Megosztás a következőn keresztül:

Biztonsági koncepciók a Microsoft Dataverse alkalmazásban

  • Cikk

A Dataverse egyik legfontosabb jellemzője a gazdag biztonsági modell, amely számos üzleti felhasználási forgatókönyvhöz igazítható. Ez a biztonsági modell csak akkor játszik szerepet, ha a környezetben van Dataverse adatbázis. Rendszergazdaként valószínűleg nem saját maga készíti el a teljes biztonsági modellt, de gyakran részt vesz a felhasználók kezelésének folyamatában, valamint a megfelelő konfiguráció biztosításában számukra, illetve a hozzáféréssel kapcsolatos problémák hibaelhárításában.

Tipp.

Videó szimbólumTekintse meg a következő videót: Microsoft Dataverse – Biztonsági fogalmak a demókban.

Szerepkör alapú biztonság

A Dataverse szerepköralapú biztonságot használ a jogosultságok gyűjteményeinek összeállításához. Ezeket a biztonsági szerepköröket vagy közvetlenül a felhasználókhoz, vagy Dataverse csoportokhoz és üzleti egységekhez lehet társítani. A felhasználókat ezután a csoporthoz lehet társítani, ezért a csoporthoz társított összes felhasználó kihasználhatja a szerepkör előnyeit. A Dataverse biztonságával kapcsolatban kulcsfontosságú annak megértése, hogy minden megadott jogosultság halmozódik, és a legnagyobb hozzáférési arány érvényesül. Ha általános szervezeti szintű olvasási hozzáférést biztosít minden kapcsolattartói rekordhoz, akkor nem tud egyetlen bejegyzést sem elrejteni.

Részlegek

Tipp.

Videó szimbólumTekintse meg a következő videót: Részlegek modernizálása.

A üzleti egységek a biztonsági szerepkörökkel dolgoznak annak meghatározására, hogy milyen biztonsággal rendelkezik a felhasználó. Az üzleti egységek a biztonsági modell építőelemét jelentik, amely segít a felhasználók és az általuk elérhető adatok kezelésében. Az üzleti egységek a biztonsági határt határozzák meg. Minden Dataverse adatbázis egyetlen gyökér üzleti egységgel rendelkezik.

A felhasználók és az adatok további felosztásához gyermek üzleti egységeket hozhat létre. A környezetekhez hozzárendelt összes felhasználó részlegekhez tartozik majd. Bár az üzleti egységek felhasználhatók a valós szervezeti hierarchia 1:1 arányú lemodellezéséhez, gyakran inkább csak a meghatározott biztonsági határoknál segítenek a biztonsági modellhez szükséges elemek teljesítésében.

Hogy ezt jobban megértsük, nézzük meg a következő példát. Három üzleti egységünk van. A Woodgrove a gyökér üzleti egység, és mindig a hierarchia csúcsán lesz, ezt nem lehet megváltoztatni. Két másik alárendelt részleget hoztunk létre: A és B. Az egységek felhasználói nagyon eltérő hozzáférési igényekkel rendelkeznek. Amikor társítunk egy felhasználót ehhez a környezethez, beállíthatjuk a felhasználót e három részleg egyikéhez. Az, hogy a felhasználót melyik egységhez társítjuk, meghatározza, hogy melyik üzleti egység birtokában lesznek a felhasználó tulajdonát képező rekordok. Ez a társítás lehetővé teszi, hogy testreszabjunk egy biztonsági szerepkört, amellyel a felhasználó láthatja az adott részleg összes rekordját.

Hierarchikus adatelérés struktúrája

Az ügyfelek olyan szervezeti felépítést használhatnak, amelyben az adatok és a felhasználók egy fához hasonló hierarchiában vannak.

Amikor egy felhasználót ehhez a környezethez társítunk, beállíthatjuk, hogy a felhasználó a három részleg egyikében legyen, és hozzárendelhetünk egy biztonsági szerepkört a részlegből a felhasználóhoz. Azt a részleget, amelyikhez a felhasználó társítva van, azt határozza meg, hogy a felhasználó rekordjának létrehozásakor melyik részleg tulajdonában vannak a rekordok. Az ilyen társítással lehetőség van testre szabni egy biztonsági szerepkört, amely lehetővé teszi, hogy a felhasználó az adott részleg rekordjait lássa.

