Konsep keselamatan dalam Microsoft Dataverse
Salah satu daripada ciri penting Dataverse adalah model keselamatan kaya yang boleh disesuaikan dengan banyak senario penggunaan perniagaan. Model keselamatan ini hanya dimainkan apabila terdapat Dataverse pangkalan data dalam persekitaran. Sebagai pentadbir, anda mungkin tidak akan membina keseluruhan model keselamatan sendiri, tetapi selalunya akan terlibat dalam proses menguruskan pengguna dan memastikan mereka mempunyai konfigurasi yang betul dan menyelesaikan masalah berkaitan akses keselamatan.
Tip
Lihat video berikut: Microsoft Dataverse – Konsep Keselamatan Ditunjukkan Dalam Demo.
Keselamatan berasaskan peranan
Dataverse menggunakan keselamatan berasaskan peranan untuk mengumpulkan koleksi kelayakan. Peranan keselamatan ini boleh dikaitkan terus ke pengguna atau mereka boleh dikaitkan dengan pasukan dan unit perniagaan Dataverse. Pengguna kemudiannya boleh dikaitkan dengan pasukan, dan oleh itu semua pengguna yang dikaitkan dengan pasukan mendapat manfaat daripada peranan tersebut. Konsep penting keselamatan Dataverse untuk memahami adalah semua pemberian kelayakan boleh dikumpul dengan jumlah akses yang besar. Jika anda memberikan akses membaca tahap organisasi yang meluas kepada semua rekod kenalan, anda tidak boleh kembali dan menyembunyikan satu rekod.
Unit perniagaan
Tip
Lihat video berikut: Memodenkan unit perniagaan.
Unit perniagaan bekerjasama dengan peranan keselamatan untuk menentukan keselamatan berkesan yang dimiliki oleh pengguna. Unit perniagaan ialah blok bangunan pemodelan keselamatan yang membantu dalam mengurus pengguna dan data yang mereka boleh akses. Unit perniagaan mentakrifkan sempadan keselamatan. Setiap pangkalan data Dataverse mempunyai unit perniagaan akar tunggal.
Anda boleh mencipta unit perniagaan anak untuk membantu mensegmenkan lebih lanjut pengguna dan data anda. Setiap pengguna yang ditugaskan kepada persekitaran tergolong dalam unit perniagaan. Walaupun unit perniagaan boleh digunakan untuk model 1: 1 hierarki organisasi yang sebenar, lebih kerap mereka bersandar kepada sempadan keselamatan yang ditetapkan untuk membantu mencapai keperluan model keselamatan.
Untuk lebih memahami, mari lihat contoh berikut. Kami mempunyai tiga unit perniagaan. Woodgrove ialah unit perniagaan akar dan akan sentiasa berada di atas, yang tidak boleh diubah. Kami telah mencipta dua unit perniagaan anak A dan B yang lain. Pengguna dalam unit perniagaan ini mempunyai keperluan akses yang berbeza. Apabila kami mengaitkan pengguna dengan persekitaran ini, kami boleh menetapkan pengguna untuk berada dalam salah satu daripada tiga unit perniagaan ini. Di mana pengguna dikaitkan menentukan unit perniagaan yang memiliki rekod yang pengguna adalah pemiliknya. Dengan mempunyai perkaitan itu, kami dapat menyesuaikan peranan keselamatan untuk membenarkan pengguna melihat semua rekod dalam unit perniagaan tersebut.
Struktur akses data hierarki
Pelanggan boleh menggunakan struktur organisasi bagi data dan pengguna berpetak dalam hierarki seperti pokok.
Apabila kami mengaitkan pengguna dengan persekitaran ini, kami boleh menetapkan pengguna untuk berada dalam salah satu daripada tiga unit perniagaan ini dan menugaskan peranan keselamatan daripada unit perniagaan kepada pengguna. Unit perniagaan yang dikaitkan dengan pengguna menentukan unit perniagaan yang memiliki rekod semasa pengguna mencipta rekod. Dengan mempunyai persatuan itu, ia membolehkan kami menyesuaikan peranan keselamatan, yang membolehkan pengguna melihat rekod dalam unit perniagaan tersebut.
Pengguna A adalah berkaitan dengan Divisyen dan ditugaskan peranan keselamatan Y daripada divisyen A. Ini membenarkan pengguna A untuk mengakses rekod Kenalan #1 dan Kenalan #2. Manakala pengguna B di Bahagian B tidak boleh mengakses rekod Kenalan Bahagian A tetapi boleh mengakses rekod Kenalan #3.
Struktur capaian data matriks (Pemodenan Unit Perniagaan)
Pelanggan boleh menggunakan struktur organisasi bagi data berpetak dalam hierarki seperti pokok dan pengguna boleh bekerja dan mengakses sebarang data unit perniagaan tanpa mengira unit perniagaan pengguna yang ditugaskan.
Apabila kami mengaitkan pengguna dengan persekitaran ini, kami boleh menetapkan pengguna untuk berada dalam salah satu daripada tiga unit perniagaan ini. Untuk setiap unit perniagaan yang diperlukan oleh pengguna untuk mengakses data dalam unit perniagaan, peranan keselamatan daripada unit perniagaan itu ditugaskan ke pengguna. Apabila pengguna mencipta rekod, pengguna boleh menetapkan unit perniagaan ke rekod sendiri.
Pengguna A boleh dikaitkan dengan mana-mana unit perniagaan termasuk unit perniagaan akar. Peranan keselamatan Y daripada Divisyen A ditugaskan ke pengguna A yang memberikan akses kepada pengguna ke rekod Kenalan #1 dan Kenalan #2. Peranan keselamatan Y daripada Divisyen B ditugaskan ke pengguna A yang memberikan akses kepada pengguna ke rekod Kenalan #3.
