Megosztás a következőn keresztül:

Hierarchiabiztonság a hozzáférés szabályozásához

  • Cikk

A hierarchikus biztonsági modell a már létező biztonsági modellek kiterjesztése, amely részlegek, biztonsági szerepkörök, megosztások és a csoportok alapján működik. Minden más meglévő biztonsági modellel használható. A hierarchiabiztonság részletesebb hozzáférést biztosít a szervezet rekordjaihoz, és segít csökkenteni a karbantartási költségeket.

Bonyolult esetekben például létrehozhat először néhány részleget, majd hozzáadhatja a hierarchikus biztonságot. Ez a hozzáadott biztonság részletesebb hozzáférést biztosít az adatokhoz sokkal kevesebb karbantartási költséggel, amelyre nagy számú üzleti egységnek szüksége lehet.

Vezetői hierarchia és pozícióhierarchia biztonsági modelljei

A hierarchiákhoz két biztonsági modell használható, a vezetői hierarchia és a pozícióhierarchia . A vezetői hierarchiában a vezetőnek a jelentéssel azonos részlegen belül vagy a jelentés részlegének fölérendelt részlegében kell lennie ahhoz, hogy hozzáférhessen a jelentés adataihoz. A pozícióhierarchia több részlegre kiterjedően is lehetővé teszi az adatokhoz való hozzáférést. Ha Ön pénzügyi szervezet, érdemes lehet előnyben részesítenie a vezetői hierarchiamodellt, hogy megakadályozza a vezetők hozzáférését a részlegeiken kívüli adatokhoz. Ha azonban Ön egy ügyfélszolgálat szervezet tagja, és azt szeretné, hogy a vezetők hozzáférjenek a különböző részlegekben kezelt szolgáltatási esetekhez, a beosztáshierarchia jobban működhet az Ön számára.

Feljegyzés

A hierarchikus biztonsági modell egy adott szintű hozzáférést biztosít az adatokhoz, ami mellett másfajta biztonsági megoldásokkal (például biztonsági szerepkörökkel) további hozzáférés is adható.

Vezetői hierarchia

A vezetői hierarchia biztonsági modellje a felügyeleti láncon vagy a közvetlen jelentési struktúrán alapul, ahol a vezető és a jelentés kapcsolata a rendszerfelhasználói tábla Vezető mezőjének használatával jön létre. Ezzel a biztonsági modellel a vezetők hozzáférhetnek azokhoz az adatokhoz, amelyekhez a jelentéseik hozzáférnek. Munkát végezhetnek közvetlen beosztottjaik nevében, vagy hozzáférhetnek a jóváhagyást igénylő információkhoz.

Feljegyzés

A vezetői hierarchia biztonsági modelljével a menedzser hozzáférhet a felhasználó vagy azon csoport tulajdonában lévő rekordokhoz, amelynek a felhasználó tagja, valamint azokhoz a rekordokhoz, amelyek közvetlenül meg vannak osztva a felhasználóval vagy azzal a csoporttal, amelynek a felhasználó tagja. Ha egy rekordot a felügyeleti láncon kívüli felhasználó oszt meg egy csak olvasási hozzáféréssel rendelkező közvetlen jelentési felhasználóval, a közvetlen beosztott felettese csak olvasási hozzáféréssel rendelkezik a megosztott rekordhoz.

Ha engedélyezte a Tulajdonjog rögzítése részlegek között beállítást, a vezetők különböző részlegek közvetlen beosztottjaival rendelkezhetnek. A részlegkorlátozás a következő környezetadatbázis-beállítások segítségével távolítható el.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Alapértelmezett = igaz

Beállíthatja false (hamis) értékre, és a vezető részlegének nem kell megegyeznie a közvetlen beosztott részlegével.