Az A felhasználó az A divízióhoz van társítva, és Y biztonsági szerepkör van hozzárendelve az A divíziótól. Így az A felhasználó elérheti a Kapcsolattartó 1 és Kapcsolattartó 2 rekordokat. Bár a B divízió B felhasználója nem tudja elérni az A divízió Kapcsolattartó rekordjait, de elérheti a Kapcsolattartó 3 rekordjait.

Mátrix adatelérési struktúra – példa

Mátrix adatelérési struktúra (modernizált részlegek)

Az ügyfelek olyan szervezeti felépítést használhatnak, amelyben az adatok a fához hasonló hierarchiában vannak szétosztva a felhasználók pedig attól függetlenül dolgozhatnak és férhetnek hozzá a részlegek adataihoz, hogy milyen részleghez van rendelve a felhasználó.

Amikor társítunk egy felhasználót ehhez a környezethez, beállíthatjuk a felhasználót e három részleg egyikéhez. Minden egyes részleg esetében, amelyhez a felhasználónak adatokat kell elérnie, annak az részlegnek egy biztonsági szerepköre van rendelve a felhasználóhoz. Amikor a felhasználó létrehoz egy rekordot, a felhasználó beállíthatja, hogy a melyik részleg a rekord tulajdonosa.

Az A felhasználó bármely részleghez társítható, beleértve a legfelső szintű részleget is. Az Y biztonsági szerepkör az A divízióból az A felhasználóhoz van rendelve, amely hozzáférést ad a felhasználónak a Kapcsolattartó 1 és Kapcsolattartó 2 rekordokhoz. Az Y biztonsági szerepkör az B divízióból az A felhasználóhoz van rendelve, amely hozzáférést ad a felhasználónak a Kapcsolattartó 3 rekordhoz.

Hierarchikus adatelérés struktúrája – példa

A mátrix adatelérési struktúra engedélyezése

Feljegyzés

A szolgáltatás engedélyezése előtt közzé kell tennie az összes testreszabást ahhoz, hogy engedélyezve legyen az összes új közzé nem tett tábla a szolgáltatáshoz. Ha olyan közzé nem tett táblákat talál, amelyek a bekapcsolás után nem működnek ezzel a funkcióval, akkor megadhatja a RecomputeOwnershipAcrossBusinessUnits beállítást a OrgDBOrgSettings eszközzel a Microsoft Dynamics CRM-hez. A RecomputeOwnershipAcrossBusinessUnits true értékre állítása lehetővé teszi a Tulajdonos részleg mező beállítását és frissítését.

  1. Jelentkezzen be a Power Platform felügyeleti központba rendszergazdaként (Dynamics 365 rendszergazda, Globális rendszergazda vagy Microsoft Power Platform rendszergazda).
  2. Válassza ki a Környezetek lehetőséget, majd válassza ki azt a környezetet, amely számára engedélyezni szeretné ezt a szolgáltatást.
  3. Válassza a Beállítások>Termék>Tulajdonságok lehetőséget.
  4. A Különböző részlegekhez tartozó rekordok birtoklásának engedélyezése kapcsolót állítsa Be állásba.

Amikor be van kapcsolva ez a funkció, kiválaszthatja a Részleg lehetőséget, amikor egy felhasználóhoz társít egy biztonsági szerepkört. Ez lehetővé teszi különböző részlegek biztonsági funkcióját hozzárendelhesse egy felhasználóhoz. A felhasználónak emellett szüksége van egy, attól a részlegtől származó biztonsági szerepkörre, amelyhez a felhasznlálót hozzárendelték a felhasználói beállítások jogosultságaival , hogy modellvezérelt alkalmazásokat futtathasson. Az Alapfelhasználó biztonsági szerepkör részletei között állapíthatja meg, hogy miként engedélyezhetők a felhasználói beállítások ilyen jogosultságai.

A felhasználót bármely részlegben hozzárendelheti rekordtulajdonosként, anélkül, hogy a rekord tulajdonos részlegében biztonsági szerepkört kellene hozzárendelnie, amíg a felhasználónak van olyan biztonsági szerepköre, amely Olvasás jogosultsággal rendelkezik a rekordtáblához. Lásd: A rekordok tulajdonjoga a modernizált részlegekben.

