שתף באמצעות

אבטחה הירארכית‬ כדי לשלוט בגישה

  • מאמר

מודל האבטחה ההירארכית הוא הרחבה של המודלים הקיימים של אבטחה המשתמשים ביחידות עסקיות, בתפקידי אבטחה, שיתוף וצוותים. הוא יכול לשמש ביחד עם כל דגמי האבטחה האחרים שקיימים. אבטחת הירארכיה מציעה גישה מדוקדקת יותר לרשומות עבור ארגון ועוזרת לחסוך בעלויות התחזוקה.

לדוגמה, בתרחישים מורכבים, באפשרותך להתחיל ביצירת מספר יחידות עסקיות ולאחר מכן להוסיף את אבטחת ההירארכיה. האבטחה המוגברת נותנת גישה מפורטת יותר לנתונים עם הרבה פחות עלויות תחזוקה שעשויות לחייב מספר גדול של יחידות עסקיות.

מודל אבטחה הירארכית של הירארכיית ניהול והירארכיית תפקידים

שני מודלים של אבטחה יכולים לשמש עבור הירארכיות, הירארכיית הניהול והירארכיית המיקום. בהירארכיית המנהל, מנהל חייב להיות בתוך באותה יחידה עסקית כמו הדוח, או ביחידת האב העסקית של היחידה העסקית של הדוח, כדי שתהיה לו גישה לנתונים של הדוח. הירארכיית המיקום מאפשרת גישה לנתונים ביחידות עסקיות שונות. אם אתה עובד בארגון פיננסי, ייתכן שתעדיף את המודל של הירארכיית הניהול, כדי למנוע ממנהלים לגשת לנתונים שמחוץ ליחידות העסקיות שלהם. עם זאת, אם אתה חלק מארגון שירות לקוחות וברצונך שהמנהלים יוכלו לגשת לאירועי שירות שטופלו ביחידות עסקיות שונות, הירארכיית התפקידים עשויה לעבוד טוב יותר עבורך.

הערה

בעוד מודל אבטחת ההירארכיה מספק רמה מסוימת של גישה לנתונים, ניתן להשיג גישה נוספת על-ידי שימוש בצורות אחרות של אבטחה, כגון תפקידי אבטחה.

הירארכיית מנהלים

מודל האבטחה של הירארכיית המנהלים מבוסס על שרשרת ניהול או מבנה דיווח ישיר, שבו נוצר קשר גומלין של המנהל והדוח באמצעות השדה מנהל בטבלת משתמש המערכת. באמצעות מודל אבטחה זה, למנהלים יש אפשרות לגשת לנתונים שלדוחות שלהם יש גישה אליהם. הם יכולים לבצע עבודה בשמו של עובד ישיר שלהם או לגשת למידע הדורש את האישור שלהם.

הערה

במודל האבטחה של הירארכיית מנהלים, למנהל יש גישה לרשומות שבבעלות המשתמש או הצוות שאליו שייך המשתמש, ולרשומות שבשיתוף ישיר עם המשתמש או הצוות. כאשר רשומה משותפת על-ידי משתמש שמחוץ לשרשרת הניהול עם משתמש שהוא עובד ישיר, עם גישה לקריאה בלבד, למנהל של העובד הישיר יש רק גישה לקריאה בלבד לרשומה המשותפת.

כאשר הפעלת את האפשרות בעלות על רשומות ביחידות עסקיות שונות, מנהלים יכולים לקבל דיווחים ישירים מיחידות עסקיות שונות. באפשרותך להשתמש בהגדרות מסד הנתונים של הסביבה הבאות כדי להסיר את מגבלת היחידה העסקית.

ManagersMustBeInSameOrParentBusinessUnitAsReports

ברירת מחדל =‏ true

באפשרותך להגדיר אותה כ- false, והיחידה העסקית של המנהל לא צריכה להיות זהה ליחידה העסקית של הדוח הישיר.

בנוסף למודל האבטחה של הירארכיית המנהלים, למנהל חייבת להיות לפחות הרשאת קריאה ברמת משתמש בטבלה, כדי לראות את נתוני הדוחות. לדוגמה, אם למנהל אין גישת קריאה לטבלה 'אירוע', המנהל לא יראה את האירועים שהדוחות שלהם יכולים לגשת אליהם.

