Jagamisviis:

Hierarhia turvalisus juurdepääsu juhtimiseks

Hierarhia turbemudel on olemasolevate turbemudelite laiendus, mis kasutavad äriüksusi, turberolle, ühiskasutust ja meeskondi. Seda saab kasutada koos kõigi teiste olemasolevate turvamudelitega. Hierarhia turvalisus pakub organisatsioonile detailsemat juurdepääsu dokumentidele ja aitab vähendada hoolduskulusid.

Näiteks saate keerukates stsenaariumites alustada mitme äriüksuse loomisest ja lisada seejärel hierarhia turbe. See lisaturvalisus pakub andmetele detailsemat juurdepääsu palju väiksemate hoolduskuludega, mida suur hulk äriüksusi vajada võiks.

Juhihierarhia ja ametikoha hierarhia turbemudelid

Hierarhiate jaoks saab kasutada kahte turbemudelit: **halduri hierarhia** ja **positsiooni hierarhia** . Juhihierarhia korral peab juht aruande andmetele juurdepääsuks olema aruandega samas äriüksuses või aruande äriüksuse emaettevõtte äriüksuses. Paigutuse hierarhia võimaldab saada andmetele juurdepääsu kõigis äriüksustes. Kui olete finantsorganisatsioon, võite eelistada juhtide hierarhia mudelit, et takistada juhtide juurdepääsu andmetele väljaspool oma äriüksusi. Kui aga kuulute klienditeenindusorganisatsiooni ja soovite, et juhtidel oleks juurdepääs erinevate äriüksuste hallatavatele teenindusjuhtumitele, võib ametikoha hierarhia teile paremini sobida.

Märkus.

Kuigi hierarhia turbemudel annab andmetele teatud tasemel juurdepääsu, on võimalik saada täiendav juurdepääs, kasutades teistsuguseid turbevõimalusi, näiteks turberolle.

Haldurihierarhia

Juhi hierarhia turbemudel põhineb juhtimisahelal või otsesel aruandlusstruktuuril, kus juhi ja alluva suhe luuakse süsteemikasutajate tabeli välja Juhtija abil. Selle turbemudeli abil saavad juhid juurde pääseda andmetele, millele nende aruannetel on juurdepääs. Nad saavad oma otseste alluvate nimel tööd teha või juurde pääseda teabele, mis vajab kinnitamist.

Märkus.

Halduri hierarhia turbemudeli puhul on halduril juurdepääs kasutajale või meeskonnale kuuluvatele kirjetele, mille liige kasutaja on, ja kirjetele, mis on otse kasutaja või meeskonnaga, mille liige kasutaja on, ühiskasutusse antud. Kui juhtimisahelast väljas olev kasutaja jagab kirjet otse alluvale, kellel on kirjutuskaitstud juurdepääs, on otse alluva juhil jagatud kirjele ainult kirjutuskaitstud juurdepääs.

Kui lubasite valiku Kirje omandiõigus kõigis äriüksustes, saavad juhid otsealluvad erinevatest äriüksustest. Saate kasutada järgmisi keskkonna andmebaasi seadeid, et eemaldada äriüksuse piirangut.

Juhid peavad olema samas või ülemettevõtte üksuses aruannetena

Vaikimisi = tõene

Saate selle väärtuseks määrata „väär” ja juhi äriüksus ei pea olema sama, mis otsese alluvuses oleva isiku äriüksus.

Lisaks halduri hierarhia turbemudelile peab halduril aruannete andmete nägemiseks olema tabeli puhul vähemalt kasutajataseme lugemisõigus. Näiteks kui juhil puudub lugemisõigus tabelile „Juhtum“, siis ei näe juht juhtumeid, millele tema alluvatel on juurdepääs.

Juhi samas juhtimisahelas oleva mittekaudse alluva puhul on juhil ainult lugemisõigus mittekaudse alluva andmetele. Otsese alluvuses on juhil aruande andmetele lugemis-, kirjutamis-, lisamis- ja lisamisjuurdepääs. Juhi hierarhia turbemudeli illustreerimiseks vaatame järgmist diagrammi. Peadirektor saab müügiosakonna asejuhi ja teenindusosakonna asejuhi andmeid lugeda või värskendada. Tegevjuht saab aga lugeda ainult müügijuhi ja teenindusjuhi andmeid ning müügi- ja tugiteenuse andmeid. Halduri ligipääsetavate andmete hulka saate veelgi piirata sügavuse abil. Sügavust kasutatakse selleks, et piirata, mitme taseme sügavusele on juhil kirjutuskaitstud juurdepääs oma aruannete andmetele. Näiteks kui sügavus on seatud väärtusele 2, näeb tegevjuht müügidirektori, teenindusdirektori ning müügi- ja teenindusjuhtide andmeid. Tegevjuht aga ei näe müügiandmeid ega tugiteenuse andmeid.

