Conceptos de seguranza en Microsoft Dataverse

Unha das características clave de Dataverse é o seu modelo de seguridade enriquecido que se pode adaptar a moitos escenarios de uso empresarial. Este modelo de seguranza só está en xogo cando hai unha Dataverse base de datos no ambiente. Como administrador, é probable que non estea a construír todo o modelo de seguridade, pero con frecuencia participará no proceso de xestión dos usuarios e de asegurarse de que teñen a configuración adecuada e da resolución de problemas relacionados co acceso á seguridade.

Suxestión

Símbolo de vídeo Consulta o seguinte vídeo: Microsoft Dataverse – Conceptos de seguranza mostrados nas demostracións.

Seguranza baseada en roles

Dataverse usa seguranza baseada en roles para agrupar unha colección de privilexios. Estes roles de seguranza pódense asociar directamente aos usuarios ou pódense asociar aos equipos de Dataverse e unidades empresariais. Os usuarios poden asociarse co equipo e, polo tanto, todos os usuarios asociados co equipo benefícianse do rol. Un concepto clave da seguranza de Dataverse é comprender que todas as concesións de privilexios son acumulativas, prevalecendo a maior cantidade de acceso. Se concedeu acceso de lectura a nivel organizativo amplo a todos os rexistros de contactos, non pode volver atrás e ocultar un só rexistro.

Unidades empresariais

Suxestión

Símbolo de vídeo Consulta o seguinte vídeo: Modernizar as unidades de negocio.

As unidades empresariais traballan con roles de seguranza para determinar a seguridade efectiva que ten un usuario. As unidades empresariais son un bloque de creación de modelos de seguridade que axuda á xestión de usuarios e aos datos aos que poden acceder. As unidades empresariais definen un límite de seguridade. Cada base de datos de Dataverse ten unha unidade empresarial raíz única.

Pode crear unidades de empresariais secundarias para axudar a segmentar aínda máis os seus usuarios e datos. Cada usuario asignado a un ambiente pertence a unha unidade de negocio. Aínda que as unidades empresariais poden usarse para modelar 1:1 unha verdadeira xerarquía de organización, moitas veces inclínanse máis cara a límites de seguridade só definidos para axudar ás necesidades do modelo de seguridade.

Para entendelo mellor, vexamos o seguinte exemplo. Temos tres unidades empresariais. Woodgrove é a unidade empresarial raíz e sempre estará na parte superior, iso é inalterable. Creamos outras dúas unidades de negocio secundarias, A e B. Os usuarios destas unidades de negocio teñen diferentes necesidades de acceso. Cando asociamos un usuario con este ambiente , podemos establecer o usuario nunha destas tres unidades empresariais. O lugar onde está asociado o usuario determina que unidade de negocio é propietaria dos rexistros dos que o usuario é propietario. Ao ter esa asociación podemos adaptar un rol de seguranza para que o usuario poida ver todos os rexistros desa unidade empresarial.

Estrutura xerárquica de acceso aos datos

Os clientes poden usar unha estrutura organizativa onde os datos e o usuario están compartimentados nunha xerarquía similar a unha árbore.

Cando asociamos un usuario a este ambiente, podemos configurar o usuario nunha destas tres unidades empresariais e asignarlle ao usuario un rol de seguranza da unidade empresarial. A unidade empresarial á que está asociado o usuario determina que unidade empresarial posúe os rexistros cando o usuario crea un rexistro. Ao ter esa asociación, permítenos personalizar un rol de seguranza, o que permite ao usuario ver rexistros nesa unidade de negocio.

O usuario A está asociado á división A e ten asignado un rol de seguranza Y da división A. Isto permite ao usuario A acceder aos rexistros de Contacto n.º 1 e Contacto n.º 2. Mentres que o usuario B da División B non pode acceder aos rexistros de contactos da División A, si que pode acceder ao rexistro de contacto nº 3.

Exemplo de estrutura de acceso aos datos da matriz

Estrutura de acceso aos datos da matriz (unidades empresariais modernizadas)

Os clientes poden usar unha estrutura organizativa onde os datos se compartimentan nunha xerarquía en forma de árbore e os usuarios poden traballar e acceder aos datos de calquera unidade empresarial independentemente da unidade empresarial á que estea asignado o usuario.

