Configurar seguridad de jerarquía para el acceso granular a los datos

  • Artículo

Nota

Si ha habilitado Interfaz unificada modo exclusivo, antes de utilizar los procedimientos de este artículo, haga lo siguiente:

  1. Seleccione Configuración (Botón de engranaje.) en la barra de navegación.
  2. Seleccione Configuración avanzada.

    Configuración avanzada.

El modelo de seguridad de jerarquía es una extensión de los modelos de seguridad de Dynamics 365 Customer Engagement (on-premises) existentes que usan unidades de negocio, roles de seguridad, recursos compartidos y equipos. Puede usarse junto con el resto de los modelos de seguridad existentes. La seguridad de jerarquía proporciona un acceso más específico a registros de una organización y ayuda a reducir los costos de mantenimiento. Por ejemplo, en situaciones complejos, puede empezar creando varias unidades de negocio y luego agregar la seguridad de jerarquía. Esto permitirá un acceso más específico a los datos con muchos menos costos de mantenimiento que un gran número de unidades de negocio.

Modelos de seguridad de jerarquía de Administrador y de Posición

Dos modelo de seguridad se pueden usar para jerarquías: la jerarquía de Administrador y la jerarquía de Posición. Con la jerarquía de Administrador, un administrador debe estar dentro de la misma unidad de negocio que el subordinado, o en la unidad de negocio primaria de la unidad de negocio del subordinado, para tener acceso a los datos del subordinado. La jerarquía de Posición permite el acceso a los datos a través de unidades de negocio. Si se trata de una organización financiera, puede preferir el modelo de jerarquía de Administrador, para evitar que los administradores accedan a los datos fuera de sus unidades de negocio. Sin embargo, si usted forma parte de una organización de servicio al cliente y desea que los administradores tengan acceso a casos de gestionados por otras unidades de negocio, la jerarquía de Posición puede funcionar mejor para usted.

Nota

Mientras el modelo de seguridad jerárquico proporciona cierto nivel de acceso a los datos, se puede obtener acceso adicional con otro formularios de seguridad, como roles de seguridad.

Jerarquía de administrador

El modelo de seguridad jerárquico de Administrador se basa en la cadena de administración o la estructura de subordinados directos, donde la relación del administrador y del subordinado se establece mediante el campo Jefe en la entidad de usuario del sistema. Con este modelo de seguridad, los administradores podrán tener acceso a los datos a los que los tienen acceso sus subordinados. Pueden realizar el trabajo en nombre de sus subordinados directos o acceder a información que necesita su aprobación.

Nota

Con el modelo de seguridad de la jerarquía del Administrador, un administrador tiene acceso a los registros propiedad del usuario o del equipo al que pertenece un usuario, y a los registros que se comparten directamente con el usuario o equipo al que un usuario pertenece. Cuando un registro lo comparten un usuario que está fuera de la cadena de administración con usuario subordinado directo con acceso de sólo lectura, el administrador del subordinado directo solo tiene acceso de sólo lectura al registro compartido.

Además del modelo de seguridad de jerarquía de Administrador, un administrador debe tener al menos el privilegio de lectura de nivel de usuario sobre una entidad para ver los datos de los subordinados. Por ejemplo, si un administrador no tiene acceso de lectura a la entidad de caso, el administrador no podrá ver los casos a los que tienen acceso sus subordinados.

Para un subordinado no directo en la misma cadena de administración del administrador, un administrador tiene el acceso de sólo lectura a los datos del subordinado no directo. Para un subordinado directo, el administrador tiene acceso de Lectura, Escritura, Actualización, Anexar, Anexar a a los datos del subordinado. Para ilustrar el modelo de seguridad de jerarquía de Administrador, consulte el diagrama siguiente. El director general puede leer o actualizar los datos del vicepresidente de ventas y los datos del vicepresidente de servicio. Sin embargo, el director general puede leer únicamente los datos del jefe de ventas y los datos del jefe de servicio, así como los datos de ventas y soporte técnico. Puede restringir con mayor detalle la cantidad de datos accesibles para un jefe con "Profundidad". La profundidad se usa para limitar el número de niveles de profundidad para los que un administrador tiene acceso de solo lectura a los datos de sus subordinados. Por ejemplo, si la profundidad está establecida en 2, el director general puede ver los datos del vicepresidente de ventas, del vicepresidente de servicio y ventas y los jefes de servicio. Sin embargo, el director general no ve los datos de ventas o los datos de soporte técnico.

