Jagamisviis:

Microsoft Dataverse'i turbepõhimõtted

  • Artikkel

Teenuse Dataverse üheks põhiomaduseks on selle rikkalik turbemudel, mis kohandub paljude ärikasutuse stsenaariumidega. See turbemudel on saadaval ainult juhul, kui keskkonnas on Dataverse'i andmebaas. Administraatorina ei loo te tõenäoliselt kogu turbe mudelit ise, vaid olete sageli kaasatud kasutajate haldamisse ning veendute, et neil on õige konfiguratsioon ja viite läbi turbejuurdepääsuga seotud probleemide tõrkeotsingut.

Jootraha

Video sümbolVaadake järgmist videot: Microsoft Dataverse – demodes näidatud turvakontseptsioonid.

Rollipõhine turve

Dataverse kasutab rollipõhist turvet õiguste kogum kokku rühmitamiseks. Neid turberolle saab seostada kasutajatega otse, samuti saab neid seostada Dataverse meeskondade ja äriüksustega. Kasutajaid saab seejärel meeskonnaga seostada ja läbi selle saavad kõik meeskonnaga seostatud kasutajad sellest rollist kasu. Dataverse'i turbe keskne põhimõte on mõista, et kõik õiguse andmised on kasvavad, mis on juhitud suurimast kogusest. Kui andsite üldise organisatsioonitaseme lugemisõiguse kõigile kontaktikirjetele, ei saa te tagasi minna ja üksikut kirjet peita.

Äriüksused

Jootraha

Video sümbolVaadake järgmist videot: Äriüksuste moderniseerimine.

Äriüksused töötavad turberollidega, et määrata kindlaks kasutaja tõhus turvalisus. Äriüksused on turbe modelleerimise aluseks, mis aitab hallata kasutajaid ja andmeid, millele neil on juurdepääs. Äriüksused määratlevad turbepiiri. Igal Dataverse'i andmebaasil on ühe juurega äriüksus.

Saate luua alluvaid äriüksusi, et aidata kasutajaid ja andmeid veelgi enam segmentida. Kõik keskkonnale määratud kasutajad kuuluvad äriüksusse. Kui äriüksusi saab kasutada tõese 1:1 organisatsiooni hierarhia mudelleerimiseks, kalduvad nad sagedamini rohkem määratletud turbepiiride poole, mis aitavad saavutada turbemudeli vajadusi.

Selle paremaks mõistmiseks vaatame järgnevat näidet. Meil on kolm äriüksust. Woodgrove on juuräriüksus ja püsib alati ülaosas, mis on muutumatu. Oleme loonud veel kaks tütarüksust A ja B. Nende äriüksuste kasutajatel on väga erinevad juurdepääsuvajadused. Kui me seostame kasutaja selle keskkonnaga, saame määrata kasutaja ühe äriüksuse liikmeks nendest kolmest. See, kuhu kasutaja on seostatud, määratleb selle, milline äriüksus omab kirjeid, mille omanik kasutaja on. Selle seose olemasolu võimaldab meil kohandada turberolli nii, et kasutaja näeks kõiki selle äriüksuse kirjeid.

Hierarhiline andmejuurdepääsu struktuur

Kliendid saavad kasutada organisatsiooni struktuuri, kus andmed ja kasutaja on indikatsioonilised puutaolise hierarhiana.

Kui seostame kasutaja selle keskkonnaga, saame seada kasutaja ühte nendest kolmest äriüksusest jamäärata turberoll äriüksusest kasutajale. Äriüksus, millega kasutaja on seostatud, määratleb, millisele äriüksusele kirjeid kuuluvad, kui kasutaja loob kirje. Seda seost omades võimaldab see meil luua turberolli, mis võimaldab kasutajal selles äriüksuses kirjeid vaadata.

Kasutaja A on seostatud allüksusega A ja talleon määratud turberoll Y allüksusest A. See võimaldab kasutajale A juurdepääsu #1 kontaktidele ja #2 kirjetele. Kuni kasutaja B allüksuses B ei pääse allüksuse A kontaktikirjetele juurde, kuid pääseb juurde kontakti #3 kirjele.

Maatriksandmete juurdepääsu struktuuri näide

Maatriksandmetele juurdepääsu struktuur (moderniseeritud äriüksused)

Kliendid saavad kasutada organisatsiooni struktuuri, kus andmed on salvestatud puutaolise hierarhia kaudu ning kasutajad saavad töötada ja pääseda juurde mis tahes äriüksuse andmetele, sõltumata sellest, millise äriüksusele kasutaja on määratud.