Feljegyzés

Ez a funkcióváltás az EnableOwnershipAcrossBusinessUnits található, és a OrgDBOrgSettings eszközzel beállítható a Microsoft Dynamics CRM-mel.

Részleg Microsoft Entra társítása biztonsági csoporthoz

Biztonsági csoport használatával Microsoft Entra leképezheti a részleget a felhasználói adminisztráció és a szerepkör-hozzárendelés egyszerűsítése érdekében.

Hozzon létre egy Microsoft Entra biztonsági csoportot minden részleghez, és rendelje hozzá a megfelelő részleget biztonsági szerepkör minden csoportcsapathoz.

Hozzon létre egy Microsoft Entra biztonsági csoportot minden részleghez.

Minden részleghez hozzon létre egy Microsoft Entra biztonsági csoportot. Hozzon létre egy Dataverse csoportcsoportot minden Microsoft Entra biztonsági csoporthoz. Rendelje hozzá a megfelelő biztonsági szerepkört a részlegből az egyes Dataverse-csoportokhoz. A fenti ábrán látható felhasználó a gyökérszintű részlegben jön létre, amikor a felhasználó hozzáfér a környezethez. Nem probléma, ha a felhasználó és a Dataverse csoportja a gyökérszintű részlegben vannak. Csak abban a részlegben férhetnek hozzá az adatokhoz, ahol a biztonsági szerepkör hozzá van rendelve.

Adjon hozzá felhasználókat a megfelelő Microsoft Entra biztonsági csoporthoz, hogy hozzáférést biztosítson számukra a részleghez. A felhasználók azonnal futtathatja az alkalmazást, és elérhetik az erőforrásait/adatait.

A mátrix adathozzáférésében , ahol a felhasználók több részlegből dolgozhatnak és férhetnek hozzá az adatokhoz, adja hozzá afelhasználókat az Microsoft Entra adott részlegekhez hozzárendelt biztonsági csoportokhoz.

Tulajdonos részleg

Minden rekordhoz tartozik egy Tulajdonos részleg oszlop, amely meghatározza, hogy melyik részleg a rekord tulajdonosa. Ez az oszlop a rekord létrehozásakor alapértelmezés szerint a felhasználó részlege, és csak akkor módosítható, ha a funkciókapcsoló BE van kapcsolva.

Feljegyzés

Ha módosítja, hogy melyik részleg birtokol egy rekordot, mindenképpen tekintse meg a következőket a kaszkádhatásokhoz: NET-hez készült SDK használata az egymásra épülő viselkedés konfigurálásához.

Megadhatja, hogy engedélyezi-e a felhasználónak a Saját részleg oszlop beállítását, amikor be van kapcsolva a funkció. A Saját részleg oszlop beállításához meg kell adnia a felhasználó biztonsági szerepkörének a Részleg tábla Hozzáfűzés a következőhöz jogosultságát a helyi szintű jogosultsággal.

Ha engedélyezni szeretné, hogy a felhasználó beállíthassa ezt az oszlopot, engedélyezheti ezt az oszlopot a következő helyeken:

  1. Űrlap – a szöveg törzse és fejléce is.
  2. Nézet.
  3. Oszlopleképezések. Az AutoMapEntity használata esetén az oszlopleképezésben megadhatja az oszlopot.

Feljegyzés

Ha van olyan feladata/folyamata, amely szinkronizálja az adatokat a környezetek között, és a Saját részleg szerepel a séma részeként, akkor a feladata sikertelen lesz az Idegen kulcs megkötéssel kapcsolatos megkötés miatt, ha a célkörnyezet nem rendelkezik azonos Tulajdoni részleg értékkel.

A forrássémákból eltávolíthatja a Tulajdonos részleg oszlopot, vagy frissítheti a Forrás a Tulajdonos részleg oszlopának értékét a cél bármely részlegére.

Ha van olyan feladata/folyamata, amely adatokat másol egy környezetből egy külső erőforrásba, például a PowerBI programba, ki kell választania a Tulajdonos részleg oszlopot a forrásból, vagy törölnie kell az oszlop kijelölését. Jelölje ki, ha az erőforrás más módon képes fogadni a kijelölést.

