So kann die rollenbasierte Sicherheit verwendet werden, um den Zugriff auf Entitäten in Microsoft Dynamics 365 zu steuern
Veröffentlicht: Januar 2017
Gilt für: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
In Microsoft Dynamics CRM 2015 und Microsoft Dynamics 365 (online) besteht das fundamentale Konzept bei rollenbasierter Sicherheit darin, dass eine Rolle Rechte enthält, die ein Satz von Aktionen definiert, die innerhalb der Organisation ausgeführt werden können. Der Rolle "Vertriebsmitarbeiter" wird beispielsweise ein Satz von Rechten zugewiesen, die für die Ausführung von Aufgaben, die für diese Rolle definiert werden, relevant sind. Alle Benutzer müssen mindestens einer vordefinierten oder benutzerdefinierten Rolle zugewiesen werden. In Microsoft Dynamics CRM 2015 können Rollen auch Teams zugewiesen werden. Wenn ein Benutzer oder Teams einer dieser Rollen zugewiesen wird, werden der Person oder den Teammitgliedern die Sätze von Rechten zugewiesen, die dieser Rolle zugeordnet sind. Ein Benutzer muss mindestens einer Rolle zugewiesen sein.
Ein Recht autorisiert den Benutzer dazu, eine spezifische Aktion bei einem spezifischen Entitätstyp auszuführen. Berechtigungen gelten für eine gesamte Klasse von Objekten, statt nur für einzelne Instanzen von Objekten. Verfügt ein Benutzer beispielsweise nicht über die Berechtigung zum Lesen von Konten, wird jeder Versuch dieses Benutzer, ein Konto zu lesen, fehlschlagen. Ein Recht enthält eine Zugriffsebene, die die Ebenen innerhalb der Organisation festlegt, für die ein Recht gilt. Jedes Recht kann über bis zu vier Zugriffsebenen verfügen, Basis, Lokal, Tief und Global.
In diesem Thema
Rollen
Berechtigungen
Zugriffsebenen
Alles zusammenfügen
Liste der vordefinierten Sicherheitsrollen
Rollen
Microsoft Dynamics 365 enthält vierzehn vordefinierte Rollen, die allgemeine Benutzerrollen mit Zugriffsebenen widerspiegeln, die dazu definiert sind, beim Bereitstellen von Zugriff auf die Mindestmenge von Geschäftsdaten, die für den Auftrag erforderlich sind, dem Ziel der bewährten Methoden bei der Sicherheit zu entsprechen. Mit diesen Rollen können Sie schnell ein Microsoft Dynamics 365-System bereitstellen, ohne Ihre eigenen Rollen definieren zu müssen. Sie können jedoch auch benutzerdefinierte Rollen mithilfe von vordefinierten Rollen als Vorlage erstellen, oder Sie können einen neuen Satz von Rollen definieren. Eine Liste finden Sie unter Liste der vordefinierten Sicherheitsrollen.
Jeder Rolle ist ein Satz von Rechten zugeordnet, die den Zugriff des Benutzers oder Teams auf Informationen innerhalb des Unternehmens bestimmen.
Sie können Rollen innerhalb von Microsoft Dynamics 365 erstellen und diese benutzerdefinierten Rollen ändern oder entfernen, um Sie an Ihre Geschäftsanforderungen anzupassen. Die Rollen, die Sie für die Unternehmenseinheit erstellen, werden von allen Unternehmenseinheiten in der Hierarchie geerbt.
Sie können einem Benutzer oder einem Team eine oder mehrere Rollen zuweisen. Beispielsweise kann ein Benutzer die Vertriebsmanagerrolle zusätzlich zu der eines Kundenservicemitarbeiters haben, in diesem Fall besitzt dieser Benutzer alle Rechte beider Rollen.
Sie können können Rechte nicht auf der Benutzerebene ändern, aber Sie können eine neue Rolle mit den gewünschten Rechten erstellen. Erwin erhält beispielsweise eine Vertriebsmitarbeiterrolle. Diese erfordert von ihm, alle ihm zugewiesenen Leads anzunehmen. Allerdings möchte der Administrator, dass Erwin dazu in der Lage ist, ihm zugewiesene Leads neu zuzuweisen. Deshalb muss entweder der Administrator die Rolle "Vertriebsmitarbeiter" ändern, um dieses zuzulassen, oder er muss eine neue Rolle erstellen, die dieses spezifische Recht enthält, und dann Erwin dieser Rolle hinzufügen. Das Erstellen einer neuen Rolle ist die empfohlene Option, es sei denn, Sie halten es für nötig, dass alle Benutzer, der die Vertriebsmitarbeiterrolle zugewiesen wurde, jetzt über dieses zusätzliche Recht verfügen.
