Kongsi melalui

Keselamatan hierarki untuk mengawal akses

  • Artikel

Model keselamatan hierarki adalah lanjutan kepada model keselamatan sedia ada yang menggunakan unit perniagaan, peranan keselamatan, perkongsian, dan pasukan. Ia boleh digunakan dengan semua model keselamatan sedia ada yang lain. Keselamatan hierarki menawarkan akses yang lebih terperinci kepada rekod untuk organisasi dan membantu menurunkan kos penyelenggaraan.

Sebagai contoh, dalam senario yang kompleks, anda boleh memulakan dengan mencipta beberapa unit perniagaan dan menambah keselamatan hierarki. Keselamatan tambahan ini menyediakan akses yang lebih terperinci kepada data dengan kos penyelenggaraan yang jauh lebih sedikit yang mungkin diperlukan oleh sebilangan besar unit perniagaan.

Hierarki pengurus dan model keselamatan hierarki kedudukan

Dua model keselamatan boleh digunakan untuk hierarki, hierarki pengurus dan hierarki kedudukan. Dengan hierarki pengurus, pengurus mesti berada dalam unit perniagaan yang sama seperti laporan, atau dalam unit perniagaan induk unit perniagaan laporan, untuk mempunyai capaian kepada data laporan. Hierarki kedudukan membolehkan akses data merentas unit perniagaan. Jika anda organisasi kewangan, anda mungkin lebih suka model hierarki pengurus, untuk menghalang pengurus mengakses data di luar unit perniagaan mereka. Walau bagaimanapun, jika anda adalah sebahagian daripada organisasi khidmat pelanggan dan mahu pengurus mengakses kes perkhidmatan yang dikendalikan dalam unit perniagaan yang berbeza, hierarki kedudukan mungkin berfungsi lebih baik untuk anda.

Nota

Manakala model keselamatan hierarki menyediakan satu tahap capaian kepada data, akses tambahan boleh diperoleh dengan menggunakan bentuk keselamatan lain, seperti peranan Keselamatan.

Hierarki Pengurus

Model keselamatan hierarki pengurus adalah berdasarkan rantaian pengurusan atau struktur pelaporan langsung, di mana hubungan pengurus dan laporan diwujudkan dengan menggunakan medan Pengurus pada jadual pengguna sistem. Dengan model keselamatan ini, pengurus dapat mengakses data yang boleh diakses oleh laporan mereka. Mereka boleh melaksanakan kerja bagi pihak laporan langsung mereka atau mengakses maklumat yang memerlukan kelulusan.

Nota

Dengan model keselamatan hierarki pengurus, pengurus mempunyai capaian kepada rekod yang dimiliki oleh pengguna atau oleh pasukan yang pengguna adalah ahli dan kepada rekod yang dikongsi secara langsung dengan pengguna atau pasukan yang pengguna adalah ahlinya. Apabila rekod dikongsi oleh pengguna yang berada di luar rantaian pengurusan kepada pengguna laporan langsung dengan akses baca sahaja, pengurus laporan langsung hanya mempunyai akses baca sahaja kepada rekod yang dikongsi.

Apabila anda mendayakan pilihan Pemilikan rekod merentas unit perniagaan, pengurus boleh mempunyai laporan langsung daripada unit perniagaan yang berbeza. Anda boleh menggunakan tetapan pangkalan data persekitaran berikut untuk mengalih keluar sekatan unit perniagaan.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Lalai = benar

Anda boleh menetapkannya kepada palsu dan unit perniagaan pengurus tidak perlu sama dengan unit perniagaan laporan langsung.

Sebagai tambahan kepada model keselamatan hierarki pengurus, pengurus mesti mempunyai sekurang-kurangnya keistimewaan Baca tahap pengguna pada jadual, untuk melihat data laporan. Contohnya, jika pengurus tidak mempunyai akses Baca kepada jadual Kes, pengurus tidak dapat melihat kes yang laporan mereka mempunyai akses kepada.

