Verwenden von Zugriffsteams und Besitzersteams, um zusammenzuarbeiten und Informationen zu teilen
Mit Besitzersteams oder Zugriffsteams können Sie Geschäftsobjekte leicht freigeben und über Unternehmenseinheiten hinweg mit Benutzern in Dynamics 365 Customer Engagement (on-premises) zusammenarbeiten. Ein Team gehört zu einer Unternehmenseinheit, aber es kann Benutzer von anderen Unternehmenseinheiten enthalten. Ein Benutzer kann mehr als einem Team zugewiesen werden.
Ein Besitzerteam besitzt Datensätze und ihm sind Sicherheitsrollen zugewiesen. Die Berechtigungen eines Teams werden durch diese Sicherheitsrollen definiert. Zusätzlich zu den Berechtigungen, die das Team bereitgestellt werden, verfügen Teammitglieder über die Berechtigungen, die durch die ihre individuellen Sicherheitsrollen und durch die Rollen aus den anderen Teams, in denen sie Mitglieder sind, bestimmt werden. Ein Team hat volle Zugriffsrechte auf die Datensätze, die das Team besitzt.
Notiz
Während Teams Zugang zu einer Benutzergruppe bieten, müssen Sie einzelne Benutzer immer noch mit Sicherheitsrollen verknüpfen, wodurch die Rechte gewährt werden, die sie benötigen, um benutzereigene Datensätze zu erstellen, zu aktualisieren oder zu löschen. Diese Rechte können nicht angewendet werden, indem man Sicherheitsrollen einem Team zuweist und dann den Benutzer diesem Team hinzufügt.
Ein Zugriffsteam besitzt keine Datensätze und ihm sind keine Sicherheitsrollen zugewiesen. Die Berechtigungen der Teammitglieder werden durch ihre individuellen Sicherheitsrollen und die Rollen der Teams, deren Mitglieder sie sind, bestimmt. Die Datensätze werden für ein Zugriffsteam freigegeben und dem Team werden Zugriffsrechte auf die Datensätze, wie Lesen, Schreiben oder Anfügen gewährt.
Die Teamfunktionalität wird von der Team-Entität und der TeamTemplate-Entität unterstützt. Die Entität Team wird verwendet, um Besitzerteams und vom Benutzer erstellte Zugriffsteams zu erstellen. Für automatisch erstellte Zugriffsteams wird die Entität TeamTemplate und die Entität Team verwendet.
Besitzerteam oder Zugriffsteam?
Die Auswahl des Teamtyps hängt vom den Zielen, der Art des Projekts oder auch von der Größe Ihrer Organisation ab. Es gibt einige Richtlinien, die Sie verwenden können, um den richtigen Teamtyp auszuwählen.
Wann Sie Besitzersteams verwenden sollten
Tabellendatensätze müssen einer Gruppe von Benutzern gehören und nicht nur einer Einzelperson.
Die Anzahl der Teams ist bekannt, wenn Ihr Dynamics 365 Customer Engagement (on-premises)-System eingerichtet wird.
Tägliche Berichte zum Fortschritt der Besitzerteams sind erforderlich.
Wann Sie Zugriffsteams verwenden sollten
Die Teams werden dynamisch gebildet und aufgelöst. Dies geschieht typischerweise dann, wenn keine klaren Kriterien für die Bildung der Teams existieren, wie etwa ein bestimmtes Territorium, Produkt oder Volumen.
Die Anzahl der Teams ist beim Entwurf Ihres Dynamics 365 Customer Engagement (on-premises)-Systems nicht bekannt.
Die Teammitglieder benötigen unterschiedliche Zugriffsrechte zu den Datensätzen. Sie können einen Datensatz für verschiedene Zugriffsteams freigeben, wobei jedes Team unterschiedliche Zugriffsrechte für den Datensatz vergibt. Beispielsweise wird das Lesezugriffsrecht einem Team auf dem Account erteilt und einem anderen Team Lese-, Schreib- und Freigaberechte für den gleichen Account.
Ein eindeutiger Satz von Benutzern benötigt Zugriff auf einen bestimmten Datensatz, ohne diesen zu besitzen.
Notiz
Eine weitere Art "Zugriffsteam" wird durch die Zugriffsteamvorlagen behandelt, die von der Webanwendung verwendet werden. Dies ist der Typ des Teams, der sich häufig ändert, wie ein bestimmtes Vertriebsteam eines Firmendatensatzes. Wenn ein Benutzer einem Vertriebsteam in einer Firma hinzugefügt wird, erstellt die Webanwendung im Hintergrund ein Team, das für diesen Datensatz spezifisch ist, und fügt den Benutzer zu diesem hinzu.
