Keamanan hierarki untuk mengontrol akses

Model keamanan hirarki adalah perluasan untuk model keamanan yang ada yang menggunakan unit bisnis, peran keamanan, berbagi, dan tim. Ini dapat digunakan dengan semua model keamanan lain yang ada. Keamanan hierarki menawarkan akses yang lebih terperinci ke catatan untuk organisasi dan membantu menurunkan biaya pemeliharaan.

Sebagai contoh, dalam skenario kompleks, Anda dapat memulai dengan membuat beberapa unit bisnis dan kemudian menambahkan keamanan hirarki. Keamanan tambahan ini memberikan akses yang lebih terperinci ke data dengan biaya pemeliharaan yang jauh lebih sedikit yang mungkin diperlukan oleh sejumlah besar unit bisnis.

Model keamanan hierarki manajer dan hierarki posisi

Dua model keamanan dapat digunakan untuk hierarki, hierarki manajer dan hierarki posisi. Dengan hierarki manajer, manajer harus berada dalam unit bisnis yang sama dengan laporan, atau di unit bisnis induk unit bisnis laporan, untuk memiliki akses ke data laporan. Hirarki posisi memungkinkan akses data di seluruh unit bisnis. Jika Anda adalah organisasi keuangan, Anda mungkin lebih memilih model hierarki manajer, untuk mencegah manajer mengakses data di luar unit bisnis mereka. Namun, jika Anda adalah bagian dari organisasi layanan pelanggan dan ingin manajer mengakses kasus layanan yang ditangani di unit bisnis yang berbeda, hierarki posisi mungkin bekerja lebih baik untuk Anda.

Note

Sementara model keamanan hirarki menyediakan tingkat tertentu akses ke data, akses tambahan dapat diperoleh dengan menggunakan bentuk-bentuk lain keamanan, seperti peran keamanan.

Hierarki Manajer

Model keamanan hierarki manajer didasarkan pada rantai manajemen atau struktur pelaporan langsung, di mana hubungan manajer dan laporan dibuat dengan menggunakan bidang Manajer pada tabel pengguna sistem. Dengan model keamanan ini, manajer dapat mengakses data yang dapat diakses oleh laporan mereka. Mereka dapat melakukan pekerjaan atas nama bawahan langsung mereka atau mengakses informasi yang memerlukan persetujuan.

Note

Dengan model keamanan hierarki manajer, manajer memiliki akses ke rekaman yang dimiliki oleh pengguna atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung dengan pengguna atau tim tempat pengguna menjadi anggotanya. Saat rekaman dibagikan oleh pengguna yang berada di luar rantai manajemen ke pengguna bawahan langsung dengan akses baca-saja, pengelola bawahan langsung hanya memiliki akses baca-saja ke rekaman bersama.

Saat Anda mengaktifkan opsi Kepemilikan rekaman di seluruh unit bisnis, manajer dapat memiliki laporan langsung dari unit bisnis yang berbeda. Anda dapat menggunakan pengaturan database lingkungan berikut untuk menghilangkan pembatasan unit bisnis.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Default = benar

Anda dapat mengaturnya ke false, dan unit bisnis manajer tidak harus sama dengan unit bisnis bawahan langsung.

Selain model keamanan hierarki manajer, manajer harus memiliki setidaknya hak membaca tingkat pengguna pada suatu tabel, untuk melihat data bawahan. Misalnya, jika pengelola tidak memiliki akses Baca ke tabel Kasus, pengelola tidak dapat melihat kasus yang dapat diakses oleh laporannya.

Untuk bawahan tidak langsung di jaringan manajemen manajer yang sama, manajer memiliki akses hanya baca ke data bukan bawahan langsung tersebut. Untuk bawahan langsung, manajer memiliki akses Tulis, Tambahkan, Tambahkan ke data bawahan. Untuk mengilustrasikan model keamanan hierarki manajer, mari kita lihat diagram berikut. CEO dapat membaca atau memperbarui data VP Penjualan dan VP data layanan. Namun, CEO hanya dapat membaca data manajer penjualan dan data manajer layanan, serta data penjualan dan dukungan. Anda dapat lebih membatasi jumlah data yang dapat diakses oleh pengelola dengan kedalaman. Kedalaman digunakan untuk membatasi berapa banyak level akses hanya-baca yang dimiliki manajer dari bawahan mereka. Misalnya, jika kedalaman diatur ke 2, CEO dapat melihat data VP Penjualan, VP Layanan, dan manajer penjualan dan layanan. Namun, CEO tidak melihat data penjualan atau data dukungan.

