Jagamisviis:

Microsoft Dataverse'i turbepõhimõtted

Teenuse Dataverse üheks põhiomaduseks on selle rikkalik turbemudel, mis kohandub paljude ärikasutuse stsenaariumidega. See turvamudel toimib ainult siis, kui keskkonnas on olemas andmebaas. Dataverse Administraatorina ei loo te tõenäoliselt kogu turbe mudelit ise, vaid olete sageli kaasatud kasutajate haldamisse ning veendute, et neil on õige konfiguratsioon ja viite läbi turbejuurdepääsuga seotud probleemide tõrkeotsingut.

Jootraha

Video sümbol Vaadake järgmist videot: Microsoft Dataverse – Demodes näidatud turvakontseptsioonid.

Rollipõhine turve

Dataverse kasutab rollipõhist turvet õiguste kogum kokku rühmitamiseks. Neid turberolle saab seostada kasutajatega otse, samuti saab neid seostada Dataverse meeskondade ja äriüksustega. Seejärel saab kasutajaid meeskonnaga seostada ja seega saavad rollist kasu kõik meeskonnaga seotud kasutajad. Dataverse'i turbe keskne põhimõte on mõista, et kõik õiguse andmised on kasvavad, mis on juhitud suurimast kogusest. Kui andsite üldise organisatsioonitaseme lugemisõiguse kõigile kontaktikirjetele, ei saa te tagasi minna ja üksikut kirjet peita.

Äriüksused

Jootraha

Video sümbol Vaadake järgmist videot: Äriüksuste kaasajastamine.

Äriüksused töötavad turberollidega, et määrata kindlaks kasutaja tõhus turvalisus. Äriüksused on turbe modelleerimise aluseks, mis aitab hallata kasutajaid ja andmeid, millele neil on juurdepääs. Äriüksused määratlevad turbepiiri. Igal Dataverse'i andmebaasil on ühe juurega äriüksus.

Saate luua alluvaid äriüksusi, et aidata kasutajaid ja andmeid veelgi enam segmentida. Iga keskkonnale määratud kasutaja kuulub äriüksusesse. Kui äriüksusi saab kasutada tõese 1:1 organisatsiooni hierarhia mudelleerimiseks, kalduvad nad sagedamini rohkem määratletud turbepiiride poole, mis aitavad saavutada turbemudeli vajadusi.

Paremaks mõistmiseks vaatame järgmist näidet. Meil on kolm äriüksust. Woodgrove on juuräriüksus ja püsib alati ülaosas, mis on muutumatu. Oleme loonud kaks tütaräriüksust A ja B. Nende äriüksuste kasutajatel on erinevad juurdepääsuvajadused. Kui me seostame kasutaja selle keskkonnaga, saame määrata kasutaja ühe äriüksuse liikmeks nendest kolmest. Kasutaja seotuse asukoht määrab, millisele äriüksusele kuuluvad kirjed sellele kasutajale kuuluvad. Selle seose olemasolu võimaldab meil kohandada turberolli nii, et kasutaja näeks kõiki selle äriüksuse kirjeid.

Hierarhiline andmejuurdepääsu struktuur

Kliendid saavad kasutada organisatsiooni struktuuri, kus andmed ja kasutaja on indikatsioonilised puutaolise hierarhiana.

Kui seostame kasutaja selle keskkonnaga, saame seada kasutaja ühte nendest kolmest äriüksusest jamäärata turberoll äriüksusest kasutajale. Äriüksus, millega kasutaja on seostatud, määratleb, millisele äriüksusele kirjeid kuuluvad, kui kasutaja loob kirje. Selle seose abil saame kohandada turberolli, mis võimaldab kasutajal näha selle äriüksuse kirjeid.

Kasutaja A on seostatud allüksusega A ja talleon määratud turberoll Y allüksusest A. See võimaldab kasutajale A juurdepääsu #1 kontaktidele ja #2 kirjetele. Kuigi kasutaja B divisjonis B ei pääse juurde divisjoni A kontaktandmetele, saab ta juurde pääseda kontakti nr 3 kirjele.

Maatriksandmete juurdepääsu struktuuri näide

Maatriksandmetele juurdepääsu struktuur (moderniseeritud äriüksused)

Kliendid saavad kasutada organisatsiooni struktuuri, kus andmed on salvestatud puutaolise hierarhia kaudu ning kasutajad saavad töötada ja pääseda juurde mis tahes äriüksuse andmetele, sõltumata sellest, millise äriüksusele kasutaja on määratud.

