Hierarchiabiztonság a hozzáférés szabályozásához

A hierarchikus biztonsági modell a már létező biztonsági modellek kiterjesztése, amely részlegek, biztonsági szerepkörök, megosztások és a csoportok alapján működik. Minden más meglévő biztonsági modellel használható. A hierarchiabiztonság részletesebb hozzáférést biztosít a szervezet rekordjaihoz, és segít csökkenteni a karbantartási költségeket.

Bonyolult esetekben például létrehozhat először néhány részleget, majd hozzáadhatja a hierarchikus biztonságot. Ez a hozzáadott biztonság részletesebb hozzáférést biztosít az adatokhoz, sokkal kevesebb karbantartási költséggel, amelyre nagyszámú üzleti egységnek szüksége lehet.

Vezetői hierarchia és beosztáshierarchia biztonsági modelljei

A hierarchiákhoz két biztonsági modell használható, a vezetői hierarchia és a pozícióhierarchia. A vezetői hierarchia esetén a vezetőnek a jelentéssel azonos részlegen belül vagy a jelentés részlegének szülő részlegében kell lennie ahhoz, hogy hozzáférjen a jelentés adataihoz. A pozícióhierarchia több részlegre kiterjedően is lehetővé teszi az adatokhoz való hozzáférést. Ha Ön pénzügyi szervezet, akkor előnyben részesítheti a vezetői hierarchia modellt, hogy megakadályozza a vezetők hozzáférését az üzleti egységükön kívüli adatokhoz. Ha azonban Ön egy ügyfélszolgálati szervezet tagja, és azt szeretné, hogy a vezetők hozzáférjenek a különböző részlegekben kezelt szolgáltatási esetekhez, a beosztáshierarchia jobban működhet az Ön számára.

Megjegyzés:

A hierarchikus biztonsági modell egy adott szintű hozzáférést biztosít az adatokhoz, ami mellett másfajta biztonsági megoldásokkal (például biztonsági szerepkörökkel) további hozzáférés is adható.

Vezetői hierarchia

A vezetői hierarchia biztonsági modellje a felügyeleti láncon vagy a közvetlen jelentési struktúrán alapul, ahol a vezető és a jelentés kapcsolata a rendszerfelhasználói tábla Menedzser mezőjével jön létre. Ezzel a biztonsági modellel a vezetők hozzáférhetnek azokhoz az adatokhoz, amelyekhez jelentéseik hozzáférnek. Munkát végezhetnek a közvetlen beosztottjaik nevében, vagy hozzáférhetnek a jóváhagyást igénylő információkhoz.

Megjegyzés:

A vezetői hierarchia biztonsági modelljével a vezető hozzáférhet a felhasználó vagy annak a csoportnak a tulajdonában lévő rekordokhoz, amelynek a felhasználó tagja, valamint azokhoz a rekordokhoz, amelyek közvetlenül meg vannak osztva azzal a felhasználóval vagy csapattal, amelynek a felhasználó tagja. Ha egy rekordot a felügyeleti láncon kívüli felhasználó oszt meg egy írásvédett hozzáféréssel rendelkező közvetlen beosztott felhasználóval, a közvetlen beosztott kezelője csak olvasási hozzáféréssel rendelkezik a megosztott rekordhoz.

Ha engedélyezte az Rekordtulajdonlás az üzleti egységek között beállítást, a vezetők közvetlen beosztottakkal rendelkezhetnek különböző üzleti egységekből. A részlegkorlátozás a következő környezetadatbázis-beállítások segítségével távolítható el.

Az igazgatóknak ugyanabban az üzleti egységben vagy szülő üzleti egységben kell lenniük, mint a jelentések

Alapértelmezett = igaz

Beállíthatja hamis értékre, és a vezető részlegének nem kell azonosnak lennie a közvetlen beosztott részlegével.

A vezetői hierarchia biztonsági modellje mellett a vezetőnek legalább felhasználói szintű olvasási jogosultsággal kell rendelkeznie egy táblán a jelentések adatainak megtekintéséhez. Ha például egy felettes nem rendelkezik olvasási hozzáféréssel az Eset táblához, a felettes nem láthatja azokat az eseteket, amelyekhez a jelentései hozzáférnek.

