกิจได้ ผู้ใช้สามารถเรียกใช้แอปและเข้าถึงทรัพยากร/ข้อมูลได้ทันที
ใน การเข้าถึงข้อมูลเมทริกซ์ ที่ซึ่งผู้ใช้สามารถทำงานและเข้าถึงข้อมูลจากหน่วยธุรกิจต่างๆ ได้ ให้เพิ่มผู้ใช้ลงในกลุ่มความปลอดภัย Microsoft Entra ที่แมปกับหน่วยธุรกิจเหล่านั้น
หน่วยธุรกิจที่เป็นเจ้าของ
แต่ละเรกคอร์ดมีคอลัมน์ หน่วยธุรกิจที่เป็นเจ้าของ ซึ่งกำหนดว่าหน่วยธุรกิจใดที่เป็นเจ้าของเรกคอร์ด คอลัมน์นี้มีค่าเริ่มต้นเป็นหน่วยธุรกิจของผู้ใช้เมื่อมีการสร้างเรกคอร์ดและไม่สามารถเปลี่ยนแปลงได้ ยกเว้นเมื่อเปิดคุณลักษณะนี้
หมายเหตุ
เมื่อคุณเปลี่ยนหน่วยธุรกิจใดที่เป็นเจ้าของเรกคอร์ด ให้แน่ใจว่าได้ตรวจสอบสิ่งต่อไปนี้สำหรับเอฟเฟกต์แบบเรียงซ้อน: การใช้ SDK สำหรับ .NET เพื่อกำหนดค่าลักษณะการทำงานแบบเรียงซ้อน
คุณสามารถจัดการได้ว่าต้องการให้ผู้ใช้ตั้งค่าคอลัมน์หน่วยธุรกิจที่เป็นเจ้าของหรือไม่ เมื่อเปิดคุณลักษณะ ในการตั้งค่าคอลัมน์หน่วยธุรกิจที่เป็นเจ้าของ คุณต้องให้สิทธิ์การใช้งาน ผนวกไปยัง ของตารางหน่วยธุรกิจกับบทบาทความปลอดภัยของผู้ใช้ โดยที่ได้รับอนุญาตระดับท้องถิ่น
การอนุญาตให้ผู้ใช้ของคุณตั้งค่าคอลัมน์นี้ คุณสามารถเปิดใช้งานคอลัมน์นี้ได้ดังต่อไปนี้:
- ฟอร์ม - ทั้งเนื้อความและส่วนหัว
- มุมมอง
- การแมปคอลัมน์ หากคุณกำลังใช้ AutoMapEntity คุณสามารถระบุคอลัมน์ในการแมปคอลัมน์ของคุณได้
หมายเหตุ
หากคุณมีงาน/กระบวนการในการซิงค์ข้อมูลระหว่างสภาพแวดล้อม และ หน่วยธุรกิจที่เป็นเจ้าของ รวมอยู่เป็นส่วนหนึ่งของสคีมา งานของคุณจะล้มเหลว โดยมีการละเมิดข้อจำกัด คีย์นอก หากสภาพแวดล้อมเป้าหมายไม่มีค่า หน่วยธุรกิจที่เป็นเจ้าของ เดียวกัน
คุณสามารถลบฟิลด์ หน่วยธุรกิจที่เป็นเจ้าของ จาก Schema ต้นทาง หรืออัปเดตค่าคอลัมน์ หน่วยธุรกิจที่เป็นเจ้าของ ของแหล่งที่มาไปยังหน่วยธุรกิจใดๆ ของเป้าหมาย
หากคุณมีงาน/กระบวนการในการคัดลอกข้อมูลจากสภาพแวดล้อมไปยังทรัพยากรภายนอก เช่น PowerBI คุณจะต้องเลือก หรือยกเลิกการเลือกคอลัมน์ หน่วยธุรกิจที่เป็นเจ้าของ จากแหล่งที่มาของคุณ เลือก หากทรัพยากรของคุณสามารถรับได้ มิฉะนั้น ให้ยกเลิกการเลือก
ความเป็นเจ้าของตาราง/เรกคอร์ด
