Freigeben über


So kann die rollenbasierte Sicherheit verwendet werden, um den Zugriff auf Entitäten zu steuern

In Dynamics 365 Customer Engagement (on-premises) besteht das fundamentale Konzept bei rollenbasierter Sicherheit darin, dass eine Rolle Rechte enthält, die ein Satz von Aktionen definiert, die innerhalb der Organisation ausgeführt werden können. Der Rolle "Vertriebsmitarbeiter" wird beispielsweise ein Satz von Rechten zugewiesen, die für die Ausführung von Aufgaben, die für diese Rolle definiert werden, relevant sind. Alle Benutzer müssen mindestens einer vordefinierten oder benutzerdefinierten Rolle zugewiesen werden. In Dynamics 365 Customer Engagement (on-premises) können Rollen auch Teams zugewiesen werden. Wenn ein Benutzer oder Teams einer dieser Rollen zugewiesen wird, werden der Person oder den Teammitgliedern die Sätze von Rechten zugewiesen, die dieser Rolle zugeordnet sind. Ein Benutzer muss mindestens einer Rolle zugewiesen sein.

Ein Recht autorisiert den Benutzer dazu, eine spezifische Aktion bei einem spezifischen Entitätstyp auszuführen. Berechtigungen gelten für eine gesamte Klasse von Objekten, statt nur für einzelne Instanzen von Objekten. Verfügt ein Benutzer beispielsweise nicht über die Berechtigung zum Lesen von Konten, wird jeder Versuch dieses Benutzer, ein Konto zu lesen, fehlschlagen. Ein Recht enthält eine Zugriffsebene, die die Ebenen innerhalb der Organisation festlegt, für die ein Recht gilt. Jedes Recht kann über bis zu vier Zugriffsebenen verfügen, Basis, Lokal, Tief und Global.

Rollen

Dynamics 365 Customer Engagement (on-premises) enthält vierzehn vordefinierte Rollen, die allgemeine Benutzerrollen mit Zugriffsebenen widerspiegeln, die dazu definiert sind, beim Bereitstellen von Zugriff auf die Mindestmenge von Geschäftsdaten, die für den Auftrag erforderlich sind, dem Ziel der bewährten Methoden bei der Sicherheit zu entsprechen. Mit diesen Rollen können Sie schnell ein Dynamics 365 Customer Engagement (on-premises)-System bereitstellen, ohne Ihre eigenen Rollen definieren zu müssen. Sie können jedoch auch benutzerdefinierte Rollen mithilfe von vordefinierten Rollen als Vorlage erstellen, oder Sie können einen neuen Satz von Rollen definieren. Eine Liste finden Sie unter Liste von vordefinierten Sicherheitsrollen.

Jeder Rolle ist ein Satz von Rechten zugeordnet, die den Zugriff des Benutzers oder Teams auf Informationen innerhalb des Unternehmens bestimmen.

Sie können Rollen innerhalb von Dynamics 365 Customer Engagement (on-premises) erstellen und diese benutzerdefinierten Rollen ändern oder entfernen, um Sie an Ihre Geschäftsanforderungen anzupassen. Die Rollen, die Sie für die Unternehmenseinheit erstellen, werden von allen Unternehmenseinheiten in der Hierarchie geerbt.

Sie können einem Benutzer oder einem Team eine oder mehrere Rollen zuweisen. Beispielsweise kann ein Benutzer die Vertriebsmanagerrolle zusätzlich zu der eines Kundenservicemitarbeiters haben, in diesem Fall besitzt dieser Benutzer alle Rechte beider Rollen.

Sie können können Rechte nicht auf der Benutzerebene ändern, aber Sie können eine neue Rolle mit den gewünschten Rechten erstellen. Erwin erhält beispielsweise eine Vertriebsmitarbeiterrolle. Diese erfordert, dass alle zugewiesenen Leads angenommen werden. Allerdings möchte der Administrator, dass John dazu in der Lage ist, ihm zugewiesene Leads neu zuzuweisen. Deshalb muss entweder der Administrator die Rolle "Vertriebsmitarbeiter" ändern, um dieses zuzulassen, oder er muss eine neue Rolle erstellen, die dieses spezifische Recht enthält, und dann Erwin dieser Rolle hinzufügen. Das Erstellen einer neuen Rolle ist die empfohlene Option, es sei denn, Sie halten es für nötig, dass alle Benutzer, der die Vertriebsmitarbeiterrolle zugewiesen wurde, jetzt über dieses zusätzliche Recht verfügen.