Tábla/rekord tulajdonosa

A Dataverse kétféle típusú tulajdonjogot támogat a rekordokhoz: szervezeti tulajdonjogot és felhasználói vagy csoportos tulajdonjogot. Ez a választás a tábla létrehozásakor történik meg, és nem módosítható. Biztonsági okokból a szervezet tulajdonában lévő bejegyzések esetén a hozzáférési szint egyetlen választása vagy a felhasználó képes a műveletre, vagy nem. A felhasználók és csoport által birtokolt bejegyzések esetében a jogosultságok legtöbbje többszintű Szervezet, Részleg, Részleg és alárendelt részleg, illetve csak a felhasználó saját rekordjai. Ez azt jelenti, hogy a kapcsolattartó-olvasási jogosultságát beállíthatom felhasználó tulajdonában lévőnek, és ekkor a felhasználó csak a saját rekordjait látja.

Nézzünk egy másik példát: tegyük fel, hogy A felhasználó társítva van az A részleghez, és üzleti egység szintű kapcsolattartó-olvasási jogosultságot adunk neki. Láthatják a kapcsolttartó 1 és kapcsolattartó 2 rekordokat, de a kapcsolattartó 3 rekordot nem.

A biztonsági szerepkör jogosultságainak konfigurálásakor, minden beállításhoz beállítja a hozzáférési szintet. Az alábbiakban bemutatunk egy példát a biztonsági szerepkör jogosultságainak szerkesztésére.

Biztonsági szerepkör jogosultságok.

A fentiekben az egyes táblák szaabványos jogosultságait láthatja: Létrehozás, Olvasás, Írás, Törlés, Hozzáfűzés, Hozzáfűzés ehhez, Hozzárendelés és Megosztás. Ezek mindegyikét külön-külön szerkesztheti. Az egyes beállítások vizuális megjelenítésének meg kell egyeznie az alábbi kulcccsal, atekintetben milyen szintű hozzáférést adott.

Biztonsági szerepkör jogosultsági kulcs.

A fenti példában szervezeti szintű kapcsolattartó-hozzáférést adtunk meg, ami azt jelenti, hogy az A részleg felhasználója bárki tulajdonában lévő kapcsolattartói adatokat láthat és frissíthet. Valójában az egyik leggyakoribb adminisztrációs hiba, ha belezavarodunk az engedélyekbe és egyszerűen túl sok hozzáférést adunk meg. Így egy jól kidolgozott biztonsági modellből gyorsan válhat lyukakkal teli ementáli.

A rekordok tulajdonjoga a modernizált részlegekben

A modernizált részlegekben a felhasználók bármelyik részlegben lehetnek a rekordok tulajdonosai. Minden felhasználónak szüksége van egy olyan biztonsági szerepkörre (bármelyik részleg), amely Olvasás jogosultsággal rendelkezik a rekordtáblához. A felhasználóknak nem kell hozzárendelt biztonsági szerepkörrel rendelkezniük minden olyan részlegben, ahol megtalálható a rekord.

Ha a Különböző részlegekhez tartozó rekordok birtoklásának engedélyezése beállítást engedélyezte a működési környezetben az előzetes verzióban, akkor a következő megoldással engedélyeznie kell ennek a rekordnak a tulajdonjogát a részlegekben:

  1. Az Organization Settings Editor telepítése
  2. Állítsa a RecomputeOwnershipAcrossBusinessUnits szervezeti beállítás értékét true-ra. Ha ez a beállítás true (igaz) értékre van állítva, a rendszer zárolva van, és akár 5 percet is igénybe vehet az újraszámítás elvégzése, hogy lehetővé tegye azt a képességet, amelyben a felhasználók mostantól rekordokat birtokolhatnak a részlegek között anélkül, hogy minden részleghez külön biztonsági szerepkör lenne hozzárendelve. Ez lehetővé teszi, hogy a rekord tulajdonosa hozzárendelje a rekordot valakihez, aki nem a rekord tulajdonosa részleg.
  3. Állítsa az AlwaysMoveRecordToOwnerBusinessUnit értékét false-ra. Ezzel a rekord a tulajdonosának a megváltozásakor az eredeti tulajdonos részlegben marad.