Ekraanipilt, mis näitab juhtide hierarhiat. See hierarhia hõlmab tegevjuhti, müügidirektorit, teenindusdirektorit, müügijuhte, teenindusjuhte, müüki ja tuge.

Oluline on märkida, et kui otsesel alluval on tabelile ulatuslikum turbejuurdepääs kui tema juhil, ei pruugi juht näha kõiki kirjeid, millele otsesel alluval on juurdepääs. Seda mõtet illustreerib järgmine näide.

  • Ühel äriüksusel on kolm kasutajat: kasutaja 1, kasutaja 2 ja kasutaja 3.

  • Kasutaja 2 on kasutaja 1 otsearuanne.

  • Kasutajal 1 ja kasutajal 3 on kontode tabelis kasutajataseme lugemisõigus. See pääsutase annab kasutajale juurdepääsu kirjetele, mille omanik ta on, kirjetele, mis on antud kasutajaga ühiskasutusse, ja kirjetele, mis on antud ühiskasutusse meeskonnaga, mille liige kasutaja on.

  • Kasutajal 2 on äriüksuse lugemisõigus tabelis Konto. See juurdepääs võimaldab kasutajal 2 vaadata kõiki äriüksuse kontosid, sh kõiki kasutajale 1 ja kasutajale 3 kuuluvaid kontosid.

  • Kasutajal 1 on kasutaja 2 otsese haldurina juurdepääs kasutajale 2 kuuluvatele või temaga jagatud kontodele, sealhulgas kontodele, mida jagatakse teiste kasutaja 2 meeskondadega või mis kuuluvad neile. Kasutajal 1 aga puudub juurdepääs kasutaja 3 kontodele, isegi kui tema otsesel alluval võib olla juurdepääs kasutaja 3 kontodele.

Paigutuse hierarhia

Positsioonihierarhia ei põhine otsesel aruandlusstruktuuril, nagu juhihierarhia. Kasutaja ei pea olema teise kasutaja andmetele juurdepääsuks tema tegelik haldur. Administraatorina määratlete organisatsioonis erinevaid ametikohti ja korraldate need ametikohtade hierarhias. Seejärel lisate kasutajad mis tahes positsioonile või, nagu me ka ütleme, märgistate kasutaja kindla positsiooniga. Kasutajat saab hierarhias märgistada üksnes ühe paigutuse kasutajaks, samas võib ühel paigutusel olla mitu kasutajat. Hierarhias kõrgematel kohtadel asuvatel kasutajatel on juurdepääs otsese eellase teel madalamatel kohtadel asuvate kasutajate andmetele. Otsestel kõrgematel positsioonidel on lugemis-, kirjutamis-, lisa- ja lisajuurdepääs alumiste positsioonide andmetele otsesel esivanemateel. Mittekaudsetel kõrgematel positsioonidel on otsese eellase tee madalamate positsioonide andmetele ainult lugemisõigus.

Otsese esivanema tee kontseptsiooni illustreerimiseks vaatame järgmist diagrammi. Müügijuhi ametikohal on juurdepääs müügiandmetele, kuid tal puudub juurdepääs tugiteenuste andmetele, mis asuvad erinevas eelkäija tees. Sama kehtib ka teenindusjuhi ametikoha kohta. Sellel puudub juurdepääs müügiandmetele, mis asuvad müügiteel. Nagu haldurihierarhias, saate piirata kõrgemate ametikohtade poolt ligipääsetavate andmete hulka, kasutades sügavus. Sügavus piirab, mitu taset sügavusel on kõrgemal positsioonil kirjutuskaitstud juurdepääs otsese eellase tee madalamate positsioonide andmetele. Näiteks kui sügavus on seatud väärtusele 3, näeb tegevjuhi ametikoht andmeid alates müügidirektori ja teenindusdirektori ametikohtadest kuni müügi- ja tugiteenuste ametikohtadeni välja.