Berechtigungen

In Dynamics 365 Customer Engagement (on-premises) gibt es über 580 Rechte, die beim Setup systemweit vordefiniert werden. Ein Recht ist eine Berechtigung, eine Aktion in Dynamics 365 Customer Engagement (on-premises) auszuführen. Einige Rechte gelten allgemein und manche für einen spezifischen Entitätstyp.

Dynamics 365 Customer Engagement (on-premises) verwendet Rechte als Kern der zugrunde liegenden Sicherheitsüberprüfung. Rechte sind im Produkt „integriert“ und werden überall in der Anwendung und den Plattformebenen verwendet. Sie können keine Rechte hinzufügen oder entfernen oder ändern, wie Rechte verwendet werden, um Zugriff auf bestimmte Funktionen zu gewähren, aber Sie können neue Rollen aus dem vorhandenen Rechtesatz erstellen.

Jede Rolle definiert einen Satz von Rechten, der den Zugriff des Benutzers oder Teams auf Informationen innerhalb des Unternehmens bestimmt. Die Plattform überprüft das Recht und lehnt den Vorgang ab, wenn der Benutzer nicht das notwendige Recht hat. Ein Recht ist mit einer Tiefe oder Zugriffsebene kombiniert.

Zum Beispiel kann die Vertriebsmitarbeiterrolle die Rechte Read Account mit Basic-Zugriff und Write Account mit Basic-Zugriff enthalten, wohingegen die Rechte der Vertriebsmanagerrolle möglicherweise Rechte wie Read Account mit Local-Zugriff und Assign Contact mit Local-Zugriff enthält.

Die meisten Entitäten verfügen über einen Satz von möglichen Rechten, die einer Rolle hinzugefügt werden können, die den verschiedenen Aktionen entsprechen, die Sie an den Datensätzen dieser Entitätszeit ausführen können.

Jede Aktion im System und jede Message, die in der SDK-Dokumentation beschrieben ist, erfordert das Ausführen von einem oder mehreren Rechten.

Zugriffsebenen

Die Zugriffsebenen- oder Rechtstiefe für ein Recht bestimmt für einen bestimmten Entitätstyp, auf welchen Ebenen innerhalb der Organisationshierarchie ein Benutzer an diesem Typ der Entität Aktionen ausführen kann.

Die folgende Tabelle führt die Zugriffsebenen in Dynamics 365 Customer Engagement (on-premises) auf, beginnend mit dem meisten Zugriff. Das Symbol wird im Sicherheitsrolleneditor in der Webanwendung angezeigt.

Zugriffsebene Beschreibung
Zugriffsebene „global“ Global. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf alle Datensätze innerhalb der Organisation, unabhängig davon, welcher hierarchischen Ebene der Unternehmenseinheit die Instanz oder der Benutzer zugeordnet ist. Benutzer mit Zugriff „Global“ haben automatisch auch den Zugriff „Tief“, „Lokal“ und „Basis“.

Da diese Zugriffsebene den Zugriff auf Informationen in der gesamten Organisation ermöglicht, sollte sie auf den Datensicherheitsplan der Organisation beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die eine Autorität in der Organisation besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Organisation.
Zugriffsebene Tief. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers und auf alle Konzernmandanten, die dem Konzernmandanten des Benutzers untergeordnet sind.

Benutzer mit Deep-Zugriff haben automatisch auch Local- und Basic-Zugriff.

Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten und in untergeordneten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die in den Konzernmandanten Autorität besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Übergeordnet: Untergeordnete Konzernmandanten.
Zugriffsebene „lokal“ Lokal. Diese Zugriffsebene ermöglicht einem Benutzer den Zugriff auf Datensätze im Konzernmandanten des Benutzers.

Benutzer mit Local-Zugriff haben automatisch auch Basic-Zugriff.

Da diese Zugriffsebene den Zugriff auf Informationen im gesamten Konzernmandanten ermöglicht, sollte sie auf den Datensicherheitsplan des Unternehmens beschränkt werden. Diese Zugriffsebene ist normalerweise Managern vorbehalten, die Autorität im Konzernmandanten besitzen.

Die Anwendung bezieht sich auf diese Zugriffsebene als Konzernmandant.
Zugriffsebene „Basis“ Basic.

