Keselamatan hierarki untuk mengawal akses

Model keselamatan hierarki adalah lanjutan kepada model keselamatan sedia ada yang menggunakan unit perniagaan, peranan keselamatan, perkongsian, dan pasukan. Ia boleh digunakan dengan semua model keselamatan sedia ada yang lain. Keselamatan hierarki menawarkan akses yang lebih terperinci kepada rekod untuk organisasi dan membantu mengurangkan kos penyelenggaraan.

Sebagai contoh, dalam senario yang kompleks, anda boleh memulakan dengan mencipta beberapa unit perniagaan dan menambah keselamatan hierarki. Keselamatan tambahan ini menyediakan akses yang lebih terperinci kepada data dengan kos penyelenggaraan yang jauh lebih sedikit yang mungkin diperlukan oleh sebilangan besar unit perniagaan.

Hierarki pengurus dan model keselamatan hierarki kedudukan

Dua model keselamatan boleh digunakan untuk hierarki, hierarki pengurus dan hierarki kedudukan. Dengan hierarki pengurus, pengurus mestilah berada dalam unit perniagaan yang sama dengan laporan, atau dalam unit perniagaan induk unit perniagaan laporan, untuk mempunyai capaian kepada data laporan. Hierarki kedudukan membolehkan akses data merentas unit perniagaan. Jika anda sebuah organisasi kewangan, anda mungkin lebih suka model hierarki pengurus, untuk menghalang pengurus mengakses data di luar unit perniagaan mereka. Walau bagaimanapun, jika anda adalah sebahagian daripada organisasi perkhidmatan pelanggan dan mahu pengurus mengakses kes perkhidmatan yang dikendalikan dalam unit perniagaan yang berbeza, hierarki kedudukan mungkin berfungsi lebih baik untuk anda.

Nota

Manakala model keselamatan hierarki menyediakan satu tahap capaian kepada data, akses tambahan boleh diperoleh dengan menggunakan bentuk keselamatan lain, seperti peranan Keselamatan.

Hierarki Pengurus

Model keselamatan hierarki pengurus adalah berdasarkan rantaian pengurusan atau struktur pelaporan langsung, di mana hubungan pengurus dan laporan diwujudkan dengan menggunakan medan Pengurus pada jadual pengguna sistem. Dengan model keselamatan ini, pengurus dapat mengakses data yang boleh diakses oleh laporan mereka. Mereka boleh melaksanakan kerja bagi pihak laporan langsung mereka atau mengakses maklumat yang memerlukan kelulusan.

Nota

Dengan model keselamatan hierarki pengurus, pengurus mempunyai capaian kepada rekod yang dimiliki oleh pengguna atau oleh pasukan yang pengguna adalah ahli dan kepada rekod yang dikongsi secara langsung dengan pengguna atau pasukan yang pengguna adalah ahlinya. Apabila rekod dikongsi oleh pengguna yang berada di luar rantaian pengurusan kepada pengguna laporan langsung dengan capaian baca sahaja, pengurus laporan langsung hanya mempunyai capaian baca sahaja kepada rekod kongsian.

Apabila anda mendayakan pilihan Pemilikan rekod merentas unit perniagaan, pengurus boleh mempunyai laporan langsung daripada unit perniagaan yang berbeza. Anda boleh menggunakan tetapan pangkalan data persekitaran berikut untuk mengalih keluar sekatan unit perniagaan.

PengurusMestiDalamSamaAtauIndukPerniagaanUnitSebagaiLaporan

Lalai = benar

Anda boleh menetapkannya kepada palsu dan unit perniagaan pengurus tidak perlu sama dengan unit perniagaan laporan langsung.

Sebagai tambahan kepada model keselamatan hierarki pengurus, pengurus mesti mempunyai sekurang-kurangnya keistimewaan Baca tahap pengguna pada jadual, untuk melihat data laporan. Contohnya, jika pengurus tidak mempunyai capaian Baca kepada jadual Kes, pengurus tidak dapat melihat kes yang boleh diakses oleh laporan mereka.

Untuk laporan bukan langsung dalam rantaian pengurusan pengurus yang sama, pengurus mempunyai akses baca sahaja kepada data laporan bukan langsung. Untuk laporan langsung, pengurus mempunyai akses Baca, Tulis, Tambahkan, TambahKepada kepada data laporan. Untuk menggambarkan model keselamatan hierarki pengurus, mari kita lihat gambar rajah berikut. CEO boleh membaca atau mengemas kini data Jualan Naib Presiden dan Naib Presiden data Perkhidmatan. Walau bagaimanapun, Ketua Pegawai Eksekutif hanya boleh membaca data pengurus jualan dan data pengurus perkhidmatan, serta data jualan dan sokongan. Anda boleh mengehadkan lagi jumlah data yang boleh diakses oleh pengurus dengan kedalaman. Kedalaman digunakan untuk mengehadkan kedalaman tahap pengurus mempunyai akses baca sahaja kepada data laporan mereka. Sebagai contoh, jika kedalaman ditetapkan kepada 2, Ketua Pegawai Eksekutif boleh melihat data VP Jualan, VP Perkhidmatan dan pengurus jualan dan perkhidmatan. Walau bagaimanapun, Ketua Pegawai Eksekutif tidak melihat data jualan atau data sokongan.

