Kopīgot, izmantojot

Hierarhijas drošība piekļuves kontrolēšanai

  • Raksts

Hierarhijas drošības modelis ir papildinājums jau esošajiem drošības modeļiem, kas izmanto struktūrvienības, drošības lomas, kopīgošanu un darba grupas. To var izmantot kopā ar visiem citiem esošajiem drošības modeļiem. Hierarhijas drošība piedāvā detalizētāku piekļuvi organizācijas ierakstiem un palīdz samazināt uzturēšanas izmaksas.

Piemēram, sarežģītākos gadījumos iespējams vispirms izveidot vairākas struktūrvienības un tad pievienot hierarhijas drošību. Šī papildu drošība nodrošina detalizētāku piekļuvi datiem ar daudz mazākām uzturēšanas izmaksām, kas varētu būt nepieciešamas lielam skaitam struktūrvienību.

Pārvaldnieka hierarhijas un amatu hierarhijas drošības modeļi

Hierarhijām var izmantot divus drošības modeļus — pārvaldnieka hierarhiju un amatu hierarhiju. Izmantojot pārvaldnieka hierarhiju, pārvaldniekam ir jāatrodas tajā pašā struktūrvienībā, kurā atrodas pārskats, vai pārskata struktūrvienības galvenajā struktūrvienībā, lai piekļūtu pārskata datiem. Pozīcijas hierarhijā iespējams piekļūt datiem citās struktūrvienībās. Ja esat finanšu organizācija, iespējams, dodat priekšroku pārvaldnieka hierarhijas modelim, lai neļautu vadītājiem piekļūt datiem ārpus savām struktūrvienībām. Tomēr, ja esat daļa no klientu apkalpošana organizācijas un vēlaties, lai vadītāji piekļūtu servisa pieteikumiem, kas tiek apstrādāti dažādās struktūrvienībās, amatu hierarhija jums varētu būt piemērotāka.

Piezīmes

Hierarhijas drošības modelis sniedz noteiktu piekļuves līmeni datiem, bet ar citu drošības līdzekļu, piemēram, drošības lomu palīdzību piekļuvi iespējams palielināt.

Pārvaldnieka hierarhija

Pārvaldnieka hierarhijas drošības modeļa pamatā ir pārvaldības ķēde vai tiešās ziņošanas struktūra, kur pārvaldnieka un pārskata attiecības tiek noteiktas, izmantojot pārvaldnieka lauku sistēmas lietotāja tabulā. Izmantojot šo drošības modeli, pārvaldnieki var piekļūt datiem, kuriem var piekļūt viņu pārskati. Viņi var veikt darbu savu tiešo ziņojumu vārdā vai piekļūt informācijai, kurai nepieciešams apstiprinājums.

Piezīmes

Izmantojot pārvaldnieka hierarhijas drošības modeli, pārvaldniekam ir piekļuve ierakstiem, kas pieder lietotājam vai darba grupai, kuras dalībnieks ir lietotājs, un ierakstiem, kas tiek tieši kopīgoti ar lietotāju vai darba grupu, kuras dalībnieks ir lietotājs. Ja lietotājs, kas atrodas ārpus pārvaldības ķēdes, kopīgo ierakstu tiešā pārskata lietotājam ar tikai lasīšanas piekļuvi, tiešā pārskata pārvaldniekam ir tikai lasīšanas piekļuve koplietotajam ierakstam.

Iespējojot opciju Ierakstīt īpašumtiesības dažādās struktūrvienībās , pārvaldniekiem var būt tiešie pārskati no dažādām struktūrvienībām. Lai noņemtu struktūrvienības ierobežojumu, varat pielietot minētos vides datu bāzu iestatījumus.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Noklusējums = patiess

Varat to iestatīt kā nepatiesu, un vadītāja struktūrvienībai nav jābūt tādai pašai kā tiešā pārskata struktūrvienībai.