Diese Zugriffsebene gewährt einem Benutzer Zugriff auf Datensätze, deren Besitzer er ist, sowie Objekte, die für den Benutzer selbst oder für ein Team freigegeben sind, deren Mitglied er ist.

Dies ist die typische Zugriffsebene für Vertriebs- und Servicemitarbeiter.

Die Anwendung bezieht sich auf diese Zugriffsebene als Benutzer.
Zugriffsebene „keine“ Keine: Kein Zugriff ist erlaubt.

Alles zusammenfügen

  • Wenn ein Benutzer das Recht Deep Read Account hat, kann der Benutzer alle Konten in seiner Unternehmenseinheit sowie alle Konten in jeder untergeordneten Unternehmenseinheit dieser Unternehmenseinheit lesen.

  • Wenn ein Benutzer Local Read Account-Rechte hat, kann dieser Benutzer alle Konten in der lokalen Unternehmenseinheit lesen.

  • Wenn einem Benutzer die Berechtigung Basic Read Account zugewiesen ist, kann der Benutzer nur Konten lesen, die er oder sie besitzt oder die Konten, die für ihn oder sie freigegeben sind.

  • Ein Kundenservicemitarbeiter mit dem Recht Basic Read Account kann Konten anzeigen, die er oder sie besitzt, sowie alle Konten, die ein anderer Benutzer für diesen Benutzer freigegeben hat. Auf diese Weise ist es möglich, dass der Kundenservicemitarbeiter die Kontendaten liest, die für eine Serviceanfrage relevant ist, diese Daten aber nicht ändern kann.

  • Ein Datenanalyst mit dem Recht Local Read Account kann Kontendaten anzeigen und kontenbezogene Berichte für alle Konten in seiner Unternehmenseinheit ausführen.

  • Ein Finanzabteilungsmitarbeiter für das Unternehmen mit dem Recht Deep Read Account kann Kontendaten anzeigen und kontenbezogene Berichte für alle Konten in seiner Unternehmenseinheit sowie Konten in jeder untergeordneten Geschäftseinheit ausführen.

Liste der vordefinierten Sicherheitsrollen

In der folgenden Tabelle wird ein vordefinierter Satz von Rollen aufgeführt, die enthalten sind.

Rolle Beschreibung
Vorstandsvorsitzender Ein Benutzer, der die Organisation auf der Unternehmensebene verwaltet.
Kundenservicemanager Ein Benutzer, der Kundenserviceaktivitäten auf lokaler Ebene oder Teamebene verwaltet.
Kundenservicemitarbeiter Ein Kundenservicemitarbeiter auf einer beliebigen Ebene.
Stellvertretung Ein Benutzer, der im Auftrag eines anderen Benutzers handeln darf.
Marketingmanager Ein Benutzer, der Marketingaktivitäten auf lokaler Ebene oder Teamebene verwaltet.
Marketingspezialist Ein Benutzer, der Marketingaktivitäten auf allen Ebenen ausführt.
Vertriebsmanager Ein Benutzer, der Vertriebsaktivitäten auf lokaler Ebene oder Teamebene verwaltet.
Vertriebsmitarbeiter Ein Vertriebsmitarbeiter auf einer beliebigen Ebene.
Zeitplanmanager Ein Benutzer, der Termine für Services plant.
Planer Ein Benutzer, der Services, erforderliche Ressourcen und Arbeitszeiten verwaltet.
Supportbenutzer Ein Benutzer, der ein Kundensupporttechniker ist.
Systemadministrator Ein Benutzer, der den Prozess auf jeder Ebene definiert und implementiert.
Systemanpasser Ein Benutzer, der Dynamics 365 for Customer Engagement Entitäten, Attribute, Beziehungen und Formulare anpasst.
Marketingleiter Ein Benutzer, der Marketingaktivitäten auf der Ebene der Unternehmenseinheit verwaltet.
Vertriebsleiter Ein Benutzer, der die Vertriebsorganisation auf der Ebene der Unternehmenseinheit verwaltet.

Siehe auch

Das Sicherheitsmodell von Microsoft Dynamics 365 Customer Engagement (on-premises)
Rechte- und Rollenentitäten
Verwenden von Datensatz-basierter Sicherheit zum Steuern des Zugriffs auf Datensätze
Wie Feldsicherheit verwendet werden kann, um Zugriff auf Feldwerte zu steuern in Microsoft Dynamics 365 Customer Engagement (on-premises)