A funkció használatához minden nem éles környezet esetén a false értéket kell megadni az AlwaysMoveRecordToOwnerBusinessUnit beállításnál.

Feljegyzés

Ha kikapcsolja a Tulajdonjog rögzítése a részlegek között funkciót, vagy a RecomputeOwnershipAcrossBusinessUnits beállítást false (hamis) értékre állítja a OrgDBOrgSettings Microsoft Dynamics for CRM eszközével, akkor nem fogja tudni beállítani vagy frissíteni a Tulajdonos részleg mezőt, és minden olyan rekord, amelyben a Tulajdonos részleg mező eltér a tulajdonos részlegétől, a tulajdonos részlegére frissül.

Csoportok (beleértve a csoportokhoz tartozó csapatokat is)

A csoportok a biztonsági rendszer másik fontos építőelemét képezik. A csoportok üzleti egység tulajdonában vannak. Minden üzleti egységnek van egy alapértelmezett csoportja, amely automatikusan létrejön az üzleti egység létrehozásakor. Az alapértelmezett csoport tagjait a Dataverse kezeli, és mindig beletartozik az adott üzleti egységhez társított összes felhasználó. A tagok nem adhatók hozzá és nem távolíthatók el manuálisan az alapértelmezett csoportból. A rendszer dinamikusan állítja be őket, amikor új felhasználókat társítanak/választanak le az üzleti egységekhez/-től. Kétféle csoport létezik: a tulajdonosi és a hozzáférési csoport.

  • A tulajdonos csoportoknak olyan rekordok is tulajdonában lehetnek, amelyek bármelyik csoporttagnak közvetlen hozzáférést tudnak adni az adott rekordhoz. A felhasználók több csoport tagjai is lehetnek. Ez hatékony módja lehet annak, hogy a felhasználók széles körben jogosultságokat kapjanak anélkül, hogy bíbelődni kellene a hozzáférésükkel az egyes felhasználók szintjén.
  • A hozzáférési csoportokat a rekordmegosztás részeként a következő fejezet tárgyalja.

Bejegyzések megosztása

Az egyes rekordok egyenként megoszthatók egy másik felhasználóval. Ez hatékony módja az olyan kivételek kezelésének, amelyek nem tartoznak a rekord tulajdonjogába, vagy nem tagjai egy részleg hozzáférési modelljének. Ez azonban kivétel, mert ez a hozzáférés szabályozásának kevésbé hatékony módja. A megosztást nehezebb elhárítani, mert ez nem egy következetesen megvalósított hozzáférés-vezérlés. A megosztást meg lehet valósítani felhasználói és csoportszinten is. A csoporttal történő megosztás hatékonyabb. A megosztás fejlettebb koncepciója a hozzáférési csoportok, amelyek lehetővé teszik a csoport automatikus létrehozását, és a rekordok hozzáférésének megosztása a csoporttal egy alkalmazott hozzáférési csoportsablonon (engedélysablonon) alapul. A hozzáférési csoportok sablonok nélkül is használhatók, csak manuálisan kell hozzáadni vagy eltávolítani a tagjaikat. A hozzáférési csoportok hatékonyabbak, mert nem teszik lehetővé, hogy a csoport rekordok tulajdonosa legyen, és azt sem, hogy a csoporthoz biztonsági szerepköröket rendeljenek. A felhasználók hozzáférést kapnak, mert a rekord meg van osztva a csoporttal, és a felhasználó a csoport tagja.

Rekordszintű biztonság a Dataverse alkalmazásban

Talán kíváncsi lehet arra, hogy mi határozza meg a rekordhoz való hozzáférést. Ez egyszerű kérdésnek tűnik, de a válasz minden felhasználó esetén az adott felhasználó összes biztonsági szerepkörének, a hozzá társított üzleti egységnek, az őt tagként magában foglaló csapatoknak, és a vele megosztott rekordoknak a kombinációja. A legfontosabb dolog, amelyre emlékezni kell, hogy az összes hozzáférés összeadódik a Dataverse adatbázis környezetének hatálya alá tartozó összes ilyen koncepció vonatkozásában. Ezeket a jogosultságokat csak önálló adatbázisban lehet megadni, és egyenként kerülnek nyomonkövetésre az egyes Dataverse-adatbázisokban. Ez megköveteli, hogy megfelelő licenccel rendelkezzenek a Dataverse-eléréséhez.

