مشاركة عبر

أمان التدرج الهرمي للتحكم في الوصول

  • مقالة

يُعتبر نموذج الأمان الهرمي امتدادًا لنماذج الأمان الحالية التي تستخدم وحدات الأعمال، وأدوار الأمان، والمشاركة، والفرق. يمكن استخدامه مع جميع نماذج الأمان الأخرى الحالية. يقدم نموذج أمان التدرج الهرمي وصولًا متعدد المستويات بشكلٍ أكبر للسجلات الخاصة بالمؤسسة ويساعد في تقليل تكاليف الصيانة.

على سبيل المثال، في السيناريوهات المعقدة، يمكنك البدء في إنشاء العديد من وحدات الأعمال ثم إضافة نموذج أمان التدرج الهرمي. يوفر هذا الأمان المضاف إمكانية وصول متعدد المستويات بشكلٍ أكبر إلى البيانات بتكاليف صيانة أقل بكثير والتي يتطلبها عدد كبير من وحدات الأعمال.

التدرج الهرمي للإدارة ونماذج الأمان الخاصة بالتدرج الهرمي للمناصب

يمكن استخدام اثنين من نماذج الأمان للتدرجات الهرمية، والتدرج الهرمي للإدارة، والتدرج الهرمي للمناصب. باستخدام التدرج الهرمي للمدير، يجب أن يكون المدير ضمن وحدة العمل نفسها مثل التقرير، أو في وحدة العمل الأصلي لوحدة أعمال التقرير، للوصول إلى بيانات التقرير. يسمح التدرج الهرمي للمناصب بالوصول إلى البيانات عبر وحدات الأعمال. إذا كنت مؤسسة مالية، فقد تفضل نموذج التدرج الهرمي للمدير، لمنع وصول المدراء إلى البيانات خارج وحدات الأعمال الخاصة بهم. ومع ذلك، إذا كنت جزءًا من مؤسسة خدمة العملاء وترغب في وصول المدراء إلى حالات الخدمة التي يتم معالجتها داخل وحدات الأعمال المختلفة، فقد يعمل التدرج الهرمي للمناصب على نحوٍ أفضل.

‏‫ملاحظة

بينما يوفر نموذج الأمان الهرمي مستوى معين من الوصول إلى البيانات، يمكن الحصول على وصول إضافي من خلال استخدام نماذج أمان أخرى مثل أدوار الأمان.

التدرج الهرمي للإدارة

يستند نموذج الأمان الخاص بالتدرج الهرمي للمدير إلى سلسلة إدارة أو بنية المرؤوسين المباشرين؛ حيث تنشا العلاقة بين المدير والمرؤوسين باستخدام حقل المدير في جدول مستخدم النظام. باستخدام نموذج الأمان هذا، يتمتع المدراء بالقدرة على الوصول إلى البيانات التي يكون لدى هياكل الإبلاغ الخاصة بهم إمكانية الوصول إليها. إنهم قادرون على أداء العمل نيابة عن تقاريرهم المباشرة أو الوصول إلى المعلومات التي تحتاج إلى موافقة.

‏‫ملاحظة‬

باستخدام نموذج الأمان الخاص بالتدرج الهرمي للإدارة، يكون لدى المدير الوصول إلى السجلات المملوكة للمستخدم أو الفريق؛ حيث يكون المستخدم عضوًا في الفريق ولديه الوصول أيضًا إلى السجلات التي تتم مشاركتها مباشرة مع المستخدم أو الفريق الذي يكون المستخدم عضوًا فيه. عند مشاركة سجل من قبل مستخدم موجود خارج سلسلة الإدارة مع مرؤوس مباشر لديه حق وصول للقراءة فقط، يتوفر لمدير المرؤوس المباشر حق وصول للقراءة فقط إلى السجل المشترك.

عند تمكين ‏‫ملكية السجلات عبر وحدات العمل، يمكن للمديرين الحصول على تقارير مباشرة من وحدات أعمال مختلفة. يمكنك استخدام إعدادات قاعدة بيانات البيئة لإزالة قيود وحدة العمل.

المديرينيجب أن يكونساميأووحدة الأعمالأسالتقارير

الافتراضي = صحيح

يمكنك تعيينها على خطأ، ولا يلزم أن تكون وحدة عمل المدير هي نفس وحدة عمل التقرير المباشر.

