Споделяне чрез

Защита на йерархията за контрол на достъпа

  • Статия

Моделът за защита на йерархията е разширение на съществуващите модели на защита, които използват бизнес единици, права за достъп, споделяне и екипи. Може да се използва с всички други съществуващи модели за сигурност. Йерархичната защита предлага по-подробен достъп до записите за организацията и помага за намаляване на разходите за поддръжка.

Например в сложни сценарии можете да започнете със създаването на няколко бизнес единици и след това да добавите защита на йерархията. Тази допълнителна сигурност осигурява по-подробен достъп до данни с много по-малко разходи за поддръжка, които може да изискват голям брой бизнес единици.

Модели за сигурност на йерархията на мениджърите и йерархията на позициите

За йерархиите могат да се използват два модела на сигурност, йерархията на мениджърите и йерархията на позициите. В йерархията на мениджъра мениджърът трябва да е в рамките на същата бизнес единица като отчета или в родителската бизнес единица на бизнес единицата на отчета, за да има достъп до данните на отчета. Йерархията на позиция позволява достъп до данни между бизнес единици. Ако сте финансова организация, може да предпочетете модела на йерархията на мениджърите, за да предотвратите достъпа на мениджърите до данни извън техните бизнес звена. Ако обаче сте част от организация за обслужване на клиенти и искате мениджърите да имат достъп до случаите на обслужване, обработвани в различни бизнес звена, йерархията на позициите може да работи по-добре за вас.

Бележка

Докато моделът на защита на йерархията осигурява определено ниво на достъп до данни, допълнителен достъп може да бъде получен чрез използване на други форми на защита, като например права за достъп.

Йерархия на мениджър

Моделът за сигурност на йерархията на мениджъра се основава на веригата за управление или структурата на директното отчитане, където връзката между мениджъра и отчета се установява с помощта на полето Мениджър в таблицата на системния потребител. С този модел на сигурност мениджърите имат достъп до данните, до които техните отчети имат достъп. Те могат да извършват работа от името на своите преки подчинени или да имат достъп до информация, която се нуждае от одобрение.

Бележка

С модела на защита на йерархията на мениджъра мениджърът има достъп до записите, притежавани от потребителя или от екипа, на който потребителят е член, както и до записите, които се споделят директно с потребителя или екипа, на който потребителят е член. Когато даден запис се споделя от потребител, който е извън веригата за управление, с потребител на директен отчет с достъп само за четене, ръководителят на директния отчет има достъп само само за четене до споделения запис.

Когато сте активирали опцията Собственост на запис между бизнес единици , мениджърите могат да имат директни отчети от различни бизнес звена. Можете да използвате следните настройки на базата данни на средата за премахване на ограничението за бизнес единица.

МениджъриMustBeInSameOrParentBusinessUnitAsReports

по подразбиране = вярно

Можете да го зададете на false и не е необходимо бизнес единицата на ръководителя да е същата като бизнес единицата на прекия подчинен.

В допълнение към модела на защита на йерархията на мениджъра, мениджърът трябва да има поне привилегията за четене на потребителско ниво в таблица, за да вижда данните в отчетите. Ако например мениджър няма достъп за четене до таблицата "Случаи", той не може да вижда случаите, до които отчетите му имат достъп.

За непряк отчет в същата верига на управление на мениджъра мениджърът има достъп само за четене до данните на непрекия отчет. За директен отчет мениджърът има достъп до данните на отчета за четене, писане, добавяне. За да илюстрираме модела за защита на йерархията на мениджъра, нека да разгледаме следната диаграма. Изпълнителният директор може да чете или актуализира данните на вицепрезидента по продажбите и данните на вицепрезидента по услугите. Главният изпълнителен директор обаче може да чете само данните на мениджъра по продажбите и данните на мениджъра на услугите, както и данните за продажбите и поддръжката. Можете допълнително да ограничите количеството данни, достъпни за мениджър с дълбочина. Дълбочината се използва, за да се ограничи колко нива на дълбочина мениджърът има достъп само за четене до данните от своите отчети. Например, ако дълбочината е зададена на 2, главният изпълнителен директор може да види данните на вицепрезидента по продажбите, вицепрезидента по обслужването и мениджърите по продажбите и обслужването. Главният изпълнителен директор обаче не вижда данните за продажбите или данните за поддръжката.

Екранна снимка, която показва йерархията на мениджъра. Тази йерархия включва главен изпълнителен директор, вицепрезидент по продажбите, вицепрезидент по обслужване, мениджъри по продажбите, мениджъри по обслужване, продажби и поддръжка.

Важно е да се отбележи, че ако прекият подчинен има по-задълбочен достъп до дадена таблица от своя мениджър, мениджърът може да не може да види всички записи, до които директният подчинен има достъп. Следващият пример илюстрира тази точка.

  • Една бизнес единица има трима потребители: Потребител 1, Потребител 2 и Потребител 3.

  • Потребител 2 е директен отчет на потребител 1.