Dataverse สนับสนุนความเป็นเจ้าของเรคคอร์ดสองประเภท เรกคอร์ดที่องค์กรเป็นเจ้าของ และที่ผู้ใช้หรือทีมเป็นเจ้าของ ตัวเลือกที่เกิดขึ้นในขณะที่สร้างตารางและไม่สามารถเปลี่ยนแปลงได้ ตัวเลือกระดับการเข้าถึงเพียงอย่างเดียวคือผู้ใช้สามารถดำเนินการหรือไม่ก็ได้กับเรกคอร์ดที่องค์กรเป็นเจ้าของ ทั้งนี้เพื่อวัตถุประสงค์ด้านความปลอดภัย สำหรับเรกคอร์ดที่ผู้ใช้และทีมเป็นเจ้าของ ตัวเลือกระดับการเข้าถึงสำหรับสิทธิพิเศษส่วนใหญ่ ได้แก่ องค์กร หน่วยธุรกิจ หน่วยธุรกิจ หน่วยธุรกิจย่อย หรือเรกคอร์ดของผู้ใช้เองเท่านั้น นั่นหมายความว่าสิทธิ์การใช้งานในการอ่านสำหรับผู้ติดต่อ ฉันสามารถตั้งค่าให้เป็นระดับผู้ใช้เจ้าของ และผู้ใช้คนนั้นจะเห็นเรกคอร์ดที่ตนเองเป็นเจ้าของเท่านั้น
อีกตัวอย่างหนึ่ง สมมุติว่าผู้ใช้ A ถูกเชื่อมโยงกับฝ่าย A และเราให้การเข้าถึงการอ่านในระดับหน่วยธุรกิจสำหรับข้อมูลผู้ติดต่อ พวกเขาจะเห็นผู้ติดต่อ #1 และ #2 แต่ไม่เห็นผู้ติดต่อ #3
เมื่อคุณกำหนดค่าหรือแก้ไขสิทธิพิเศษของบทบาทความปลอดภัยแสดงว่าคุณกำลังตั้งค่าระดับการเข้าถึงสำหรับแต่ละตัวเลือก ต่อไปนี้เป็นตัวอย่างของตัวแก้ไขสิทธิ์การใช้งานบทบาทความปลอดภัย
ในด้านบน คุณสามารถดูชนิดสิทธิ์การใช้งานมาตรฐานสำหรับแต่ละตาราง ซึ่งได้แก่ สร้าง อ่าน เขียน ลบ ผนวก ผนวกกับ กำหนด และแชร์ คุณสามารถแก้ไขแต่ละตัวเลือกแยกกันได้ การแสดงภาพของแต่ละรายการจะตรงกับคีย์ที่อยู่ด้านล่างกับระดับการเข้าถึงที่คุณอนุญาต
ในตัวอย่างด้านบน เราให้สิทธิ์การเข้าถึงระดับองค์กรสำหรับรายการผู้ติดต่อ ซึ่งหมายความว่าผู้ใช้ในฝ่าย A สามารถดูและปรับปรุงรายการผู้ติดต่อที่เจ้าของเป็นใครก็ได้ ในความเป็นจริงแล้ว หนึ่งในข้อผิดพลาดทางการบริหารที่พบมากที่สุด คือการสับสนกับสิทธิ์ และให้การเข้าถึงมากเกินไป ภายในเวลาที่รวดเร็วมาก โมเดลการรักษาความปลอดภัยที่สร้างขึ้นอย่างดีเริ่มดูเหมือนสวิสชีส (เต็มไปด้วยรู!)
ความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจแบบสมัยใหม่
ใน หน่วยธุรกิจแบบสมัยใหม่ คุณสามารถให้ผู้ใช้เป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจใดก็ได้ ผู้ใช้ทั้งหมดต้องมีบทบาทความปลอดภัย (หน่วยธุรกิจใดก็ได้) ซึ่งมีสิทธิ์การใช้งานการอ่านตารางเรกคอร์ด ผู้ใช้ไม่จำเป็นต้องกำหนดบทบาทความปลอดภัยในแต่ละหน่วยธุรกิจที่มีเรกคอร์ดอยู่
ถ้า ความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจแบบสมัยใหม่ ถูกเปิดใช้งานในสภาพแวดล้อมการทำงานจริงของคุณในช่วงเวลาพรีวิว คุณต้องดำเนินการต่อไปนี้เพื่อเปิดใช้งานความเป็นเจ้าของเรกคอร์ดนี้ในหน่วยธุรกิจ:
- ติดตั้ง ตัวแก้ไขการตั้งค่าองค์กร
