Keamanan hierarki untuk mengontrol akses

Model keamanan hirarki adalah perluasan untuk model keamanan yang ada yang menggunakan unit bisnis, peran keamanan, berbagi, dan tim. Ini dapat digunakan dengan semua model keamanan lain yang ada. Keamanan hierarki menawarkan akses yang lebih terperinci ke catatan untuk organisasi dan membantu menurunkan biaya pemeliharaan.

Sebagai contoh, dalam skenario kompleks, Anda dapat memulai dengan membuat beberapa unit bisnis dan kemudian menambahkan keamanan hirarki. Keamanan tambahan ini memberikan akses yang lebih terperinci ke data dengan biaya pemeliharaan yang jauh lebih sedikit yang mungkin diperlukan oleh sejumlah besar unit bisnis.

Model keamanan hierarki manajer dan hierarki posisi

Dua model keamanan dapat digunakan untuk hierarki, hierarki manajer dan hierarki posisi. Dengan hierarki manajer, manajer harus berada dalam unit bisnis yang sama dengan laporan, atau di unit bisnis induk unit bisnis laporan, untuk memiliki akses ke data laporan. Hirarki posisi memungkinkan akses data di seluruh unit bisnis. Jika Anda adalah organisasi keuangan, Anda mungkin lebih memilih model hierarki manajer, untuk mencegah manajer mengakses data di luar unit bisnis mereka. Namun, jika Anda adalah bagian dari organisasi layanan pelanggan dan ingin manajer mengakses kasus layanan yang ditangani di unit bisnis yang berbeda, hierarki posisi mungkin bekerja lebih baik untuk Anda.

Catatan

Sementara model keamanan hirarki menyediakan tingkat tertentu akses ke data, akses tambahan dapat diperoleh dengan menggunakan bentuk-bentuk lain keamanan, seperti peran keamanan.

Hierarki Manajer

Model keamanan hierarki manajer didasarkan pada rantai manajemen atau struktur pelaporan langsung, di mana hubungan manajer dan laporan dibuat dengan menggunakan bidang Manajer pada tabel pengguna sistem. Dengan model keamanan ini, manajer dapat mengakses data yang dapat diakses oleh laporan mereka. Mereka dapat melakukan pekerjaan atas nama bawahan langsung mereka atau mengakses informasi yang memerlukan persetujuan.

Catatan

Dengan model keamanan hierarki manajer, manajer memiliki akses ke rekaman yang dimiliki oleh pengguna atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung dengan pengguna atau tim tempat pengguna menjadi anggotanya. Saat rekaman dibagikan oleh pengguna yang berada di luar rantai manajemen ke pengguna bawahan langsung dengan akses baca-saja, pengelola bawahan langsung hanya memiliki akses baca-saja ke rekaman bersama.

Saat Anda mengaktifkan opsi Kepemilikan rekaman di seluruh unit bisnis, manajer dapat memiliki laporan langsung dari unit bisnis yang berbeda. Anda dapat menggunakan pengaturan database lingkungan berikut untuk menghilangkan pembatasan unit bisnis.

ManajerHarusSamaAtauIndukBisnisUnitSebagaiLaporan

Default = benar

Anda dapat mengaturnya ke false, dan unit bisnis manajer tidak harus sama dengan unit bisnis bawahan langsung.

Selain model keamanan hierarki pengelola, pengelola harus memiliki setidaknya hak istimewa Baca tingkat pengguna pada tabel, untuk melihat data laporan. Misalnya, jika pengelola tidak memiliki akses Baca ke tabel Kasus, pengelola tidak dapat melihat kasus yang dapat diakses oleh laporannya.

Untuk laporan nonlangsung dalam rantai manajemen manajer yang sama, manajer memiliki akses baca-saja ke data pelapor nonlangsung. Untuk laporan langsung, manajer memiliki akses Baca, Tulis, Tambahkan, TambahkanKe ke data laporan. Untuk mengilustrasikan model keamanan hierarki manajer, mari kita lihat diagram berikut. CEO dapat membaca atau memperbarui data VP Penjualan dan VP data layanan. Namun, CEO hanya dapat membaca data manajer penjualan dan data manajer layanan, serta data penjualan dan dukungan. Anda dapat lebih membatasi jumlah data yang dapat diakses oleh pengelola dengan kedalaman. Kedalaman digunakan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka. Misalnya, jika kedalaman diatur ke 2, CEO dapat melihat data VP Penjualan, VP Layanan, dan manajer penjualan dan layanan. Namun, CEO tidak melihat data penjualan atau data dukungan.