Kui me seostame kasutaja selle keskkonnaga, saame määrata kasutaja ühe äriüksuse liikmeks nendest kolmest. Et pääseda ligi igale äriüksusele, mida klient vajab, on kasutajale määratud vastavast äriüksusest turberoll. Kui kasutaja loob kirje, saab kasutaja määrata, et äriüksus kuulub kirjele.

Kasutaja A saab seostada mis tahes äriüksusega (sh juuräriüksusega). Turberoll Y allüksusest A määratakse kasutajale A, mis annab talle juurdepääsu Kontakt #1 ja Kontakt #2 kirjetele. Turberoll Y allüksusest B määratakse kasutajale A, mis annab talle juurdepääsu Kontakt #3 kirjetele.

Hierarhilise andmejuurdepääsu struktuuri näide

Lubage Matrixi andmetele juurdepääsu struktuur

Märkus.

Enne selle funktsiooni lubamist peate avaldama kõik oma kohandused, et lubada funktsiooni jaoks kõik uued avaldamata tabelid. Kui leiate, et teil on avaldamata tabeleid, mis selle funktsiooniga pärast selle sisselülitamist ei tööta, saate määrata sätte RecomputeOwnershipAcrossBusinessUnits CRM-i OrgDBOrgSettings tööriista Microsoft Dynamics OrgDBOrgSettings abil. Välja RecomputeOwnershipAcrossBusinessUnits väärtusele tõene määramine lubab välja Omanikäriüksus seadistada ja värskendada.

  1. Logige Power Platform halduskeskusesse sisse administraatorina (Dynamics 365 administraator või Microsoft Power Platform administraator).
  2. Valige navigeerimispaanil Halda .
  3. Valige paanil Haldamine Keskkonnad ja seejärel keskkond, mille jaoks soovite selle funktsiooni lubada.
  4. Valige Sätted>Toode>Funktsioonid.
  5. Lülitage SisseKirje äriüksuse ülese omandiõiguse lubamise lüliti.
  6. Valige käsk Salvesta.

Pärast selle funktsioonilüliti sisselülitamist saate kasutajale turberolli määramisel valida äriüksuse. ... See võimaldab teil määrata kasutajale turberolli erinevatest äriüksustest. Samuti nõuab kasutaja turberolli äriüksuselt, millele kasutaja on määratud kasutaja sätete õigused mudelipõhiste rakenduste käitamiseks. Saate vaadata Põhikasutaja turberolli, et teada saada, kuidas need kasutajasätete õigused on lubatud.

Saate määrata kasutaja kirje omanikuks mis tahes äriüksuses, ilma et oleks vaja määrata turberolli kirjet omavas äriüksuses, kui kasutajal on turberoll, millel on kirjetabeli lugemisõigus. Vaadake jaotist Moderniseeritud äriüksuste omandiõiguse kirje.

Märkus.

See funktsioonilüliti on salvestatud sättesse EnableOwnershipAcrossBusinessUnits ja seda saab seadistada OrgDBOrgSettings tööriist Microsoft Dynamics CRM-i jaoks.

Äriüksuse seostamine turberühmaga Microsoft Entra

Kasutajate haldamise ja rollide määramise sujuvamaks muutmiseks saate oma äriüksuse kaardistamiseks kasutada turberühma. Microsoft Entra

Looge iga äriüksuse jaoks turberühm ja määrake igale rühma meeskonnale vastav äriüksuse turberoll. Microsoft Entra

Looge iga äriüksuse jaoks turberühm. Microsoft Entra

Iga äriüksuse jaoks looge turberühm. Microsoft Entra Looge iga turvarühma jaoks Dataverse meeskond . Microsoft Entra Määrake äriüksuselt igale Dataverse'i rühma meeskonnale vastav turberoll. Ülaltoodud diagrammil olev kasutaja luuakse juuräriüksuses, kui kasutaja pääseb keskkonda. See on hea, kui kasutaja ja Dataverse'i rühma meeskonnad on juuräriüksuses. Neil on juurdepääs andmetele ainult selles äriüksuses, kus turberoll on määratud.

Lisage kasutajad vastavasse turbegruppi, et anda neile juurdepääs äriüksusele. Microsoft Entra Kasutajad saavad rakendust kohe käivitada ja pääseda juurde selle ressurssidele/andmetele.