Berechtigungen
In Microsoft Dynamics 365 gibt es über 580 Rechte, die beim Setup systemweit vordefiniert werden. Ein Recht ist eine Berechtigung, eine Aktion in Microsoft Dynamics 365 auszuführen. Einige Rechte gelten allgemein und manche für einen spezifischen Entitätstyp. Eine vollständige Liste der in Microsoft Dynamics 365 verfügbaren Rechte finden Sie unter Security role and privilege reference.
Microsoft Dynamics 365 verwendet Rechte als Kern der zugrunde liegenden Sicherheitsüberprüfung. Rechte sind im Produkt „integriert“ und werden überall in der Anwendung und den Plattformebenen verwendet. Sie können keine Rechte hinzufügen oder entfernen oder ändern, wie Rechte verwendet werden, um Zugriff auf bestimmte Funktionen zu gewähren, aber Sie können neue Rollen aus dem vorhandenen Rechtesatz erstellen.
Jede Rolle definiert einen Satz von Rechten, der den Zugriff des Benutzers oder Teams auf Informationen innerhalb des Unternehmens bestimmt. Die Plattform überprüft das Recht und lehnt den Vorgang ab, wenn der Benutzer nicht das notwendige Recht hat. Ein Recht ist mit einer Tiefe oder Zugriffsebene kombiniert.
Zum Beispiel kann die Vertriebsmitarbeiterrolle die Rechte Read Account mit Basic-Zugriff und Write Account mit Basic-Zugriff enthalten, wohingegen die Rechte der Vertriebsmanagerrolle möglicherweise Rechte wie Read Account mit Local-Zugriff und Assign Contact mit Local-Zugriff enthält.
Die meisten Entitäten verfügen über einen Satz von möglichen Rechten, die einer Rolle hinzugefügt werden können, die den verschiedenen Aktionen entsprechen, die Sie an den Datensätzen dieser Entitätszeit ausführen können. Weitere Informationen finden Sie unter Rechte nach Entität.
Jede Aktion im System und jede Message, die in der SDK-Dokumentation beschrieben ist, erfordert das Ausführen von einem oder mehreren Rechten. Weitere Informationen finden Sie unter Privileges by message.
Zugriffsebenen
Die Zugriffsebenen- oder Rechtstiefe für ein Recht bestimmt für einen bestimmten Entitätstyp, auf welchen Ebenen innerhalb der Organisationshierarchie ein Benutzer an diesem Typ der Entität Aktionen ausführen kann.
Die folgende Tabelle führt die Zugriffsebenen in Microsoft Dynamics 365 auf, beginnend mit dem meisten Zugriff. Das Symbol wird im Sicherheitsrolleneditor in der Webanwendung angezeigt.
Global. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf alle Datensätze innerhalb der Organisation, unabhängig davon, welcher hierarchischen Ebene der Unternehmenseinheit die Instanz oder der Benutzer zugeordnet ist. Benutzer mit Zugriff „Global“ haben automatisch auch den Zugriff „Tief“, „Lokal“ und „Basis“. Da diese Zugriffsebene Zugriff auf Informationen in der gesamten Organisation gewährt, sollte sie im Einklang mit dem Datensicherheitsplan der Organisation eingeschränkt werden. Diese Zugriffsebene wird in der Regel Managern mit Verantwortung für die Organisation reserviert. In der Anwendung wird diese Zugriffsebene als Organisation bezeichnet. |
|
Tief. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf Datensätze in der Unternehmenseinheit des Benutzers sowie in allen untergeordneten Unternehmenseinheiten. Benutzer mit Zugriff „Tief“ haben automatisch auch den Zugriff „Lokal“ und „Basis“. Da diese Zugriffsebene Zugriff auf Informationen in der gesamten Unternehmenseinheit und untergeordneten Unternehmenseinheiten gewährt, sollte sie im Einklang mit dem Datensicherheitsplan der Organisation eingeschränkt werden. Diese Zugriffsebene wird in der Regel Managern mit Verantwortung für die Unternehmenseinheiten reserviert. In der Anwendung wird diese Zugriffsebene als Übergeordnet: Untergeordnete Unternehmenseinheiten bezeichnet. |
|
Lokal. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf Datensätze in der Unternehmenseinheit des Benutzers. Benutzer mit Zugriff „Lokal“ haben automatisch auch den Zugriff „Basis“. Da diese Zugriffsebene Zugriff auf Informationen in der gesamten Unternehmenseinheit gewährt, sollte sie im Einklang mit dem Datensicherheitsplan der Organisation eingeschränkt werden. Diese Zugriffsebene wird in der Regel Managern mit Verantwortung für die Unternehmenseinheit reserviert. In der Anwendung wird diese Zugriffsebene als Unternehmenseinheit bezeichnet. |
|
Basis. Diese Zugriffsebene gewährt einem Benutzer Zugriff auf Datensätze, deren Besitzer er ist, sowie Objekte, die für den Benutzer selbst oder für ein Team freigegeben sind, deren Mitglied er ist. Dies ist die typische Zugriffsebene für Vertriebs- und Servicemitarbeiter. In der Anwendung wird diese Zugriffsebene als Benutzer bezeichnet. |
|
Keine: Es ist kein Zugriff zulässig. |
Alles zusammenfügen
Wenn ein Benutzer das Recht Deep Read Account hat, kann der Benutzer alle Konten in seiner Unternehmenseinheit sowie alle Konten in jeder untergeordneten Unternehmenseinheit dieser Unternehmenseinheit lesen.