بالإضافة إلى نموذج الأمان الخاص بالتدرج الهرمي للإدارة، يجب أن يكون لدى المدير على الأقل امتياز القراءة على مستوى المستخدم في جدول، للاطلاع على بيانات التقارير. على سبيل المثال، إذا لم يتوفر لدى المدير الوصول إلى القراءة لجدول الحالة، فلا يمكن للمدير الاطلاع على الحالات التي يمكن للمرؤوسين الوصول إليها.

بالنسبة إلى مرؤوس غير مباشر في سلسلة الإدارة نفسها للمدير، يتوفر للمدير حق الوصول للقراءة فقط إلى بيانات المرؤوس غير المباشر. بالنسبة إلى مرؤوس مباشر، يكون لدى المدير حق الوصول للقراءة والكتابة والتحديث والإلحاق والإلحاق بـ للوصول إلى بيانات التقرير. لتوضيح نموذج الأمان الخاص بالتدرج الهرمي للإدارة، دعونا نلقي نظرةً على الرسم التخطيطي أدناه. يتسنى للمدير التنفيذي قراءة البيانات الخاصة بنائب مدير قسم المبيعات أو نائب مدير الخدمات أو تحديثها. ومع ذلك، يمكن للمدير التنفيذي فقط قراءة البيانات الخاصة بمدير قسم المبيعات وكذلك البيانات الخاصة بمدير الخدمات ناهيك عن بيانات قسمي المبيعات والدعم. بالإضافة إلى ذلك، يمكنك تقليل مقدار البيانات التي يمكن الوصول إليها من قبل المدير باستخدام العمق. يُستخدم العمق في الحد من عدد المستويات العميقة لدى المدير للوصول للقراءة فقط إلى بيانات التقارير الخاصة بهم. على سبيل المثال، إذا تم ضبط العمق على 2، فيتسنى للمدير التنفيذي الاطلاع على البيانات الخاصة بنائب مدير قسم المبيعات، ونائب مدير الخدمات والمبيعات، ومدراء الخدمات. ومع ذلك، لا يطلع المدير التنفيذي على البيانات الخاصة بقسم المبيعات أو بيانات الدعم.

لقطة شاشة توضح التدرج الهرمي للمدراء. يتضمن هذا التدرج الهرمي الرئيس التنفيذي، ونائب الرئيس للمبيعات، ونائب الرئيس للخدمة، ومديري المبيعات، ومديري الخدمات، والمبيعات، والدعم.

تجدر الإشارة إلى أنه إذا كان لدى أحد المرؤوسين المباشرين حق وصول إلى جدول يتميز بأمان أعمق مقارنة بمديره، فقد لا يتمكن المدير من رؤية جميع السجلات التي يمكن للمرؤوس المباشر الوصول إليها. يوضح المثال التالي هذه النقطة.

  • هناك ثلاثة مستخدمين في وحدة عمل واحدة: المستخدم 1 والمستخدم 2 والمستخدم 3.

  • المستخدم 2 عبارة عن تقرير مباشر للمستخدم 1.

  • لدى المستخدم 1 و3 حق الوصول للقراءة على مستوى المستخدم على جدول الحساب. يوفر مستوى الوصول هذا للمستخدمين الوصول إلى السجلات التي يملكها، والسجلات التي تمت مشاركتها مع المستخدم، والسجلات التي تم مشاركتها مع فريق التي يعد المستخدم عضوًا فيها.

  • لدى المستخدم 2 حق الوصول للقراءة على مستوى وحدة العمل على جدول الحساب. يتيح حق الوصول هذا للمستخدم 2 عرض جميع الحسابات لوحدة العمل، شاملةً جميع الحسابات المملوكة بواسطة المستخدم 1 والمستخدم 3.

  • لدى المستخدم 1، كمدير مباشر للمستخدم 2، حق الوصول إلى الحسابات التي يملكها المستخدم 2 أو يشارك فيها، بما في ذلك أي حسابات تملكها فرق أخرى للمستخدم 2 أو تشارك فيها. ومع ذلك، ليس لدى المستخدم 1 حق الوصول إلى حسابات المستخدم 3، على الرغم من إمكانية توفر حق الوصول إلى حسابات المستخدم 3 لدى المرؤوس المباشر.