Cando asociamos un usuario con este ambiente , podemos establecer o usuario nunha destas tres unidades empresariais. Para cada unidade empresarial que un usuario necesita para acceder aos datos, asígnaselle ao usuario un rol de seguranza desa unidade empresarial. Cando o usuario crea un rexistro, o usuario pode configurar a unidade empresarial para que posúa o rexistro.

O usuario A pode asociarse a calquera das unidades empresariais, incluída a unidade empresarial raíz. Un rol de seguranza Y da división A está asignado ao usuario A, o que lle dá acceso aos rexistros de Contacto n.º 1 e Contacto n.º 2. Un rol de seguranza Y da división B está asignado ao usuario A, o que lle dá acceso ao rexistro de Contacto n.º 3.

Exemplo de estrutura xerárquica de acceso aos datos

Activar a estrutura de acceso aos datos da matriz

Nota

Antes de activar esta función, debe publicar todas as súas personalizacións para activar todas as súas novas táboas sen publicar para a función. Se tes táboas sen publicar que non funcionan con esta funcionalidade despois de activala, podes configurar a opción RecomputeOwnershipAcrossBusinessUnits usando a ferramenta OrgDBOrgSettings para Microsoft Dynamics CRM. Ao definir Recalcular a propiedade a través de unidades de negocio como verdadeiro, pódese definir e actualizar o campo Unidade de negocio propietaria .

  1. Iniciar sesión no Power Platform centro de administración como administrador (administrador de Dynamics 365 ou Microsoft Power Platform administrador).
  2. No panel de navegación, selecciona Xestionar.
  3. No panel Xestionar , seleccione Entornos e, a seguir, escolla o entorno para o que desexa activar esta funcionalidade.
  4. Seleccione Configuración>Produto>Funcionalidades.
  5. Active o conmutador propiedade do rexistro nas unidades empresariais.
  6. Seleccione Gardar.

Despois de activar este interruptor de funcionalidade, podes seleccionar Unidade de negocio cando asignes un rol de seguranza a un usuario. Isto permítelle asignar o rol de seguridade de diferentes unidades empresariais a un usuario. O usuario tamén necesita un rol de seguranza da unidade empresarial á que está asignado o usuario con privilexios de configuración de usuario para executar aplicacións controladas por modelos. Pode consultar o rol de seguranza de Usuario básico para saber como se activan estes privilexios de configuración de usuario.

Podes asignar un usuario como propietario do rexistro en calquera unidade empresarial sen necesidade de asignar un rol de seguranza na unidade empresarial propietaria do rexistro sempre que o usuario teña un rol de seguranza que teña privilexios de lectura na táboa de rexistros. Consulte Propiedade de rexistros en unidades empresariais modernizadas.

Nota

Este interruptor de función gárdase na configuración EnableOwnershipAcrossBusinessUnits e pódese establecer mediante a ferramenta OrgDBOrgSettings para Microsoft Dynamics CRM.

Asociar unha unidade de negocio cun grupo de seguranza Microsoft Entra

Podes usar un grupo de seguranza para mapear a túa unidade de negocio e así simplificar a administración de usuarios e a asignación de funcións. Microsoft Entra

Crea un Microsoft Entra grupo de seguranza para cada unidade de negocio e asigna o rol de seguranza da unidade de negocio respectivo a cada equipo do grupo.

Crea un grupo de seguranza para cada unidade de negocio. Microsoft Entra

Para cada unidade de negocio, crea un Microsoft Entra grupo de seguranza. Crea un Dataverse grupo de equipo para cada Microsoft Entra grupo de seguranza. Atribúa o rol de seguranza correspondente da unidade empresarial a cada equipo de grupo de Dataverse. O usuario do diagrama anterior crearase na unidade empresarial raíz cando o usuario acceda ao ambiente. Está ben que o usuario e os equipos de grupo de Dataverse estean na unidade empresarial raíz. Só teñen acceso aos datos da unidade empresarial onde está asignado o rol de seguranza.