A vezetői hierarchia biztonsági modellje mellett a kezelőnek legalább felhasználói szintű olvasási jogosultsággal kell rendelkeznie egy táblán a jelentések adatainak megtekintéséhez. Ha például egy vezető nem rendelkezik olvasási hozzáféréssel az Eset táblához, akkor a vezető nem láthatja azokat az eseteket, amelyekhez a jelentései hozzáférnek.

A felettes azonos felügyeleti láncában lévő nem közvetlen beosztott esetén a vezető csak olvasási hozzáféréssel rendelkezik a nem közvetlen jelentés adataihoz. Közvetlen beosztott esetén a felettes Olvasás, Írás, Hozzáfűzés, Hozzáfűzés hozzáféréssel rendelkezik a jelentés adataihoz. A vezetői hierarchia biztonsági modelljének szemléltetéséhez vessünk egy pillantást az alábbi ábrára. A vezérigazgatói megtekintheti és frissítheti is az értékesítési igazgató és a szolgáltatási igazgató adatait. A vezérigazgató azonban csak az értékesítési vezető és a szolgáltatáskezelő adatait, valamint az értékesítési és támogatási adatokat olvashatja. A kezelő által elérhető adatok mennyiségét tovább korlátozhatja mélységgel. A mélység annak korlátozására szolgál, hogy a vezető hány szint mélységben férhet hozzá csak olvasási hozzáféréssel a jelentések adataihoz. Ha például a mélység 2-re van állítva, a vezérigazgató láthatja az értékesítési alelnök, a szolgáltatási alelnök, valamint az értékesítési és szolgáltatásvezetők adatait. A vezérigazgató azonban nem látja az értékesítési adatokat vagy a támogatási adatokat.

Képernyőkép a vezetői hierarchiáról. Ez a hierarchia magában foglalja a vezérigazgatót, az értékesítési alelnököt, a szolgáltatási alelnököt, az értékesítési vezetőket, a szolgáltatásvezetőket, az értékesítést és a támogatást.

Fontos megjegyezni, hogy ha egy közvetlen beosztott mélyebb biztonsági hozzáféréssel rendelkezik egy táblához, mint a felettese, előfordulhat, hogy a felettese nem látja az összes olyan rekordot, amelyhez a közvetlen beosztottnak hozzáférése van. A következő példa szemlélteti ezt az esetet.

  • Egy részlegnek három felhasználója van: 1. felhasználó, 2. felhasználó és 3. felhasználó.

  • Felhasználó 2 Felhasználó 1 közvetlen beosztottja.

  • Az 1. felhasználó és a 3. felhasználó felhasználói szintű olvasási hozzáféréssel rendelkezik a Partner táblához. Ez a hozzáférési szint elérhetővé teszi a felhasználók számára a saját tulajdonukban lévő rekordokat, a felhasználókkal megosztott rekordokat, illetve az olyan csoporttal megosztott rekordokat, amelynek a felhasználók tagjai.

  • A 2. felhasználó részlegolvasási hozzáféréssel rendelkezik a Partner táblához. Ez a hozzáférés lehetővé teszi a 2. felhasználó számára a részleg összes fiókjának megtekintését, beleértve az 1. és 3. felhasználó tulajdonában lévő összes fiókot.

  • Az 1. felhasználó, mint a Felhasználó 2 közvetlen felettese, hozzáféréssel rendelkezik a Felhasználó 2 tulajdonában lévő vagy vele megosztott fiókokhoz, beleértve a 2. felhasználó más csoportjaival megosztott vagy birtokolt fiókokat is. Az 1. felhasználó azonban nem fér hozzá a 3. felhasználó fiókjaihoz, annak ellenére, hogy a közvetlen beosztottja hozzáférhet a 3. felhasználói fiókokhoz.