التدرج الهرمي للمناصب

لا يستند التدرج الهرمي للمناصب إلى هيكل بنية المرؤوسين المباشرين، كما هو الحال في التدرج الهرمي للمدراء. لا يحتاج المستخدم إلى أن يكون مديرًا فعليًا لمستخدم آخر للوصول إلى بيانات المستخدم. وكمسؤول إداري، تحدد فرص عمل متنوعة في المؤسسة وستقوم بترتيبها في التدرج الهرمي للمناصب. بعد ذلك، تقوم بتعيين المستخدمين في أي منصب محدد أو، كما نقول أيضًا، تمييز المستخدم بمنصب معين. يمكن تعريف المستخدم بمنصب واحد فقط في التدرج الهرمي المحدد، ومع ذلك يمكن استخدام المنصب لمستخدمين متعددين. يكون لدى المستخدمين في المناصب الأعلى في التدرج الهرمي إمكانية الوصول إلى البيانات الخاصة بالمستخدمين في المناصب الأقل، في مسار الأصل المباشر. يكون لدى المناصب الأعلى مباشرةً إمكانية الوصول للقراءة والكتابة والتحديث والإلحاق والإلحاق بـ إلى البيانات الخاصة بالمناصب الأقل في مسار الأصل المباشر. أما بالنسبة إلى المناصب الأعلى غير المباشرة، فيكون لديها إمكانية الوصول للقراءة فقط إلى البيانات الخاصة بالمناصب الأقل في مسار الأصل المباشر.

لتوضيح مفهوم مسار الأصل المباشر، دعونا نلقي نظرةً على الرسم التخطيطي أدناه. يتوفر لدى منصب مدير قسم المبيعات إمكانية الوصول إلى البيانات الخاصة بقسم المبيعات، ومع ذلك لا يكون لديه الوصول إلى بيانات الدعم، والتي تكون في مسار أصل مختلف. وينطبق الشيء نفسه على منصب مدير الخدمات. لا يكون لديه إمكانية الوصول البيانات الخاصة بقسم المبيعات، والتي تكون في مسار المبيعات. كما هو الحال في التدرج الهرمي للإدارة، يمكنك الحد من مقدار البيانات التي يمكن للمناصب الأعلى الوصول إليها باستخدام العمق. يحد العمق من عدد المستويات العميقة التي تمكن المنصب الأعلى من الوصول للقراءة فقط إلى البيانات الخاصة بالمناصب الأقل في مسار الأصل المباشر. على سبيل المثال، إذا تم ضبط العمق على 3، فيتسنى لمنصب المدير التنفيذي الاطلاع على جميع البيانات من البيانات الخاصة بمناصب نائب مدير قسم المبيعات ونائب مدير الخدمات وحتى مناصب المبيعات والدعم.

لقطة شاشة توضح التدرج الهرمي للمناصب. يتضمن هذا التدرج الهرمي الرئيس التنفيذي، ونائب الرئيس للمبيعات، ونائب الرئيس للخدمة، ومديري المبيعات، ومديري الخدمات، والمبيعات، والدعم.

‏‫ملاحظة

باستخدام نموذج الأمان الخاص بالتدرج الهرمي للإدارة، يكون لدى المستخدم في المنصب الأعلى الوصول إلى السجلات المملوكة لمستخدم في منصب أقل أو للفريق الذي يكون المستخدم عضوًا فيه وكذلك السجلات التي تتم مشاركتها مباشرةً إلى المستخدم أو الفريق الذي يكون المستخدم عضوًا فيه.

بالإضافة إلى نموذج الأمان الخاص بالتدرج الهرمي للمناصب، يجب أن يكون لدى المستخدمين في المستوى الأعلى امتياز القراءة على الأقل على مستوى المستخدم على جدول للاطلاع على السجلات التي يتوفر لدى المستخدمين في المناصب الأقل رتبة حق الوصول إليها. على سبيل المثال، إذا كان المستخدم في مستوى أعلى ليس لديه الوصول للقراءة إلى جدول الحالة، فلن يتمكن من الاطلاع على الحالات التي يكون لدى المستخدم في المناصب الأقل رتبة حق الوصول إليها.

إعداد نموذج الأمان الخاص بالتدرج الهرمي

لإعداد أمان التدرج الهرمي، تأكد من حصولك على إذن مسؤول النظام لتحديث الإعداد.