Kui me seostame kasutaja selle keskkonnaga, saame määrata kasutaja ühe äriüksuse liikmeks nendest kolmest. Et pääseda ligi igale äriüksusele, mida klient vajab, on kasutajale määratud vastavast äriüksusest turberoll. Kui kasutaja loob kirje, saab kasutaja määrata, et äriüksus kuulub kirjele.

Kasutaja A saab seostada mis tahes äriüksusega (sh juuräriüksusega). Turberoll Y allüksusest A määratakse kasutajale A, mis annab talle juurdepääsu Kontakt #1 ja Kontakt #2 kirjetele. Turberoll Y allüksusest B määratakse kasutajale A, mis annab talle juurdepääsu Kontakt #3 kirjetele.

Hierarhilise andmejuurdepääsu struktuuri näide

Lubage Matrixi andmetele juurdepääsu struktuur

Märkus.

Enne selle funktsiooni lubamist peate avaldama kõik oma kohandused, et lubada funktsiooni jaoks kõik uued avaldamata tabelid. Kui leiate, et teil on avaldamata tabeleid, mis pärast selle funktsiooni sisselülitamist selle funktsiooniga ei tööta, saate määrata sätte RecomputeOwnershipAcrossBusinessUnits, kasutades OrgDBOrgSettings tööriist Microsoft Dynamics CRM-i jaoks. RecomputeOwnershipAcrossBusinessUnits väärtuseks tõene seadmine võimaldab välja Omav äriüksus seadistada ja värskendada.

  1. Logige sisse Power Platform administreerimiskeskusesse administraatorina (Dynamics 365 administraator, globaalne administraator või Microsoft Power Platform administraator).
  2. Valige Keskkondade ja seejärel valige keskkond, mille jaoks soovite seda funktsiooni lubada.
  3. Valige Sätted>Toode>Funktsioonid.
  4. Lülitage SisseKirje äriüksuse ülese omandiõiguse lubamise lüliti.

Kui see funktsiooni lüliti on sisse lülitatud, saate äriüksuse valida siis, kui määrate kasutajale turberolli. See võimaldab teil määrata kasutajale turberolli erinevatest äriüksustest. Samuti nõuab kasutaja turberolli äriüksuselt, millele kasutaja on määratud kasutaja sätete õigused mudelipõhiste rakenduste käitamiseks. Saate vaadata Põhikasutaja turberolli, et teada saada, kuidas need kasutajasätete õigused on lubatud.

Saate määrata kasutaja kirje omanikuks mis tahes äriüksuses, ilma et oleks vaja määrata turberolli kirjet omavas äriüksuses, kui kasutajal on turberoll, millel on kirjetabeli lugemisõigus. Vaadake jaotist Moderniseeritud äriüksuste omandiõiguse kirje.

Märkus.

See funktsioonilüliti on salvestatud sättesse EnableOwnershipAcrossBusinessUnits ja seda saab seadistada OrgDBOrgSettings tööriist Microsoft Dynamics CRM-i jaoks.

Äriüksuse seostamine Microsoft Entra turberühmaga

Saate kasutada Microsoft Entra turberühma oma äriüksuse vastendamiseks, et muuta kasutajahaldus ja rollide määramine sujuvamaks.

Microsoft Entra Looge iga äriüksuse jaoks turberühm ja määrake igale rühmameeskonnale vastav äriüksus turberoll.

Microsoft Entra Looge iga äriüksuse jaoks turberühm.

Looge Microsoft Entra iga äriüksuse jaoks turberühm. Dataverse Looge iga turberühma jaoks rühmameeskond Microsoft Entra . Määrake äriüksuselt igale Dataverse'i rühma meeskonnale vastav turberoll. Ülaltoodud diagrammil olev kasutaja luuakse juuräriüksuses, kui kasutaja pääseb keskkonda. See on hea, kui kasutaja ja Dataverse'i rühma meeskonnad on juuräriüksuses. Neil on juurdepääs andmetele ainult selles äriüksuses, kus turberoll on määratud.

Lisage kasutajad vastavasse Microsoft Entra turberühma, et anda neile juurdepääs äriüksusele. Kasutajad saavad rakendust kohe käivitada ja pääseda juurde selle ressurssidele/andmetele.