Penting untuk dicatat bahwa jika bawahan langsung memiliki akses keamanan yang lebih dalam ke tabel daripada pengelolanya, pengelola mungkin tidak dapat melihat semua rekaman yang dapat diakses oleh bawahan langsung. Contoh berikut menggambarkan hal ini.

• Satu unit bisnis memiliki tiga pengguna: Pengguna 1, Pengguna 2, dan Pengguna 3.

• Pengguna 2 adalah bawahan langsung pengguna 1.

• Pengguna 1 dan Pengguna 3 memiliki akses baca tingkat pengguna pada tabel Akun. Tingkat akses ini memberi pengguna akses catatan yang mereka miliki, catatan yang dibagikan dengan pengguna, dan catatan yang dibagikan dengan tim yang pengguna adalah anggotanya.

• Pengguna 2 memiliki akses baca unit bisnis pada tabel Akun. Akses ini memungkinkan Pengguna 2 untuk melihat semua akun untuk unit bisnis, termasuk semua akun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

• Pengguna 1, sebagai pengelola langsung Pengguna 2, memiliki akses ke akun yang dimiliki oleh atau dibagikan dengan Pengguna 2, termasuk akun yang dibagikan dengan atau dimiliki oleh tim Pengguna 2 lainnya. Namun, Pengguna 1 tidak memiliki akses ke akun Pengguna 3, meskipun bawahan langsung mereka mungkin memiliki akses ke akun Pengguna 3.

Hierarki posisi

Hierarki posisi tidak didasarkan pada struktur pelaporan langsung, seperti hierarki manajer. Pengguna tidak harus manager sebenarnya dari pengguna lain untuk mengakses data pengguna. Sebagai administrator, Anda menentukan berbagai posisi pekerjaan dalam organisasi dan mengaturnya dalam hierarki posisi. Kemudian, Anda menambahkan pengguna ke posisi tertentu, atau, seperti yang juga kami katakan, menandai pengguna dengan posisi tertentu. Pengguna dapat ditandai dengan satu posisi dalam hirarki tertentu, namun, posisi itu dapat digunakan untuk beberapa pengguna. Pengguna di posisi yang lebih tinggi dalam hirarki memiliki akses ke data pengguna pada posisi yang lebih rendah, di jalan pendahulu langsung. Posisi Langsung yang lebih tinggi memiliki akses membaca, menulis, tambahkan, AppendTo ke data posisi yang lebih rendah di jalur pendahulu langsung. Posisi yang lebih tinggi nonlangsung memiliki akses baca-saja ke data posisi yang lebih rendah di jalur nenek moyang langsung.

Untuk mengilustrasikan konsep jalur leluhur langsung, mari kita lihat diagram berikut. Posisi manajer penjualan memiliki akses ke data penjualan, namun, tidak memiliki akses ke data dukungan, yang berada di jalur leluhur yang berbeda. Hal yang sama berlaku untuk posisi manajer layanan. Itu tidak memiliki akses ke data penjualan, yang ada di jalur penjualan. Seperti dalam hierarki manajer, Anda dapat membatasi jumlah data yang dapat diakses oleh posisi yang lebih tinggi dengan kedalaman. Kedalaman membatasi berapa banyak tingkat kedalaman posisi yang lebih tinggi memiliki akses baca-saja, ke data posisi yang lebih rendah di jalur nenek moyang langsung. Misalnya, jika kedalaman diatur ke 3, posisi CEO dapat melihat data dari posisi VP Penjualan dan VP Layanan, ke posisi penjualan dan dukungan.

Catatan

Dengan keamanan hierarki posisi, pengguna di posisi yang lebih tinggi memiliki akses ke rekaman yang dimiliki oleh pengguna posisi yang lebih rendah atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung ke pengguna atau tim tempat pengguna menjadi anggotanya.

Selain model keamanan hierarki posisi, pengguna di tingkat yang lebih tinggi harus memiliki setidaknya hak istimewa baca tingkat pengguna pada tabel untuk melihat rekaman yang dapat diakses oleh pengguna di posisi yang lebih rendah. Misalnya, jika pengguna di tingkat yang lebih tinggi tidak memiliki akses baca ke tabel Kasus, pengguna tersebut tidak akan dapat melihat kasus yang dapat diakses oleh pengguna di posisi yang lebih rendah.

Mengatur Keamanan Hierarki

Untuk menyiapkan keamanan hierarki, pastikan Anda memiliki izin Administrator Sistem untuk memperbarui pengaturan.