- กำหนดการตั้งค่าองค์กร RecomputeOwnershipAcrossBusinessUnits เป็นจริง เมื่อตั้งค่านี้เป็น จริง ระบบจะถูกล็อกและอาจใช้เวลาถึง 5 นาทีในการคำนวณใหม่เพื่อเปิดใช้งานความสามารถที่ผู้ใช้สามารถเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจต่างๆ โดยไม่จำเป็นต้องกำหนดบทบาทความปลอดภัยแยกต่างหากจากแต่ละหน่วยธุรกิจ สิ่งนี้ทำให้เจ้าของเรกคอร์ดสามารถกำหนดเรกคอร์ดให้กับบุคคลภายนอกหน่วยธุรกิจที่เป็นเจ้าของเรกคอร์ดได้
- ตั้งค่า AlwaysMoveRecordToOwnerBusinessUnit เป็นเท็จ ซึ่งจะทำให้เรกคอร์ดยังคงอยู่ในหน่วยธุรกิจเดิมที่เป็นเจ้าของเมื่อมีการเปลี่ยนแปลงความเป็นเจ้าของเรกคอร์ด
สำหรับสภาพแวดล้อมที่ไม่ใช่สำหรับการทำงานจริงทั้งหมด คุณเพียงแค่ต้องตั้งค่า AlwaysMoveRecordToOwnerBusinessUnit เป็นเท็จเพื่อใช้ความสามารถนี้
หมายเหตุ
หากคุณปิดคุณลักษณะ ความเป็นเจ้าของเรกคอร์ดในหน่วยธุรกิจ หรือตั้งค่า RecomputeOwnershipAcrossBusinessUnits เป็นเท็จ โดยใช้ OrgDBOrgSettings tool for Microsoft Dynamics CRM คุณจะไม่สามารถตั้งค่าหรืออัปเดตฟิลด์ Owning Business unit และเรกคอร์ดทั้งหมดที่ฟิลด์ Owning Business Unit แตกต่างจากหน่วยธุรกิจของเจ้าของ จนกว่าจะอัปเดตไปยังหน่ยธุรกิจของเจ้าของ
ทีม (รวมถึง ทีมในกลุ่ม)
ทีมเป็นหน่วยพื้นฐานของการรักษาความปลอดภัยที่สำคัญอีกอย่างหนึ่ง ทีมมีหน่วยธุรกิจเป็นเจ้าของ หน่วยธุรกิจทุกหน่วยจะมีทีมเริ่มต้นกลุ่มหนึ่งทีมที่สร้างขึ้นโดยอัตโนมัติเมื่อสร้างหน่วยธุรกิจ สมาชิกของทีมเริ่มต้นจะจัดการโดย Dataverse และประกอบไปด้วยผู้ใช้ทั้งหมดที่เกี่ยวข้องกับหน่วยธุรกิจนั้นเสมอ คุณไม่สามารถเพิ่มหรือลบสมาชิกออกจากทีมเริ่มต้นได้ด้วยตนเอง ระบบจะทำการปรับโดยอัตโนมัติโดย ผู้ใช้ใหม่มีการเชื่อมโยง/ไม่เชื่อมโยงกับหน่วยธุรกิจ มีทีมอยู่สองประเภท ทีมที่เป็นเจ้าของ และ ทีมที่มีสิทธิ์เข้าถึง
- การเป็นเจ้าของทีมสามารถเป็นเจ้าของเรกคอร์ด ซึ่งทำให้สมาชิกในทีมสามารถเข้าถึงบันทึกนั้นได้โดยตรง ผู้ใช้สามารถเป็นสมาชิกของหลายทีมได้ สิ่งนี้จะช่วยให้มีวิธีที่มีประสิทธิภาพในการมอบสิทธิ์แก่ผู้ใช้ในวงกว้างได้โดยไม่ต้องใช้การจัดการย่อยๆ ในระดับผู้ใช้แต่ละคน
- ทีมที่มีสิทธิเข้าถึงจะกล่าวถึงในหัวข้อถัดไปซึ่งเป็นส่วนหนึ่งของการแบ่งปันเรกคอร์ด
การใช้เรกคอร์ดร่วมกัน