Papildus pārvaldnieka hierarhijas drošības modelim pārvaldniekam tabulā ir jābūt vismaz lietotāja līmeņa lasīšanas atļaujai, lai skatītu atskaišu datus. Piemēram, ja vadītājam nav lasīšanas piekļuves tabulai Pieteikums, vadītājs nevar redzēt pieteikumus, kuriem viņa atskaitēm ir piekļuve.

Netiešam pārskatam tajā pašā vadītāja pārvaldības ķēdē pārvaldniekam ir tikai lasīšanas piekļuve netiešā pārskata datiem. Tiešajam pārskatam vadītājam ir lasīšana, rakstīšana, pievienošana, pievienošanaLai piekļūtu pārskata datiem. Lai ilustrētu pārvaldnieka hierarhijas drošības modeli, apskatīsim tālāk redzamo shēmu. Uzņēmuma vadītājs var lasīt un atjaunot Pārdošanas viceprezidenta un Pakalpojumu viceprezidenta datus. Tomēr izpilddirektors var lasīt tikai pārdošanas vadītāja datus un pakalpojumu vadītāja datus, kā arī pārdošanas un atbalsta datus. Jūs varat vēl vairāk ierobežot datu apjomu, kas pieejams pārvaldniekam ar dziļumu. Dziļums tiek izmantots, lai ierobežotu to, cik līmeņu dziļumā vadītājam ir tikai lasīšanas piekļuve savu pārskatu datiem. Piemēram, ja dziļums ir iestatīts uz 2, izpilddirektors var redzēt pārdošanas viceprezidenta, pakalpojumu viceprezidenta un pārdošanas un servisa vadītāju datus. Tomēr izpilddirektors neredz pārdošanas datus vai atbalsta datus.

Ekrānuzņēmums, kurā redzama pārvaldnieka hierarhija. Šajā hierarhijā ietilpst izpilddirektors, pārdošanas viceprezidents, pakalpojumu viceprezidents, pārdošanas vadītāji, pakalpojumu vadītāji, pārdošana un atbalsts.

Ir svarīgi ņemt vērā, ka, ja tiešajam pārskatam ir dziļāka drošības piekļuve tabulai nekā tā vadītājam, pārvaldnieks, iespējams, nevarēs redzēt visus ierakstus, kuriem tiešajam pārskatam ir piekļuve. Turpmākais piemērs ilustrē šo gadījumu.

  • Vienai struktūrvienībai ir trīs lietotāji: lietotājs 1, lietotājs 2 un lietotājs 3.

  • Lietotājs 2 ir tiešais padotais lietotājam 1.

  • Lietotājam Nr. 1 un Lietotājam Nr. 3 tabulā Account ir lietotāja līmeņa lasīšanas piekļuve. Šis piekļuves līmenis sniedz lietotājiem piekļuvi viņiem piederošiem ierakstiem, ar lietotāju kopīgotajiem ierakstiem un ierakstiem, kas kopīgoti ar darba grupu, kuras dalībnieks ir šis lietotājs.

  • Lietotājam 2 ir biznesa vienību lasīšanas piekļuve konta tabulā. Šī piekļuve ļauj lietotājam 2 skatīt visus struktūrvienības kontus, tostarp visus kontus, kas pieder lietotājam 1 un lietotājam 3.

  • Lietotājam 1 kā lietotāja 2 tiešajam pārvaldniekam ir piekļuve kontiem, kas pieder lietotājam 2 vai ir kopīgoti ar to, tostarp kontiem, kas ir kopīgoti ar citām User 2 komandām vai pieder tām. Tomēr lietotājam 1 nav piekļuves lietotāja 3 kontiem, lai gan viņu tiešajam pārskatam var būt piekļuve lietotāja 3 kontiem.