Kuvatõmmis, mis näitab ametikoha hierarhiat. See hierarhia hõlmab tegevjuhti, müügidirektorit, teenindusdirektorit, müügijuhte, teenindusjuhte, müüki ja tuge.

Märkus.

Ametikoha hierarhia turbe abil on kõrgemal positsioonil oleval kasutajal juurdepääs madalamal positsioonil oleva kasutaja või tema meeskonna liikmeks oleva meeskonna omanduses olevatele kirjetele ning kirjetele, mis on otse kasutaja või tema meeskonnaga jagatud.

Lisaks ametikoha hierarhia turbemudelile peavad kõrgema taseme kasutajatel olema tabelis vähemalt kasutajataseme lugemisõigus, et näha kirjeid, millele madalamate positsioonide kasutajatel on juurdepääs. Näiteks kui kõrgema taseme kasutajal puudub lugemisõigus tabelile „Case” (Juhtum), siis ei näe see kasutaja juhtumeid, millele madalama taseme kasutajatel on juurdepääs.

Hierarhia turbe häälestamine

Hierarhia turvalisuse seadistamiseks veenduge, et teil on süsteemiadministraatori õigused sätte värskendamiseks.

Hierarhia turve on vaikimisi keelatud. Hierarhia turvalisuse lubamiseks toimige järgmiselt.

  1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).

  2. Valige navigeerimispaanil Halda .

  3. Valige paanil Haldamine Keskkonnad ja seejärel valige loendist keskkond.

  4. Mine lehele Seaded> Kasutajad + õigused> Hierarhia turvalisus.

  5. Alla Hierarhia mudel, valige kas Juhi hierarhia mudeli lubamine või Positsioonihierarhia mudeli lubamine olenevalt teie vajadustest.

    Oluline

    Suvandis Hierarhia turve muudatuste tegemiseks peab teil olema hierarhia turbe sätete muutmise õigus.

    Sisse Hierarhia tabeli haldamine piirkonnas on hierarhia turvalisus vaikimisi lubatud kõigi süsteemitabelite jaoks, kuid saate hierarhiast valikulised tabelid välja jätta. Konkreetsete tabelite hierarhilisest mudelist väljajätmiseks tühjendage nende tabelite märkeruudud, mille soovite välja jätta, ja salvestage muudatused.

    Keskkondade sätete hierarhia turvalisuse lehe ekraanipilt.

  6. Määrake sügavuse väärtus soovitud väärtusele, et piirata, mitme taseme sügavusele on halduril oma aruannete andmetele ainult lugemisõigusega juurdepääs.

    Näiteks kui sügavus on võrdne 2-ga, pääseb haldur ligi ainult oma kontodele ja kahe taseme sügavusel olevate alluvate kontodele. Meie näites, kui logite klientide kaasamise rakendustesse sisse müügidirektorina, kes ei ole administraator, näete ainult kasutajate aktiivseid kontosid, nagu näidatud:

    Ekraanipilt, mis näitab müügidirektori ja teiste ametikohtade lugemisõigust.

    Märkus.

    Kuigi hierarhia turve annab müügiosakonna asejuhile juurdepääsu punase ristkülikuga ümbritsetud kirjetele, võib müügiosakonna asejuht olenevalt turberollist täiendava juurdepääsu saada.

Juhi ja ametikoha hierarhiate seadistamine

Juhihierarhia saab hõlpsalt luua süsteemi kasutajakirje juhisuhte abil. Halduri (ParentsystemuserID) otsinguvälja kasutatakse kasutaja halduri määramiseks. Kui olete loonud ametikoha hierarhia, saate kasutajale ametikoha hierarhias ka kindla ametikoha määrata. Järgmises näites annab müügiesindaja aru müügijuhile juhtide hierarhias ja tal on ka müügipositsioon ametikohtade hierarhias:

Ekraanipilt, mis näitab müügiesindaja kasutajakirjet.

Kasutaja lisamiseks kindlale ametikohale ametikoha hierarhias kasutage kasutajakirje vormil otsinguvälja nimega Ametikoht .

Oluline

Kasutaja lisamiseks paigutusse või kasutaja paigutuse muutmiseks peab teil olema Kasutajale paigutuse määramise õigus.

Kuvatõmmis, mis näitab, kuidas lisada kasutajat hierarhia turvalisuse jaotises ametikohale

Kasutajakirje vormil asukoha muutmiseks valige navigeerimisribal Rohkem (…) ja valige teine asukoht.