A vezető ugyanazon felügyeleti láncában lévő nem közvetlen munkatársak esetében a vezető csak olvasási hozzáféréssel rendelkezik a nem közvetlen munkatárs adataihoz. Közvetlen jelentést tevő alkalmazott esetén a felettes olvasási, írási, hozzáfűzési és csatolási hozzáféréssel rendelkezik a jelentés adataihoz. A vezetői hierarchia biztonsági modelljének szemléltetéséhez vessünk egy pillantást az alábbi ábrára. A vezérigazgatói megtekintheti és frissítheti is az értékesítési igazgató és a szolgáltatási igazgató adatait. A vezérigazgató azonban csak az értékesítési menedzser adatait és a szolgáltatásmenedzser adatait, valamint az értékesítési és támogatási adatokat olvashatja. Tovább korlátozhatja a kezelő által elérhető adatok mennyiségét mélységgel. A mélység arra szolgál, hogy korlátozza, hogy egy vezető legfeljebb hány szint mélységig férhet hozzá csak olvasható hozzáféréssel a jelentések adataihoz. Ha például a mélység 2-re van állítva, a vezérigazgató láthatja az értékesítési alelnök, a szolgáltatási alelnök, valamint az értékesítési és szolgáltatási vezetők adatait. A vezérigazgató azonban nem látja az értékesítési adatokat vagy a támogatási adatokat.

Képernyőkép, amely a kezelői hierarchiát mutatja. Ez a hierarchia magában foglalja a vezérigazgatót, az értékesítési alelnököt, a szolgáltatási alelnököt, az értékesítési vezetőket, a szolgáltatásvezetőket, az értékesítést és a támogatást.

Fontos megjegyezni, hogy ha egy közvetlen beosztott mélyebb biztonsági hozzáféréssel rendelkezik egy táblához, mint a felettese, előfordulhat, hogy a felettes nem látja az összes olyan rekordot, amelyhez a közvetlen beosztott hozzáfér. A következő példa szemlélteti ezt az esetet.

  • Egyetlen részlegnek három felhasználója van: 1. felhasználó, 2. felhasználó és 3. felhasználó.

  • Felhasználó 2 Felhasználó 1 közvetlen beosztottja.

  • Az 1. és a 3. felhasználó felhasználói szintű olvasási hozzáféréssel rendelkezik a Fiók táblában. Ez a hozzáférési szint elérhetővé teszi a felhasználók számára a saját tulajdonukban lévő rekordokat, a felhasználókkal megosztott rekordokat, illetve az olyan csoporttal megosztott rekordokat, amelynek a felhasználók tagjai.

  • A felhasználó 2 üzleti egység-szintű olvasási joggal rendelkezik a Számla táblában. Ez a hozzáférés lehetővé teszi a 2. felhasználó számára, hogy megtekintse a részleg összes fiókját, beleértve az 1. és a 3. felhasználó tulajdonában lévő összes fiókot is.

  • Az 1. felhasználó a 2. felhasználó közvetlen kezelőjeként hozzáférhet a 2. felhasználó tulajdonában lévő vagy a 2. felhasználó által megosztott fiókokhoz, beleértve a 2. felhasználó más csapataival megosztott vagy tulajdonában lévő fiókokat is. Az 1. felhasználó azonban nem fér hozzá a 3. felhasználó fiókjaihoz, annak ellenére, hogy a közvetlen beosztottja hozzáférhet a 3. felhasználó fiókjaihoz.