يتم تعطيل نموذج الأمان الخاص بالتدرج الهرمي بشكل افتراضي. لتمكين أمان التدرج الهرمي، أكمل الخطوات التالية.

  1. حدد بيئة وانتقل إلى الإعدادات>‏‫المستخدمون + الأذونات‬>‏‫أمان التدرج الهرمي‬.

  2. ضمن نموذج التدرج الهرمي، حدد إما تمكين نموذج التدرج الهرمي للمديرين أو تمكين نموذج التدرج الهرمي للمناصب حسب متطلباتك.

    مهم

    لعمل أي تغييرات في أمان التدرج الهرمي، يجب أن يتوفر لديك تغيير إعدادات أمان التدرج الهرمي الامتياز.

    في منطقة إدارة الجدول الهرمي، يتم تمكين كافة جداول النظام لأمان التدرج الهرمي بشكل افتراضي، ولكن يمكنك استبعاد جداول انتقائية من التدرج الهرمي. لاستبعاد جداول معينة من نموذج التسلسل الهرمي، قم بإلغاء تحديد خانات الاختيار الخاصة بالجداول التي تريد استبعادها واحفظ تغييراتك.

    لقطة شاشة لصفحة أمان التدرج الهرمي في إعدادات البيئات.

  3. ضبط العمق على القيمة المطلوبة للحد من عدد المستويات العميقة لدى للمدير للوصول للقراءة فقط إلى البيانات الخاصة بالتقارير.

    على سبيل المثال، إذا كان العمق يساوي 2، فباستطاعة المدير الوصول فقط إلى حسابه وإلى حسابات المرؤوسين عمق مستويين. في المثال الخاص بنا، إذا قمت بتسجيل الدخول إلى تطبيقات مشاركة العميل بصفتك نائب مدير غير مسؤول للمبيعات، فلن ترى سوى الحسابات النشطة للمستخدمين كما هو موضح:

    لقطة شاشة توضح وصول القراءة لنائب رئيس المبيعات والمناصب الأخرى.

    ‏‫ملاحظة

    في حين أن أمان التدرج الهرمي يمنح نائب مدير قسم المبيعات إمكانية الوصول إلى السجلات في المستطيل الأحمر، ويمكن أن يتوفر وصول إضافي على أساس دور الأمان لدى نائب مدير قسم المبيعات.

  4. في قسم إدارة جدول التدرج الهرمي، يتم تمكين كل جداول النظام لأمان التدرج الهرمي، افتراضيًا. لاستبعاد جدول معين من نموذج التدرج الهرمي، قم بإلغاء تحديد علامة الاختيار الموجودة بجوار اسم الجدول واحفظ التغييرات.

    لقطة شاشة توضح مكان إعداد أمان التدرج الهرمي في إعدادات واجهة المستخدم الجديدة والحديثة.

    مهم

    • هذه ميزة إصدار أولي.
    • الهدف من ميزات المعاينة ليس الاستخدام في الإنتاج وقد يكون لها دالات مقيدة. تخضع هذه الميزات لشروط الاستخدام التكميلية، وهي متاحة قبل الإصدار الرسمي حتى يتمكن العملاء من الوصول المبكر وتقديم التعليقات.

إعداد التدرجات الهرمية للإدارة والمناصب

يتم إنشاء التدرج الهرمي للمديرين بسهولة عن طريق استخدام علاقة المدير في سجل مستخدم النظام. تستخدم (ParentsystemuserID) حقل البحث عن المدير لتحديد مدير المستخدم. إذا قمت بالفعل بإنشاء التدرج الهرمي للمناصب، فيمكنك تعريف المستخدم بمنصب معين في التدرج الهرمي للمناصب. في المثال التالي، يقوم مسؤول المبيعات بإبلاغ مدير قسم المبيعات في التدرج الهرمي للإدارة وكذلك يكون لديه منصب المبيعات في التدرج الهرمي للمناصب:

لقطة شاشة تعرض سجل مستخدم البائع.

لتعيين مستخدم في منصب معين في التدرج الهرمي للمناصب، استخدم حقل البحث الذي يسمى المنصب في نموذج سجل المستخدم.