Maatriksi andmetele juurdepääsu osas, kus kasutajad saavad töötada ja pääseda juurde mitme äriüksuse andmetele, lisage kasutajad nende äriüksustega seotud turberühmadesse, mis on nende äriüksustega kaardistatud. Microsoft Entra

Äriüksuse omamine

Igal kirjel on veerg **Omanik äriüksus**, mis määrab, millisele äriüksusele kirje kuulub. See veerg kasutab kirje loomisel vaikimisi kasutaja äriüksust ja seda ei saa muuta, välja arvatud juhul, kui funktsioonilüliti on sisse lülitatud.

Märkus.

Kui muudate kirje omanikku, siis kontrollige kindlasti järgmist kaskaadefektide osas: Kaskaadkäitumise konfigureerimine SDK for .NET abil.

Saate hallata, kas soovite lubada oma kasutajal seada omaniku äriüksus veergu, kui funktsiooni lülitus on sees. Veeru Omaniku äriüksus määramiseks peate andma kasutajale kohaliku tasandi loaga äriüksuse tabel Lisa õigused.

Kui soovite lubada oma kasutajal selle veeru seada, saate selle veeru lubada järgmiselt:

  1. Vorm – nii keha kui ka päis.
  2. Vaade.
  3. Veergude kaardistused. Kui kasutate ühikut AutoMapEntity, saate veeru kaardistuses määrata veeru.

Märkus.

Kui teil on töö/protsess andmete sünkroonimiseks keskkondade vahel ja **Omanik äriüksus** on skeemi osa, siis teie töö ebaõnnestub **Võõrvõtme** **piirangu rikkumisega**, kui sihtkeskkonnal ei ole sama **Omanik äriüksus** väärtust.

Saate lähteskeemist eemaldada veeru Omanikust Äriüksus või värskendada lähteveeru Omanikust Äriüksus väärtuseks mis tahes sihtäriüksused.

Kui teil on töö/protsess andmete kopeerimiseks keskkonnast välisele ressursile, näiteks Power BI, peate oma allikast valima või tühistama veeru Omanikäriüksus . Valige see, kui teie ressurss saab selle vastu võtta, vastasel juhul tühistage see.

Tabeli/kirje omandiõigus

Dataverse toetab kahte tüüpi kirje omandiõigust. Organisatsiooni omanduses ja kasutaja või meeskonna omanduses. See on valik, mis juhtub tabeli loomisel ja mida ei saa muuta. Turvalisuse huvides on ettevõtte kirjete korral ainsad juurdepääsutaseme valikud, kas kasutaja saab seda toimingut teha või ei saa. Kasutaja ja meeskonna kirjete korral on enamiku õiguste juurdepääsutaseme valikud mitmekihilised, nagu organisatsioon, äriüksus, äriüksus ja alluv äriüksus, või ainult kasutaja enda kirjed. See tähendab, et kontaktile lugemisõiguse andmiseks võin määrata kasutaja omandusse ja kasutaja näeks ainult oma kirjeid.

Toome veel ühe näite. Oletame, et kasutaja A on seostatud allüksusega A ja anname neile äriüksuse taseme lugemisõiguse kontaktile. Nad näevad kontakti #1 ja #2, kuid mitte kontakti #3.

Turberolli õiguste konfigureerimisel või muutmisel määrate iga suvandi juurdepääsutaseme. Järgnev on näide turberolli õiguste redaktori kohta.

Turberolli õigused.

Ülaltoodud tabelis näete iga tabeli Loomine, Lugemine, Kirjutamine, Kustutamine, Lõppu lisamine, Lõppu lisamine, Määramine ja Ühiskasutus tüüpe. Saate kõiki neid ükshaaval redigeerida. Neist iga ühe välimus vastab allolevale võtmele, sõltuvalt sellest millise juurdepääsutaseme olete määranud.

Turberolli õiguste võti.

Eeltoodud näites andsime kontaktile organisatsiooni tasemel juurdepääsu, mis tähendab, et allüksuse A kasutaja võib vaadata ja värskendada ükskõik kelle omandis olevaid kontakte. Tegelikult on üheks levinumaks administratiivseks veaks see, kui õigused teevad tuska ja antakse üleliia palju juurdepääsu. Väga kiiresti hakkab hästi meisterdatud turvamudel välja nägema nagu Šveitsi juust (auke täis!).