Pozīcijas hierarhija

Amatu hierarhijas pamatā nav tiešo pārskatu struktūra, piemēram, pārvaldnieka hierarhija. Lietotājam nav jābūt cita lietotāja pārvaldniekam, lai varētu piekļūt viņa datiem. Kā administrators jūs definējat dažādas darba pozīcijas organizācijā un sakārtojat tās amatu hierarhijā. Pēc tam jūs pievienojat lietotājus jebkurai konkrētai pozīcijai vai, kā mēs arī sakām, atzīmējat lietotāju ar noteiktu pozīciju. Lietotājam var atzīmēt tikai vienu pozīciju noteiktā hierarhijā, bet vienu pozīciju var piešķirt vairākiem lietotājiem. Lietotājiem ar augstākiem amatiem hierarhijā ir piekļuve lietotāju zemākos amatos datiem, tiešo priekšteču rindā. Augstākajām tiešajām pozīcijām ir piekļuve Read, Write, Append, AppendTo zemāko pozīciju datiem tiešo priekšteču rindā. Netiešajām augstākajām pozīcijām ir tikai lasīšanas piekļuve zemāko pozīciju datiem tiešo priekšteču ceļā.

Lai ilustrētu tiešā priekšteča ceļa jēdzienu, apskatīsim šādu diagrammu. Pārdošanas vadītāja amatam ir piekļuve pārdošanas datiem, tomēr tam nav piekļuves atbalsta datiem, kas atrodas citā priekšteča ceļā. Tas pats attiecas uz pakalpojumu vadītāja amatu. Tam nav piekļuves pārdošanas datiem, kas atrodas pārdošanas ceļā. Tāpat kā pārvaldnieka hierarhijā, jūs varat ierobežot datu apjomu, kas pieejams augstākām pozīcijām ar dziļumu. Dziļums ierobežo to, cik līmeņus dziļai augstākai pozīcijai ir tikai lasīšanas piekļuve, zemāko pozīciju datiem tiešā priekšteča ceļā. Piemēram, ja dziļums ir iestatīts uz 3, izpilddirektora amats var redzēt datus līdz pat pārdošanas viceprezidenta un pakalpojumu viceprezidenta pozīcijām līdz pārdošanas un atbalsta pozīcijām.

Ekrānuzņēmums, kurā redzama pozīcijas hierarhija. Šajā hierarhijā ietilpst izpilddirektors, pārdošanas viceprezidents, pakalpojumu viceprezidents, pārdošanas vadītāji, pakalpojumu vadītāji, pārdošana un atbalsts.

Piezīmes

Izmantojot amatu hierarhijas drošību, augstākas pozīcijas lietotājam ir piekļuve ierakstiem, kas pieder zemākas pozīcijas lietotājam vai darba grupai, kuras dalībnieks ir lietotājs, un ierakstiem, kas tiek tieši kopīgoti ar lietotāju vai darba grupu, kuras dalībnieks ir lietotājs.

Papildus pozīciju hierarhijas drošības modelim augstāka līmeņa lietotājiem tabulā ir jābūt vismaz lietotāja līmeņa lasīšanas atļaujai, lai redzētu ierakstus, kuriem var piekļūt lietotāji zemākajās pozīcijās. Piemēram, ja augstāka līmeņa lietotājam nav lasīšanas piekļuves tabulai Pieteikums, šis lietotājs nevarēs redzēt pieteikumus, kuriem var piekļūt lietotāji zemākās pozīcijās.

Iestatīt hierarhijas drošību

Lai iestatītu hierarhijas drošību, pārliecinieties, vai jums ir sistēmas administratora atļauja atjaunināt iestatījumu.

Pēc noklusējuma hierarhijas drošība ir atspējota. Lai iespējotu hierarhijas drošību, veiciet tālāk norādītās darbības.

  1. Atlasiet vidi un dodieties uz Iestatījumi>Lietotāji + atļaujas>Hierarhijas drošība.

  2. Sadaļā Hierarhijas modelis atlasiet Iespējot pārvaldnieka hierarhijas modeli vai Iespējot pozīcijas hierarhijas modeli atkarībā no jūsu prasībām.

    Svarīgi

    Lai veiktu jebkādas izmaiņas sadaļā Hierarhijas drošība, jums jābūt atļaujai Mainīt hierarhijas drošības iestatījumus.