Diese Art des Zugriffsteams wird im vorliegenden Thema nicht abgedeckt.
Installieren von Teams
Zusätzlich zu den Besitzer- und Zugriffsteamtypen werden die Zugriffsteams weiter in vom Benutzer erstellte und automatisch erstellte Teams (System-verwaltete) Teams unterteilt. Die Setupinformationen sind für jeden Teamtyp spezifisch.
Besitzerteam
Ein Besitzerteam kann mehrere Datensätze in einer oder mehreren Tabellen besitzen. Um ein Besitzerteam zu erstellen, verwenden Sie die Team-Entität und legen Sie das Attribut Team.TeamType zu Owner fest. Eine Liste der TeamType-Werte finden Sie in den Team-Entitätsmetadaten.
Notiz
Zum Anzeigen der Entitätsmetadaten für Ihre Organisation installieren Sie die Metadatenbrowserlösung, die in Durchsuchen der Metadaten für Ihre Organisation beschrieben ist. Sie können die Referenzdokumentation für Entitäten auch in der Entitätsreferenz durchsuchen.
Um ein Team zum Besitzer eines Datensatzes zu machen, müssen Sie ihm einen Datensatz zuweisen. Verwenden Sie zum Zuweisen die AssignRequest-Nachricht. Zum Zuweisen von Datensätzen zu einem Besitzersteam in einem Massenvorgang, verwenden Sie die Nachricht ReassignObjectsOwnerRequest oder die Nachricht ReassignObjectsSystemUserRequest.
Bei einem Datensatz, bei dem das Team als Besitzer fungiert, muss die OwnershipType-Eigenschaft zu OwnershipTypes.TeamOwned festgelegt sein.
Wenn ein Besitzerteam keine Datensätze besitzt und ihm keine Sicherheitsrollen zugewiesen sind, kann es in ein Zugriffsteam umgewandelt werden, indem die ConvertOwnerTeamToAccessTeamRequest-Nachricht verwendet eird. Dies ist eine nicht umkehrbare Umwandlung. Sie können das Zugriffsteam nicht wieder in ein Besitzerteam konvertieren. Während der Konvertierung werden alle mit dem Team verbundenen Warteschlangen und Postfächer gelöscht.
Zum Hinzufügen oder Entfernen von Teammitgliedern, verwenden Sie die Nachricht AddMembersTeamRequest und die Nachricht RemoveMembersTeamRequest.
Vom Benutzer erstelltes Zugriffsteam
Sie können mehrere Datensätze für ein benutzererstelltes Zugriffsteam freigeben. Um ein Zugriffsteam zu erstellen, verwenden Sie die Teamentität und legen Sie das Team.TeamType-Attribut zu Access fest. Eine Liste der TeamType-Werte finden Sie in den Team-Entitätsmetadaten. Sie finden diese Informationen in den Metadaten für Ihre Organisation. Weitere Informationen finden Sie in den voranstehenden Informationen zum Metadatenbrowser.
Wenn Sie einem benutzererstellten Team Zugriff auf einen Datensatz gewähren möchten, verwenden Sie die GrantAccessRequest-Nachricht. Für vom Benutzer erstellte Teams ist das Team.SystemManaged-Attribut false. Eine Liste der Team.SystemManaged-Werte finden Sie in den Team-Entitätsmetadaten. Sie finden diese Informationen in den Metadaten für Ihre Organisation. Weitere Informationen finden Sie in den voranstehenden Informationen zum Metadatenbrowser.
Zum Hinzufügen oder Entfernen von Teammitgliedern, verwenden Sie die Nachricht AddMembersTeamRequest und die Nachricht RemoveMembersTeamRequest.
Um Teammitgliedern unterschiedliche Zugriffsrechte auf Datensätze zur Verfügung zu stellen, erstellen Sie mehrere Teams und gewähren Sie jedem Team einen anderen Satz von Zugriffsrechten für Datensätze.