Wenn ein Benutzer Local Read Account-Rechte hat, kann dieser Benutzer alle Konten in der lokalen Unternehmenseinheit lesen.
Wenn einem Benutzer die Berechtigung Basic Read Account zugewiesen ist, kann der Benutzer nur Konten lesen, die er oder sie besitzt oder die Konten, die für ihn oder sie freigegeben sind.
Ein Kundenservicemitarbeiter mit dem Recht Basic Read Account kann Konten anzeigen, die er oder sie besitzt, sowie alle Konten, die ein anderer Benutzer für diesen Benutzer freigegeben hat. Auf diese Weise ist es möglich, dass der Kundenservicemitarbeiter die Kontendaten liest, die für eine Serviceanfrage relevant ist, diese Daten aber nicht ändern kann.
Ein Datenanalyst mit dem Recht Local Read Account kann Kontendaten anzeigen und kontenbezogene Berichte für alle Konten in seiner Unternehmenseinheit ausführen.
Ein Finanzabteilungsmitarbeiter für das Unternehmen mit dem Recht Deep Read Account kann Kontendaten anzeigen und kontenbezogene Berichte für alle Konten in seiner Unternehmenseinheit sowie Konten in jeder untergeordneten Geschäftseinheit ausführen.
Liste der vordefinierten Sicherheitsrollen
In der folgenden Tabelle wird ein vordefinierter Satz von Rollen aufgeführt, die in dieser Microsoft Dynamics 365 SDK enthalten sind.
Rolle |
Beschreibung |
Vorstandsvorsitzender |
Ein Benutzer, der die Organisation auf der Unternehmensebene verwaltet. |
Kundenservicemanager |
Ein Benutzer, der Kundenserviceaktivitäten auf lokaler Ebene oder Teamebene verwaltet. |
Kundenservicemitarbeiter |
Ein Kundenservicemitarbeiter auf einer beliebigen Ebene. |
Stellvertretung |
Ein Benutzer, der im Auftrag eines anderen Benutzers handeln darf. |
Marketingmanager |
Ein Benutzer, der Marketingaktivitäten auf lokaler Ebene oder Teamebene verwaltet. |
Marketingspezialist |
Ein Benutzer, der Marketingaktivitäten auf allen Ebenen ausführt. |
Vertriebsmanager |
Ein Benutzer, der Vertriebsaktivitäten auf lokaler Ebene oder Teamebene verwaltet. |
Vertriebsmitarbeiter |
Ein Vertriebsmitarbeiter auf einer beliebigen Ebene. |
Zeitplanmanager |
Ein Benutzer, der Termine für Services plant. |
Planer |
Ein Benutzer, der Services, erforderliche Ressourcen und Arbeitszeiten verwaltet. |
Supportbenutzer |
Ein Benutzer, der ein Kundensupporttechniker ist. |
Systemadministrator |
Ein Benutzer, der den Prozess auf jeder Ebene definiert und implementiert. |
Systemanpasser |
Ein Benutzer, der Microsoft Dynamics 365-Entitäten, -Attribute, -Beziehungen und -Formulare anpasst. |
Marketingleiter |
Ein Benutzer, der Marketingaktivitäten auf der Ebene der Unternehmenseinheit verwaltet. |
Vertriebsleiter |
Ein Benutzer, der die Vertriebsorganisation auf der Ebene der Unternehmenseinheit verwaltet. |
Siehe auch
Das Sicherheitsmodell von Microsoft Dynamics 365
Rechte- und Rollenentitäten
Security role and privilege reference
So kann die datensatzbasierte Sicherheit verwendet werden, um den Zugriff auf Datensätze in Microsoft Dynamics 365 zu steuern
Wie Feldicherheit verwendet werden kann, um Zugriff auf Feldwerte in Microsoft Dynamics 365 zu steuern
Microsoft Dynamics 365
© 2017 Microsoft. Alle Rechte vorbehalten. Copyright