Pozícióhierarchia

A beosztáshierarchia nem a közvetlen jelentési struktúrán alapul, mint a vezetői hierarchia. A felhasználónak nem kell feltétlenül vezetőnek lennie ahhoz, hogy más felhasználók adatait láthassa. Rendszergazdaként különböző beosztásokat határozhat meg a szervezetben, és elrendezheti őket a beosztáshierarchiában. Ezután felhasználókat adhat hozzá egy adott pozícióhoz, vagy, ahogy mi is mondjuk, megcímkézhet egy felhasználót egy adott pozícióval. Egy felhasználó egy adott hierarchiában csak egy pozícióval lehet felcímkézve, azonban egy pozíciót több felhasználóhoz is hozzárendelhet. A hierarchia magasabb pozícióiban levő használók az alacsonyabb pozícióban levő felhasználók adataihoz férhetnek hozzá, a közvetlen elődi útvonalon. A közvetlen magasabb pozíció olvasási, írási, hozzáfűzési és „hozzáfűzés ehhez” jogosultsággal rendelkeznek az alacsonyabb beosztások adataihoz a közvetlen elődi úton. A nem közvetlen magasabb pozíciók csak olvasási hozzáféréssel rendelkeznek az alacsonyabb pozíciók adataihoz a közvetlen ős útvonalán.

A közvetlen ős útvonal fogalmának illusztrálásához nézzük meg a következő ábrát. Az értékesítési vezető pozíció hozzáfér az értékesítési adatokhoz, azonban nem fér hozzá a támogatási adatokhoz, amelyek a különböző elődútvonalakon vannak. Ugyanez igaz a szolgáltatásvezetői pozícióra is. Nincs hozzáférése az értékesítési adatokhoz, amelyek az értékesítési útvonalon találhatók. A vezetői hierarchiához hasonlóan a magasabb pozíciók által elérhető adatok mennyiségét mélységgel korlátozhatja. A mélység korlátozza, hogy egy magasabb pozíció hány szint mélységben fér hozzá csak olvasási hozzáféréssel a közvetlen ős útvonal alacsonyabb pozícióinak adataihoz. Ha például a mélység 3-ra van állítva, a vezérigazgatói pozíció láthatja az adatokat az értékesítési alelnöki és szolgáltatási alelnöki pozícióktól egészen az értékesítési és támogatási pozíciókig.

Képernyőkép a pozícióhierarchiáról. Ez a hierarchia magában foglalja a vezérigazgatót, az értékesítési alelnököt, a szolgáltatási alelnököt, az értékesítési vezetőket, a szolgáltatásvezetőket, az értékesítést és a támogatást.

Feljegyzés

A pozícióhierarchia biztonságával a magasabb beosztású felhasználó hozzáférhet az alacsonyabb pozíciójú felhasználó vagy annak a csoportnak a tulajdonában lévő rekordokhoz, amelynek a felhasználó tagja, valamint azokhoz a rekordokhoz, amelyek közvetlenül meg vannak osztva a felhasználóval vagy azzal a csoporttal, amelynek a felhasználó tagja.

A pozícióhierarchia biztonsági modellje mellett a magasabb szintű felhasználóknak legalább felhasználói szintű olvasási jogosultsággal kell rendelkezniük egy táblán, hogy láthassák azokat a rekordokat, amelyekhez az alacsonyabb beosztású felhasználók hozzáférhetnek. Ha például egy magasabb szintű felhasználó nem rendelkezik olvasási hozzáféréssel az Eset táblához, akkor nem fogja látni azokat az eseteket, amelyekhez az alacsonyabb beosztású felhasználók hozzáférhetnek.

A hierarchikus biztonság beállítása

A hierarchiabiztonság beállításához győződjön meg arról, hogy rendelkezik rendszergazdai engedéllyel a beállítás frissítéséhez.

A hierarchikus biztonsági alapértelmezés szerint le van tiltva. A hierarchia biztonságának engedélyezéséhez kövesse az alábbi lépéseket.

  1. Válasszon egy környezetet, és lépjen a Beállítások>Felhasználók és engedélyek>Hierarchiabiztonság menüpontba.

  2. A Hierarchiamodell területen válassza a Kezelői hierarchiamodellengedélyezése vagy a Pozícióhierarchia-modell engedélyezése lehetőséget a követelményektől függően.