Seguridad de jerarquía de administrador en Dynamics 365 for Customer Engagement.

Es importante observar que si un subordinado directo tiene acceso de seguridad más profundo a una entidad que su jefe, el jefe puede no ver todos los registros a los que el subordinado directo tiene acceso. El siguiente ejemplo muestra este aspecto.

  • Una sola unidad de negocio tiene tres usuarios: Usuario 1, Usuario 2 y Usuario 3.

  • El Usuario 2 es subordinado directo de Usuario 1.

  • El Usuario 1 y el Usuario 3 tienen acceso de lectura a nivel de usuario en la entidad Cuenta. Este nivel de acceso permite a los usuarios tener acceso a los registros de los que son propietarios, los registros que se comparten con el usuario y los registros compartidos con el equipo del que es miembro el usuario.

  • El usuario 2 tiene acceso de lectura de unidad de negocio en la entidad Cuenta. Esto permite que el usuario 2 vea todas las cuentas de la unidad de negocio, incluidas todas las cuentas propiedad del usuario 1 y el usuario 3.

  • El usuario 1, como jefe directo del usuario 2, tiene acceso a las cuentas pertenecientes o compartidas con el usuario 2, así como a las cuentas que se comparten o son propiedad de un equipo al que pertenece el usuario 2. Sin embargo, el usuario 1 no tiene acceso a las cuentas del usuario 3, aunque el subordinado directo puede tener acceso a las cuentas de usuario 3.

Jerarquía de posición

La jerarquía de Posición no se basa en la estructura de subordinados directos, como la jerarquía de Administrador. Un usuario no tiene que ser administrador de otro usuario para acceder a los datos del usuario. Como administrador, usted definirá diferentes posiciones de trabajo en la organización y las organizará en la jerarquía de Posición. Luego, puede agregar usuarios a cualquier posición determinada, o, como también decimos, "etiquetar" un usuario con una posición específica. Un usuario solo puede ser etiquetado con una posición en una jerarquía determinada, no obstante, una ubicación se puede usar para varios usuarios. Los usuarios de las posiciones más altas en la jerarquía tienen acceso a los datos de los usuarios de las posiciones de nivel más bajo, en la ruta de antecesor directo. Las posiciones directas más altas tienen acceso de Lectura, Escritura, Actualización, Anexar, Anexar a a los datos de las posiciones inferiores en la ruta de antecesores directos. Las posiciones no directas más altas tienen acceso de Solo lectura a los datos de las posiciones inferiores en la ruta de antecesores directos.

Vemos el diagrama siguiente para ilustrar el concepto de ruta de antecesores directos. La posición del Jefe de ventas tiene acceso a los datos de Ventas, no obstante, no tiene acceso a datos de soporte técnico, que se encuentran en la otra ruta de antecedentes. Lo mismo se aplica para la posición del Administrador de servicio. No tiene acceso a los datos de Ventas, que están en la ruta de Ventas. Como en la jerarquía de Administrador, puede limitar la cantidad de datos accesibles por posiciones más altas con "Profundidad". La profundidad limitará el número de niveles de profundidad a los que una posición superior tiene acceso de solo lectura, a los datos de las posiciones inferiores de la ruta de antecedentes directos. Por ejemplo, si la profundidad está establecida en 3, la posición de director general puede ver todos los datos desde las posiciones de vicepresidente de ventas y vicepresidente de servicio hasta las posiciones de ventas y soporte técnico.

Jerarquía de posición en Microsoft Dynamics 365 for Customer Engagement

Nota

Con la seguridad de jerarquía de Posición, un usuario en una posición superior tiene acceso a los registros propiedad de un usuario de posición inferior o del equipo al que pertenece un usuario, y a los registros que se comparten directamente con el usuario o equipo al que un usuario pertenece.

Además del modelo de seguridad de jerarquía de Posición, los usuarios a nivel superior deben tener al menos el privilegio de Lectura de nivel de usuario sobre una entidad para ver los registros a los que los usuarios de las posiciones inferiores tienen acceso. Por ejemplo, si un usuario a un nivel superior no tiene acceso de Lectura a la entidad de caso, ese usuario no podrá ver los casos a los que tienen acceso los usuarios en posiciones inferiores.

Configuración de la seguridad de jerarquía

Para configurar la jerarquía de seguridad, debe tener un rol de seguridad de Administrador.