Maatriksandmetele juurdepääsus, kus kasutajad saavad töötada ja pääseda juurde mitme äriüksuse andmetele, lisage kasutajad nende äriüksustega vastendatud turberühmadesse Microsoft Entra .

Äriüksuse omamine

Igal kirjel on veerg Omav äriüksus , mis määrab, millisele äriüksusele kirje kuulub. See veerg on kirje loomisel kasutaja äriüksuse vaikeväärtuseks ja seda ei saa muuta, välja arvatud juhul, kui funktsiooni lülitus on sisse lülitatud.

Märkus.

Kui muudate kirjet omavat äriüksust, vaadake kaskaadiefektide osas kindlasti järgmist: SDK kasutamine .NET-i jaoks kaskaadikäitumise konfigureerimiseks.

Saate hallata, kas soovite lubada oma kasutajal seada omaniku äriüksus veergu, kui funktsiooni lülitus on sees. Veeru Omaniku äriüksus määramiseks peate andma kasutajale kohaliku tasandi loaga äriüksuse tabel Lisa õigused.

Kui soovite lubada oma kasutajal selle veeru seada, saate selle veeru lubada järgmiselt:

  1. Vorm – nii keha kui ka päis.
  2. Vaade.
  3. Veeruvastendused. Kui kasutate AutoMapEntity, siis saate veeruvastenduses määrata veeru.

Märkus.

Kui teil on töö/protsess andmete sünkroonimiseks keskkondade vahel ja Omanikust Äriüksus on kaasatud skeemi osana, nurjub teie töö Välise VÕTME kaasamispiiranguga, kui sihtkeskkonnal pole sama Omanikust Äriüksuse väärtust.

Saate lähteskeemist eemaldada veeru Omanikust Äriüksus või värskendada lähteveeru Omanikust Äriüksus väärtuseks mis tahes sihtäriüksused.

Kui teil on töö/protsess andmete kopeerimiseks keskkonnast välisesse ressurssi, näiteks PowerBI-sse, siis peate oma lähtekeskkonnas valima või tühistama oma Omanikust Äriüksuse veeru. Valige see, kui teie ressurss saab selle vastu võtta, vastasel juhul tühistage see.

Tabeli/kirje omandiõigus

Dataverse toetab kahte tüüpi kirje omandiõigust. Organisatsiooni omanduses ja kasutaja või meeskonna omanduses. See on valik, mis juhtub tabeli loomisel ja mida ei saa muuta. Turvalisuse huvides on ettevõtte kirjete korral ainsad juurdepääsutaseme valikud, kas kasutaja saab seda toimingut teha või ei saa. Kasutaja ja meeskonna kirjete korral on enamiku õiguste juurdepääsutaseme valikud mitmekihilised, nagu organisatsioon, äriüksus, äriüksus ja alluv äriüksus, või ainult kasutaja enda kirjed. See tähendab, et kontaktile lugemisõiguse andmiseks võin määrata kasutaja omandusse ja kasutaja näeks ainult oma kirjeid.

Toome veel ühe näite. Oletame, et kasutaja A on seostatud allüksusega A ja anname neile äriüksuse taseme lugemisõiguse kontaktile. Nad näevad kontakti #1 ja #2, kuid mitte kontakti #3.

Turberolli õiguste konfigureerimisel või muutmisel määrate iga suvandi juurdepääsutaseme. Järgnev on näide turberolli õiguste redaktori kohta.

Turberoll privileegid.

Ülaltoodud tabelis näete iga tabeli Loomine, Lugemine, Kirjutamine, Kustutamine, Lõppu lisamine, Lõppu lisamine, Määramine ja Ühiskasutus tüüpe. Saate kõiki neid ükshaaval redigeerida. Neist iga ühe välimus vastab allolevale võtmele, sõltuvalt sellest millise juurdepääsutaseme olete määranud.

Turberoll õiguste võti.

Eeltoodud näites andsime kontaktile organisatsiooni tasemel juurdepääsu, mis tähendab, et allüksuse A kasutaja võib vaadata ja värskendada ükskõik kelle omandis olevaid kontakte. Tegelikult on üheks levinumaks administratiivseks veaks see, kui õigused teevad tuska ja antakse üleliia palju juurdepääsu. See muudab hästi koostatud turbemudeli üsna pea šveitsi juustu sarnaseks (auguliseks!).