Tangkapan skrin yang menunjukkan Hierarki Pengurus. Hierarki ini termasuk Ketua Pegawai Eksekutif, Naib Presiden Jualan, Naib Presiden Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Adalah penting untuk ambil perhatian bahawa jika laporan langsung mempunyai akses keselamatan yang lebih mendalam kepada jadual daripada pengurus mereka, pengurus mungkin tidak dapat melihat semua rekod yang boleh diakses oleh laporan langsung. Contoh berikut menerangkan perkara ini.

  • Satu unit perniagaan mempunyai tiga pengguna: Pengguna 1, Pengguna 2 dan Pengguna 3.

  • Pengguna 2 ialah laporan langsung Pengguna 1.

  • Pengguna 1 dan Pengguna 3 mempunyai akses baca peringkat pengguna pada jadual Akaun. Tahap akses ini memberikan pengguna akses kepada rekod yang mereka miliki, rekod yang dikongsi bersama pengguna dan rekod yang dikongsi bersama pasukan yang pengguna menjadi ahli.

  • Pengguna 2 mempunyai akses baca unit perniagaan pada jadual Akaun. Akses ini membolehkan Pengguna 2 melihat semua akaun untuk unit perniagaan, termasuk semua akaun yang dimiliki oleh Pengguna 1 dan Pengguna 3.

  • Pengguna 1, sebagai pengurus langsung Pengguna 2, mempunyai akses kepada akaun yang dimiliki oleh atau dikongsi dengan Pengguna 2, termasuk akaun yang dikongsi dengan atau dimiliki oleh pasukan Pengguna 2 yang lain. Walau bagaimanapun, Pengguna 1 tidak mempunyai akses kepada akaun Pengguna 3, walaupun laporan langsung mereka mungkin mempunyai akses kepada akaun Pengguna 3.

Hierarki kedudukan

Hierarki kedudukan tidak berdasarkan struktur pelaporan langsung, seperti hierarki pengurus. Pengguna tidak perlu menjadi seorang pengurus sebenar bagi pengguna lain untuk mengakses data pengguna. Sebagai pentadbir, anda mentakrifkan pelbagai jawatan pekerjaan dalam organisasi dan menyusunnya dalam hierarki kedudukan. Kemudian, anda menambah pengguna ke mana-mana kedudukan tertentu, atau, seperti yang kami katakan, tag pengguna dengan kedudukan tertentu. Pengguna boleh ditag hanya dengan satu kedudukan dalam hierarki yang tertentu, walau bagaimanapun, kedudukan boleh digunakan untuk berbilang pengguna. Pengguna pada kedudukan lebih tinggi dalam hierarki mempunyai akses kepada data pengguna pada kedudukan yang lebih rendah, dalam laluan leluhur langsung. Kedudukan langsung yang lebih tinggi mempunyai akses Baca, Tulis, Kemas Kini, Tambah, AppendTo kepada data kedudukan lebih rendah dalam laluan moyang terus. Kedudukan tinggi bukan langsung mempunyai akses baca sahaja kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung.

Untuk menggambarkan konsep laluan nenek moyang langsung, mari kita lihat rajah berikut. Jawatan pengurus jualan mempunyai akses kepada data jualan, namun, ia tidak mempunyai akses kepada data sokongan, yang berada dalam laluan nenek moyang yang berbeza. Perkara yang sama berlaku untuk jawatan pengurus perkhidmatan. Ia tidak mempunyai akses kepada data jualan, yang berada dalam laluan jualan. Seperti dalam hierarki pengurus, anda boleh mengehadkan jumlah data yang boleh diakses oleh kedudukan yang lebih tinggi dengan kedalaman. Kedalaman mengehadkan berapa banyak tahap dalam kedudukan yang lebih tinggi mempunyai akses baca sahaja, kepada data kedudukan yang lebih rendah dalam laluan nenek moyang langsung. Sebagai contoh, jika kedalaman ditetapkan kepada 3, jawatan Ketua Pegawai Eksekutif boleh melihat data sepanjang jalan ke bawah daripada jawatan VP Jualan dan VP Perkhidmatan, kepada jawatan jualan dan sokongan.

Tangkapan skrin yang menunjukkan Hierarki Kedudukan. Hierarki ini termasuk Ketua Pegawai Eksekutif, Naib Presiden Jualan, Naib Presiden Perkhidmatan, Pengurus Jualan, Pengurus Perkhidmatan, Jualan dan Sokongan.