    Fontos

    A Hierarchikus biztonság módosításához rendelkeznie kell a Hierarchikus biztonsági beállítások módosítása jogosultsággal.

    A Hierarchiatábla-kezelés területen alapértelmezés szerint minden rendszertáblánál engedélyezve van a hierarchia biztonsága, de a szelektív táblák kizárhatók a hierarchiából. Ha bizonyos táblákat ki szeretne zárni a hierarchiamodellből, törölje a jelet a kizárni kívánt táblák jelölőnégyzetéből, és mentse a módosításokat.

    Képernyőkép a Környezetek beállításai párbeszédpanel Hierarchiabiztonság lapjáról.

  3. Állítsa a Mélység értékét a kívánt értékre annak korlátozásához, hogy egy vezető hány szint mélységben férhet hozzá csak olvasási hozzáféréssel a jelentései adataihoz.

    Ha például a mélység 2, a kezelő csak a saját fiókjaihoz és a két szint mélységű jelentések fiókjaihoz férhet hozzá. Példánkban, ha nem rendszergazdai értékesítési alelnökként jelentkezik be az ügyfélkapcsolati alkalmazásokba, akkor csak a felhasználók aktív fiókjait látja az ábrán látható módon:

    Képernyőkép az értékesítési alelnök olvasási hozzáféréséről és más beosztásokról.

    Feljegyzés

    Bár a hierarchikus biztonság az értékesítési igazgatónak csak a vörös négyszögben található bejegyzésekhez ad hozzáférést, emellett további hozzáférést biztosíthat az igazgató biztonsági szerepköre alapján.

  4. A Hierarchiatábla-kezelés szakaszban alapértelmezés szerint minden rendszertáblán engedélyezve van a hierarchia biztonsága. Ha ki szeretne zárni egy adott táblát a hierarchiamodellből, törölje a jelet a tábla neve melletti jelölőnégyzetből, és mentse a módosításokat.

    Képernyőkép, amely bemutatja, hol állíthatja be a hierarchiabiztonságot az új, modern felhasználói felület beállításaiban.

    Fontos

    • Ez egy előnézeti funkció.
    • Az előzetes funkciókat nem célszerű termelési környezetben használni, és előfordulhat, hogy korlátozott funkcionalitással rendelkeznek. Ezek a funkciók a hivatalos kiadás előtt érhetők el, hogy az ügyfelek korán megismerkedhessenek velük, és visszajelzést adhassanak róluk.

Vezetői és beosztáshierarchiák beállítása

A vezetői hierarchia egyszerűen létrehozható a rendszerfelhasználói rekord kezelői kapcsolatának használatával. A vezetői (ParentsystemuserID) keresőmezőben határozhatja meg a felhasználó vezetőjét. Ha Ön hozta létre a pozícióhierarchiát, akkor a felhasználót a pozícióhierarchia egy adott pozíciójával is megcímkézheti. A következő példában az értékesítő a vezetői hierarchiában az értékesítési vezetőnek jelent, és a beosztáshierarchiában is rendelkezik értékesítési pozícióval:

Képernyőkép egy értékesítő felhasználói rekordjáról.

Ha felhasználót szeretne hozzáadni a pozícióhierarchia egy adott pozíciójához, használja a felhasználói rekord űrlapjának Pozíció nevű keresőmezőjét.

Fontos

Egy felhasználó adott pozícióhoz való hozzáadásához vagy a felhasználó pozíciójának módosításához a Felhasználó pozíciójának beállítása jogosultságra van szüksége.

Képernyőkép, amely bemutatja, hogyan adhat hozzá felhasználót egy pozícióhoz a Hierarchiabiztonság szolgáltatásban

A felhasználói rekord űrlapján elfoglalt pozíció módosításához a navigációs sávon válassza az Egyebek (...) lehetőséget , és válasszon másik pozíciót.