  • Потребител 1 и Потребител 3 имат достъп за четене на потребителско ниво в таблицата Акаунт. Това ниво на достъп дава на потребителите достъп до притежавани от тях записи, споделени с потребителя записи и записи, които са споделени с екипа, на който потребителят е член.

  • Потребител 2 има достъп за четене на бизнес единици в таблицата Акаунт. Този достъп позволява на Потребител 2 да преглежда всички акаунти за бизнес единицата, включително всички акаунти, собственост на Потребител 1 и Потребител 3.

  • Потребител 1, като пряк мениджър на Потребител 2, има достъп до акаунтите, притежавани или споделени с Потребител 2, включително акаунти, споделени с или притежавани от други екипи на Потребител 2. Потребител 1 обаче няма достъп до акаунтите на Потребител 3, въпреки че неговият пряк подчинен може да има достъп до акаунтите на Потребител 3.

Йерархия на позиция

Йерархията на позициите не се основава на структурата на прякото отчитане, като йерархията на мениджъра. Не е нужно потребителят да е действителен мениджър на друг потребител за достъп до данните на потребителя. Като администратор вие определяте различни длъжностни позиции в организацията и ги подреждате в йерархията на позициите. След това добавяте потребители към дадена позиция или, както още казваме, маркирате потребител с определена позиция. Потребителите могат да бъдат маркирани само с една позиция в дадена йерархия, но дадената позиция може да се използва за множество потребители. Потребителите на по-високи позиции в йерархията имат достъп до данните на потребителите на по-ниски позиции в пътя на пряк предшественик. Директните по-високи позиции позволяват достъп за „Четене“, „Писане“, „Добавяне“ и „Добавяне към“ до данните на по-ниските позиции в пътя на пряк предшественик. Непреките по-високи позиции имат достъп само за четене до данните на по-ниските позиции в пътя на прекия предшественик.

За да илюстрираме концепцията за пътя на прекия предшественик, нека разгледаме следната диаграма. Позицията мениджър продажби има достъп до данните за продажбите, но няма достъп до данните за поддръжка, които са в другия път на предшественика. Същото важи и за позицията на сервизен мениджър. Той няма достъп до данните за продажбите, които са в пътя на продажбите. Както в йерархията на мениджърите, можете да ограничите количеството данни, достъпни за по-високи позиции с дълбочина. Дълбочината ограничава колко нива на дълбочина има достъп само за четене до данните за по-ниските позиции в пътя на прекия предшественик. Например, ако дълбочината е зададена на 3, позицията на главен изпълнителен директор може да вижда данните по целия път от позициите на вицепрезидент по продажбите и вицепрезидент по обслужването до позициите за продажби и поддръжка.

Екранна снимка, която показва йерархията на позициите. Тази йерархия включва главен изпълнителен директор, вицепрезидент по продажбите, вицепрезидент по обслужване, мениджъри по продажбите, мениджъри по обслужване, продажби и поддръжка.

Бележка

Със защитата на йерархията на позициите потребителят на по-висока позиция има достъп до записите, притежавани от потребител с по-ниска позиция или от екипа, на който потребителят е член, както и до записите, които се споделят директно с потребителя или екипа, на който потребителят е член.

В допълнение към модела за защита на йерархията на позициите, потребителите на по-високо ниво трябва да имат поне привилегията за четене на потребителско ниво в таблица, за да видят записите, до които потребителите на по-ниските позиции имат достъп. Ако например потребител на по-високо ниво няма достъп за четене до таблицата "Случаи", той няма да може да вижда случаите, до които имат достъп потребителите на по-ниски позиции.

Настройване на защита на йерархия

За да настроите йерархична защита, се уверете, че имате разрешение на системния администратор за актуализиране на настройката.

Защитата на йерархията е забранена по подразбиране. За да разрешите йерархичната защита, изпълнете следните стъпки.

  1. Изберете среда и отидете на Настройки>Потребители + разрешения>Йерархична защита.

  2. Под Йерархичен модел изберете Разрешаване на модел на йерархия на мениджъра или Разрешаване на модел на йерархия на позиции в зависимост от вашите изисквания.

    Важно

    За да направите промени в Защита на йерархията, трябва да имате привилегията Промяна на настройките за защита на йерархията.

    В областта Управление на йерархични таблици всички системни таблици са разрешени за йерархична защита по подразбиране, но можете да изключите селективни таблици от йерархията. За да изключите конкретни таблици от йерархичния модел, изчистете отметките от квадратчетата за таблиците, които искате да изключите, и запишете промените.

    Екранна снимка на страницата

  3. Задайте Дълбочина на желаната стойност, за да ограничите колко нива на дълбочина мениджърът има достъп само за четене до данните от своите отчети.

    Например, ако дълбочината е равна на 2, мениджърът има достъп само до собствените си акаунти и сметките на отчетите на две нива дълбочина. В нашия пример, ако влезете в приложенията за ангажиране на клиенти като вицепрезидент по продажбите, който не е администратор, ще видите само активните акаунти на потребителите, както е показано:

    Екранна снимка, която показва достъп за четене за вицепрезидент по продажбите и други позиции.