Nota

Dengan keselamatan hierarki kedudukan, pengguna pada kedudukan yang lebih tinggi mempunyai capaian kepada rekod yang dimiliki oleh pengguna kedudukan yang lebih rendah atau oleh pasukan yang pengguna adalah ahlinya, dan kepada rekod yang dikongsi terus kepada pengguna atau pasukan yang pengguna adalah ahli.

Sebagai tambahan kepada model keselamatan hierarki kedudukan, pengguna pada tahap yang lebih tinggi mesti mempunyai sekurang-kurangnya keistimewaan baca peringkat pengguna pada jadual untuk melihat rekod yang pengguna pada kedudukan yang lebih rendah mempunyai akses kepada. Contohnya, jika pengguna pada tahap yang lebih tinggi tidak mempunyai capaian baca kepada jadual Kes, pengguna tersebut tidak akan dapat melihat kes yang pengguna pada kedudukan yang lebih rendah mempunyai akses kepadanya.

Sediakan keselamatan hierarki

Untuk menyediakan keselamatan hierarki, pastikan anda mempunyai keizinan Pentadbir Sistem untuk mengemas kini tetapan.

Keselamatan hierarki dinyahdayakan secara lalai. Untuk mendayakan keselamatan hierarki, lengkapkan langkah berikut.

  1. Log masuk ke pusat pentadbiran Power Platform sebagai pentadbir (pentadbir Dynamics 365 atau pentadbir Microsoft Power Platform).

  2. Dalam anak tetingkap navigasi, pilih Urus.

  3. Dalam anak tetingkap Urus , pilih Persekitaran, dan kemudian pilih persekitaran daripada senarai.

  4. Pergi ke Tetapan>> Pengguna + Keselamatan Hierarki Kebenaran.

  5. Di bawah Model Hierarki, pilih sama ada Dayakan Model Hierarki Pengurus atau Dayakan Model Hierarki Kedudukan bergantung pada keperluan anda.

    Penting

    Untuk membuat sebarang perubahan dalam Keselamatan hierarki, anda mesti mempunyai keistimewaan Tukar Tetapan Keselamatan Hierarki keistimewaan.

    Dalam kawasan Pengurusan Jadual Hierarki, semua jadual sistem didayakan untuk keselamatan hierarki secara lalai, tetapi anda boleh mengecualikan jadual terpilih daripada hierarki. Untuk mengecualikan jadual tertentu daripada model hierarki, kosongkan kotak semak bagi jadual yang anda mahu kecualikan dan simpan perubahan anda.

    Tangkapan skrin halaman Keselamatan Hierarki dalam Tetapan untuk Persekitaran.

  6. Tetapkan Kedalaman kepada nilai yang dikehendaki untuk mengehadkan kedalaman tahap pengurus mempunyai capaian baca sahaja kepada data laporan mereka.

    Sebagai contoh, jika kedalaman sama dengan 2, pengurus hanya boleh mengakses akaun mereka sendiri dan akaun laporan sedalam dua peringkat. Dalam contoh kami, jika anda log masuk ke apl penglibatan pelanggan sebagai VP Jualan bukan pentadbir, anda hanya melihat akaun aktif pengguna seperti yang ditunjukkan:

    Tangkapan skrin yang menunjukkan akses Baca untuk VP Jualan dan jawatan lain.

    Nota

    Manakala, keselamatan hierarki memberi akses kepada Naib Presiden jualan untuk mengakses rekod-rekod dalam segi empat merah, akses tambahan boleh disediakan berdasarkan peranan keselamatan yang dimiliki oleh Naib Presiden Jualan ini.

Sediakan hierarki pengurus dan kedudukan

Hierarki pengurus mudah dicipta dengan menggunakan perhubungan pengurus pada rekod pengguna sistem. Anda menggunakan medan carian Pengurus (ParentsystemuserID) untuk menentukan Pengurus bagi pengguna. Jika anda mencipta hierarki kedudukan, anda juga boleh menandakan pengguna dengan kedudukan tertentu dalam hierarki kedudukan. Dalam contoh berikut, jurujual melaporkan kepada pengurus jualan dalam hierarki pengurus dan juga mempunyai kedudukan jualan dalam hierarki kedudukan:

Tangkapan skrin yang menunjukkan rekod pengguna jurujual.

Untuk menambah pengguna pada kedudukan tertentu dalam hierarki kedudukan, gunakan medan carian yang dipanggil Kedudukan pada borang rekod pengguna.

Penting

Untuk menambah pengguna ke kedudukan atau mengubah kedudukan pengguna, anda perlu mempunyai keistimewaan Memperuntukkan kedudukan bagi pengguna.