Untuk laporan bukan langsung dalam rantaian pengurusan pengurus yang sama, pengurus mempunyai akses baca sahaja kepada data laporan bukan langsung. Untuk laporan langsung, pengurus mempunyai akses Baca, Tulis, Tambah, Lampir kepada data laporan. Untuk menggambarkan model keselamatan hierarki pengurus, mari kita lihat rajah berikut. CEO boleh membaca atau mengemas kini data Jualan Naib Presiden dan Naib Presiden data Perkhidmatan. Walau bagaimanapun, Ketua Pegawai Eksekutif hanya boleh membaca data pengurus jualan dan data pengurus perkhidmatan, serta data jualan dan sokongan. Anda boleh mengehadkan lagi jumlah data yang boleh diakses oleh pengurus dengan mendalam . Kedalaman digunakan untuk mengehadkan bilangan tahap kedalaman pengurus yang mempunyai akses baca sahaja kepada data laporan mereka. Sebagai contoh, jika kedalaman ditetapkan kepada 2, Ketua Pegawai Eksekutif boleh melihat data VP Jualan, VP Perkhidmatan, dan pengurus jualan dan perkhidmatan. Walau bagaimanapun, Ketua Pegawai Eksekutif tidak melihat data jualan atau data sokongan.

Tangkapan skrin yang menunjukkan Hierarki Pengurus. Hierarki ini termasuk Ketua Pegawai Eksekutif, Naib Presiden Jualan, Naib Presiden Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Adalah penting untuk ambil perhatian bahawa jika laporan langsung mempunyai akses keselamatan yang lebih mendalam kepada jadual daripada pengurus mereka, pengurus mungkin tidak dapat melihat semua rekod yang mempunyai akses kepada laporan langsung. Contoh berikut menerangkan perkara ini.

  • Satu unit perniagaan mempunyai tiga pengguna: Pengguna 1, Pengguna 2 dan Pengguna 3.

  • Pengguna 2 ialah laporan langsung Pengguna 1.

  • Pengguna 1 dan Pengguna 3 mempunyai akses baca peringkat pengguna pada jadual Akaun. Tahap akses ini memberikan pengguna akses kepada rekod yang mereka miliki, rekod yang dikongsi bersama pengguna dan rekod yang dikongsi bersama pasukan yang pengguna menjadi ahli.

  • Pengguna 2 mempunyai akses baca unit perniagaan pada jadual Akaun. Akses ini membolehkan Pengguna 2 melihat semua akaun untuk unit perniagaan, termasuk semua akaun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

  • Pengguna 1, sebagai pengurus langsung Pengguna 2, mempunyai akses kepada akaun yang dimiliki oleh atau dikongsi dengan Pengguna 2, termasuk akaun yang dikongsi dengan atau dimiliki oleh pasukan Pengguna 2 yang lain. Walau bagaimanapun, Pengguna 1 tidak mempunyai akses kepada akaun Pengguna 3, walaupun laporan langsung mereka mungkin mempunyai akses kepada akaun Pengguna 3.

Hierarki kedudukan

Hierarki kedudukan tidak berdasarkan struktur pelaporan langsung, seperti hierarki pengurus. Pengguna tidak perlu menjadi seorang pengurus sebenar bagi pengguna lain untuk mengakses data pengguna. Sebagai pentadbir, anda mentakrifkan pelbagai jawatan dalam organisasi dan menyusunnya dalam hierarki jawatan. Kemudian, anda menambah pengguna ke mana-mana kedudukan tertentu, atau, seperti yang kita juga katakan, tag pengguna dengan kedudukan tertentu. Pengguna boleh ditag hanya dengan satu kedudukan dalam hierarki yang tertentu, walau bagaimanapun, kedudukan boleh digunakan untuk berbilang pengguna. Pengguna pada kedudukan lebih tinggi dalam hierarki mempunyai akses kepada data pengguna pada kedudukan yang lebih rendah, dalam laluan leluhur langsung. Kedudukan langsung yang lebih tinggi mempunyai akses Baca, Tulis, Kemas Kini, Tambah, AppendTo kepada data kedudukan lebih rendah dalam laluan moyang terus. Kedudukan yang lebih tinggi tidak langsung mempunyai akses baca sahaja kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung.

Untuk menggambarkan konsep laluan nenek moyang langsung, mari kita lihat rajah berikut. Jawatan pengurus jualan mempunyai akses kepada data jualan, bagaimanapun, ia tidak mempunyai akses kepada data sokongan, yang berada dalam laluan nenek moyang yang berbeza. Perkara yang sama berlaku untuk jawatan pengurus perkhidmatan. Ia tidak mempunyai akses kepada data jualan, yang berada dalam laluan jualan. Seperti dalam hierarki pengurus, anda boleh mengehadkan jumlah data yang boleh diakses oleh kedudukan yang lebih tinggi dengan kedalaman. Kedalaman mengehadkan berapa tahap kedalaman kedudukan yang lebih tinggi mempunyai akses baca sahaja, kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung. Sebagai contoh, jika kedalaman ditetapkan kepada 3, jawatan CEO boleh melihat data sehingga ke bawah daripada jawatan VP Jualan dan VP Perkhidmatan, ke jawatan jualan dan sokongan.