Engade usuarios ao grupo de seguranza respectivo para outorgarlles acceso á unidade de negocio. Microsoft Entra Os usuarios poden executar inmediatamente a aplicación e acceder aos seus recursos/datos.

Na matriz de acceso aos datos, onde os usuarios poden traballar e acceder aos datos de varias unidades de negocio, engada os usuarios aos Microsoft Entra grupos de seguranza que se asignaron a esas unidades de negocio.

Unidade empresarial propietaria

Cada rexistro ten unha columna Unidade de negocio propietaria , que determina que unidade de negocio é a propietaria do rexistro. Esta columna predefinida é a unidade de negocio do usuario cando se crea o rexistro e non se pode cambiar excepto cando o interruptor de funcionalidade está activado.

Nota

Ao cambiar a unidade de negocio propietaria dun rexistro, asegúrese de comprobar o seguinte para ver os efectos en cascada: Uso do SDK para .NET para configurar o comportamento en cascada.

Pode xestionar se quere que o seu usuario configure a columna de Unidade empresarial propietaria cando o interruptor de función estea ACTIVADO. Para configurar a columna Unidade empresarial propietaria, cómpre conceder ao rol de seguranza do usuario o privilexio Anexar a da táboa da unidade empresarial co permiso de nivel local.

Para permitir que o seu usuario configure esta columna, pode activar este columna no seguinte xeito:

  1. Formulario - tanto o corpo como a cabeceira.
  2. Visualizar.
  3. Mapeos de columnas. Se estás a usar a AutoMapEntity, podes especificar a columna na túa asignación de columnas.

Nota

Se tes un traballo/proceso para sincronizar datos entre entornos e a Unidade de negocio propietaria está incluída como parte do esquema, o traballo falla cunha violación da restrición KEY externa se o entorno de destino non ten o mesmo valor Unidade de negocio propietaria .

Pode eliminar a columna Unidade empresarial propietaria do esquema de orixe ou actualizar o valor da columna de Unidade empresarial propietaria da fonte a calquera das unidades empresariais do destino.

Se tes unha tarefa/proceso para copiar datos dun ambiente a un recurso externo, por exemplo Power BI, terás que seleccionar ou deseleccionar a columna Unidade de negocio propietaria da túa fonte. Seleccióneo se o seu recurso pode recibilo, do contrario, anule a súa selección.

Propiedade da táboa/rexistro

Dataverse admite dous tipos de propiedade de rexistros. Propiedade da organización e propietario do usuario ou equipo. Esta é unha opción que sucede no momento en que se crea a táboa e non se pode cambiar. Por motivos de seguridade, os rexistros que son propiedade da organización, a única opción de nivel de acceso é que o usuario poida facer a operación ou non. Para os rexistros de propiedade de usuarios e equipos, as opcións de nivel de acceso para a maioría dos privilexios son Organización por niveles, Unidade empresarial e Unidade empresarial secundaria ou só os rexistros propios do usuario. Isto significa que para o privilexio de lectura no contacto, podería establecer a propiedade do usuario e o usuario só vería os seus propios rexistros.

Para dar outro exemplo, digamos que o usuario A está asociado á división A e concedémoslle acceso de nivel de unidade empresarial no contacto. Poderían ver o contacto número 1 e número 2, pero non o contacto número 3.

Cando configure ou edite os privilexios de rol de seguranza, estará configurando o nivel de acceso para cada opción. O seguinte é un exemplo do editor de privilexios do rol de seguranza.

Privilexios de rol de seguranza.

No anterior pode ver os tipos de privilexios estándar para cada táboa Crear, ler, escribir, eliminar, engadir, engadir a, asignar e compartir. Pode editar cada un deles individualmente. A visualización visual de cada un coincidirá coa clave seguinte en canto a que nivel de acceso concedeu.

Clave de privilexios de rol de seguranza.

No exemplo anterior, concedemos acceso de nivel de organización a Contacto, o que significa que o usuario da División A pode ver e actualizar os contactos que sexan propiedade de calquera persoa. De feito, un dos erros administrativos máis comúns é frustrarse con permisos e conceder máis acceso do necesario. Moi rapidamente, un modelo de seguridade ben elaborado comeza a parecer un queixo suízo (cheo de buratos!).