مهم

لتعيين مستخدم في منصب معين أو لتغيير منصب المستخدم، يجب أن يكون لديك امتياز تعيين منصب للمستخدم.

لقطة شاشة توضح كيفية إضافة مستخدم إلى منصب في أمان التدرج الهرمي

لتغيير المنصب في نموذج سجل المستخدم، على شريط التنقل، اختر المزيد (…) واختر منصبًا مختلفًا.

تغيير المنصب في أمان التدرج الهرمي‬

لإنشاء تسلسل هرمي للمنصب:

  1. حدد بيئة وانتقل إلى الإعدادات>‏‫المستخدمون + الأذونات>‏‫المواضع‬.

    لكل منصب، وفر اسم المنصب، وصاحبه، ووصفه. قم بتعيين المستخدمين في هذا المنصب من خلال استخدام حقل البحث الذي يسمى المستخدمون في هذا المنصب. الصورة التالية هي مثال على التدرج الهرمي للمناصب مع المناصب النشطة.

    المناصب النشطة في أمان التدرج الهرمي‬

    يظهر في الصورة التالية مثال للمستخدمين الممكّنين مع مناصبهم المقابلة.

    لقطة شاشة توضح المستخدمين الممكّنين مع مناصبهم المعينة.

تضمين السجلات المملوكة بواسطة مرؤوس مباشر مع حالة المستخدم المعطل أو استبعادها

يمكن للمديرين الاطلاع على سجلات المرؤوسين المباشرين المعطلة للبيئات التي تم فيها تمكين أمان التدرج الهرمي بعد 31 يناير 2024. وبالنسبة للبيئات الأخرى، لا يتم تضمين سجلات المرؤوسين المباشرين المعطلة في طريقة عرض المدير.

لتضمين سجلات المرؤوسين المباشرين المعطلة:

  1. قم بتثبيت الأداة OrganizationSettingsEditor.
  2. قم بتحديث الإعداد AuthorizationEnableHSMForDisabledUsers إلى صواب.
  3. قم بتعطيل تصميم التدرج الهرمي.
  4. أعد تمكينه مرة أخرى.

لاستبعاد سجلات المرؤوسين المباشرين المعطلة:

  1. قم بتثبيت الأداة OrganizationSettingsEditor.
  2. قم بتحديث الإعداد AuthorizationEnableHSMForDisabledUsers إلى خطأ.
  3. قم بتعطيل تصميم التدرج الهرمي.
  4. أعد تمكينه مرة أخرى.

‏‫ملاحظة

  • عند تعطيل وإعادة تمكين تصميم التدرج الهرمي، يمكن أن يستغرق التحديث بعض الوقت، حيث يحتاج النظام إلى إعادة حساب الوصول إلى سجل المدير.
  • إذا رأيت المهلة، فقم بتقليل عدد الجداول ضمن قائمة إدارة الجداول الهرمية لتشمل فقط الجداول التي يجب عرضها بواسطة المدير. في حالة استمرار المهلة، عليك إرسال تذكرة دعم لطلب المساعدة.
  • يتم تضمين سجلات المرؤوسين المباشرين المعطلة في حالة مشاركة هذه السجلات مع مرؤوس مباشر آخر نشط. يمكنك استبعاد هذه السجلات بإزالة المشاركة.

الاعتبارات الخاصة بالأداء

لرفع مستوى الأداء، نوصي بالآتي:

  • حافظ على أمان التدرج الهرمي الفعال لـ 50 مستخدم أو أقل تحت منصب أو المدير. قد يتضمن التدرج الهرمي لديك أكثر من 50 مستخدمًا تحت مدير أو منصب، ولكنه يمكنك استخدام إعداد العمق لتقليل عدد المستويات المخصصة للوصول للقراءة فقط وبذلك تقليل العدد الفعلي للمستخدمين تحت مدير أو منصب إلى 50 مستخدمًا أو أقل.

  • استخدام نماذج الأمان ذات التدرج الهرمي مع نماذج الأمان الموجودة الأخرى للسيناريوهات الأكثر تعقيداً. تجنب إنشاء عدد كبير من وحدات الأعمال، بدلًا من ذلك، قم بإنشاء وحدات أعمال أقل وإضافة أمان التدرج الهرمي.

(راجع أيضًا )

الأمن في Microsoft Dataverse
الاستعلام عن البيانات الهرمية وتصورها