Beosztáshierarchia

A beosztáshierarchia nem a közvetlen jelentési struktúrán alapul, mint a vezetői hierarchia. A felhasználónak nem kell feltétlenül vezetőnek lennie ahhoz, hogy más felhasználók adatait láthassa. Rendszergazdaként különböző munkaköröket határozhat meg a szervezetben, és elrendezheti őket a beosztási hierarchiában. Ezután hozzáadja a felhasználókat egy adott pozícióhoz, vagy, ahogy mi is mondjuk, megjelöl egy felhasználót egy adott pozícióval. Egy felhasználó egy adott hierarchiában csak egy pozícióval lehet felcímkézve, azonban egy pozíciót több felhasználóhoz is hozzárendelhet. A hierarchia magasabb pozícióiban levő használók az alacsonyabb pozícióban levő felhasználók adataihoz férhetnek hozzá, a közvetlen elődi útvonalon. A közvetlen magasabb pozíció olvasási, írási, hozzáfűzési és „hozzáfűzés ehhez” jogosultsággal rendelkeznek az alacsonyabb beosztások adataihoz a közvetlen elődi úton. A nem közvetlen magasabb pozíció csak olvasási jogosultsággal rendelkezik az alacsonyabb beosztások adataihoz a közvetlen elődi úton.

A közvetlen ősi útvonal fogalmának szemléltetéséhez nézzük meg az alábbi ábrát. Az értékesítési vezető beosztás hozzáfér az értékesítési adatokhoz, de nem fér hozzá a támogatási adatokhoz, amelyek a másik előszülői útvonalon vannak. Ugyanez igaz a szolgáltatásvezetői pozícióra is. Nem fér hozzá az értékesítési adatokhoz, amelyek az értékesítési útvonalon vannak. A vezetői hierarchiához hasonlóan a magasabb pozíciók által elérhető adatok mennyiségét is korlátozhatja mélységgel. A mélység korlátozza, hogy egy magasabb pozíció hány szint mélyen rendelkezik csak olvasási hozzáféréssel a közvetlen ősútvonal alacsonyabb pozícióinak adataihoz. Ha például a mélység 3-ra van állítva, a vezérigazgatói beosztás az értékesítési és szolgáltatási alelnöki pozícióktól kezdve egészen az értékesítési és támogatási pozíciókig láthatja az adatokat.

Képernyőkép, amely a pozícióhierarchiát mutatja. Ez a hierarchia magában foglalja a vezérigazgatót, az értékesítési alelnököt, a szolgáltatási alelnököt, az értékesítési vezetőket, a szolgáltatásvezetőket, az értékesítést és a támogatást.

Megjegyzés:

A beosztáshierarchia biztonságával a magasabb beosztású felhasználó hozzáférhet az alacsonyabb beosztású felhasználó vagy annak a csapatnak a rekordjaihoz, amelynek a felhasználó tagja, valamint azokhoz a rekordokhoz, amelyek közvetlenül meg vannak osztva azzal a felhasználóval vagy csoporttal, amelynek a felhasználó tagja.

A beosztáshierarchia biztonsági modellje mellett a magasabb szintű felhasználóknak legalább felhasználói szintű olvasási jogosultsággal kell rendelkezniük egy táblán, hogy láthassák azokat a rekordokat, amelyekhez az alacsonyabb beosztású felhasználók hozzáférhetnek. Ha például egy magasabb szintű felhasználó nem rendelkezik olvasási hozzáféréssel az Eset táblához, akkor a felhasználó nem fogja látni azokat az eseteket, amelyekhez az alacsonyabb beosztású felhasználók hozzáférhetnek.

A hierarchikus biztonság beállítása

A hierarchiabiztonság beállításához győződjön meg arról, hogy rendszergazdai engedéllyel rendelkezik a beállítás frissítéséhez.

  • Kövesse a Felhasználói profil megtekintése című témakör lépéseit.
  • Nem rendelkezik megfelelő engedélyekkel? Kérje a rendszergazda segítségét.

A hierarchikus biztonsági alapértelmezés szerint le van tiltva. A hierarchia biztonságának engedélyezéséhez hajtsa végre az alábbi lépéseket.

  1. Jelentkezzen be a Power platform felügyeleti központjába rendszergazdaként (Dynamics 365 rendszergazdaként vagy Microsoft Power Platform rendszergazdaként).