Cuplikan layar yang menunjukkan Hierarki Manajer. Hierarki ini mencakup CEO, VP Penjualan, VP Layanan, Manajer Penjualan, Manajer Layanan, Penjualan, dan Dukungan.

Penting untuk dicatat bahwa jika bawahan langsung memiliki akses keamanan yang lebih dalam ke tabel daripada pengelolanya, pengelola mungkin tidak dapat melihat semua rekaman yang dapat diakses oleh bawahan langsung. Contoh berikut mengilustrasikan poin ini.

  • Satu unit bisnis memiliki tiga pengguna: Pengguna 1, Pengguna 2, dan Pengguna 3.

  • Pengguna 2 adalah bawahan langsung pengguna 1.

  • Pengguna 1 dan Pengguna 3 memiliki akses baca tingkat pengguna pada tabel Akun. Tingkat akses ini memberi pengguna akses catatan yang mereka miliki, catatan yang dibagikan dengan pengguna, dan catatan yang dibagikan dengan tim yang pengguna adalah anggotanya.

  • Pengguna 2 memiliki akses baca unit bisnis pada tabel Akun. Akses ini memungkinkan Pengguna 2 untuk melihat semua akun untuk unit bisnis, termasuk semua akun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

  • Pengguna 1, sebagai pengelola langsung Pengguna 2, memiliki akses ke akun yang dimiliki oleh atau dibagikan dengan Pengguna 2, termasuk akun yang dibagikan dengan atau dimiliki oleh tim Pengguna 2 lainnya. Namun, Pengguna 1 tidak memiliki akses ke akun Pengguna 3, meskipun bawahan langsung mereka mungkin memiliki akses ke akun Pengguna 3.

Hierarki posisi

Hierarki posisi tidak didasarkan pada struktur pelaporan langsung, seperti hierarki manajer. Pengguna tidak harus menjadi manajer langsung dari pengguna lain untuk mengakses data pengguna tersebut. Sebagai administrator, Anda menentukan berbagai posisi pekerjaan dalam organisasi dan mengaturnya dalam hierarki posisi. Kemudian, Anda menambahkan pengguna ke posisi tertentu, atau, seperti yang juga kami katakan, menandai pengguna dengan posisi tertentu. Pengguna dapat ditandai dengan satu posisi dalam hirarki tertentu, namun, posisi itu dapat digunakan untuk beberapa pengguna. Pengguna pada posisi lebih tinggi dalam hirarki memiliki akses ke data pengguna pada posisi lebih rendah, di jalur nenek moyang langsung. Posisi Langsung yang lebih tinggi memiliki akses membaca, menulis, tambahkan, AppendTo ke data posisi yang lebih rendah di jalur pendahulu langsung. Posisi non-langsung yang lebih tinggi memiliki akses hanya baca ke data posisi yang lebih rendah di jalur pendahulu langsung.

Untuk mengilustrasikan konsep jalur leluhur langsung, mari kita lihat diagram berikut. Posisi manajer penjualan memiliki akses ke data penjualan, tetapi tidak memiliki akses ke data dukungan yang berada di jalur hierarki yang berbeda. Hal yang sama berlaku untuk posisi manajer layanan. Tidak memiliki akses ke data penjualan, yang ada di jalan penjualan. Seperti dalam hierarki manajer, Anda dapat membatasi jumlah data yang dapat diakses oleh posisi yang lebih tinggi dengan kedalaman. Kedalaman akan membatasi berapa banyak tingkat dalam posisi yang lebih tinggi memiliki akses hanya-baca, ke data posisi lebih rendah di jalan pendahulu langsung. Misalnya, jika kedalaman diatur ke 3, posisi CEO dapat melihat data dari posisi VP Penjualan dan VP Layanan, ke posisi penjualan dan dukungan.

Tangkapan layar yang menunjukkan Hierarki Posisi. Hierarki ini mencakup CEO, VP Penjualan, VP Layanan, Manajer Penjualan, Manajer Layanan, Penjualan, dan Dukungan.

Note

Dengan keamanan hierarki posisi, pengguna di posisi yang lebih tinggi memiliki akses ke rekaman yang dimiliki oleh pengguna posisi yang lebih rendah atau oleh tim tempat pengguna menjadi anggotanya, dan ke rekaman yang dibagikan langsung ke pengguna atau tim tempat pengguna menjadi anggotanya.