• Ikuti langkah-langkah di Lihat profil pengguna.
• Tidak memiliki izin yang benar? Hubungi administrator sistem.

Keamanan hirarki dinonaktifkan secara default. Untuk mengaktifkan keamanan hierarki, selesaikan langkah-langkah berikut.

Pusat admin baru

1. Masuk ke Power Platform pusat admin sebagai admin (admin atau Microsoft Power Platform admin Dynamics 365).

2. Di panel navigasi, pilih Kelola.

3. Di panel Kelola, pilih Lingkungan, lalu pilih lingkungan dari daftar.

4. Buka Pengaturan Pengguna + Keamanan Hierarki Izin>>.

5. Di bawah Model Hierarki, pilih Aktifkan Model Hierarki Manajer atau Aktifkan Model Hierarki Posisi tergantung pada kebutuhan Anda.

   Penting

   Untuk membuat perubahan di hirarki keamanan, Anda harus memiliki hak istimewa perubahan pengaturan keamanan hirarki.

   Di area Manajemen Tabel Hierarki, semua tabel sistem diaktifkan untuk keamanan hierarki secara default, tetapi Anda dapat mengecualikan tabel selektif dari hierarki. Untuk mengecualikan tabel tertentu dari model hierarki, kosongkan kotak centang untuk tabel yang ingin Anda kecualikan dan simpan perubahan Anda.

   

6. Atur Kedalaman ke nilai yang diinginkan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka.

   Misalnya, jika kedalamannya sama dengan 2, seorang manajer hanya dapat mengakses akun mereka sendiri dan akun laporan sedalam dua tingkat. Dalam contoh kami, jika Anda login ke aplikasi keterlibatan pelanggan sebagai VP Penjualan nonadministrator, Anda hanya melihat akun aktif pengguna seperti yang ditunjukkan:

   

   Catatan

   Sementara itu, keamanan hirarki memberi VP Penjualan akses ke catatan dalam persegi panjang mérah, akses tambahan dapat tersedia berdasarkan peran keamanan yang dimiliki VP Penjualan.

Pusat admin klasik

1. Masuk ke Power Platform pusat admin sebagai admin (admin atau Microsoft Power Platform admin Dynamics 365).

2. Pilih Lingkungan, lalu pilih lingkungan dari daftar.

3. Buka Pengaturan Pengguna + Keamanan Hierarki Izin>>.

4. Di bawah Model Hierarki, pilih Aktifkan Model Hierarki Manajer atau Aktifkan Model Hierarki Posisi tergantung pada kebutuhan Anda.

   Penting

   Untuk membuat perubahan di hirarki keamanan, Anda harus memiliki hak istimewa perubahan pengaturan keamanan hirarki.

   Di area Manajemen Tabel Hierarki, semua tabel sistem diaktifkan untuk keamanan hierarki secara default, tetapi Anda dapat mengecualikan tabel selektif dari hierarki. Untuk mengecualikan tabel tertentu dari model hierarki, kosongkan kotak centang untuk tabel yang ingin Anda kecualikan dan simpan perubahan Anda.

   

5. Atur Kedalaman ke nilai yang diinginkan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka.

   Misalnya, jika kedalamannya sama dengan 2, seorang manajer hanya dapat mengakses akun mereka sendiri dan akun laporan sedalam dua tingkat. Dalam contoh kami, jika Anda login ke aplikasi keterlibatan pelanggan sebagai VP Penjualan nonadministrator, Anda hanya melihat akun aktif pengguna seperti yang ditunjukkan:

   

   Catatan

   Sementara itu, keamanan hirarki memberi VP Penjualan akses ke catatan dalam persegi panjang mérah, akses tambahan dapat tersedia berdasarkan peran keamanan yang dimiliki VP Penjualan.

Menyiapkan hierarki manajer dan posisi

Hierarki manajer mudah dibuat dengan menggunakan hubungan manajer pada rekaman pengguna sistem. Anda menggunakan bidang lookup Manajer (ParentsystemuserID) untuk menetapkan manajer pengguna. Jika Anda membuat hierarki posisi, Anda juga dapat menandai pengguna dengan posisi tertentu dalam hierarki posisi. Dalam contoh berikut, tenaga penjualan melapor ke manajer penjualan dalam hierarki manajer dan juga memiliki posisi penjualan dalam hierarki posisi:

Untuk menambahkan pengguna ke posisi tertentu dalam hierarki posisi, gunakan bidang pencarian yang disebut Posisi pada formulir rekaman pengguna.