  2. Válassza a navigációs ablakban található Kezelés elemet.

  3. A Kezelés panelen válassza a Környezetek lehetőséget, majd válasszon ki egy környezetet a listából.

  4. Lépjen a Beállítások felhasználók + Engedélyek>hierarchiájának biztonsága> elemre.

  5. A Hierarchiamodell alattválassza a Vezetői hierarchiamodell engedélyezése vagy a Beosztáshierarchia-modell engedélyezése lehetőséget a követelményektől függően.

    Important

    A Hierarchikus biztonság módosításához rendelkeznie kell a Hierarchikus biztonsági beállítások módosítása jogosultsággal.

    A Hierarchiatábla-kezelés területen alapértelmezés szerint minden rendszertábla engedélyezve van a hierarchia biztonsága érdekében, de kizárhatja a szelektív táblákat a hierarchiából. Ha adott táblákat ki szeretne zárni a hierarchiamodellből, törölje a kizárni kívánt táblák jelölőnégyzeteinek jelölését, és mentse a módosításokat.

    Képernyőkép a Hierarchiabiztonság lapról a Környezetek beállításaiban.

  6. Állítsa a Mélység értéket a kívánt értékre, hogy korlátozza, hogy egy vezető hány szint mélységben rendelkezik írásvédett hozzáféréssel a jelentések adataihoz.

    Ha például a mélység 2, akkor a kezelő csak a saját fiókjaihoz és a jelentések két szint mély fiókjaihoz férhet hozzá. Példánkban, ha nem rendszergazdai értékesítési alelnökként jelentkezik be az ügyfélkapcsolati alkalmazásokba, akkor csak a felhasználók aktív fiókjait látja az ábrán látható módon:

    Képernyőkép, amely az értékesítési alelnök és más beosztások olvasási hozzáférését mutatja.

    Megjegyzés:

    Bár a hierarchikus biztonság az értékesítési igazgatónak csak a vörös négyszögben található bejegyzésekhez ad hozzáférést, emellett további hozzáférést biztosíthat az igazgató biztonsági szerepköre alapján.

Vezetői és beosztási hierarchiák beállítása

A vezetői hierarchia könnyen létrehozható a rendszer-felhasználói rekord kezelői kapcsolatának használatával. A vezetői (ParentsystemuserID) keresőmezőben határozhatja meg a felhasználó vezetőjét. Ha létrehozta a beosztáshierarchiát, akkor a felhasználót a beosztáshierarchia egy adott pozíciójával is megcímkézheti. A következő példában az értékesítő jelent az értékesítési vezetőnek a vezetői hierarchiában, és az értékesítési pozíciója is a pozíció hierarchiában van.

Képernyőkép, amely egy értékesítő felhasználói rekordját mutatja.

Ha egy felhasználót a beosztáshierarchia egy adott pozíciójához szeretne hozzáadni, használja a felhasználói rekord űrlapján a Beosztás nevű keresőmezőt.

Important

Egy felhasználó adott pozícióhoz való hozzáadásához vagy a felhasználó pozíciójának módosításához a Felhasználó pozíciójának beállítása jogosultságra van szüksége.

Képernyőkép, amely bemutatja, hogyan adhat hozzá egy felhasználót egy beosztáshoz a hierarchiabiztonságban

A felhasználói rekord űrlapján lévő pozíció módosításához a navigációs sávon válassza az Egyebek( ...) lehetőséget , és válasszon egy másik pozíciót.

A pozíció módosítása a hierarchikus biztonsági modellben

Beosztáshierarchia létrehozása:

  1. Válasszon egy környezetet, és lépjen a Beállítások>Felhasználók és engedélyek>Pozíciók oldalra.

    Minden egyes pozíciónál adja meg a pozíció nevét, szülőjét és leírását. Ehhez a pozícióhoz A pozíciót betöltő felhasználók keresőmezővel adhat hozzá felhasználókat. Az alábbi képen egy példa látható az aktív pozíciók beosztáshierarchiájára.

    Aktív pozíciók a hierarchikus biztonsági modellben

    Az alábbi képen látható az engedélyezett felhasználók példája a hozzájuk tartozó pozíciókkal.

