Übersicht über das Sicherheitsmodul
Im Abschnitt Übersicht über das Sicherheitsmodell der Vorlage sollte ein allgemeiner Überblick über das Sicherheitsmodell bereitgestellt werden. Die Details müssen nicht sehr ausführlich sein, da die einzelnen Bereiche später in der Vorlage genauer erklärt werden.
Beantworten Sie als Nächstes die Frage, wie Sie den Zugriff auf Datensätze verwalten. Diese Information ist hilfreich, um festzustellen, ob bestimmte Datenbeschränkungen (z. B. dass Verkäufer nur ihre eigenen Kundendaten anzeigen dürfen) oder andere spezielle Datenzugriffsinformationen vorliegen, die sich auf das Sicherheitsmodell auswirken. Zudem kann dieser Abschnitt auch technische Details umfassen, wie z. B. die Notwendigkeit der mehrstufigen Authentifizierung, um auf Systemdaten zuzugreifen.
Grundlagen
Zwei Folien der Vorlage enthalten grundlegende Informationen zum Sicherheitsmodell. Die folgenden Fragen sind auf diesen Folien enthalten.
Wie viele Benutzer haben Sie (Ziel)? ‑ Die Anzahl der Benutzer hat einen erheblichen Einfluss auf die Skalierbarkeit Ihres Sicherheitsmodells. Wenn sich der Kunde beispielsweise darauf verlässt, Datensätze freizugeben, um Zugriff zu gewähren, sollte er sich der möglichen Auswirkungen auf die Leistung bewusst sein, wenn viele Datensätze von vielen Benutzern gemeinsam genutzt werden. Einige Sicherheitsmodelle, die für kleine Benutzerzahlen akzeptabel sind, werden mit zunehmender Benutzerzahl ungeeignet. Aus diesem Grund ist es wichtig, das aktuelle und das erwartete zukünftige Benutzerwachstum zu berücksichtigen.
Wie viele unterschiedliche Sicherheitsmuster oder ‑konfigurationen haben Sie in Ihrem Modell und wie viele Benutzer gibt es in jeder Musterkonfiguration? ‑ Unter Sicherheitsmustern verstehen wir die verschiedenen Sicherheitskonfigurationen, die der Kunde implementieren möchte, um die Anforderungen zu erfüllen. Beispielsweise verwenden Personen in der Verkaufsabteilung die Standardnutzung von Benutzersicherheitsrollen, Personen im Kundenservice nutzen eine Kombination aus Benutzerrollen und Managerhierarchie, und Personen im Marketing nutzen nur Zugriffsteams. Durch das Bestimmen der erwarteten Anzahl von Mustern ermitteln Sie, ob das Sicherheitsmodell zu kompliziert oder langfristig schwer aufrechtzuerhalten ist.
Wie viel Prozent der Benutzer haben möglicherweise komplexere Sicherheitsanforderungen als die anderen? ‑ Kunden verkomplizieren ihre Sicherheitsmodelle manchmal zu sehr, indem sie Nischenausnahmen zum Standardprozess entwickeln. Wenn Sie viele verschiedene nicht-standardmäßige Anforderungen antreffen, sollten Sie die Anforderung in Frage stellen und empfehlen, den Hauptprozess zu standardisieren.
Müssen Sie den Zugriff auf Daten einschränken oder filtern? ‑ Diese Frage unterscheidet zwischen Komfortfiltern und tatsächlichen Sicherheitsanforderungen. Es ist ein gutes Ziel, den Benutzern eine vereinfachte Ansicht der Daten zu bieten, die für sie am wichtigsten sind. Sicherheit sollte jedoch nicht eingesetzt werden, um dieses Ziel zu erreichen. Verwenden Sie Ansichten, um Daten zu filtern, während der Zugriff auf andere Datensätze verfügbar bleibt.
Welche Anzahl von Sicherheitsrollen benötigen Sie? ‑ Wenn Sie die Anzahl der Sicherheitsrollen auf ein Minimum beschränken, werden die Verwaltungsaufgaben einfacher. Dynamics 365 enthält viele Standardsicherheitsrollen für Standardbenutzertypen wie Vertriebsleiter, Kundenservicemitarbeiter und Systemadministrator. Diese Rollen sollten als Grundlage für die Sicherheitsrollen des Kunden verwendet werden.
Wenn sich die Anforderungen von den Standardrollen unterscheiden, sollten Sie Kopien von Standardrollen erstellen und daraus iterieren.
Haben Sie neue Sicherheitsrollen erstellt, anstatt vorhandene anzupassen? ‑ Es wird empfohlen, eine Kopie einer der Standardsicherheitsrollen zu speichern, anstatt eine neue zu erstellen.
Zu den Sicherheitsrollen gehören viele Berechtigungen, die erforderlich sind, um in die Anwendung zu gelangen. Das Erstellen einer neuen Rolle ist problematisch, da der Kunde wahrscheinlich nicht über alle erforderlichen Basisberechtigungen verfügt.