Tangkapan skrin yang menunjukkan Hierarki Kedudukan. Hierarki ini termasuk Ketua Pegawai Eksekutif, Naib Presiden Jualan, Naib Presiden Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Nota

Dengan keselamatan hierarki kedudukan, pengguna pada kedudukan yang lebih tinggi mempunyai akses kepada rekod yang dimiliki oleh pengguna kedudukan yang lebih rendah atau oleh pasukan yang pengguna adalah ahli dan kepada rekod yang dikongsi secara langsung kepada pengguna atau pasukan yang pengguna adalah ahlinya.

Sebagai tambahan kepada model keselamatan hierarki kedudukan, pengguna pada tahap yang lebih tinggi mesti mempunyai sekurang-kurangnya keistimewaan baca peringkat pengguna pada jadual untuk melihat rekod yang pengguna pada kedudukan yang lebih rendah mempunyai akses kepada. Contohnya, jika pengguna di peringkat yang lebih tinggi tidak mempunyai akses baca kepada jadual Kes, pengguna tersebut tidak akan dapat melihat kes yang pengguna pada kedudukan yang lebih rendah mempunyai akses.

Sediakan keselamatan hierarki

Untuk menyediakan keselamatan hierarki, pastikan anda mempunyai keizinan Pentadbir Sistem untuk mengemas kini seting.

Keselamatan hierarki dinyahdayakan secara lalai. Untuk mendayakan keselamatan hierarki, lengkapkan langkah berikut.

  1. Pilih persekitaran dan pergi ke Tetapan>Pengguna + Keizinan>Keselamatan hierarki.

  2. Di bawah Model Hierarki, pilih sama ada Dayakan Model Hierarki Pengurus atau Dayakan Model Hierarki Kedudukan bergantung pada keperluan anda.

    Penting

    Untuk membuat sebarang perubahan dalam Keselamatan hierarki, anda mesti mempunyai keistimewaan Tukar Tetapan Keselamatan Hierarki keistimewaan.

    Dalam kawasan Pengurusan Jadual Hierarki, semua jadual sistem didayakan untuk keselamatan hierarki secara lalai, tetapi anda boleh mengecualikan jadual terpilih daripada hierarki. Untuk mengecualikan jadual tertentu daripada model hierarki, kosongkan kotak pilihan untuk jadual yang anda mahu kecualikan dan simpan perubahan anda.

    Tangkapan skrin halaman Keselamatan Hierarki dalam Tetapan untuk Persekitaran.

  3. Tetapkan Kedalaman kepada nilai yang dikehendaki untuk mengehadkan bilangan tahap kedalaman pengurus yang mempunyai akses baca sahaja kepada data laporan mereka.

    Sebagai contoh, jika kedalaman bersamaan dengan 2, pengurus hanya boleh mengakses akaun mereka sendiri dan akaun laporan dalam dua peringkat. Dalam contoh kami, jika anda log masuk ke aplikasi Customer Engagement sebagai VP Jualan bukan pentadbir, anda hanya melihat akaun aktif pengguna seperti yang ditunjukkan:

    Tangkapan skrin yang menunjukkan akses Baca untuk Naib Presiden Jualan dan jawatan lain.

    Nota

    Manakala, keselamatan hierarki memberi akses kepada Naib Presiden jualan untuk mengakses rekod-rekod dalam segi empat merah, akses tambahan boleh disediakan berdasarkan peranan keselamatan yang dimiliki oleh Naib Presiden Jualan ini.

  4. Dalam bahagian Pengurusan Jadual Hierarki, semua jadual sistem didayakan untuk keselamatan hierarki, secara lalai. Untuk mengecualikan jadual tertentu daripada model hierarki, kosongkan tanda semak di sebelah nama jadual dan simpan perubahan anda.

    Tangkapan skrin yang menunjukkan tempat untuk menyediakan keselamatan hierarki dalam Tetapan UI moden baharu.

    Penting

    • Ini adalah ciri pratonton.
    • Ciri pratonton tidak dimaksudkan untuk kegunaan pengeluaran dan mungkin mempunyai fungsi terhad. Ciri-ciri ini tertakluk pada terma penggunaan tambahan dan tersedia sebelum keluaran rasmi supaya pelanggan boleh mendapatkan akses awal dan memberikan maklum balas.

