Utiliser la sécurité basée sur les enregistrements pour contrôler l’accès aux enregistrements
La sécurité basée sur les enregistrements dans Dynamics 365 Customer Engagement (on-premises) s’applique aux enregistrements individuels. Elle est fournie à l’aide de droits d’accès.
La relation entre un droit d’accès et un privilège consiste en ce que les droits d’accès s’appliquent uniquement après que les privilèges sont effectifs. Par exemple, si un utilisateur n’a pas le privilège de lecture sur les comptes, il ne peut lire aucun compte, et ce, quels que soient les droits d’accès qu’un autre utilisateur pourrait lui accorder sur un compte spécifique par le biais d’un partage.
Droits d’accès
Un droit d’accès est accordé à un utilisateur pour un enregistrement particulier. Le tableau suivant répertorie les descriptions de ces droits d’accès.
| Droit d’accès | Valeur d’énumération AccessRights | Description |
|---|---|---|
| Lire | AccèsLecture | Contrôle si l’utilisateur peut lire un enregistrement. |
| Écrire | WriteAccess | Contrôle si l’utilisateur peut mettre à jour un enregistrement. |
| Attribuer | AssignAccess | Vérifie si l’utilisateur peut attribuer un enregistrement à un autre utilisateur. |
| Ajouter | AppendAccess | Vérifie si l’utilisateur peut joindre un autre enregistrement à l’enregistrement spécifié. Les droits d’accès Ajouter et Ajouter à sont associés. Chaque fois qu’un utilisateur joint un enregistrement à un autre, il doit disposer des deux droits. Par exemple, lorsque vous joignez une note à un incident, vous devez avoir le droit d’accès Ajouter pour la note et le droit d’accès Ajouter à pour l’incident pour que l’opération fonctionne. |
| Ajouter à | AppendToAccess | Vérifie si l’utilisateur peut ajouter l’enregistrement en question à un autre enregistrement. Les droits d’accès Ajouter et Ajouter à sont associés. Pour plus d’informations, voir la description du droit Ajouter. |
| Partager | ShareAccess | Vérifie si l’utilisateur peut partager un enregistrement avec un autre utilisateur ou une autre équipe. Le partage accorde à un autre utilisateur l’accès à un enregistrement. Pour plus d’informations, voir Partager des enregistrements. |
| Supprimer | DeleteAccess | Contrôle si l’utilisateur peut supprimer un enregistrement. |
Accès en création
Le droit de créer un enregistrement pour un type d’entité n’est pas inclus dans le tableau précédent, car il ne s’applique pas aux enregistrements individuels, mais à une classe d’entités. La création est gérée comme un privilège plutôt que comme un droit d’accès. L’utilisateur qui crée un enregistrement a tous les droits sur cet enregistrement, sauf si ses autres privilèges interdisent un droit spécifique.
Le privilège de création contrôle si vous pouvez créer un enregistrement. Si vous possédez le privilège de création avec accès Local, Profond ou Général, vous pouvez créer des enregistrements pour d’autres utilisateurs. Si vous disposez des privilèges de création et de lecture avec un accès Basique, vous pouvez créer des enregistrements pour vous-même.
Pour plus d’informations sur les dépendances liées à la création de privilèges, voir Dépendances entre les droits d’accès.
le partage des enregistrements ;
Le partage permet aux utilisateurs d’accorder à d’autres utilisateurs ou équipes le droit d’accéder à des informations spécifiques concernant les clients. Cette fonction est utile pour partager des informations avec des utilisateurs dont les rôles n’offrent que le niveau d’accès Basique. Par exemple, dans une organisation qui accorde aux commerciaux l’accès en lecture et en écriture aux comptes, un commercial peut partager une opportunité avec un autre commercial afin qu’ils puissent tous les deux suivre l’avancement d’une vente importante.
Pour des raisons de sécurité, prenez l’habitude de partager uniquement les enregistrements nécessaires, avec un nombre d’utilisateurs le plus restreint possible. Accordez uniquement l’accès minimum nécessaire pour que les utilisateurs puissent effectuer leur travail.
Dynamics 365 Customer Engagement (on-premises) fournit les fonctionnalités de partage suivantes :
Partager. Tout utilisateur disposant des privilèges de partage pour un type d’entité donné peut partager des enregistrements de ce type avec n’importe quel autre utilisateur ou équipe dans Dynamics 365 Customer Engagement (on-premises). Pour partager un enregistrement, utilisez GrantAccessRequest.
Lorsque vous partagez un enregistrement avec un autre utilisateur, indiquez les droits d’accès (Lire, Écrire, Supprimer, Ajouter, Attribuer et Partager) que vous souhaitez accorder à l’autre utilisateur. Les droits d’accès sur un enregistrement partagé peuvent être différents pour chaque utilisateur avec lequel l’enregistrement est partagé. Toutefois, vous ne pouvez accorder à un utilisateur des droits dont il ne disposerait pas, d’après le rôle qui lui est attribué, pour ce type d’entité. Par exemple, si un utilisateur ne dispose pas de privilèges de lecture sur les comptes et que vous partagez un compte avec lui, il ne pourra pas voir ce compte.
Modifier le partage. Vous pouvez modifier les droits accordés sur un enregistrement partagé après l’avoir partagé. Pour modifier le partage d’un enregistrement, utilisez ModifyAccessRequest.
Supprimer le partage. Si vous partagez un enregistrement avec un autre utilisateur ou une autre équipe, vous pouvez annuler le partage de l’enregistrement. Lorsque vous avez supprimé le partage d’un enregistrement, l’autre utilisateur ou l’autre équipe perd les droits d’accès sur les enregistrements. Pour supprimer le partage d’un enregistrement, utilisez RevokeAccessRequest.