Penting

Untuk menambahkan pengguna ke posisi atau mengubah posisi pengguna, Anda harus memiliki hak istimewa menetapkan posisi untuk pengguna.

Untuk mengubah posisi pada formulir rekaman pengguna, pada bilah navigasi, pilih Lainnya (...) dan pilih posisi yang berbeda.

Untuk membuat hierarki posisi:

1. Pilih lingkungan dan buka pengaturan>pengguna + izin>Posisi.

   Untuk setiap posisi, berikan nama posisi, induk dari posisi, dan deskripsi. Tambahkan pengguna ke posisi ini dengan menggunakan bidang pencarian yang disebut pengguna dalam posisi ini. Gambar berikut adalah contoh hierarki posisi dengan posisi aktif.

   

   Contoh pengguna yang diaktifkan dengan posisi yang sesuai ditunjukkan pada gambar berikut.

   

Mengedit dan memperbarui beberapa tingkat catatan untuk bawahan langsung

Secara default, manajer dapat memperbarui catatan untuk bawahan langsung mereka dan catatan untuk individu yang melapor ke bawahan langsung mereka. Tentu saja, Anda dapat memperbarui catatan yang memiliki kedalaman tiga tingkat. Anda dapat mengubah pengaturan default dengan menyelesaikan langkah-langkah berikut.

1. Instal alat OrganizationSettingsEditor.
2. Edit pengaturan HierarchyLevelForHierarchyFeature .
3. Masukkan jumlah kedalaman level langsung. Misalnya, masukkan 5.
4. Pilih Perbarui.

Menyertakan atau mengecualikan data yang dimiliki oleh bawahan langsung dengan status pengguna yang dinonaktifkan

Manajer dapat melihat catatan laporan langsung status dinonaktifkan untuk lingkungan tempat keamanan hierarki diaktifkan setelah 31 Januari 2024. Untuk lingkungan lain, rekaman laporan langsung status dinonaktifkan tidak disertakan dalam tampilan manajer.

Untuk menyertakan catatan laporan langsung status dinonaktifkan:

1. Instal alat OrganizationSettingsEditor.
2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers ke true.
3. Nonaktifkan pemodelan Hierarki.
4. Aktifkan kembali lagi.

Untuk mengecualikan catatan laporan langsung status dinonaktifkan:

1. Instal alat OrganizationSettingsEditor.
2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers ke false.
3. Nonaktifkan pemodelan Hierarki.
4. Aktifkan kembali lagi.

Catatan

• Saat Anda menonaktifkan dan mengaktifkan kembali pemodelan hierarki, pembaruan dapat memakan waktu, karena sistem perlu menghitung ulang akses rekaman pengelola.
• Jika Anda melihat batas waktu, kurangi jumlah tabel di bawah daftar Manajemen Tabel Hierarki untuk menyertakan hanya tabel yang perlu dilihat oleh pengelola. Jika batas waktu berlanjut, kirimkan tiket dukungan untuk meminta bantuan.
• Catatan laporan langsung status dinonaktifkan disertakan jika catatan ini dibagikan dengan bawahan langsung lain yang aktif. Anda dapat mengecualikan rekaman ini dengan menghapus berbagi.

Pertimbangan kinerja

Untuk meningkatkan kinerja, sebaiknya:

• Pertahankan keamanan hierarki yang efektif hingga 50 pengguna atau kurang di bawah manajer atau posisi. Hierarki Anda mungkin memiliki lebih dari 50 pengguna di bawah manajer atau posisi, tetapi Anda dapat menggunakan setelan Kedalaman untuk mengurangi jumlah level untuk akses baca-saja dan dengan ini membatasi jumlah efektif pengguna di bawah pengelola atau posisi menjadi 50 pengguna atau kurang.

• Gunakan model keamanan hierarki dengan model keamanan lain yang ada untuk skenario yang lebih kompleks. Hindari membuat unit bisnis dalam jumlah besar. Sebagai gantinya, buat lebih sedikit unit bisnis dan tambahkan keamanan hierarki.

• Pertahankan nomor HierarchyLevelForHierarchyFeature ke jumlah kedalaman tingkat langsung terendah seperti yang diwajibkan oleh persyaratan bisnis Anda untuk memungkinkan pengelola memperbarui catatan bawahan langsung mereka.

Baca juga

Keamanan di Microsoft Dataverse
Mengkueri dan memvisualisasikan data hierarkis