עבור עובד לא-ישיר באותה שרשרת הניהול שבה נמצא המנהל, למנהל יש גישת קריאה בלבד לנתוני העובד הלא ישיר. עבור עובד ישיר, למנהל יש גישה לנתונים של הדוח עם הרשאת קריאה, כתיבה, צירוף ו'צירוף אל'. כדי להמחיש את מודל האבטחה של הירארכיית המנהלים, נבחן את הדיאגרמה הבאה. המנכ"ל יכול לקרוא או לעדכן את הנתונים של סמנכ"ל המכירות ושל סמנכ"ל השירות. עם זאת, המנכ"ל יכול רק לקרוא את הנתונים של מנהל המכירות ושל מנהל השירות, כמו גם את נתוני המכירות והתמיכה. באפשרותך להגביל עוד יותר את כמות הנתונים שנגישה למנהל עם עומק. עומק משמש כדי להגביל את מספר רמות העומק שלמנהל יש גישה לקריאה בלבד לנתוני הדוחות שלהם. לדוגמה, אם העומק מוגדר כ-2, המנכ"ל יכול לראות את הנתונים של סגן נשיא המכירות, סגן נשיא השירות, מנהלי המכירות ומנהלי השירות. עם זאת, המנכ"ל לא יוכל לראות את נתוני המכירות או את נתוני התמיכה.

צילום מסך שמראה את הירארכיית הניהול. הירארכיה זו כוללת את המנכ

חשוב לציין שאם לעובד ישיר יש אבטחת גישה עמוקה יותר לטבלה מאשר למנהל שלו, ייתכן שלמנהל אין אפשרות לראות את כל הרשומות שהעובד רואה. הדוגמה הבאה ממחישה נקודה זו.

  • ביחידה עסקית אחת יש שלושה משתמשים: משתמש 1, משתמש 2 ומשתמש 3.

  • משתמש 2 הוא עובד ישיר של משתמש 1.

  • למשתמש 1 ולמשתמש 3 יש גישת משתמש ברמת קריאה לטבלה 'תיק לקוח'. רמת גישה זו מעניקה למשתמשים גישה לרשומות שבבעלותם, לרשומות שמשותפות עם המשתמש ולרשומות המשותפות עם הצוות שבו העובד חבר.

  • למשתמש 2 יש גישת קריאה ליחידה העסקית בטבלה 'תיק לקוח'. הגישה הזו מאפשרת למשתמש 2 להציג את כל תיקי הלקוחות עבור היחידה העסקית, כולל כל תיקי הלקוחות שבבעלות משתמש 1 ומשתמש 3.

  • למשתמש 1, כמנהל ישיר של משתמש 2, יש גישה לתיקי הלקוחות שבבעלותו או ששותפו עם משתמש 2, כולל תיקי לקוחות שמשותפים או בבעלות הצוותים שמשתמש 2 חבר בהם. עם זאת, למשתמש 1 אין גישה לתיקי הלקוחות של משתמש 3, אף שהעובד הישיר שלו יכול לגשת לתיקי הלקוחות של משתמש 3.

הירארכיית תפקידים

הירארכיית התפקידים לא מבוססת על מבנה דיווח ישיר, כמו הירארכיית הניהול. משתמש לא חייב להיות מנהל בפועל של משתמש אחר כדי לקבל גישה לנתונים של המשתמש. כמנהל מערכת, תגדיר תפקידים שונים בארגון ותסדר אותם בהירארכיית התפקידים. לאחר מכן, תוסיף משתמשים לתפקיד נתון, או, כפי שמקובל לומר, תתייג משתמש בעל תפקיד מסויים. משתמש יכול להיות מתויג רק עם תפקיד אחד בהירארכיה נתונה. עם זאת, ניתן להשתמש באותו תפקיד עבור משתמשים מרובים. למשתמשים בתפקיד גבוה יותר בהירארכיה יש גישה לנתונים של המשתמשים שנמצאים בתפקיד נמוך יותר, בנתיב אב ישיר. לתפקידים שבמיקום ישיר גבוה יותר יש הרשאות קריאה, כתיבה, צירוף וצירוף אל לנתונים של תפקידים שבמיקום נמוך יותר בנתיב אב ישיר. לתפקידים שבמיקום גבוה יותר אך בנתיב לא-ישיר יש הרשאות קריאה בלבד לנתונים של תפקידים שבמיקום נמוך יותר בנתיב אב ישיר.

כדי להמחיש את הרעיון של נתיב אב ישיר, נבחן את הדיאגרמה הבאה. לתפקיד מנהל המכירות יש גישה לנתוני מכירות, אך אין לו גישה לנתוני התמיכה, אשר נמצאת בנתיב אב אחר. הדבר נכון גם עבור התפקיד של מנהל השירות. אין לו גישה לנתוני המכירות, שנמצאים בנתיב המכירות. בדומה להירארכיית המנהלים, באפשרותך להגביל את כמות הנתונים הנגישים לתפקידים הגבוהים יותר עם עומק. העומק מגביל את מספר הרמות לעומק שלתפקיד במיקום גבוה יותר יש גישת קריאה בלבד אליהן, לנתונים של המיקומים הנמוכים יותר בנתיב אב ישיר. לדוגמה, אם הגדרת העומק היא 3, תפקיד המנכ"ל יוכל לראות את הנתונים כל הדרך למטה של תפקידי סמנכ"ל המכירות וסמנכ"ל השירות, עד לתפקידי המכירות והתמיכה.