Automatisch erstelltes (System-verwaltetes) Zugriffsteam
Ein automatisch erstelltes (systemverwaltetes) Team wird für einen bestimmten Datensatz erstellt, und kann nicht mit anderen andere Datensätzen geteilt werden. Für systemverwaltete Teams müssen Sie eine Teamvorlage zur Verfügung stellen. Wenn Sie eine Vorlage erstellen, können Sie die Teamvorlagenentität verwenden. In derr Vorlage legen Sie den Entitätstyp und die Zugriffsrechte für den Entitätsdatensatz, die den Teammitglidern bei Erstellung des Teams gewährt werden, wie Lesen oder Schreiben, fest. Die Entität, Sie in der Vorlage angeben, muss für automatisch erstellte Zugriffsteams aktiviert werden. Um für die Teammitglieder mit unterschiedlichen Zugriffsrechten für den Datensatz auszustatten, müssen Sie einige Teamvorlagen erstellen. Zum Beispiel stelen Sie für die Firmenentität eine Vorlage mit dem Lesezugriffsrecht für ein Team zur Verfügung, das nur in der Lage sein muss, den Datensatz anzuzeigen. Stellen Sie eine zweite Vorlage mit den Zugriffsrechten für Lesen, Schreiben und Freigeben für ein Team frei, das mehr Zugriff auf den gleichen Datensatz benötigt.
Um eine Entitä für die automatisch erstellten Zugriffsteams zu aktivieren, legen Sie das AutoCreateAccessTeams-Attribut zu true fest.
Die maximale Anzahl der Teamvorlagen, die Sie für eine Entität erstellen können, ist in der MaxAutoCreatedAccessTeamsPerEntity-Bereitstellungseinstellung angegeben. Der Standardwert ist 2. Die maximale Anzahl der Entitäten, die Sie für automatisch erstellte Zugriffsteams aktivieren können, ist in der MaxEntitiesEnabledForAutoCreatedAccessTeams-Bereitstellungseinstellung angegeben. Der Standardwert ist 5. Weitere Informationen: Bereitstellungs-Entitäten und Bereitstellungs-Konfigurationseinstellungen und Verwaltung der Bereitstellung mithilfe von Windows PowerShell
Die Benutzer werden automatisch im systemverwalteten Team hinzugefügt und entfernt, wenn Sie die Benutzer einem bestimmten Datensatz hinzufügen oder sie daraus entfernen, indem Sie die AddUserToRecordTeamRequest-Nachricht und die RemoveUserFromRecordTeamRequest-Nachricht verwenden. Das tatsächliche Team wird erstellt, wenn Sie den ersten Benutzer dem Datensatz hinzufügen und die dem Team-ID in AccessTeamId zurückgegeben wird. Das Team.SystemManaged-Attribut für dieses Team wird zu true festgelegt. Eine Liste der Team.SystemManaged-Werte finden Sie in den Team-Entitätsmetadaten. Sie finden diese Informationen in den Metadaten für Ihre Organisation. Weitere Informationen finden Sie in den voranstehenden Informationen zum Metadatenbrowser. Der Aufrufer der Message muss über das Recht Freigeben auf der Entität und die Zugriffsrechte für den Datensatz verfügen, die mit den Zugriffsrechten übereinstimmen, die in der Tabelle bereitgestellt werden. Wenn z. B. die Vorlage Lesezugriffsrechte angibt, muss der aufrufende Benutzer über Lesezugriffsrechte für den Datensatz verfügen. Um dem Team hinzugefügt werden zu können, muss ein Benutzer mindestens über die Zugriffsebene Basic (User) Read für den in der Vorlage angegebenen Datensatz verfügen.
Aufgrund der hierarchischen Beziehung zwischen der Teamvorlage und den systemverwalteten Zugriffsteams werden alle mit der Vorlage verknüpften Teams gemäß den kaskadierenden Regeln gelöscht, wenn Sie eine Vorlage löschen.
Wenn Sie für die Teamvorlage Zugriffsrechte ändern, werden die Änderungen nur auf die neuen automatisch erstellten Zugriffsteams angewendet. Dies wirkt sich nicht auf vorhandene Teams aus.
Zusätzliche Informationen zu Zgriffsteams
Angenommen zwei Datensätze haben ein zugeordnetes (allerdings anderes) Zugriffteam, was passiert, wenn die beiden Datensätze zusammengeführt werden (siehe MergeRequest)? Das Ergebnis Zusammenführen hat zur Folge, dass Zugriffsteammitglieder vom zusammengeführten Datensatz Zugriff auf den Datensatz haben.
Wie sieht der effektive Zugriff aus für den zusammengeführten Datensatz? Greifen die beiden Zugriffteams weiterhin unabhängig auf einen zusammengeführten Datensätze zu? Und hier ist nur ein Zugriffsteam übrig nach dem Zusammenführen, aber die Teammitglieder des zusammengeführten Datensatzes erhalten Zugriff.