Selain model keamanan hierarki posisi, pengguna tingkat yang lebih tinggi harus memiliki setidaknya hak istimewa membaca tingkat pengguna pada tabel untuk melihat rekaman yang dimiliki aksesnya oleh pengguna pada posisi yang lebih rendah. Misalnya, jika pengguna di tingkat yang lebih tinggi tidak memiliki akses baca ke tabel Kasus, pengguna tersebut tidak akan dapat melihat kasus yang dapat diakses oleh pengguna di posisi yang lebih rendah.

Mengatur Keamanan Hierarki

Untuk menyiapkan keamanan hierarki, pastikan Anda memiliki izin Administrator Sistem untuk memperbarui pengaturan.

Keamanan hirarki dinonaktifkan secara default. Untuk mengaktifkan keamanan hierarki, selesaikan langkah-langkah berikut.

  1. Masuk ke pusat admin platform Power sebagai admin (admin Dynamics 365 atau admin Microsoft Power Platform).

  2. Di panel navigasi, pilih Kelola.

  3. Di panel Kelola, pilih Lingkungan, lalu pilih lingkungan dari daftar.

  4. Buka Pengaturan>Pengguna + Izin>Keamanan Hierarki.

  5. Di bawah Model Hierarki, pilih Aktifkan Model Hierarki Manajer atau Aktifkan Model Hierarki Posisi tergantung pada kebutuhan Anda.

    Important

    Untuk membuat perubahan di hirarki keamanan, Anda harus memiliki hak istimewa perubahan pengaturan keamanan hirarki.

    Di area Manajemen Tabel Hierarki, semua tabel sistem diaktifkan untuk keamanan hierarki secara default, tetapi Anda dapat mengecualikan tabel selektif dari hierarki. Untuk mengecualikan tabel tertentu dari model hierarki, kosongkan kotak centang untuk tabel yang ingin Anda kecualikan dan simpan perubahan Anda.

    Cuplikan layar halaman Keamanan Hierarki di Pengaturan untuk Lingkungan.

  6. Atur Kedalaman ke nilai yang diinginkan untuk membatasi berapa banyak tingkat kedalaman manajer yang memiliki akses baca-saja ke data laporan mereka.

    Misalnya, jika kedalaman setara dengan 2, seorang manajer hanya dapat mengakses akunnya sendiri dan rekening bawahan dua tingkat ke dalam. Dalam contoh kami, jika Anda login ke aplikasi keterlibatan pelanggan sebagai VP Penjualan nonadministrator, Anda hanya melihat akun aktif pengguna seperti yang ditunjukkan:

    Tangkapan layar yang menunjukkan Hak Akses Baca untuk Wakil Presiden Penjualan dan posisi lainnya.

    Note

    Meskipun keamanan hirarki memberikan akses ke VP Penjualan untuk catatan dalam persegi panjang merah, akses tambahan dapat tersedia berdasarkan peran keamanan yang dimiliki oleh VP Penjualan.

Menyiapkan hierarki manajer dan posisi

Hierarki manajer mudah dibuat dengan menggunakan hubungan manajer pada rekaman pengguna sistem. Anda menggunakan bidang lookup Manajer (ParentsystemuserID) untuk menetapkan manajer pengguna. Jika Anda membuat hierarki posisi, Anda juga dapat menandai pengguna dengan posisi tertentu dalam hierarki posisi. Dalam contoh berikut, tenaga penjualan melapor ke manajer penjualan dalam hierarki manajer dan juga memiliki posisi penjualan dalam hierarki posisi:

Cuplikan layar yang menunjukkan rekaman pengguna tenaga penjualan.

Untuk menambahkan pengguna ke posisi tertentu dalam hierarki posisi, gunakan bidang pencarian yang disebut Posisi pada formulir rekaman pengguna.

Important

Untuk menambahkan pengguna ke posisi atau mengubah posisi pengguna, Anda harus memiliki hak istimewa menetapkan posisi untuk pengguna.

Cuplikan layar yang menunjukkan cara menambahkan pengguna ke posisi di Hierarki Security

Untuk mengubah posisi pada formulir rekaman pengguna, pada bilah navigasi, pilih Lainnya (...) dan pilih posisi yang berbeda.