    Apgabalā Hierarhijas tabulu pārvaldība visām sistēmas tabulām pēc noklusējuma ir iespējota hierarhijas drošība, bet selektīvās tabulas var izslēgt no hierarhijas. Lai no hierarhijas modeļa izslēgtu noteiktas tabulas, notīriet to tabulu izvēles rūtiņas, kuras vēlaties izslēgt, un saglabājiet izmaiņas.

    Ekrānuzņēmums, kurā redzama hierarhijas drošības lapa sadaļā Vides iestatījumi.

  3. Iestatiet dziļumu līdz vēlamajai vērtībai, lai ierobežotu to, cik līmeņu dziļumā vadītājam ir tikai lasāma piekļuve savu pārskatu datiem.

    Piemēram, ja dziļums ir vienāds ar 2, pārvaldnieks var piekļūt tikai saviem kontiem un pārskatu kontiem divos līmeņos. Mūsu piemērā, ja piesakāties klientu piesaistīšanas programmās kā pārdošanas viceprezidents, kas nav administrators, jūs redzat tikai lietotāju aktīvos kontus, kā parādīts attēlā:

    Ekrānuzņēmums, kurā redzama lasīšanas piekļuve pārdošanas viceprezidentam un citām pozīcijām.

    Piezīmes

    Hierarhijas drošība nodrošina pārdošanas daļas viceprezidentam piekļuvi ierakstiem sarkanajā taisnstūrī, tomēr ir iespējama papildu piekļuve, atkarībā no viceprezidenta drošības lomas.

  4. Sadaļā Hierarhijas tabulu pārvaldība visām sistēmas tabulām pēc noklusējuma ir iespējota hierarhijas drošība. Lai izslēgtu konkrētu tabulu no hierarhijas modeļa, notīriet atzīmi blakus tabulas nosaukumam un saglabājiet izmaiņas.

    Ekrānuzņēmums, kurā parādīts, kur iestatīt hierarhijas drošību jaunās, modernās lietotāja saskarnes iestatījumos.

    Svarīgi

    • Šis ir priekšskatījuma līdzeklis.
    • Priekšskatījuma līdzekļi nav paredzēti komerciālai lietošanai, un to funkcionalitāte var būt ierobežota. Šie līdzekļi ir pieejami pirms oficiālā laidiena, lai klienti varētu priekšlaikus piekļūt līdzeklim un sniegt atsauksmes.

Pārvaldnieka un amatu hierarhiju iestatīšana

Pārvaldnieka hierarhiju var viegli izveidot, izmantojot pārvaldnieka attiecības sistēmas lietotāja ierakstā. Jums jāizmanto Pārvaldnieka (ParentsystemuserID) uzmeklēšanas lauki, lai noteiktu lietotāja pārvaldnieku. Ja izveidojāt amatu hierarhiju, varat arī atzīmēt lietotāju ar noteiktu pozīciju amatu hierarhijā. Tālāk sniegtajā piemērā pārdevējs ziņo pārdošanas vadītājam vadītāja hierarhijā, un viņam ir arī pārdošanas pozīcija amatu hierarhijā:

Ekrānuzņēmums, kurā redzams pārdevēja lietotāja ieraksts.

Lai pievienotu lietotāju noteiktai pozīcijai amatu hierarhijā, izmantojiet uzmeklēšanas lauku Pozīcija lietotāja ieraksta veidlapā.

Svarīgi

Lai pievienotu lietotāju pozīcijai vai mainītu lietotāja pozīciju, jums jābūt atļaujai Piešķirt lietotājam pozīciju.

Ekrānuzņēmums, kurā parādīts, kā pievienot lietotāju pozīcijai hierarhijas drošībā

Lai mainītu pozīciju lietotāja ieraksta veidlapā, navigācijas joslā izvēlieties Vēl (...) un izvēlieties citu pozīciju.