Moderniseeritud äriüksuste omandiõiguse kirje

Moderniseeritud äriüksustes saavad kasutajad olla kirjete omanikud kõigis äriüksustes. Kasutajad vajavad ainult turberolli (mis tahes äriüksus), millel on kirjetabeli lugemisõigus. Kasutajatele ei pea olema määratud turberolli igas äriüksuses, kus kirje asub.

Kui Kirje omandiline kuuluvus äriüksuste vahel oli teie töökeskkonnas eelvaateperioodil lubatud, peate selle kirje omandiõiguse lubamiseks kõigis äriüksustes tegema järgmist.

  1. Installige Organisatsioonisätete redaktor
  2. Määrake organisatsiooni RecomputeOwnershipAcrossBusinessUnits sätted tõeseks. Kui see säte on seatud väärtusele tõene, on süsteem lukus ja ümberarvutamine võib võtta kuni 5 minutit, et lubada funktsioon, mille abil saavad kasutajad nüüd omada kirjeid eri äriüksustes ilma, et iga äriüksuse jaoks oleks vaja eraldi turberolli määrata. See võimaldab kirje omanikul määrata oma kirje kellelegi väljaspool kirjet omavat äriüksust.
  3. Määrake AlwaysMoveRecordToOwnerBusinessUnit väärtuseks Väär. See jätab kirje algse omaniku äriüksusesse alles siis, kui kirje omandiõigust muudetakse.

Kõigi tootmisväliste keskkondade puhul peate selle võimaluse kasutamiseks lihtsalt määrama väärtuse AlwaysMoveRecordToOwnerBusinessUnit.

Märkus.

Kui lülitate funktsiooni Kirje omandiõigus äriüksuste lõikes välja või määrate säte RecomputeOwnershipAcrossBusinessUnits CRM-i tööriista OrgDBOrgSettings väärtuseks väär, siis ei saa te välja Microsoft Dynamics Omanik äriüksus määrata ega värskendada ning kõik kirjed, mille väli Omanik äriüksus erineb omaniku äriüksusest, värskendatakse omaniku äriüksuseks. ...

Meeskonnad (sh rühma meeskonnad)

Veel üks oluline turbe koosteüksus on meeskonnad. Meeskonnad kuuluvad äriüksusele. Igal äriüksusel on üks vaike-meeskond, mis luuakse äriüksuse loomisel automaatselt. Vaike-meeskonna liikmeid haldab Dataverse ja see sisaldab alati kõiki selle äriüksusega seostatud kasutajaid. Vaike-meeskonda ei saa liikmeid käsitsi lisada ega neid sealt eemaldada, neid kohanduvad süsteemis dünaamiliselt, kuna uued kasutajad seostatakse/tühistatakse äriüksustes. Meeskondi on kahte tüüpi, omanikust meeskonnad ja juurdepääsumeeskonnad.

  • Omanikust meeskonnad saavad omada kirjeid, mis annavad igale meeskonnaliikmele otsejuurdepääsu sellele kirjele. Kasutajad võivad olla mitme meeskonna liikmed. See võimaldab sellel olla võimas viis kasutajatele laiaulatuslike õiguste andmiseks ilma individuaalse kasutaja tasandil juurdepääsu mikrotasandil haldamata.
  • Accessi meeskondi käsitletakse järgmises jaotises kirjete ühiskasutuse osana.

Kirjete ühiskasutusse andmine

Üksikuid kirjeid saab teise kasutajaga ükshaaval jagada. See on võimas viis erandite käsitlemiseks, mis ei kuulu kirje omandiõiguse alla ega ole äriüksuse juurdepääsumudeli osa. See peaks siiski olema erand, kuna see on vähem efektiivne viis juurdepääsu kontrollimiseks. Jagamise tõrkeotsing on keerulisem, kuna see pole järjepidevalt rakendatud juurdepääsu kontroll. Ühiskasutusse saab anda nii kasutaja kui ka meeskonna tasemel. Tõhusaim viis ühiskasutusse andmiseks on teha seda meeskonnaga. Täiustatum jagamiskontseptsioon on juurdepääsumeeskondade abil, mis pakub meeskonna automaatset loomist ja kirjete juurdepääsu jagamist meeskonnaga rakendatud juurdepääsumeeskonna malli (õiguste malli) alusel. Juurdepääsumeeskondi saab kasutada ka ilma mallideta, lisades või eemaldades liikmeid käsitsi. Juurdepääsumeeskonnad on tõhusamad, kuna need ei võimalda meeskondadel kirjeid omada või meeskonnale turberolle määrata. Kasutajad saavad juurdepääsu tänu sellele, et kirje on antud ühiskasutusse meeskonnale, mille liige kasutaja on.

