Come utilizzare la sicurezza basata su record per controllare l'accesso ai record in Microsoft Dynamics 365
Data di pubblicazione: gennaio 2017
Si applica a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
La sicurezza basata sui record in Microsoft Dynamics 365 e in Microsoft Dynamics 365 (online) si applica ai singoli record. Viene fornita mediante l'utilizzo dei diritti di accesso.
La relazione tra un diritto di accesso e un privilegio consiste nel fatto che i diritti di accesso vengono applicati solo dopo che sono stati applicati i privilegi. Se, ad esempio, un utente non dispone del privilegio per la lettura degli account, questi non è in grado di leggere alcun account, indipendentemente dai diritti di accesso che un altro utente potrebbe concedere a un account specifico mediante la condivisione.
In questo argomento
Diritti di accesso
Condivisione di record
Assegnare record
Recuperare i diritti di accesso per un record
Dipendenze tra i diritti di accesso
Diritti di accesso
Un diritto di accesso viene concesso a un utente per un record specifico. Nella tabella seguente sono elencate le descrizioni dei diritti di accesso.
Diritto di accesso |
Valore dell'enumerazione AccessRights |
Descrizione |
|---|---|---|
Lettura |
ReadAccess |
Controlla se l'utente può leggere un record. |
Scrittura |
WriteAccess |
Controlla se l'utente può aggiornare un record. |
Assegna |
AssignAccess |
Controlla se l'utente può assegnare un record a un altro utente. |
Aggiunta |
AppendAccess |
Controlla se l'utente può allegare un altro record al record specificato. I diritti di accesso Aggiunta e Aggiunta a funzionano in combinazione. Ogni volta che un utente allega un record a un altro, egli deve disporre di entrambi i diritti. Ad esempio, quando allega una nota a un caso, deve disporre del diritto di Aggiunta sulla nota e del diritto Aggiunta a sul caso per il corretto funzionamento dell'operazione. |
Aggiunta a |
AppendToAccess |
Controlla se l'utente può aggiungere il record specificato a un altro record. I diritti di accesso Aggiunta e Aggiunta a funzionano in combinazione. Per ulteriori informazioni, vedere la descrizione del diritto Aggiunta. |
Condivisione |
ShareAccess |
Controlla se l'utente può condividere un record con un altro utente o team. La condivisione consente un altro utente di accedere al record. Per ulteriori informazioni, vedere Condivisione di record. |
Eliminazione |
DeleteAccess |
Controlla se l'utente può eliminare un record. |
Creare l'accesso
il diritto di creare un record per un tipo di entità non è stato incluso nella tabella precedente perché questo diritto non si applica a un singolo record, ma a una classe di entità. Il diritto di creazione è gestito come privilegio anziché come diritto di accesso. L'utente che crea un record possiede tutti i diritti per tale record, a meno che i suoi altri privilegi vietino un diritto specifico.
Il privilegio di creazione controlla se è possibile creare un record. Se si dispone del privilegio di creazione con accesso locale, profondo o locale è possibile creare i record per altri utenti. Se si dispone dei privilegi di creazione e lettura con accesso base, è possibile creare i record per se stessi.
Per ulteriori informazioni sulle dipendenze correlate alla creazione di privilegi, vedere Dipendenze tra i diritti di accesso.
Condivisione di record
La condivisione consente ad altri utenti o team di accedere a informazioni specifiche sui clienti. Questo risulta utile per la condivisione di informazioni con utenti in ruoli che dispongono invece del livello di accesso di base. Ad esempio, in un'organizzazione che concede ai venditori accesso in lettura e in scrittura di base agli account, un venditore può condividere un'opportunità con un altro rappresentante affinché possano entrambi tenere traccia dell' andamento di una vendita importante.
Per motivi di sicurezza, abituarsi a condividere solo i record necessari con il minor numero di utenti possibile. Concedere solo l'accesso necessario agli utenti per svolgere il loro lavoro.
Microsoft Dynamics 365 offre le seguenti funzionalità di condivisione:
Condividi. Qualsiasi utente con privilegi condivisione per un tipo di entità specificato può condividere i record dello stesso tipo con un altro utente o team in Microsoft Dynamics 365. Per condividere un record, utilizzare GrantAccessRequest.
Quando si condivide un record con un altro utente, scegliere di diritti di accesso (di lettura, scrittura, eliminazione, aggiunta, assegnazione e condivisione) che si desidera consentire all'altro utente. I diritti di accesso su un record condiviso possono variare per ogni utente con cui è condiviso il record. Tuttavia, non è possibile concedere a un utente alcun diritto che questi non potrebbe avere per tale tipo di entità, in base al ruolo che gli è stato assegnato. Ad esempio, se un utente non dispone dei privilegi di lettura sugli account e si condivide un account con tale utente, questi non potrà vedere l'account.
Modificare la condivisione. È possibile modificare i diritti concessi a un record condiviso dopo che è stato condiviso. Per modificare la condivisione per un record, utilizzare ModifyAccessRequest.
Rimuovere la condivisione. Se si condivide un record con un altro utente o team, è possibile interrompere la condivisione del record. Dopo la rimozione della condivisione per un record, un altro utente o team perde i diritti di accesso al record. Per rimuovere la condivisione per un record, utilizzare RevokeAccessRequest.