Beeinflussen Zugriffsteams die Suche, indem die Datensatzergebnisse ein- oder ausgeblendet werden? Es gibt nur ein Zugriffsteam nach dem Zusammenführen, aber die Teammitglieder des zusammengeführten Datensatzes erhalten Zugriff.
Kurzübersicht zu Teams
Verwenden Sie die folgenden Informationen als Kurzübersicht zu den verfügbaren Teams.
| Teams | Wann verwenden? | Welche Entitäten verwenden? | Teamvorlage verwenden? | Welche Nachrichten verwenden, um Teammitglieder hinzuzufügen oder zu entfernen? | Besitzt Datensätze? | Wie viele Datensätze besitzt er bzw. auf wie viele hat er Zugriff? | Sind ihm Sicherheitsrollen zugewiesen? |
|---|---|---|---|---|---|---|---|
| Bes. | Datensatzbesitz durch das Team ist erforderlich. Die Anzahl der Teams ist bekannt, wenn das System eingerichtet wird. |
Team |
Nein | AddMembersTeamRequest RemoveMembersTeamRequest. |
Ja | Kann mehrere Datensätze besitzen. | Ja |
| Zugriff, vom Benutzer erstellt | Mehrere Datensätze müssen für das Team freigegeben werden. Die Anzahl der Teams ist nicht bekannt, wenn das System eingerichtet wird. Teammitglieder benötigen unterschiedliche Zugriffsrechte zu den Datensätzen. |
Team |
Nein | AddMembersTeamRequest RemoveMembersTeamRequest |
Nein | Kann auf mehrere Datensätze zugreifen. | Nein. Stellt Zugriffsrechte für den Datensatz zur Verfügung. |
| Zugriff, automatisch erstellt (systemverwaltet) | Eindeutiger Satz von Benutzern bearbeitet einen einzelnen Datensatz. Teammitglieder benötigen unterschiedliche Zugriffsrechte zu den Datensätzen. Automatisches Erstellen von Teams pro Datensatz ist erwünscht. |
TeamTemplateTeam |
Ja | AddUserToRecordTeamRequest RemoveUserFromRecordTeamRequest |
Nein | Kann nur auf einen Datensatz zugreifen. | Nein. Stellt Zugriffsrechte für den Datensatz zur Verfügung. |
Notiz
Besitzersteams und Zugriffsteams stellen Zugriffsrechte auf den Datensatz und verknüpfte Datensätze zur Verfügung, z. B. auf eine Firma und alle Verkaufschancen, die mit dieser Firma verknüpft sind. Im Falle einer übergeordneten Beziehung zwischen den Datensätzen werden Kaskadierungsregeln angewendet. Für Benutzerteams können Sie auf Entitäten basierend auf den Rollen, die dem Benutzer zugewiesen sind, sowie den Rollen, die dem Team zugewiesen sind, dem der Benutzer angehört, zugreifen. Dadurch kann ein Benutzer über Rechte außerhalb der Unternehmenseinheit verfügen. Weitere Informationen: Verhalten von Entitätsbeziehungen
Notiz
Ein Benutzer muss über ausreichende Rechte verfügen, um sich einem Zugriffsteam anzuschließen. Angenommen, das Zugriffsteam verfügt über das Zugriffsrecht "Löschen" für ein Konto, dann muss der Benutzer über das Zugriffsrecht "Löschen" für die Entität "Konto" verfügen, um sich dem Team anzuschließen. Wenn Sie versuchen, einen Benutzer mit unzureichenden Berechtigungen hinzuzufügen, wird diese Fehlermeldung angezeigt: "Sie können den Benutzer dem Zugriffsteam nicht hinzufügen, da der Benutzer keine ausreichenden Berechtigungen für die Entität besitzt".
Siehe auch
Beispiel: Freigeben eines Datensatzes mithilfe eines Zugriffsteams
Verwalten von Teams
Whitepaper: Zugriffsteams in Microsoft Dynamics CRM 2013
Whitepaper: Skalierbare Sicherheits-Modellierung mit Microsoft Dynamics CRM
Benutzer- und Teamentitäten
Teamentität
TeamTemplate-Entität
Ausführen von Bereitstellungsaufgaben mithilfe von Windows PowerShell
Verwenden von Datensatz-basierter Sicherheit zum Steuern des Zugriffs auf Datensätze
So kann die rollenbasierte Sicherheit verwendet werden, um den Zugriff auf Entitäten in Dynamics 365 Customer Engagement (on-premises) zu steuern
Kaskadierende Verhaltensweise