Pozīcijas maiņa hierarhijas drošībā

Lai izveidotu amatu hierarhiju:

  1. Atlasiet vidi un dodieties uz Iestatījumi>Lietotāji + atļaujas>Pozīcijas.

    Katrai pozīcijai ievadiet pozīcijas nosaukumu, primāro pozīciju un aprakstu. Pievienojiet lietotājus šai pozīcijai, izmantojot uzmeklēšanas lauku ar nosaukumu Lietotāji šajā pozīcijā. Šis attēls ir pozīciju hierarhijas piemērs ar aktīvajām pozīcijām.

    Aktīvās pozīcijas hierarhijas drošībā

    Iespējoto lietotāju piemērs ar atbilstošajām pozīcijām ir parādīts nākamajā attēlā.

    Ekrānuzņēmums, kurā redzami iespējotie lietotāji ar piešķirtajām pozīcijām.

Tiešajam pārskatam piederošu ierakstu iekļaušana vai izslēgšana ar atspējota lietotāja statusu

Vadītāji var skatīt savu atspējoto statusu tiešā pārskata ierakstus par vidēm, kurās hierarhijas drošība ir iespējota pēc 2024. gada 31. janvāra. Citās vidēs atspējota statusa tiešās atskaites ieraksti netiek iekļauti vadītāja skatā.

Lai iekļautu atspējota statusa tiešā pārskata ierakstus, veiciet tālāk norādītās darbības.

  1. Instalējiet rīku OrganizationSettingsEditor.
  2. Atjauniniet iestatījumu AuthorizationEnableHSMForDisabledUsers uz true.
  3. Atspējojiet hierarhijas modelēšanu.
  4. Atkārtoti iespējojiet to vēlreiz.

Lai izslēgtu atspējota statusa tiešā pārskata ierakstus, veiciet tālāk norādītās darbības.

  1. Instalējiet rīku OrganizationSettingsEditor.
  2. Atjauniniet iestatījumu AuthorizationEnableHSMForDisabledUsers uz false.
  3. Atspējojiet hierarhijas modelēšanu.
  4. Atkārtoti iespējojiet to vēlreiz.

Piezīmes

  • Atspējojot un atkārtoti iespējojot hierarhijas modelēšanu, atjaunināšana var aizņemt laiku, jo sistēmai ir jāpārskaita pārvaldnieka ierakstu piekļuve.
  • Ja redzat taimautu, samaziniet tabulu skaitu sarakstā Hierarhijas tabulu pārvaldība , lai iekļautu tikai tās tabulas, kuras ir jāskata pārvaldniekam. Ja taimauts turpinās, iesniedziet atbalsta biļeti, lai pieprasītu palīdzību.
  • Atspējota statusa tiešā pārskata ieraksti tiek iekļauti, ja šie ieraksti tiek koplietoti ar citu aktīvo tiešo atskaiti. Šos ierakstus var izslēgt, noņemot koplietojumu .

Veiktspējas apsvērumi

Lai uzlabotu veiktspēju, ieteicams:

  • Saglabājiet efektīvo hierarhijas drošību līdz 50 vai mazāk lietotājiem vadītāja vai amata pakļautībā. Jūsu hierarhijā var būt vairāk nekā 50 lietotāju zem pārvaldnieka vai amata, taču varat izmantot iestatījumu Dziļums , lai samazinātu līmeņu skaitu tikai lasīšanas piekļuvei un tādējādi ierobežotu faktisko lietotāju skaitu vadītāja vai amata pakļautībā līdz 50 vai mazāk lietotājiem.

  • Izmantojiet hierarhijas drošības modeļus kopā ar citiem esošajiem drošības modeļiem sarežģītākiem scenārijiem. Izvairieties no pārāk daudzu struktūrvienību izveides, tā vietā izveidojiet mazāk struktūrvienību un pievienojiet hierarhijas drošību.

Skatiet arī:

Drošība pakalpojumā Microsoft Dataverse
Hierarhisku datu vaicājumi un vizualizēšana