Sediakan hierarki pengurus dan jawatan

Hierarki pengurus mudah dicipta dengan menggunakan perhubungan pengurus pada rekod pengguna sistem. Anda menggunakan medan carian Pengurus (ParentsystemuserID) untuk menentukan Pengurus bagi pengguna. Jika anda mencipta hierarki kedudukan, anda juga boleh mengetag pengguna dengan kedudukan tertentu dalam hierarki kedudukan. Dalam contoh berikut, jurujual melaporkan kepada pengurus jualan dalam hierarki pengurus dan juga mempunyai kedudukan jualan dalam hierarki kedudukan:

Tangkapan skrin yang menunjukkan rekod pengguna jurujual.

Untuk menambah pengguna pada kedudukan tertentu dalam hierarki kedudukan, gunakan medan carian yang dipanggil Kedudukan pada borang rekod pengguna.

Penting

Untuk menambah pengguna ke kedudukan atau mengubah kedudukan pengguna, anda perlu mempunyai keistimewaan Memperuntukkan kedudukan bagi pengguna.

Tangkapan skrin yang menunjukkan cara menambah pengguna pada kedudukan dalam Keselamatan Hierarki

Untuk menukar kedudukan pada borang rekod pengguna, pada bar navigasi, pilih Lagi (...) dan pilih kedudukan yang berbeza.

Tukar kedudukan dalam keselamatan hierarki

Untuk mencipta hierarki kedudukan:

  1. Pilih persekitaran dan pergi ke Tetapan>Pengguna + Keizinan>Kedudukan.

    Bagi setiap kedudukan, beri nama kedudukan, induk kedudukan tersebut, dan keterangan. Tambah pengguna kepada kedudukan ini dengan menggunakan medan carian yang dipanggil Pengguna dalam kedudukan ini. Imej berikut ialah contoh hierarki kedudukan dengan kedudukan aktif.

    Kedudukan aktif dalam Keselamatan Hierarki

    Contoh pengguna yang didayakan dengan kedudukan yang sepadan ditunjukkan dalam imej berikut.

    Tangkapan skrin yang menunjukkan pengguna yang didayakan dengan kedudukan yang diberikan.

Sertakan atau kecualikan rekod yang dimiliki oleh laporan langsung dengan status pengguna dilumpuhkan

Pengurus boleh melihat rekod laporan langsung status dilumpuhkan mereka untuk persekitaran di mana keselamatan hierarki didayakan selepas 31 Januari 2024. Untuk persekitaran lain, rekod laporan langsung status dinyahdayakan tidak disertakan dalam pandangan pengurus.

Untuk memasukkan rekod laporan langsung status dilumpuhkan:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini tetapan AuthorizationEnableHSMForDisabledUsers kepada true.
  3. Lumpuhkan pemodelan Hierarki.
  4. Dayakan semula sekali lagi.

Untuk mengecualikan rekod laporan langsung status dilumpuhkan:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini tetapan AuthorizationEnableHSMForDisabledUsers kepada palsu.
  3. Lumpuhkan pemodelan Hierarki.
  4. Dayakan semula sekali lagi.

Nota

  • Apabila anda melumpuhkan dan mendayakan semula pemodelan hierarki, kemas kini boleh mengambil masa, kerana sistem perlu mengira semula akses rekod pengurus.
  • Jika anda melihat tamat masa, kurangkan bilangan jadual di bawah senarai Pengurusan Jadual Hierarki untuk memasukkan hanya jadual yang perlu dilihat oleh pengurus. Jika tamat masa berterusan, serahkan tiket sokongan untuk meminta bantuan.
  • Rekod laporan langsung status dilumpuhkan disertakan jika rekod ini dikongsi dengan laporan langsung lain yang aktif. Anda boleh mengecualikan rekod ini dengan mengalih keluar saham.

Pertimbangan prestasi

Untuk meningkatkan prestasi, kami mengesyorkan:

  • Kekalkan keselamatan hierarki yang berkesan kepada 50 pengguna atau kurang di bawah pengurus atau jawatan. Hierarki anda mungkin mempunyai lebih daripada 50 pengguna di bawah pengurus atau jawatan, tetapi anda boleh menggunakan tetapan Kedalaman untuk mengurangkan bilangan aras untuk akses baca sahaja dan dengan ini mengehadkan bilangan pengguna berkesan di bawah pengurus atau jawatan kepada 50 pengguna atau kurang.

  • Gunakan model keselamatan hierarki dengan model keselamatan sedia ada yang lain untuk senario yang lebih kompleks. Elak daripada mencipta sejumlah besar unit-unit perniagaan, sebaliknya, wujudkan unit-unit perniagaan yang kurang dan tambah keselamatan hierarki.

Lihat juga

Keselamatan dalam Microsoft Dataverse
Tanya dan bayangkan data hierarki