A pozíció módosítása a hierarchikus biztonsági modellben

Pozícióhierarchia létrehozása:

  1. Válasszon egy környezetet, és lépjen a Beállítások>Felhasználók és engedélyek>Pozíciók oldalra.

    Minden egyes pozíciónál adja meg a pozíció nevét, szülőjét és leírását. Ehhez a pozícióhoz A pozíciót betöltő felhasználók keresőmezővel adhat hozzá felhasználókat. Az alábbi képen egy példa látható az aktív pozíciókat tartalmazó pozícióhierarchiára.

    Aktív pozíciók a hierarchikus biztonsági modellben

    Az engedélyezett felhasználók példája a megfelelő pozíciókkal az alábbi képen látható.

    Képernyőkép, amelyen a hozzárendelt pozíciókkal rendelkező engedélyezett felhasználók láthatók.

A letiltott felhasználó állapotú közvetlen beosztott tulajdonában lévő rekordok belefoglalása vagy kizárása

A vezetők megtekinthetik a letiltott állapotú közvetlen jelentés rekordjait azokban a környezetekben, ahol a hierarchiabiztonság 2024. január 31. után engedélyezve van. Más környezetekben a letiltott állapotú közvetlen jelentés rekordjai nem szerepelnek a vezető nézetében.

A letiltott állapotú közvetlen beosztott rekordjainak belefoglalása:

  1. Telepítse az OrganizationSettingsEditor eszközt.
  2. Frissítse az AuthorizationEnableHSMForDisabledUsers beállítást true (igaz ) értékre.
  3. Tiltsa le a hierarchiamodellezést.
  4. Engedélyezze újra.

A letiltott állapot közvetlen beosztott rekordjainak kizárása:

  1. Telepítse az OrganizationSettingsEditor eszközt.
  2. Frissítse az AuthorizationEnableHSMForDisabledUsers beállítást false (hamis) értékre.
  3. Tiltsa le a hierarchiamodellezést.
  4. Engedélyezze újra.

Feljegyzés

  • Ha letiltja, majd újra engedélyezi a hierarchiamodellezést, a frissítés időbe telhet, mivel a rendszernek újra kell számítania a kezelői rekordhoz való hozzáférést.
  • Ha időtúllépést lát, csökkentse a Hierarchiatábla-kezelés listában található táblák számát, hogy csak azokat a táblákat tartalmazza, amelyeket a vezetőnek meg kell tekintenie. Ha az időtúllépés továbbra is fennáll, küldjön támogatási jegyet a segítségkéréshez.
  • A Letiltott állapotú közvetlen beosztott rekordjai akkor szerepelnek, ha ezeket a rekordokat megosztják egy másik, aktív közvetlen beosztottal. Ezeket a rekordokat a megosztás eltávolításával zárhatja ki.

Teljesítménnyel kapcsolatos szempontok

A teljesítmény növelése érdekében ajánlott betartani az alábbi javaslatokat:

  • Tartsa a tényleges hierarchiabiztonságot legfeljebb 50 felhasználóra egy vezető vagy pozíció alatt. Előfordulhat, hogy a hierarchiában több mint 50 felhasználó van egy felettes vagy beosztás alatt, de a Mélység beállítással csökkentheti a csak olvasási hozzáférés szintjeinek számát, és ezzel korlátozhatja a felettes vagy pozíció alatti felhasználók tényleges számát 50 felhasználóra vagy kevesebbre.

  • Összetettebb forgatókönyvekhez használjon hierarchiabiztonsági modelleket más meglévő biztonsági modellekkel. Ne hozzon létre túl sok részleget, inkább viszonylag kisebb számú részleghez adjon hozzá hierarchikus biztonságot.

Kapcsolódó információk

Biztonság a Microsoft Dataverse szolgáltatásban
Hierarchikus adatok lekérdezése és képi megjelenítése