Pourboire
Utilisez GrantAccessRequest, ModifyAccessRequest et RevokeAccessRequest pour le partage.
Un utilisateur peut avoir accès à un même enregistrement dans plusieurs contextes. Par exemple, un utilisateur peut partager directement un enregistrement avec des droits d’accès spécifiques, et il peut également faire partie d’une équipe dans laquelle le même enregistrement est partagé avec des droits d’accès différents. Dans ce cas, l’ensemble de ces droits constitue les droits d’accès dont dispose cet utilisateur sur l’enregistrement.
Pour consulter la liste des entités qui prennent en charge le partage, voir GrantAccessRequest.
Partage et héritage
Si un enregistrement est créé et que l’enregistrement parent a certaines propriétés de partage, le nouvel enregistrement hérite de ces propriétés. Prenons un exemple : Joe et Mike travaillent sur un prospect prioritaire. Joe crée un nouveau prospect et deux activités, partage le prospect avec Mike et sélectionne un partage en cascade. Mike passe un appel téléphonique et envoie un message électronique concernant le nouveau prospect. Joe constate que Mike a contacté la société deux fois. Joe décide donc de ne pas rappeler.
Le partage est géré pour les enregistrements individuels. Un enregistrement hérite des propriétés de partage de son parent et gère également ses propres propriétés de partage. Par conséquent, un enregistrement peut avoir deux ensembles de propriétés de partage : un ensemble propre et un ensemble hérité de son parent.
La suppression du partage d’un enregistrement parent entraîne la suppression des propriétés de partage des objets (enregistrements) héritées du parent. Ainsi, tous les utilisateurs qui pouvaient, au préalable, consulter cet enregistrement ne le peuvent plus. Les objets enfants peuvent encore être partagés avec certains de ces utilisateurs s’ils étaient partagés individuellement, et non pas à partir de l’enregistrement parent.
Attribution d’enregistrements
Toute personne disposant des privilèges d’attribution sur un enregistrement peut attribuer cet enregistrement à un autre utilisateur. Lorsqu’un enregistrement est attribué, le nouvel utilisateur ou la nouvelle équipe devient le propriétaire de l’enregistrement et de ses enregistrements associés. L’utilisateur ou l’équipe d’origine perd la propriété de l’enregistrement, mais la partage automatiquement avec le nouveau propriétaire.
Dans Dynamics 365 for Customer Engagement, l’administrateur système d’une organisation peut décider si les enregistrements doivent ou non être partagés avec les propriétaires précédents après l’opération d’attribution. Si Partager avec le propriétaire précédent est sélectionné, le propriétaire précédent partage l’enregistrement avec tous les droits d’accès après l’opération d’attribution. Sinon, le propriétaire précédent ne partage pas l’enregistrement et peut ne pas avoir accès à l’enregistrement, en fonction de ses privilèges. L’attribut Organization.ShareRoPreviousOwnerOnAssign contrôle ce paramètre.
Pour consulter la liste des entités qui prennent en charge l’attribution, voir AssignRequest.
Récupération des droits d’accès pour un enregistrement
Utilisez le message RetrievePrincipalAccessRequest pour récupérer les droits d’accès dont le principal de sécurité spécifié (utilisateur ou équipe) dispose pour un enregistrement.
Utilisez le message RetrieveSharedPrincipalsAndAccessRequest pour récupérer tous les principaux de sécurité (utilisateurs ou équipes) ayant accès à un enregistrement, ainsi que leurs droits d’accès à l’enregistrement.
Dépendances entre les droits d’accès
Parfois, les dépendances de sécurité existent car il est nécessaire de disposer de plusieurs droits d’accès pour effectuer une action donnée. Par exemple, si vous possédez le droit d’accès Créer pour les comptes, vous pouvez créer un enregistrement de type d’entité compte. Toutefois, sauf si vous avez également l’accès Lire pour les comptes, vous ne pouvez pas créer un enregistrement de compte et être le propriétaire de ce nouvel enregistrement.
Le tableau suivant liste les dépendances des droits d’accès pour l’action donnée.
| Pour | Droits d’accès requis |
|---|---|
| Pour Créer un enregistrement et être le propriétaire de l’enregistrement | CRÉER LIRE |
| Pour Partager un enregistrement | PARTAGER. Ce droit est requis par la personne qui effectue l’opération de partage. LIRE. Ce droit est requis par la personne qui effectue l’opération de partage, ainsi que par la personne avec laquelle l’objet est partagé. |
| Pour Attribuer un enregistrement | ATTRIBUER ÉCRIRE LIRE |
| Pour Ajouter à un enregistrement | ÉCRIRE LIRE AJOUTERÀ |
| Pour Ajouter un enregistrement | ÉCRIRE LIRE AJOUTER |
Un autre type de dépendance existe lorsque les objets sont subordonnés à un autre objet. Par exemple, l’objet Opportunité ne peut exister seul. Chaque opportunité est toujours jointe à un compte ou à un contact. Pour créer une opportunité, vous devez avoir les droits d’accès Ajouterà sur les comptes et le droit d’accès Ajouter sur les opportunités.
Voir aussi
Le modèle de sécurité de Microsoft Dynamics 365 Customer Engagement (on-premises)
Comment la sécurité basée sur les rôles permet de contrôler l’accès aux entités dans Microsoft Dynamics 365 Customer Engagement (on-premises)Comment la sécurité de champ permet de contrôler l’accès aux valeurs des champs dans Microsoft Dynamics 365 Customer Engagement (on-premises)
Présentation des entités dans Microsoft Dynamics 365 Customer Engagement (on-premises)
Comportement des relations d’entité
AccessRights
RetrievePrincipalAccessRequest