Muutke paigutust hierarhia turbes

Positsioonihierarhia loomiseks tehke järgmist.

  1. Valige keskkond ja minge suvandisse Sätted>Kasutajad + Õigused>Paigutused.

    Pange igale paigutusele nimi, määrake selle ema ja lisage kirjeldus. Lisage paigutusele kasutajaid, kasutades otsinguvälja nimega Selles paigutuses olevad kasutajad. Järgmisel pildil on näide aktiivsete ametikohtadega ametikohtade hierarhiast.

    Aktiivsed paigutused hierarhia turbes

    Lubatud kasutajate ja nende vastavate positsioonide näide on näidatud järgmisel pildil.

    Ekraanipilt, mis näitab lubatud kasutajaid, kellele on määratud ametikohad.

Otseste alluvate mitme kirjetaseme redigeerimine ja värskendamine

Vaikimisi saavad juhid värskendada oma otseste alluvate ja nende isikute andmeid, kes alluvad nende otsestele alluvatele. Põhimõtteliselt saate värskendada kolme taseme sügavusi kirjeid. Vaikesätteid saate muuta järgmiste sammude abil.

  1. Installige tööriist `OrganizationSettingsEditor` .
  2. Muutke sätet HierarchyLevelForHierarchyFeature .
  3. Sisestage otsese taseme sügavuse arv. Näiteks sisestage 5.
  4. Tehke valik Värskenda.

Keelatud kasutaja staatusega otsese alluva omanduses olevate kirjete kaasamine või välistamine

Juhid saavad vaadata oma keelatud olekuga otseste alluvate kirjeid keskkondades, kus hierarhia turvalisus on lubatud pärast 31. jaanuari 2024. Teiste keskkondade puhul ei kaasata keelatud olekuga otsealluvate kirjeid juhi vaatesse.

Keelatud staatusega otseste alluvate kirjete lisamiseks tehke järgmist.

  1. Installige tööriist `OrganizationSettingsEditor` .
  2. Värskenda sätet AuthorizationEnableHSMForDisabledUsers väärtusele true.
  3. Keela ` hierarhia modelleerimine`.
  4. Luba see uuesti.

Keelatud staatusega otseste alluvate kirjete välistamiseks tehke järgmist.

  1. Installige tööriist `OrganizationSettingsEditor` .
  2. Värskenda sätet AuthorizationEnableHSMForDisabledUsers väärtusele false.
  3. Keela ` hierarhia modelleerimine`.
  4. Luba see uuesti.

Märkus.

  • Hierarhia modelleerimise keelamisel ja uuesti lubamisel võib värskendamine võtta aega, kuna süsteem peab halduri kirjete juurdepääsu uuesti arvutama.
  • Kui näete ajalõpu, vähendage loendis Hierarhia tabelite haldus olevate tabelite arvu, et see hõlmaks ainult tabeleid, mida haldur peab vaatama. Kui ajalõpp ei lahene, saatke abi saamiseks tugiteenuse pilet.
  • Keelatud olekus otseste alluvate kirjed kaasatakse, kui neid kirjeid jagatakse teise aktiivse otseste alluvaga. Saate need kirjed välja jätta, eemaldades jagamise .

Jõudluse kaalutlused

Jõudluse parandamiseks soovitame teha järgmist.

  • Hoidke efektiivse hierarhia turvalisus 50 kasutaja või juhi ametikoha piires. Teie hierarhias võib olla juhi või ametikoha all rohkem kui 50 kasutajat, kuid saate kasutada sügavussätet , et vähendada kirjutuskaitstud juurdepääsuga tasemete arvu ja piirata sellega juhi või ametikoha all olevate kasutajate tegelikku arvu 50 kasutajani või vähemani.

  • Keerukamate stsenaariumide korral kasutage hierarhilisi turbemudeleid koos teiste olemasolevate turbemudelitega. Vältige suure hulga äriüksuste loomist. Selle asemel looge vähem äriüksusi ja lisage hierarhiline turvalisus.

  • Hoidke **HierarchyLevelForHierarchyFeature** number **otsese taseme sügavuse** madalaimal tasemel, nagu teie ärivajadused nõuavad, et juhid saaksid oma otseste alluvate andmeid värskendada.

Vaata ka

Turvalisus Microsoft Dataverse
Hierarhiliste andmete päringute esitamine ja visualiseerimine

  • Last updated on