Ubah posisi dalam keamanan hirarki

Untuk membuat hierarki posisi:

  1. Pilih lingkungan dan buka pengaturan>pengguna + izin>Posisi.

    Untuk setiap posisi, berikan nama posisi, induk dari posisi, dan deskripsi. Tambahkan pengguna ke posisi ini dengan menggunakan bidang pencarian yang disebut pengguna dalam posisi ini. Gambar berikut adalah contoh hierarki posisi dengan posisi aktif.

    Posisi aktif dalam hirarki keamanan

    Contoh pengguna yang diaktifkan dengan posisi yang sesuai ditunjukkan pada gambar berikut.

    Cuplikan layar yang menunjukkan pengguna yang diaktifkan dengan posisi yang ditetapkan.

Mengedit dan memperbarui berbagai level catatan untuk laporan langsung

Secara default, manajer dapat memperbarui catatan untuk bawahan langsung mereka dan catatan untuk individu yang melapor ke bawahan langsung mereka. Pada dasarnya, Anda dapat memperbarui catatan hingga tiga tingkat kedalaman. Anda dapat mengubah pengaturan default dengan menyelesaikan langkah-langkah berikut.

  1. Menginstal alat OrganizationSettingsEditor.
  2. Ubah pengaturan HierarchyLevelForHierarchyFeature.
  3. Masukkan jumlah tingkat kedalaman langsung. Misalnya, masukkan 5.
  4. Pilih Perbarui.

Menyertakan atau mengecualikan data yang dimiliki oleh bawahan langsung dengan status pengguna yang dinonaktifkan

Manajer dapat melihat rekaman bawahan langsung yang statusnya dinonaktifkan di lingkungan di mana keamanan hierarki diaktifkan setelah 31 Januari 2024. Untuk lingkungan lain, rekaman bawahan langsung status dinonaktifkan tidak disertakan dalam tampilan manajer.

Untuk menyertakan rekaman bawahan langsung status dinonaktifkan:

  1. Menginstal alat OrganizationSettingsEditor.
  2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers ke true.
  3. Nonaktifkan pemodelan hierarki.
  4. Aktifkan kembali lagi.

Untuk mengecualikan rekaman bawahan langsung status dinonaktifkan:

  1. Menginstal alat OrganizationSettingsEditor.
  2. Perbarui pengaturan AuthorizationEnableHSMForDisabledUsers ke false.
  3. Nonaktifkan pemodelan hierarki.
  4. Aktifkan kembali lagi.

Note

  • Saat Anda menonaktifkan dan mengaktifkan kembali pemodelan hierarki, pembaruan dapat memakan waktu, karena sistem perlu menghitung ulang akses rekaman pengelola.
  • Jika Anda melihat waktu habis, kurangi jumlah tabel di bawah Manajemen Tabel Hierarki sehingga hanya menyertakan tabel yang perlu dilihat oleh manajer. Jika batas waktu berlanjut, kirimkan tiket dukungan untuk meminta bantuan.
  • Rekaman dari bawahan langsung dengan status dinonaktifkan disertakan jika rekaman ini dibagikan kepada bawahan langsung lain yang aktif. Anda dapat mengecualikan rekaman ini dengan menghapus bagikan.

Pertimbangan performa

Untuk meningkatkan kinerja, sebaiknya:

  • Pertahankan keamanan hierarki yang efektif hingga 50 pengguna atau kurang di bawah manajer atau posisi. Hierarki Anda mungkin memiliki lebih dari 50 pengguna di bawah manajer atau posisi, tetapi Anda dapat menggunakan setelan Kedalaman untuk mengurangi jumlah level untuk akses baca-saja dan dengan ini membatasi jumlah efektif pengguna di bawah pengelola atau posisi menjadi 50 pengguna atau kurang.

  • Gunakan model keamanan hierarki dengan model keamanan lain yang ada untuk skenario yang lebih kompleks. Hindari membuat unit bisnis dalam jumlah besar. Sebagai gantinya, buat lebih sedikit unit bisnis dan tambahkan keamanan hierarki.

  • Pertahankan angka HierarchyLevelForHierarchyFeature pada kedalaman tingkat terendah yang diperlukan oleh persyaratan bisnis Anda untuk memungkinkan manajer memperbarui rekaman bawahan langsung mereka.

Baca juga

Keamanan dalam Microsoft Dataverse
Mengkueri dan memvisualisasikan data hierarkis

  • Last updated on