แต่ละเรกคอร์ดสามารถใช้ร่วมกับผู้ใช้อื่นได้ในพื้นฐานแบบหนึ่งต่อหนึ่ง นี่เป็นวิธีที่มีประสิทธิภาพในการจัดการข้อยกเว้นที่จำกัดอยู่กับความเป็นเจ้าของเรกคอร์ดหรือเป็นสมาชิกของโมเดลการเข้าถึงของสมาชิกของหน่วยธุรกิจ ควรเป็นข้อยกเว้นแม้ว่าจะเป็นวิธีควบคุมการเข้าถึงที่มีประสิทธิภาพน้อยกว่าก็ตาม การใช้งานร่วมกันจะแก้ไขปัญหาที่ตามมายากกว่า เพราะสิ่งนี้ไม่ใช่การควบคุมการเข้าถึงที่ถูกใช้อย่างคงที่ การใช้ร่วมกันสามารถทำได้ทั้งในระดับผู้ใช้และทีม การใช้ร่วมกันกับทีมเป็นเป็นวิธีการใช้ร่วมกันที่มีประสิทธิภาพกว่า แนวคิดขั้นสูงยิ่งขึ้นของการใช้ร่วมกันคือใช้ร่วมกับทีมที่มีสิทธิ์เข้าถึง ซึ่งมีการสร้างทีมโดยอัตโนมัติและมีการใช้การเข้าถึงเรกคอร์ดร่วมกันกับทีมตามเทมเพลตของทีมที่มีสิทธิ์เข้าถึง (เทมเพลตของสิทธิ์) ที่ถูกนำไปใช้ นอกจากนี้ยังสามารถใช้ทีม Access ได้โดยไม่ต้องใช้เทมเพลตเพียงเพิ่มหรือลบสมาชิกด้วยตนเอง ทีมที่มีสิทธิ์เข้าถึงจะมีประสิทธิภาพมากกว่า เพราะไม่อนุญาตให้มีการเป็นเจ้าของเรกคอร์ดโดยทีมหรือกำหนดบทบาทความปลอดภัยให้ทีม ผู้ใช้สามารถเข้าถึงได้เนื่องจากเรกคอร์ดสามารถใช้ร่วมกันได้ในทีมและผู้ใช้เป็นสมาชิกคนหนึ่ง
การรักษาความปลอดภัยระดับเรกคอร์ดใน Dataverse
คุณอาจสงสัยว่า - อะไรจะเป็นตัวกำหนดการเข้าถึงเรคคอร์ดใดเรกคอร์ดหนึ่ง ฟังดูเหมือนเป็นคำถามง่ายๆ แต่สำหรับผู้ใช้คนใดคนหนึ่งก็คือการรวมบทบาทความปลอดภัยทั้งหมดของเขา หน่วยธุรกิจที่เขาเกี่ยวข้องทั้งหมด ทีมที่เขาเป็นสมาชิก และเรกคอร์ดที่เขาสามารถใช้ร่วมได้ สิ่งสำคัญที่ต้องจำไว้ คือ การเข้าถึงทั้งหมดจะถูกสะสมรวมกันระหว่างแนวคิดทั้งหมดในขอบเขตของสภาพแวดล้อมฐานข้อมูล Dataverse สิทธิ์เหล่านี้จะได้รับเฉพาะในฐานข้อมูลเดียวและมีการติดตามแยกกันในฐานข้อมูล Dataverse แต่ละฐานข้อมูล ทั้งหมดนี้ต้องมีสิทธิ์การใช้งานที่เหมาะสมในการเข้าถึง Dataverse
ความปลอดภัยระดับคอลัมน์ใน Dataverse
บางครั้งการควบคุมการเข้าถึงระดับเรกคอร์ดไม่เพียงพอสำหรับบางสถานการณ์ทางธุรกิจ Dataverse มีคุณลักษณะความปลอดภัยระดับคอลัมน์เพื่อให้มีการควบคุมความปลอดภัยที่ละเอียดยิ่งขึ้นในระดับคอลัมน์ ความปลอดภัยระดับคอลัมน์สามารถเปิดใช้งานในคอลัมน์ที่กำหนดเองทั้งหมดและคอลัมน์ระบบส่วนใหญ่ คอลัมน์ระบบส่วนใหญ่ที่มีข้อมูลที่สามารถระบุถึงตัวตน (PII) จะสามารถรักษาความปลอดภัยเป็นรายบุคคลได้ เมตาดาต้าของแต่ละคอลัมน์จะกำหนดว่าตัวเลือกเป็นตัวเลือกที่ใช้ได้สำหรับคอลัมน์ระบบหรือไม่