צילום מסך שמראה את הירארכיית התפקידים. הירארכיה זו כוללת את המנכ

הערה

במודל האבטחה של הירארכיית התפקידים, למשתמש שבתפקיד גבוה יותר יש גישה לרשומות שבבעלות משתמש או צוות שאליו שייך המשתמש שנמצאים ברמה נמוכה יותר, ולרשומות שבשיתוף ישיר עם המשתמש או הצוות.

בנוסף למודל האבטחה של הירארכיית התפקידים, למשתמשים ברמה גבוהה יותר צריכה להיות לפחות גישה ברמת משתמש עם הרשאת קריאה לטבלה כדי לראות את הרשומות שמשתמשים ברמה נמוכה יותר יכולים לראות. לדוגמה, אם למנהל ברמה גבוהה יותר אין גישת קריאה לטבלה 'אירוע', אותו משתמש לא יוכל לראות את האירועים שהמשתמשים שנמצאים בתפקיד נמוך יותר יכולים לגשת אליהם.

הגדרת אבטחה להירארכיה

כדי להגדיר אבטחת הירארכיה, ודא שיש לך הרשאת מנהל מערכת לעדכון ההגדרה.

אבטחת ההירארכיה מושבתת כברירת מחדל. כדי להפעיל אבטחת הירארכיה, השלם את השלבים הבאים.

  1. בחר סביבה ועבור אל הגדרות>משתמשים והרשאות>אבטחה הירארכית.

  2. תחת מודל הירארכיה, בחר הפעל מודל הירארכיה של מנהל או אפשר מודל הירארכיית תפקיד בהתאם לדרישות שלך.

    חשוב

    כדי לבצע שינויים ב- אבטחת ההירארכיה, דרושה לך הרשאה של שינוי הגדרות אבטחה של הירארכיה.

    באזור ניהול טבלאות הירארכיה, כל טבלאות המערכת זמינות עבור אבטחת ההירארכיה כברירת מחדל, אך באפשרותך לא לכלול טבלאות מסוימות בהירארכיה. כדי לא לכלול טבלאות ספציפיות במודל ההירארכיה, נקה את תיבות הסימון עבור הטבלאות שאינך רוצה לכלול ושמור את השינויים שלך.

    צילום מסך של דף אבטחת ההירארכיה בהגדרות עבור סביבות.

  3. הגדר את עומק לערך הרצוי כדי להגביל את מספר רמות העומק שלמנהל יש גישה לקריאה בלבד לנתוני הדוחות שלהם

    לדוגמה, אם העומק הוא 2, מנהל יכול לגשת רק לתיקי הלקוחות שלו ולתיקי הלקוחות של מי שנמצא שתי רמות עומק מתחתיו. בדוגמה שלנו, אם אתה נכנס לאפליקציות של Customer Engagement כסמנכ"ל מכירות שאינו מנהל מערכת, אתה רואה רק את החשבונות הפעילים של המשתמשים כפי שמוצג:

    צילום מסך המציג גישת קריאה עבור סמנכ

    הערה

    בעוד אבטחת ההירארכיה מעניקה לסמנכ"ל המכירות גישה לרשומות במלבן האדום, גישה נוספת יכולה להיות זמינה בהתבסס על תפקיד האבטחה שיש לסמנכ"ל המכירות.

  4. בקטע ניהול טבלאות הירארכיה כל טבלאות המערכת מופעלות לאבטחת הירארכיה, כברירת מחדל. כדי לא לכלול טבלה ספציפית ממודל ההירארכיה, נקה את הסימון לצד שם הטבלה ושמור את השינויים שלך.

    צילום מסך שמראה היכן להגדיר אבטחה של הירארכיה בהגדרות של ממשק המשתמש החדש והמודרני.

    חשוב

    • ‏‫‏‫זוהי תכונת Preview.‬‬
    • תכונות Preview אינן מיועדות לשימוש בייצור וייתכן שיש להן פונקציונליות מוגבלת. תכונות אלו זמינות לפני הפרסום הרשמי כך שלקוחות יוכלו לקבל גישה מוקדמת ולספק משוב.