Moderniseeritud äriüksuste omandiõiguse kirje

Moderniseeritud äriüksustes saavad kasutajad olla kirjete omanikud kõigis äriüksustes. Kasutajad vajavad ainult turberolli (mis tahes äriüksus), millel on kirjetabeli lugemisõigus. Kasutajatele ei pea olema määratud turberolli igas äriüksuses, kus kirje asub.

Kui Kirje omandiline kuuluvus äriüksuste vahel oli teie töökeskkonnas eelvaateperioodil lubatud, peate selle kirje omandiõiguse lubamiseks kõigis äriüksustes tegema järgmist.

  1. Installige Organisatsioonisätete redaktor
  2. Määrake organisatsiooni RecomputeOwnershipAcrossBusinessUnits sätted tõeseks. Kui see säte on seatud tõeseks, on süsteem lukus ja ümberarvutamiseks võib kuluda kuni 5 minutit, et võimaldada võimalus, kus kasutajad saavad nüüd omada kirjeid kõigis äriüksustes, ilma et oleks vaja igast äriüksusest eraldi turberoll määrata. See võimaldab kirje omanikul määrata oma kirje kellelegi väljaspool kirjet omavat äriüksust.
  3. Määrake AlwaysMoveRecordToOwnerBusinessUnit väärtuseks Väär. See jätab kirje algse omaniku äriüksusesse alles siis, kui kirje omandiõigust muudetakse.

Kõigi tootmisväliste keskkondade puhul peate selle võimaluse kasutamiseks lihtsalt määrama väärtuse AlwaysMoveRecordToOwnerBusinessUnit.

Märkus.

Kui lülitate välja funktsiooni Kirje äriüksuste omandiõigus või määrate sätte RecomputeOwnershipAcrossBusinessUnits valeks, kasutades CRM-i Microsoft Dynamics tööriistaOrgDBOrgSettings, ei saa te välja Omav äriüksus määrata ega värskendada ning kõik kirjed, mille väli Omav äriüksus erineb omaniku äriüksusest, värskendatakse omaniku äriüksuseks.

Meeskonnad (sh rühma meeskonnad)

Veel üks oluline turbe koosteüksus on meeskonnad. Meeskonnad kuuluvad äriüksusele. Igal äriüksusel on üks vaike-meeskond, mis luuakse äriüksuse loomisel automaatselt. Vaike-meeskonna liikmeid haldab Dataverse ja see sisaldab alati kõiki selle äriüksusega seostatud kasutajaid. Vaike-meeskonda ei saa liikmeid käsitsi lisada ega neid sealt eemaldada, neid kohanduvad süsteemis dünaamiliselt, kuna uued kasutajad seostatakse/tühistatakse äriüksustes. Meeskondi on kahte tüüpi, omanikust meeskonnad ja juurdepääsumeeskonnad.

  • Omanikust meeskonnad saavad omada kirjeid, mis annavad igale meeskonnaliikmele otsejuurdepääsu sellele kirjele. Kasutajad võivad olla mitme meeskonna liikmed. Tänu sellele on see tõhus viis kasutajatele laiemalt õiguste andmiseks, ilma üksikkasutaja tasandil juurdepääsu haldamata.
  • Accessi meeskondi käsitletakse järgmises jaotises kirjete ühiskasutuse osana.

Kirjete ühiskasutusse andmine

Üksikuid kirjeid saab ükshaaval teise kasutajaga jagada. See on võimas viis käsitleda erandeid, mis ei kuulu kirje omandiõigusse ega ole äriüksuse juurdepääsumudeli liige. See peaks siiski olema erand, sest see on vähem toimiv viis juurdepääsu kontrollimiseks. Ühiskasutuse tõrkeotsingut on raskem teha, kuna see pole järjepidevalt rakendatud juurdepääsukontroll. Ühiskasutusse saab anda nii kasutaja kui ka meeskonna tasemel. Tõhusaim viis ühiskasutusse andmiseks on teha seda meeskonnaga. Ühiskasutuse täiustatud kontseptsioon on Access Teamsiga, mis pakub meeskonna automaatset loomist ja kirjete juurdepääsu jagamine meeskonnaga põhineb rakendatud juurdepääsumeeskonna mallil (õiguste mall). Juurdepääsumeeskondi saab kasutada ka ilma mallideta, lihtsalt lisades või eemaldades selle liikmeid käsitsi. Juurdepääsumeeskonnad on tõhusamad, kuna need ei võimalda meeskondadel kirjeid omada või meeskonnale turberolle määrata. Kasutajad saavad juurdepääsu tänu sellele, et kirje on antud ühiskasutusse meeskonnale, mille liige kasutaja on.