ความปลอดภัยระดับคอลัมน์จะใช้งานบนพื้นฐานแบบคอลัมน์ต่อคอลัมน์ การเข้าถึงได้รับการจัดการต่อไปโดยการสร้างโปรไฟล์ความปลอดภัยของคอลัมน์ โปรไฟล์ประกอบด้วยคอลัมน์ทั้งหมดที่เปิดใช้ความปลอดภัยระดับคอลัมน์ และการเข้าถึงที่โปรไฟล์นั้นมอบให้ แต่ละคอลัมน์สามารถควบคุมได้ภายในโปรไฟล์โดยการเข้าถึงแบบสร้าง ปรับปรุง และอ่าน จากนั้นโปรไฟล์ความปลอดภัยของคอลัมน์จะเชื่อมโยงเข้ากับผู้ใช้หรือทีมเพื่อให้สิทธิ์การใช้งานเหล่านั้นแก่ผู้ใช้สำหรับเรกคอร์ดที่พวกเขาสามารถเข้าถึงได้ก่อนแล้ว สิ่งสำคัญคือต้องทราบว่าความปลอดภัยระดับคอลัมน์ไม่มีส่วนเกี่ยวข้องกับความปลอดภัยระดับเรกคอร์ด ผู้ใช้ต้องมีสิทธิ์เข้าถึงเรกคอร์ดสำหรับโปรไฟล์ความปลอดภัยของคอลัมน์เพื่อให้สิทธิ์เข้าถึงคอลัมน์ใดๆ การรักษาความปลอดภัยระดับคอลัมน์ควรใช้ตามความจำเป็นและไม่มากเกินไปเพราะอาจเพิ่มต้นทุนที่จะมีผลเสียหากใช้มากเกินไป
การจัดการความปลอดภัยข้ามสภาพแวดล้อมที่หลากหลาย
บทบาทความปลอดภัยและโปรไฟล์ความปลอดภัยของคอลัมน์สามารถจัดทำผูกรวมกันแล้วย้ายจากสภาพแวดล้อมหนึ่งไปยังอีกสภาพแวดล้อมโดยใช้โซลูชันของ Dataverse หน่วยธุรกิจและทีมจะต้องถูกสร้างขึ้นและจัดการในแต่ละสภาพแวดล้อม พร้อมกับการมอบหมายผู้ใช้ให้ได้รับส่วนประกอบของความปลอดภัยตามความจำเป็น
การกำหนดค่าความปลอดภัยของสภาพแวดล้อมให้ผู้ใช้
เมื่อมีการสร้างบทบาท ทีม และหน่วยธุรกิจในสภาพแวดล้อม แล้วก็ถึงเวลามอบหมายให้มีการกำหนดค่าความปลอดภัยให้กับผู้ใช้ ลำดับแรก เมื่อคุณสร้างผู้ใช้ คุณจะต้องเชื่อมโยงผู้ใช้กับหน่วยธุรกิจ โดยค่าเริ่มต้น นี่คือหน่วยธุรกิจรากขององค์กร นอกจากนี้ยังต้องเพิ่มลงในทีมเริ่มต้นของหน่วยธุรกิจนั้นด้วย
นอกจากนี้ คุณจะกำหนดบทบาทความปลอดภัยที่จำเป็นต่อผู้ใช้ คุณจะเพิ่มพวกเขาเป็นสมาชิกของทีมใดก็ได้ โปรดจำไว้ว่าทีมสามารถมีบทบาทความปลอดภัยได้ ดังนั้นสิทธิ์ที่มีประสิทธิภาพของผู้ใช้คือการรวมกันของบทบาทความปลอดภัยที่ได้รับมอบหมายโดยตรงรวมถึงทีมใดๆ ที่พวกเขาเป็นสมาชิก ความปลอดภัยจะเพิ่มขึ้นเสมอตามสิทธิ์ที่จำกัดมากที่สุดที่ผู้ใช้ได้รับ ต่อไปนี้เป็นแนวปฏิบัติที่ดีของ การกำหนดค่าความปลอดภัยของสภาพแวดล้อม
หากคุณใช้การรักษาความปลอดภัยระดับคอลัมน์ คุณจะต้องเชื่อมโยงผู้ใช้หรือทีมของผู้ใช้กับโปรไฟล์ความปลอดภัยของคอลัมน์ที่คุณสร้างขึ้น
การรักษาความปลอดภัยเป็นบทความที่ซับซ้อนและทำได้ดีที่สุดเนื่องจากความพยายามร่วมกันระหว่างผู้ผลิตแอปพลิเคชันและทีมที่ดูแลสิทธิ์ของผู้ใช้ การเปลี่ยนแปลงที่สำคัญใดๆ ควรได้รับการประสานงานล่วงหน้าเป็นอย่างดีก่อนที่จะนำการเปลี่ยนแปลงไปใช้กับสภาพแวดล้อม
ดูเพิ่มเติม
กำหนดค่าความปลอดภัยของสภาพแวดล้อม
บทบาทความปลอดภัย และสิทธิ์การใช้งาน