הגדרה של הירארכיות מנהלים ותפקידים

הירארכיית המנהלים נוצרת בקלות באמצעות קשר הגומלין של מנהל ברשומת המשתמש של המערכת. השתמש בשדה בדיקת מידע של מנהל (ParentsystemuserID) כדי לציין את המנהל של המשתמש. אם יצרת את הירארכיית התפקידים, תוכל גם לתייג את המשתמש בתפקיד מסויים בהירארכיית התפקידים. בדוגמה הבאה, איש המכירות מדווח למנהל המכירות בהירארכיית המנהלים ויש לו גם תפקיד של מכירות בהירארכיית התפקידים:

צילום מסך המראה רשומת משתמש של איש מכירות.

כדי להוסיף משתמש לתפקיד מסויים בהירארכיית התפקידים, השתמש בשדה בדיקת המידע הנקרא תפקיד בטופס רשומת המשתמש.

חשוב

כדי להוסיף משתמש לתפקיד או לשנות את התפקיד של המשתמש, יש לך הרשאה של הקצאת תפקיד למשתמש קצה.

צילום מסך שמראה כיצד להוסיף משתמש לעמדה באבטחת הירארכיה

כדי לשנות את התפקיד בטופס רשומת המשתמש, בסרגל הניווט, בחר יותר (...), ובחר תפקיד שונה.

שינוי משרה באבטחה הירארכית

כדי ליצור הירארכיית תפקיד:

  1. בחר סביבה ועבור אל הגדרות>משתמשים והרשאות>משרות.

    לכל תפקיד, ספק את שם התפקיד, האב של התפקיד ותיאור. הוסף משתמשים לתפקיד זה באמצעות שדה בדיקת מידע שנקרא משתמשים בתפקיד זה. התמונה הבאה היא דוגמה של הירארכיית תפקידים עם תפקידים פעילים.

    משרות פעילות באבטחה הירארכית

    הדוגמה של משתמשים זמינים עם התפקיד המתאים שלהם מוצגת בתמונה הבאה.

    צילום מסך שמראה משתמשים מופעלים עם תפקידים שהוקצו.

כלול או אל תכלול רשומות בבעלות דיווח ישיר עם מצב משתמש מושבת

מנהלים יכולים לראות את רשומות הדיווח הישיר במצב מושבת עבור סביבות שבהן אבטחת הירארכיה מופעלת לאחר 31 בינואר 2024. עבור סביבות אחרות, הרשומות של דיווח ישיר של מצב מושבת אינן נכללות בתצוגת המנהל.

כדי לכלול רשומות של דיווח ישיר של מצב מושבת:

  1. התקן את הכלי OrganizationSettingsEditor.
  2. עדכן את ההגדרה AuthorizationEnableHSMForDisabledUsers שתהיה true.
  3. הפוך לזמין מידול הירארכיה.
  4. הפעל אותו שוב.

כדי לא לכלול רשומות של דיווח ישיר של מצב מושבת:

  1. התקן את הכלי OrganizationSettingsEditor.
  2. עדכן את ההגדרה AuthorizationEnableHSMForDisabledUsers שתהיה false.
  3. הפוך לזמין מידול הירארכיה.
  4. הפעל אותו שוב.

הערה

  • כאשר אתה משבית ומפעיל מחדש את מודל ההירארכיה, העדכון יכול לקחת זמן, מכיוון שהמערכת צריכה לחשב מחדש את גישת הרשומות של המנהל.
  • אם אתה רואה פסק זמן, צמצם את מספר הטבלאות תחת הרשימה ניהול טבלאות הירארכיה כדי לכלול רק טבלאות שהמנהל צריך להציג אותן. אם פסק הזמן הקצוב נמשך, שלח כרטיס תמיכה כדי לבקש סיוע.
  • הרשומות של דוח ישיר של מצב מושבת כלולות אם רשומות אלה משותפות עם דוח ישיר אחר שפעיל. תוכל לבצע אי הכללה של רשומות אלה על ידי הסרת השיתוף.

שיקולי ביצועים

כדי להגביר את הביצועים, אנו ממליצים:

  • שמור את אבטחת ההירארכיה יעילה ל- 50 משתמשים או פחות תחת מנהל או תפקיד. ייתכן שלהירארכיה שלך יש יותר מ- 50 משתמשים תחת מנהל/תפקיד, אך באפשרותך להשתמש בהגדרה עומק כדי להפחית את מספר הרמות לגישת קריאה בלבד, וכך להגביל את מספר המשתמשים בפועל תחת מנהל/תפקיד ל- 50 משתמשים או פחות.

  • השתמש במודלים של אבטחת הירארכיה עם מודלים קיימים אחרים של אבטחה עבור תרחישים מורכבים יותר. הימנע מיצירת מספר גדול של יחידות עסקיות, במקום זאת, צור פחות יחידות עסקיות והוסף אבטחת הירארכיה.

למידע נוסף‬

אבטחה ב- Microsoft Dataverse
שאילתה והצגת נתונים הירארכיים באופן חזותי