Kirje taseme turve teenuses Dataverse

Teile võib huvi pakkuda – mis määratleb juurdepääsu kirjele? See kõlab lihtsa küsimusena, aga iga kasutaja puhul on see kõigi tema turberollide, äriüksuse, millega ta on seotud, meeskondade, mille liikmeks ta on, ja temaga jagatud kirjete kombinatsioon. Kõige olulisem on meeles pidada, et kogu juurdepääs on kogunev kõigis nendes mõistetes Dataverse'i andmebaasi keskkonna ulatuses. Need õigused antakse ainult ühes andmebaasis ja neid jälgitakse eraldi igas Dataverse'i andmebaasis. Selleks on vaja, et neil oleks Dataverse'ile juurdepääsuks vastav litsents.

Veerutaseme turvalisus Dataverse'is

Mõnikord ei ole juurdepääsu kirjete tasemel kontroll mõne äristsenaariumi korral piisav. Dataverse'il on veerutaseme turvaelement, mis võimaldab detailset kontrolli turbe üle veeru tasemel. Veerutaseme turvet saab lubada kõigil kohandatud veergudel ja enamikul süsteemi veergudel. Enamik süsteemi veerfe, mis sisaldavad isiku tuvastamist võimaldavat teavet (PII), on võimalik eraldi turvata. Iga veeru metaandmed määratlevad, kas see on süsteemi veeru jaoks saadaolev suvand.

Veerutaseme turve lubatakse ükshaaval iga veeru põhjal. Juurdepääsuõigusi hallatakse seejärel veeru turbeprofiili loomisel. Profiil sisaldab kõiki veerge, millel on lubatud veerutaseme turve ja juurdepääs antud selle konkreetse profiiliga antud. Profiili igat veergu saab kontrollida rakenduse loomiseks, värskendamiseks ja lugemisõiguse andmiseks. Veeru turbeprofiilid seostatakse seejärel kasutaja või meeskondadega, et anda kasutajatele õigused nendele kirjetele, millele neil on juba juurdepääs. Oluline on märkida, et veerutaseme turvalisusel pole midagi pistmist kirjete taseme turvalisusega. Kasutajal peab veergudele juurdepääsu võimaldamiseks olema juba juurdepääs veeru turbeprofiili kirjele. Veerutaseme turvet tuleks kasutada vastavalt vajadusele ja mitte liiga palju, kuna see võib ülekasutamisel lisada kahjumlikke üldkulusid.

Turbe haldamine erinevates keskkondades

Turberolle ja veeru turbeprofiile saab pakkida ja Dataverse'i lahenduste abil ühest keskkonnast teise viia. Äriüksuseid ja meeskondasid tuleb luua ja hallata igas keskkonnas koos vajalikele turbekomponentidele kkasutajate määramisega.

Kasutajate keskkonna turbe konfigureerimine

Kui rollid, meeskonnad ja äriüksused on loodud keskkonnas, on aeg määrata kasutajatele nende turbekonfiguratsioonid. Esiteks, kasutaja loomisel seostate kasutaja äriüksusega. See on vaikimisi organisatsiooni juuräriüksus. Samuti lisatakse need selle äriüksuse vaikemeeskonda.

Lisaks saate määrata kõik kasutaja vajadustele vastavad turberollid. Saate lisada nad ka kõikide meeskondade liikmeteks. Pidage meeles, et meeskondadel võivad olla ka turberollid, nii et kasutaja tõhusad õigused on otseselt määratud turberollide kombinatsioon koos mis tahes meeskondade õigustega, mille liikmed nad on. Turve on alati lisandiks, mis pakub kõigi oma õiguste kõige vähem piiravat õigust. Järgnev on hea ülevaade keskkonna turvalisuse konfigureerimise kohta.

Kui olete kasutanud veerutaseme turvalisust, peate kasutaja või kasutaja meeskonna seostama mõne teie loodud veeru veeruturbe profiiliga.

Turvalisus on keerukas artikkel ja seda on kõige parem saavutada rakenduste loojate ja kasutajate õigusi haldava meeskonna ühise jõupingutusena. Kõik olulised muudatused tuleb enne nende keskkonda juurutamist kooskõlastada.

Vt ka

Keskkonna turvalisuse konfigureerimine
Turberollid ja õigused

  • Last updated on