Oszlopszintű biztonság a Dataverse rendszerben

Időnként a hozzáférés rekordszintű ellenőrzése egyes üzleti forgatókönyvek esetén nem elégséges. A Dataverse oszlopszintű biztonsági funkcióval is rendelkezik, amely lehetővé teszi a biztonság részletesebb, oszlopszintű vezérlését. Az oszlopszintű biztonság az összes egyedi oszlophoz és a legtöbb rendszeroszlophoz engedélyezhető. A személyazonosításra alkalmas adatokat tartalmazó legtöbb rendszeroszlop biztonságát külön-külön lehet kezelni. Az egyes oszlopok metaadatai meghatározzák, hogy elérhető-e ez az opció az adott rendszeroszlop esetén.

Az oszlopszintű biztonságot oszloponként lehet engedélyezni. A hozzáférést ezután egy oszlopbiztonsági profil létrehozásával lehet kezelni. A profil tartalmazza az összes olyan oszlopot, amelyeknél az oszlopszintű biztonság engedélyezve van, és amelyeknek az adott profil hozzáférést ad. Minden oszlop létrehozása, frissítése és olvasási hozzáférése a profilon belülről vezérelhető. Az oszlopbiztonsági profilok ezután egy felhasználóhoz vagy csoportokhoz társíthatók annak érdekében, hogy a felhasználók megkapják ezeket a jogosultságokat azokhoz a rekordokhoz, amelyekhez már van hozzáférésük. Fontos megjegyezni, hogy az oszlopszintű biztonságnak nincs köze a rekordszintű biztonsághoz. A felhasználónak hozzáféréssel kell rendelkeznie az oszlopbiztonsági profilhoz, hogy bármilyen hozzáférést kapjon az oszlophoz. Az oszlopszintű biztonságot szükség szerint, mértékkel kell használni, mivel túlzott alkalmazása káros túlszabályozást okozhat.

Biztonságkezelés több környezetben

A biztonsági szerepkörök és az oszlopbiztonsági profilok a Dataverse megoldásaival becsomagolhatók és áthelyezhetők egyik környezetből a másikba. A részlegeket és a csoportokat minden környezetben létre kell hozni és kezelni kell, a felhasználókat pedig hozzá kell rendelni a szükséges biztonsági összetevőkhöz.

A felhasználók környezetbeli biztonságának konfigurálása

Amikor a környezetben szerepköröket, csoportokat és üzleti egységeket hoznak létre, ideje hozzárendelni a felhasználókhoz a biztonsági konfigurációkat. Először is, amikor létrehoz egy felhasználót, társítja őt egy részleghez. Alapértelmezés szerint ez a szervezet gyökér üzleti egysége. Bekerülnek az adott részleg alapértelmezett csapatába is.

Ezenkívül Ön bármilyen szükséges biztonsági szerepkört hozzárendelhet a felhasználóhoz. Bármelyik csoporthoz is hozzáadhatja a felhasználót mint a csoport tagját. Ne feledje, hogy a csoportoknak biztonsági szerepkörük is lehet, így a felhasználó valós jogai a közvetlenül hozzárendelt biztonsági szerepkörök, valamint az olyan csoportok szerepköreinek kombinációja, amelynek tagjai. A biztonság mindig additív jellegű, az engedélyekhez tartozó jogosultságok legkevésbé korlátozó tagjait veszi alapul. A következőkben remekül áttekinthető a környezeti biztonság konfigurálása.

Ha oszlopszintű biztonságot használt, akkor a felhasználót vagy a felhasználó csoportját hozzá kell társítania az Ön által létrehozott oszlopbiztonsági profilok egyikhez.

A biztonság összetett fogalom, amelyet a legjobb, ha az alkalmazáskészítők és a felhasználói engedélyek felügyeletéért felelős csoport közösen kezelnek. A nagyobb változásokat jóval a környezetben történő bevezetésük előtt össze kell hangolni.

Kapcsolódó információk

Környezetbiztonság konfigurálása
Biztonsági szerepkörök és jogosultságok