Tangkapan skrin yang menunjukkan cara menambah pengguna pada kedudukan dalam Keselamatan Hierarki

Untuk menukar kedudukan pada borang rekod pengguna, pada bar navigasi, pilih Lagi (...) dan pilih kedudukan yang berbeza.

Tukar kedudukan dalam keselamatan hierarki

Untuk mencipta hierarki kedudukan:

  1. Pilih persekitaran dan pergi ke Tetapan>Pengguna + Keizinan>Kedudukan.

    Bagi setiap kedudukan, beri nama kedudukan, induk kedudukan tersebut, dan keterangan. Tambah pengguna kepada kedudukan ini dengan menggunakan medan carian yang dipanggil Pengguna dalam kedudukan ini. Imej berikut ialah contoh hierarki kedudukan dengan kedudukan aktif.

    Kedudukan aktif dalam Keselamatan Hierarki

    Contoh pengguna yang didayakan dengan kedudukan yang sepadan ditunjukkan dalam imej berikut.

    Tangkapan skrin yang menunjukkan pengguna yang didayakan dengan kedudukan yang ditetapkan.

Edit dan kemas kini berbilang peringkat rekod untuk laporan langsung

Secara lalai, pengurus boleh mengemas kini rekod untuk laporan langsung mereka dan rekod untuk individu yang melaporkan kepada laporan langsung mereka. Essentailly, anda boleh mengemas kini rekod yang mendalam tiga peringkat. Anda boleh menukar tetapan lalai dengan melengkapkan langkah berikut.

  1. Pasang alat OrganizationSettingsEditor.
  2. Edit tetapan HierarchyLevelForHierarchyFeature .
  3. Masukkan bilangan kedalaman tahap langsung. Sebagai contoh, masukkan 5.
  4. Pilih Kemas Kini.

Sertakan atau kecualikan rekod yang dimiliki oleh laporan langsung dengan status pengguna yang dilumpuhkan

Pengurus boleh melihat rekod laporan langsung status dinyahdayakan mereka untuk persekitaran di mana keselamatan hierarki didayakan selepas 31 Januari 2024. Untuk persekitaran lain, rekod laporan langsung status dinyahdayakan tidak disertakan dalam paparan pengurus.

Untuk memasukkan rekod laporan langsung status kurang upaya:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini tetapan AuthorizationEnableHSMForDisabledUsers kepada true.
  3. Lumpuhkan pemodelan Hierarki.
  4. Dayakan semula semula.

Untuk mengecualikan rekod laporan langsung status dinyahaktifkan:

  1. Pasang alat OrganizationSettingsEditor.
  2. Kemas kini tetapan AuthorizationEnableHSMForDisabledUsers kepada false.
  3. Lumpuhkan pemodelan Hierarki.
  4. Dayakan semula semula.

Nota

  • Apabila anda menyahdayakan dan mendayakan semula pemodelan hierarki, kemas kini boleh mengambil masa, kerana sistem perlu mengira semula akses rekod pengurus.
  • Jika anda melihat tamat masa, kurangkan bilangan jadual di bawah senarai Pengurusan Jadual Hierarki untuk memasukkan hanya jadual yang perlu dilihat oleh pengurus. Jika tamat masa berterusan, serahkan tiket sokongan untuk meminta bantuan.
  • Rekod laporan langsung status dilumpuhkan disertakan jika rekod ini dikongsi dengan laporan langsung lain yang aktif. Anda boleh mengecualikan rekod ini dengan mengalih keluar kongsi .

Pertimbangan prestasi

Untuk meningkatkan prestasi, kami mengesyorkan:

  • Kekalkan keselamatan hierarki yang berkesan kepada 50 pengguna atau kurang di bawah pengurus atau jawatan. Hierarki anda mungkin mempunyai lebih daripada 50 pengguna di bawah pengurus atau kedudukan, tetapi anda boleh menggunakan seting Kedalaman untuk mengurangkan bilangan tahap untuk capaian baca sahaja dan dengan ini mengehadkan bilangan pengguna berkesan di bawah pengurus atau kedudukan kepada 50 pengguna atau kurang.

  • Gunakan model keselamatan hierarki dengan model keselamatan sedia ada yang lain untuk senario yang lebih kompleks. Elakkan mewujudkan sebilangan besar unit perniagaan. Sebaliknya, cipta lebih sedikit unit perniagaan dan tambah keselamatan hierarki.

  • Kekalkan nombor HierarchyLevelForHierarchyFeature pada bilangan kedalaman aras langsung terendah seperti yang dikehendaki oleh keperluan perniagaan anda untuk membolehkan pengurus mengemas kini rekod laporan langsung mereka.

Lihat juga

keselamatan dalam Microsoft Dataverse
Pertanyaan dan visualisasikan data hierarki

  • Last updated on