Propiedade de rexistros en unidades empresariais modernizadas

Nas Unidades empresariais modernizadas, pode que os usuarios sexan propietarios de rexistros en todas as unidades empresariais. Todo o que necesitan os usuarios é un rol de seguranza (calquera unidade empresarial) que teña privilexios de lectura na táboa de rexistros. Os usuarios non precisan ter un rol de seguranza asignado en cada unidade empresarial onde reside o rexistro.

Se se activou Propiedade de rexistros en unidades empresariais modernizadas no seu ambiente de produción durante o período de versión preliminar, debe realizar o seguinte para activar a propiedade de rexistros en todas as unidades empresariais:

  1. Instalar o Editor de configuración da organización
  2. Estableza a configuración da organización RecomputeOwnershipAcrossBusinessUnits en verdadeiro. Cando esta configuración está definida como verdadeira, o sistema está bloqueado e pode tardar ata 5 minutos en facer o recálculo para activar a capacidade onde os usuarios agora poden posuír rexistros en unidades de negocio sen necesidade de ter un rol de seguranza separado asignado desde cada unidade de negocio. Isto permite que o propietario dun rexistro o asigne a alguén fóra da unidade de negocio propietaria do rexistro.
  3. Estableza AlwaysMoveRecordToOwnerBusinessUnit en falso. Isto fai que o rexistro permaneza na unidade empresarial propietaria orixinal cando se cambia a propiedade do rexistro.

Para todos os ambientes non de produción, só ten que configurar AlwaysMoveRecordToOwnerBusinessUnit en falso para utilizar esta capacidade.

Nota

Se desactivas a funcionalidade Rexistrar a propiedade en unidades de negocio ou defines a configuración Recalcular a propiedade en unidades de negocio en falso usando a ferramenta OrgDBOrgSettings para Microsoft Dynamics CRM, non poderás definir nin actualizar o campo Unidade de negocio propietaria e todos os rexistros nos que o campo Unidade de negocio propietaria sexa diferente da unidade de negocio do propietario actualizaranse á unidade de negocio do propietario.

Equipos (incluídos equipos de grupo)

Os equipos son outro dos bloques de seguridade importantes. Os equipos son propiedade dunha Unidade empresarial. Cada unidade empresarial ten un equipo predeterminado que se crea automaticamente cando se crea a unidade empresarial. Os membros do equipo predefinido están xestionados por Dataverse e sempre conteñen todos os usuarios asociados a esa unidade empresarial. Non pode engadir ou eliminar manualmente os membros do equipo predeterminado; o sistema axústaos dinamicamente a medida que os novos usuarios se asocian ou cancela a súa asociación con unidades empresariais. Hai dous tipos de equipos: equipos propietarios e equipos con acceso.

  • Os equipos propietarios poden posuír rexistros, que dan a calquera membro do equipo acceso directo a ese rexistro. Os usuarios poden ser membros de varios equipos. Isto permítelle ser unha forma potente de conceder permisos aos usuarios dun xeito amplo sen microxestionar o acceso a nivel de usuario individual.
  • Os equipos con acceso falaranse na seguinte sección como parte do uso compartido de rexistros.

Compartir rexistros

Os rexistros individuais pódense compartir un por un con outro usuario. Esta é unha forma potente de xestionar excepcións que non pertencen á propiedade do rexistro ou non son membros dun modelo de acceso de unidade de negocio. Debería ser unha excepción, porén, porque é unha forma menos eficiente de controlar o acceso. Compartir é máis difícil de solucionar porque non se implementa un control de acceso de forma consistente. Pódese compartir tanto a nivel de usuario como de equipo. Compartir cun equipo é unha maneira de compartir máis eficiente. Un concepto de uso compartido máis avanzado é con Access Teams, que permite a creación automática dun equipo e o uso compartido do acceso a rexistros co equipo baséase nun modelo de equipo de acceso (modelo de permisos) que se aplica. Os equipos de acceso tamén se poden usar sen os modelos, engadindo ou eliminando os seus membros manualmente. Os equipos con acceso son máis eficaces porque non permiten posuír rexistros do equipo nin ter asignados roles de seguridade ao equipo. Os usuarios teñen acceso porque o rexistro é compartido co equipo e o usuario é membro.