    Бележка

    Докато защитата на йерархията предоставя на вицепрезидента по продажбите достъп до записите в червения правоъгълник, допълнителен достъп може да бъде наличен въз основа на правата за достъп, които има вицепрезидента по продажбите.

  4. В секцията Управление на йерархични таблици всички системни таблици са разрешени за йерархична защита по подразбиране. За да изключите конкретна таблица от йерархичния модел, изчистете отметката до името на таблицата и запишете промените.

    Екранна снимка, която показва къде да настроите йерархичната защита в настройките на новия, модерен потребителски интерфейс.

    Важно

    • Това е функция за предварителен преглед.
    • Функциите на етап преглед не са предназначени за производствена употреба и може да са с ограничени възможности. Тези функции са предмет на допълнителни условия за ползване и са налични преди официалното издание, така че клиентите да могат да получат ранен достъп и да предоставят обратна връзка.

Настройване на йерархии на мениджъри и позиции

Йерархията на мениджъра се създава лесно с помощта на мениджърската релация в системния потребителски запис. Можете да използвате справочното полето „Мениджър“ (ParentsystemuserID), за да укажете мениджъра на потребителя. Ако сте създали йерархията на позициите, можете също да маркирате потребителя с определена позиция в йерархията на позициите. В следващия пример продавачът докладва на мениджъра по продажбите в йерархията на мениджъра и също така има позицията на продажбите в йерархията на позициите:

Екранна снимка, която показва потребителски запис на продавач.

За да добавите потребител към определена позиция в йерархията на позициите, използвайте справочното поле, наречено Позиция във формуляра на потребителския запис.

Важно

За да добавите потребител към позиция или да промените позицията на потребителя, трябва да имате привилегията Присвояване на позиция за потребител.

Екранна снимка, която показва как да добавите потребител към позиция в йерархичната защита

За да промените позицията във формуляра на потребителския запис, в навигационната лента изберете Още (...) и изберете друга позиция.

Промяна на позиция в йерархична защита

За да създадете йерархия на позициите:

  1. Изберете среда и отидете на Настройки>Потребители + разрешения>Позиции.

    За всяка позиция предоставете името на позицията, родителя на позицията и описанието. Добавете потребители към тази позиция чрез справочно поле, наречено Потребители на посочената позиция. Следващото изображение е пример за йерархия на позициите с активните позиции.

    Активни позиции в йерархична защита

    Примерът на активираните потребители със съответните им позиции е показан на следващото изображение.

    Екранна снимка, която показва активирани потребители със зададени позиции.

Включване или изключване на записи, притежавани от директен отчет, със състоянието на деактивиран потребител

Мениджърите могат да видят записите на своя директен отчет за състоянието за среди, в които йерархичната защита е активирана след 31 януари 2024 г. За други среди записите на деактивирания отчет за директно състояние не са включени в изгледа на мениджъра.

За да включите записите на директния отчет за състоянието на деактивирано:

  1. Инсталирайте инструмента OrganizationSettingsEditor.
  2. Актуализирайте настройката AuthorizationEnableHSMForDisabledUsers на true.
  3. Деактивирайте моделирането на йерархията.
  4. Активирайте го отново.

За да изключите записите на директен отчет за състоянието на деактивирано:

  1. Инсталирайте инструмента OrganizationSettingsEditor.
  2. Актуализирайте настройката AuthorizationEnableHSMForDisabledUsers на false.
  3. Деактивирайте моделирането на йерархията.
  4. Активирайте го отново.

Бележка

  • Когато деактивирате и разрешите отново йерархичното моделиране, актуализацията може да отнеме време, тъй като системата трябва да преизчисли достъпа до записи на мениджъра.
  • Ако видите време за изчакване, намалете броя на таблиците в списъка Управление на таблици на йерархията, за да включите само таблици, които трябва да бъдат прегледани от мениджъра. Ако времето за изчакване продължава, изпратете билет за поддръжка, за да поискате помощ.
  • Записите на прекия отчет за деактивирано състояние се включват, ако тези записи се споделят с друг директен отчет, който е активен. Можете да изключите тези записи, като премахнете споделянето .

Съображенията за производителност

За да се увеличи производителността, препоръчваме:

  • Поддържайте ефективната йерархична сигурност до 50 потребители или по-малко под ръководител или позиция. Йерархията Ви може да има повече от 50 потребители под ръководител или позиция, но можете да използвате настройката Дълбочина , за да намалите броя на нивата за достъп само за четене и с това да ограничите ефективния брой потребители под ръководител или позиция до 50 или по-малко.

  • Използвайте йерархични модели за защита с други съществуващи модели на защита за по-сложни сценарии. Избягвайте да създавате голям брой бизнес единици, като вместо това създайте по-малко на брой бизнес единици и добавете защита на йерархията.

Вижте също

Сигурност в Microsoft Dataverse
Заявка и визуализиране на йерархични данни