    Képernyőkép, amely a hozzárendelt pozíciókkal rendelkező engedélyezett felhasználókat mutatja.

Többszintű rekordok szerkesztése és frissítése közvetlen jelentések számára

Alapértelmezés szerint a vezetők frissíthetik a közvetlen beosztottjaik rekordjait és a közvetlen beosztottjaiknak jelentő személyek rekordjait. Lényegében három szint mélyen lévő rekordokat frissíthet. Az alapértelmezett beállítást az alábbi lépések végrehajtásával módosíthatja.

  1. Az OrganizationSettingsEditor eszköz telepítése.
  2. Szerkessze a HierarchyLevelForHierarchyFeature beállítást .
  3. Adja meg a közvetlen szintmélység számát. Írja be például az 5 értéket.
  4. Válassza ki a Frissítés lehetőséget.

Letiltott felhasználói státuszú közvetlen beosztott által birtokolt rekordok belefoglalása vagy kizárása

A vezetők megtekinthetik a letiltott státuszú közvetlen jelentéseik rekordjait azokban a környezetekben, ahol a hierarchiabiztonság 2024. január 31. után engedélyezett. Más környezetekben a letiltott státusszal rendelkező közvetlen beosztottak rekordjai nem szerepelnek a vezetői nézetben.

A letiltott státuszú közvetlen beosztottak rekordjainak bevonása:

  1. Az OrganizationSettingsEditor eszköz telepítése.
  2. Frissítse az AuthorizationEnableHSMForDisabledUsers beállítást true (igaz) értékre .
  3. Tiltsa le a hierarchiamodellezést.
  4. Engedélyezze újra.

A letiltott státuszú közvetlen beosztottak rekordjainak kizárása:

  1. Az OrganizationSettingsEditor eszköz telepítése.
  2. Frissítse az AuthorizationEnableHSMForDisabledUsers beállítást false (hamis) értékre .
  3. Tiltsa le a hierarchiamodellezést.
  4. Engedélyezze újra.

Megjegyzés:

  • Ha letiltja és újra engedélyezi a hierarchiamodellezést, a frissítés időt vehet igénybe, mivel a rendszernek újra kell számítania a kezelői rekordok hozzáférését.
  • Ha időtúllépést lát, csökkentse a Hierarchiatábla-kezelés listájában lévő táblák számát, úgy, hogy csak a felettes által megtekintendő táblákat tartalmazza. Ha az időtúllépés továbbra is fennáll, kérjen segítséget támogatási jegy küldésével.
  • A letiltott állapotú közvetlen beosztott rekordjai akkor szerepelnek, ha ezeket a rekordokat egy másik aktív közvetlen beosztottal osztják meg. Ezeket a rekordokat a megosztás eltávolításávalzárhatja ki.

Teljesítménnyel kapcsolatos szempontok

A teljesítmény növelése érdekében ajánlott betartani az alábbi javaslatokat:

  • A hatékony hierarchiai biztonság fenntartása érdekében tartsuk 50 felhasználó vagy kevesebb szintjén egy vezető vagy pozíció alatt. Előfordulhat, hogy a hierarchiának több mint 50 felhasználója van egy felettes vagy beosztás alatt, de a Mélység beállítással csökkentheti a csak olvasási hozzáférés szintjének számát, és ezzel korlátozhatja a felettes vagy beosztás alatti felhasználók tényleges számát 50 felhasználóra vagy kevesebbre.

  • Hierarchiabiztonsági modelleket használhat más, meglévő biztonsági modellekkel összetettebb forgatókönyvekhez. Kerülje a nagyszámú részleg létrehozását. Ehelyett hozzon létre kevesebb részleget, és adjon hozzá hierarchiabiztonságot.

  • Tartsa a HierarchyLevelForHierarchyFeature számot az üzleti követelmények által megkövetelt közvetlen szint legalacsonyabb szintjén, hogy a vezetők frissíthessék közvetlen beosztottjaik rekordjait.

Lásd még

Biztonság a Microsoft Dataverse
Hierarchikus adatok lekérdezése és megjelenítése

  • Last updated on