Seguridade de nivel de rexistro en Dataverse

Pode que se estea preguntando: que determina o acceso a un rexistro? Parece unha pregunta sinxela, pero para calquera usuario é a combinación de todos os seus roles de seguranza, a unidade de negocio coa que está asociado, os equipos dos que forma parte e os rexistros que se comparten con el. O qwue hai que lembrar é que todo acceso é acumulativo en todos os conceptos no ámbito dun ambiente da base de datos de Dataverse. Estes dereitos só se conceden nunha única base de datos e rastrexan individualmente en cada base de datos de Dataverse. Todo isto require que teñan unha licenza adecuada para acceder a Dataverse.

Seguranza de nivel de columna en Dataverse

Ás veces, o control de acceso a nivel de rexistro non é axeitado para algúns escenarios empresariais. Dataverse ten unha característica de seguranza de nivel de columna que permite un control máis granular da seguridade a nivel de columna. A seguridade a nivel de columna pode habilitarse en todas as columnas personalizadas e na maioría das columnas do sistema. A maioría das columnas do sistema que inclúen información de identificación persoal (PII) poden ser protexidas individualmente. Os metadatos de cada columna definen se esa é unha opción dispoñible para a columna do sistema.

A seguranza de nivel de columna está habilitada columna por columna. O acceso xestiónase creando un perfil de seguridade de columna. O perfil contén todas as columnas que teñen unha seguridade de nivel de columna habilitada e o acceso concedido por ese perfil específico. Cada columna pódese controlar dentro do perfil de acceso a creación, actualización e lectura. Os perfís de seguridade da columna asócianse entón cun usuario ou equipos para conceder eses privilexios aos usuarios aos rexistros aos que xa teñen acceso. É importante ter en conta que a seguridade a nivel de columna non ten nada que ver coa seguridade a nivel de rexistro. Un usuario xa debe ter acceso ao rexistro do perfil de seguridade de columna para outorgarlle acceso ás columnas. A seguridade de nivel de columna debe usarse segundo sexa necesario e non excesivamente, xa que pode engadir gastos xerais que son prexudiciais se se usan demasiado.

Xestión de seguridade en varios ambientes

Os roles de seguridade e os perfís de seguridade de columna pódense empaquetar e mover dun ambiente ao seguinte mediante a utilización de solucións de Dataverse. As unidades empresariais e os equipos deben crearse e xestionarse en cada ambiente xunto coa asignación de usuarios aos compoñentes de seguridade necesarios.

Configurar a seguranza do ambiente dos usuarios

Unha vez que se crean roles, equipos e unidades empresariais nun ambiente, é hora de asignar aos usuarios as súas configuracións de seguridade. En primeiro lugar, ao crear un usuario, asóciao a unha unidade de negocio. Por defecto, esta é a unidade empresarial raíz na organización. Tamén se engaden ao equipo predeterminado desa unidade empresarial.

Ademais, atribuiríanselle os roles de seguridade que o usuario precise. Tamén os engadirá como membros de calquera equipo. Lembre que os equipos tamén poden ter funcións de seguranza, polo que os dereitos efectivos do usuario é a combinación de roles de seguranza asignados directamente combinados cos de calquera equipo do que sexan membros. A seguridade sempre é aditiva ofrecendo o permiso menos restritivo de calquera dos seus dereitos. Esta é unha boa guía sobre como configurar a seguridade do ambiente.

Se utilizou seguridade a nivel de columna, tería que asociar o usuario ou un equipo do usuario a un dos perfís de de seguridade de columna que creou.

A seguridade é un artigo complexo e o mellor xeito de conseguilo é cun esforzo conxunto entre os creadores da aplicación e o equipo que administra os permisos dos usuarios. Calquera cambio importante debe coordinarse antes de implementar os cambios no ambiente.

Consulte tamén

Configurar a seguridade do ambiente
Roles e privilexios de seguranza

  • Last updated on