Erinnern Sie den Kunden daran, dass mithilfe regelmäßiger Anwendungsaktualisierungen häufig neue Berechtigungen zu den Standardsicherheitsrollen hinzugefügt werden und diese neuen Berechtigungen nicht automatisch zu vorhandenen benutzerdefinierten Sicherheitsrollen hinzugefügt werden. Wenn benutzerdefinierte Sicherheitsrollen verwendet werden, muss jemand daran denken, die neu hinzugefügten Berechtigungen zu identifizieren und die benutzerdefinierten Sicherheitsrollen nach jedem Update zu aktualisieren, um die Kontinuität des Systemzugriffs nach Updates sicherzustellen.
Haben Sie versucht, die Anzahl der Sicherheitsrollen so weit wie möglich zu reduzieren? ‑ Je mehr Sicherheitsrollen eine Dynamics 365-Bereitstellung verwendet, desto schwieriger wird die Verwaltung langfristig. Wenn 25 separate Sicherheitsrollen vorhanden sind und neue Funktionen hinzugefügt werden, die von allen benötigt werden, muss der Hersteller 25 Sicherheitsrollen aktualisieren, um Zugriff auf die neue Funktion zu erhalten.
Eine beliebte Strategie besteht darin, eine Basisrolle zu nutzen, die die Basis der zur Anmeldung bei der Anwendung erforderlichen Funktionen und für alle Tabellen bietet, die allen Benutzern zur Verfügung stehen. Fügen Sie dieser Rolle als Nächstes zusätzliche Rollen mit den rollenspezifischen Funktionen hinzu, die für diese Rolle benötigt werden.
Wenn beispielsweise alle Benutzer Konten lesen müssen, aber nur die Vertriebsleiter in der Lage sein sollten, neue Konten zu erstellen, enthält Ihre Basisrolle die Leseberechtigung für Konten auf Organisationsebene, und die Vertriebsmanagerrolle enthält lediglich die Berechtigung zum Erstellen von Konten. Wenn dann eine neue Funktion hinzugefügt wurde, die alle Benutzer benötigen, kann sie nur der Basisrolle hinzugefügt werden.
Wie viele Sicherheitsrollen benötigt eine einzelne Person? ‑ Je mehr Sicherheitsrollen zu einem einzelnen Benutzer hinzugefügt werden müssen, desto komplizierter wird das Onboarding von Benutzern und desto wahrscheinlicher wird jemand Fehler machen. Wenn viele erforderliche Rollen vorhanden sind, sollten diese Rollen konsolidiert werden, um die laufende Verwaltung zu vereinfachen.
Ein weiterer Ansatz, der hier Abhilfe schaffen kann, ist die Nutzung der Microsoft Entra ID-Sicherheitsgruppe oder von Microsoft Entra ID-Büro-Gruppenteams, damit Sie dem Team die Rollen einmal zuweisen können, und die Benutzer erben dann automatisch die Rollen für das Team (also im Kontext des Konzernmandanten des Teams), nachdem sie zur entsprechenden Microsoft Entra ID-Gruppe hinzugefügt wurden.
Werden die Sicherheitsrollen auf der Ebene des Stammkonzernmandanten oder der untergeordneten Ebene erstellt? ‑ Sie können zwar Rollen erstellen, die spezifisch für einen untergeordneten Konzernmandanten sind. Wir empfehlen allerdings, Sicherheitsrollen auf der Ebene des Stammkonzernmandanten zu erstellen und zu bearbeiten.
Durch das Erstellen von Rollen auf der Ebene des Stammkonzernmandanten steht die Rolle allen Konzernmandanten zur Verfügung, während untergeordnete Konzernmandantenrollen nur auf einer einzelnen Konzernmandantenebene verfügbar sind. Wenn Sie eine konzernmandantenspezifische Rolle haben und einen Benutzer in einen anderen Konzernmandanten verschieben, ist diese Rolle nicht verfügbar. Andernfalls erhalten Sie unterschiedliche Versionen derselben Rolle in einem anderen Konzernmandanten, wodurch das System schwer zu verwalten wird.
Welche Strategie verfolgen Sie, um die Sicherheitsrollen zu aktualisieren, wenn Sie neue Tabellen und Funktionen einführen? ‑ In einer sich schnell ändernden Umgebung mit kontinuierlicher Entwicklung kann es vorkommen, dass Sie die Aktualisierung der Rollen vergessen, sie nur mit Systemadministratorzugriff testen und die Aktualisierung der Sicherheitsrollen verpassen, um die neuen Funktionen aufzunehmen. Die Strategie des Kunden sollte einen Prozess zum Aktualisieren von Sicherheitsrollen und Testen mit dem Rollenmix jeder Person beinhalten, wenn eine neue Konfigurationsversion eingeführt wird.
Warum nach diesen Informationen gefragt wird
Aus den folgenden Gründen sollten Sie Ihre Teilnehmer um die oben Informationen bitten:
Es ist selten, dass ein Sicherheitsmuster allen Benutzeranforderungen und ‑rollen entspricht. Sie müssen verstehen, wie viele verschiedene Muster Sie im Projekt implementieren müssen.
Häufig werden komplexe Sicherheitsmodelle so konzipiert, dass sie den Anforderungen eines Bruchteils der Benutzer entsprechen, die nicht zum Hauptmodell gehören. In diesem Fall könnte vorgeschlagen werden, dass diese Benutzer auf andere Weise oder anderswo auf die gewünschten Daten zugreifen können, z. B. durch Berichterstellung.