Suggerimento
Utilizzare GrantAccessRequest, ModifyAccessRequest e RevokeAccessRequestper la condivisione.
Un utente può avere accesso allo stesso record in più contesti. Ad esempio, un utente potrebbe condividere un record direttamente con diritti di accesso specifici e potrebbe inoltre far parte di un team in cui lo stesso record viene condiviso con diritti di accesso differenti. In questo caso, i diritti di accesso che l'utente possiede sul record sono la somma di tutti i diritti.
Per un elenco delle entità che supportano la condivisione, vedere GrantAccessRequest.
Condividere ed ereditarietà
Se un record viene creato e il record padre dispone di alcune proprietà condivisione, il nuovo record eredita tali proprietà. Ad esempio, Joe e Mike lavorano su un lead con alta priorità. Joe crea un nuovo lead e due attività, condivide il lead con Mike e seleziona la condivisione a catena. Mike fare una telefonata e invia un messaggio di posta elettronica relativo al nuovo lead. Joe vede che Mike ha contattato la società due volte, quindi non fare un'altra chiamata.
La condivisione viene gestito sui singoli record. Un record anche le proprietà di condivisione dal relativo record padre, mantenendo inoltre le proprie proprietà di condivisione. Di conseguenza, un record può avere due set di proprietà di condivisione: uno con un set proprio e uno che le eredita dal proprio padre.
La rimozione della condivisione di un record padre determina la rimozione delle proprietà di condivisione degli oggetti (record) ereditate dal padre. Ovvero, tutti gli utenti che in precedenza avevano visibilità sul record non l'avranno più. Gli oggetti figlio possono essere ancora assegnati ad alcuni di questi utenti se erano condivisi singolarmente, non dal record padre.
Assegnare record
Qualsiasi utente che dispone di privilegi di assegnazione può assegnare un record a un altro utente. Quando si assegna un record, il nuovo utente o team diventa il proprietario del record e dei record correlati. L'utente o il team originale perde la proprietà dei record, ma condivide automaticamente i record con il nuovo proprietario.
In Microsoft Dynamics 365 l'amministratore di sistema può scegliere per un'organizzazione se i record devono essere assegnati ai proprietari precedenti o meno dopo l'operazione di assegnazione. Se Condivisione con il proprietario precedente è selezionata, il proprietario precedente condivide il record con i diritti di accesso dopo l'operazione di assegnazione. In caso contrario, il proprietario precedente non condivisi il record e può non accedere al record, a seconda dei privilegi di cui dispone. L'attributo Organization.ShareRoPreviousOwnerOnAssign controlla questa impostazione.
Per un elenco delle entità che supportano l'assegnazione, vedere AssignRequest.
Recuperare i diritti di accesso per un record
Utilizzare il messaggio RetrievePrincipalAccessRequest per recuperare i diritti di accesso che l'entità di sicurezza specificata (utente o team) possiede per un record.
Utilizzare il messaggio RetrieveSharedPrincipalsAndAccessRequest per recuperare i diritti di accesso che tutte le entità di sicurezza specificate (utenti o team) possiedono per un record, insieme ai relativi diritti di accesso per tale record.
Dipendenze tra i diritti di accesso
Talvolta, possono esistere dipendenze di sicurezza perché è necessario creare più diritti di accesso per eseguire una determinata azione. Ad esempio, se si dispone del diritto di creazione per gli account, è possibile creare un record di tipo entità account. Tuttavia, a meno che non si disponga dell'accesso in lettura per gli account, non è possibile creare un record dell'account ed essere il proprietario di tale nuovo record.
Nella tabella seguente sono elencate le dipendenze dei diritti di accesso per le azioni specificate.
Azione |
Diritti di accesso richiesti |
|---|---|
Per creare un record ed essere il proprietario del record |
CREAZIONE LETTURA |
Per condividere un record |
CONDIVISIONE. Questo diritto è necessario la persona che effettua l'operazione di condivisione. LETTURA. Questo diritto è necessario per la persona che effettua l'operazione di condivisione e anche per la persona con cui viene condiviso il record. |
Per assegnare un record |
ASSEGNAZIONE SCRITTURA LETTURA |
Per aggiungere a un record |
LETTURA AGGIUNTA A |
Per aggiungere un record |
LETTURA AGGIUNTA |
Un altro tipo di dipendenza esiste quando gli oggetti sono subordinati a un altro oggetto. Ad esempio, l'oggetto opportunity non può esistere in modo autonomo. Ogni opportunità è sempre allegata a un altro account o contatto. Per creare un'opportunità, è necessario disporre del diritto Aggiunta a sugli account e del diritto di accesso Aggiunta sulle opportunità.
Vedere anche
AccessRights
RetrievePrincipalAccessRequest
Modello di sicurezza di Microsoft Dynamics 365
Come utilizzare la sicurezza basata sui ruoli per controllare l'accesso alle entità in Microsoft Dynamics 365
Modalità di utilizzo della sicurezza dei campi per controllare l'accesso ai valori dei campi in Microsoft Dynamics 365
Introduzione alle entità in Microsoft Dynamics 365
Comportamento della relazione di entità
Microsoft Dynamics 365
© 2017 Microsoft. Tutti i diritti sono riservati. Copyright