Kirje taseme turve teenuses Dataverse

Teile võib huvi pakkuda – mis määratleb juurdepääsu kirjele? See kõlab lihtsa küsimusena, kuid iga konkreetse kasutaja jaoks hõlmab see kõigi tema turberollide kombinatsiooni, temaga seostatud äriüksust, meeskonda, kuhu ta kuulub ja temaga ühiskasutusse antud kirjeid. Kõige olulisem on meeles pidada, et kogu juurdepääs on kogunev kõigis nendes mõistetes Dataverse'i andmebaasi keskkonna ulatuses. Need õigused antakse ainult ühes andmebaasis ja neid jälgitakse eraldi igas Dataverse'i andmebaasis. Selleks on vaja, et neil oleks Dataverse'ile juurdepääsuks vastav litsents.

Veerutaseme turvalisus Dataverse'is

Mõnikord ei ole kirje taseme juurdepääsu juhtimine mõne äsistsenaariumi jaoks sobilik. Dataverse'il on veerutaseme turvaelement, mis võimaldab detailset kontrolli turbe üle veeru tasemel. Veerutaseme turvet saab lubada kõigil kohandatud veergudel ja enamikul süsteemi veergudel. Enamik süsteemi veerfe, mis sisaldavad isiku tuvastamist võimaldavat teavet (PII), on võimalik eraldi turvata. Iga veeru metaandmed määratlevad, kas see on süsteemi veeru jaoks saadaolev suvand.

Veerutaseme turve lubatakse ükshaaval iga veeru põhjal. Juurdepääsuõigusi hallatakse seejärel veeru turbeprofiili loomisel. Profiil sisaldab kõiki veerge, millel on lubatud veerutaseme turve ja juurdepääs antud selle konkreetse profiiliga antud. Profiili igat veergu saab kontrollida rakenduse loomiseks, värskendamiseks ja lugemisõiguse andmiseks. Veeru turbeprofiilid seostatakse seejärel kasutaja või meeskondadega, et anda kasutajatele õigused nendele kirjetele, millele neil on juba juurdepääs. Oluline on märkida, et veerutaseme turvalisusel pole midagi pistmist kirjete taseme turvalisusega. Kasutajal peab veergudele juurdepääsu võimaldamiseks olema juba juurdepääs veeru turbeprofiili kirjele. Veerutaseme turvet tuleks kasutada vastavalt vajadusele ja mitte liiga palju, kuna see võib ülekasutamisel lisada kahjumlikke üldkulusid.

Turbe haldamine erinevates keskkondades

Turberolle ja veeru turbeprofiile saab pakkida ja Dataverse'i lahenduste abil ühest keskkonnast teise viia. Äriüksuseid ja meeskondasid tuleb luua ja hallata igas keskkonnas koos vajalikele turbekomponentidele kkasutajate määramisega.

Kasutajate keskkonna turbe konfigureerimine

Kui rollid, meeskonnad ja äriüksused on loodud keskkonnas, on aeg määrata kasutajatele nende turbekonfiguratsioonid. Kasutaja loomisel seote selle äriüksusega. See on vaikimisi organisatsiooni juuräriüksus. Samuti lisatakse need selle äriüksuse vaikemeeskonda.

Lisaks saate määrata kõik kasutaja vajadustele vastavad turberollid. Saate lisada nad ka kõikide meeskondade liikmeteks. Pidage meeles, et meeskondadel võivad olla ka turberollid, nii et kasutaja tõhusad õigused on otseselt määratud turberollide kombinatsioon koos mis tahes meeskondade õigustega, mille liikmed nad on. Turve on alati lisandiks, mis pakub kõigi oma õiguste kõige vähem piiravat õigust. Järgnev on hea ülevaade keskkonna turvalisuse konfigureerimise kohta.

Kui olete kasutanud veerutaseme turvalisust, peate kasutaja või kasutaja meeskonna seostama mõne teie loodud veeru veeruturbe profiiliga.

Turvalisuse tagamine on keeruline ja seda on kõige parem teha rakenduse koostajate ja kasutajate õigusi haldava meeskonna ühise jõupingutusena. Kõik olulised muudatused tuleb enne nende keskkonda juurutamist kooskõlastada.

Vt ka

Keskkonna turbe konfigureerimine
Turberollid ja õigused