La seguridad de jerarquía se desactiva de forma predeterminada. Para habilitarla:

  1. Vaya a Configuración>Seguridad.

  2. Elija Seguridad de jerarquía y seleccione Habilitar modelos de jerarquía.

Importante

Para hacer cambios en Seguridad de jerarquía debe tener el privilegio Cambiar configuración de seguridad de jerarquía.

Después de haber habilitado los modelos de jerarquía, elija el modelo específico seleccionando la Jerarquía de administrador o Jerarquía de posición personalizada. Todas las entidades del sistema están habilitadas para seguridad de jerarquía de forma predefinida, pero puede excluir entidades selectivas de la jerarquía. La ventana Seguridad de jerarquía mostrada a continuación:

Configurar la seguridad de jerarquía en Dynamics 365 for Customer Engagement.

Establezca la Profundidad en un valor deseado para limitar el número de niveles de profundidad para los que un administrador tiene acceso de solo lectura a los datos de sus subordinados. Por ejemplo, si la profundidad es igual 2, un administrador solo puede tener acceso a sus cuentas y las cuentas de los subordinados que se encuentren dos niveles por debajo. En nuestro ejemplo, si inicia sesión en aplicaciones Customer Engagement no como administrador, que puede ver todas las cuentas, sino como vicepresidente de ventas, solo puede ver las cuentas activas de los usuarios que se muestran en el rectángulo rojo, como se muestra en la siguiente imagen:

Acceso de lectura para VP de Sales en Dynamics 365 for Customer Engagement.

Nota

Mientras la seguridad de jerarquía concede al vicepresidente de ventas acceso a los registros en el rectángulo rojo, puede obtenerse acceso adicional en función del rol de seguridad que tenga el vicepresidente de ventas.

Configuración de las jerarquías de Administrador y Posición

La jerarquía de Administrador se crea fácilmente utilizando la relación del administrador en el registro del usuario del sistema. Use el campo de búsqueda de Administrador (ParentsystemuserID) para especificar el administrador de usuario. Si ya ha creado la jerarquía de Posición, también puede etiquetar al usuario con una posición específica en la jerarquía de Posición. En el siguiente ejemplo, el comercial depende del jefe de ventas en la jerarquía de Administrador y además tiene la posición de Ventas en la jerarquía de Posición:

Registro de usuario de vendedor en Dynamics 365 for Customer Engagement.

Para agregar un usuario a una posición específica en la jerarquía de Posición, use el campo de búsqueda llamado Posición en el formulario del registro del usuario, tal como se muestra a continuación:

Importante

Para agregar un usuario a una posición o cambiar la posición del usuario, debe tener el privilegio Asignar posición para un usuario.

Agregar usuario a una posición en la seguridad de jerarquía Dynamics 365 for Customer Engagement.

Para cambiar la posición en el formulario del registro de usuario, en la barra de navegación, elija Más (...) y seleccione otra posición, como se indica a continuación:

Cambiar la posición en la seguridad de jerarquía en Dynamics 365 for Customer Engagement.

Para crear una jerarquía de posición:

  1. Vaya a Configuración>Seguridad.

  2. Elija Posiciones.

    Para cada posición, especifique el nombre de la posición, el elemento principal de la posición, y la descripción. Agregue usuarios a esta posición con el campo de búsqueda llamado Usuarios en esta posición. A continuación se ofrece un ejemplo de la jerarquía de Posición con posiciones activas.

    Activar posiciones en la seguridad de jerarquía en Dynamics 365 for Customer Engagement.

    El ejemplo de los usuarios habilitados con sus correspondientes posiciones se indica a continuación:

    Usuarios habilitados con posiciones asignadas en Dynamics 365 for Customer Engagement.

Consideraciones de rendimiento

Para aumentar el rendimiento, es recomendable:

  • Mantenga la seguridad de jerarquía efectiva hasta 50 usuarios o menos bajo un administrador/posición. La jerarquía puede tener más de 50 usuarios bajo un administrador/posición, pero puede usar el valor de Profundidad para reducir el número de niveles para el acceso de solo lectura y así limitar el número eficaz de usuarios bajo un administrador/posición a 50 usuarios o menos.

  • Use los modelos de seguridad de jerarquía junto con otros modelos de seguridad existentes para escenarios más complejos. Evite crear un gran número de unidades de negocio, en su lugar, cree menos unidades de negocio y agregue seguridad de jerarquía.

Consultar también

Conceptos de seguridad para Microsoft Dynamics 365 for Customer Engagement
Consultar y visualizar datos jerárquicos