Dayakan struktur capaian data matriks
Nota
Sebelum anda mendayakan ciri ini, anda mesti menerbitkan semua penyesuaian anda untuk mendayakan semua jadual baharu yang tidak diterbitkan anda untuk ciri tersebut. Jika anda mendapati anda mempunyai jadual tidak diterbitkan yang tidak berfungsi dengan ciri ini selepas anda menghidupkannya, anda boleh menetapkan tetapan RecomputeOwnershipAcrossBusinessUnits menggunakan alat OrgDBOrgSettings bagi Microsoft Dynamics CRM. Menetapkan RecomputeOwnershipAcrossBusinessUnits kepada true membolehkan medan Unit Perniagaan Memiliki ditetapkan dan dikemas kini.
- Log masuk ke Power Platform pusat pentadbiran sebagai pentadbir (pentadbir atau Microsoft Power Platform pentadbir Dynamics 365).
- Pilih tab Persekitaran, kemudian pilih persekitaran yang mahu anda dayakan ciri ini.
- Pilih Tetapan>Produk>Ciri.
- Aktifkan Hidup bagi suis Pemilikan rekod merentas unit perniagaan.
Sebaik sahaja suis ciri ini dihidupkan, anda boleh memilih unit Perniagaan apabila anda menugaskan peranan keselamatan kepada pengguna. Ini membolehkan anda untuk menugaskan peranan keselamatan daripada unit perniagaan berbeza kepada pengguna. Pengguna juga memerlukan peranan keselamatan daripada unit perniagaan yang pengguna ditugaskan dengan kelayakan tetapan pengguna untuk menjalankan aplikasi berpandukan model. Anda boleh merujuk kepada peranan keselamatan Pengguna Asas untuk mengetahui cara kelayakan tetapan pengguna ini didayakan.
Anda boleh menugaskan pengguna sebagai pemilik rekod dalam sebarang unit perniagaan tanpa perlu menugaskan peranan keselamatan dalam unit perniagaan pemilikan rekod selagi pengguna mempunyai peranan keselamatan yang telah Membaca kelayakan ke jadual rekod. Lihat Pemilikan Rekod dalam Pemodenan Unit Perniagaan.
Nota
Suis ciri ini disimpan dalam tetapan EnableOwnershipAcrossBusinessUnits dan boleh juga ditetapkan menggunakan alat alat OrgDBOrgSettings untuk Microsoft Dynamics CRM.
Kaitkan unit perniagaan dengan Microsoft Entra kumpulan keselamatan
Anda boleh menggunakan Microsoft Entra kumpulan keselamatan untuk memetakan unit perniagaan anda untuk memperkemas pentadbiran pengguna dan tugasan peranan anda.
Cipta Microsoft Entra kumpulan keselamatan untuk setiap unit perniagaan dan peruntukkan peranan keselamatan unit perniagaan masing-masing kepada setiap pasukan kumpulan.
Untuk setiap unit perniagaan, cipta Microsoft Entra kumpulan keselamatan. Cipta Dataverse pasukan kumpulan untuk setiap Microsoft Entra kumpulan keselamatan. Tugaskan peranan keselamatan yang berkenaan daripada unit perniagaan kepada setiap pasukan kumpulan Dataverse. Pengguna dalam gambar rajah di atas akan dicipta dalam unit perniagaan akar apabila pengguna mencapai persekitaran. Anda boleh mempunyai pengguna dan pasukan kumpulan Dataverse untuk berada dalam unit perniagaan akar. Mereka hanya mempunyai akses kepada data dalam unit perniagaan yang ditugaskan dengan peranan keselamatan.
Tambah pengguna ke dalam kumpulan keselamatan masing-masing Microsoft Entra untuk memberikan mereka akses kepada unit perniagaan. Pengguna boleh menjalankan aplikasi dengan serta-merta dan mencapai sumber/data.
Dalam capaian data matriks, di mana pengguna boleh bekerja dan mengakses data daripada berbilang unit perniagaan, tambah pengguna pada Microsoft Entra kumpulan keselamatan yang dipetakan kepada unit perniagaan tersebut.
Unit Perniagaan yang Memiliki
Setiap rekod mempunyai lajur Unit Perniagaan Memiliki, yang menentukan unit perniagaan yang memiliki rekod. Lajur ini lalai kepada unit perniagaan pengguna apabila rekod dicipta dan tidak boleh diubah kecuali apabila suis ciri dihidupkan.
Nota
Apabila anda menukar unit perniagaan yang memiliki rekod, pastikan anda menyemak yang berikut untuk kesan lata: Menggunakan SDK untuk .NET untuk mengkonfigurasi tingkah laku melata.
Anda boleh mengurus sama ada anda mahu membenarkan pengguna anda menetapkan lajur Unit Perniagaan Pemilikan suis ciri diaktifkan HIDUP. Untuk menetapkan lajur Unit Perniagaan Pemilikan, anda perlu memberikan kelayakan Tambah Ke jadual Unit Perniagaan kepada peranan keselamatan pengguna dengan keizinan tahap setempat.
Untuk membenarkan pengguna anda menetapkan lajur ini, anda boleh mendayakan lajur ini dalam perkara berikut:
- Borang - isi dan pengepala.
- Paparan.
- Pemetaan lajur. Jika anda menggunakan AutoMapEntity, anda boleh menentukan lajur dalam pemetaan lajur anda.
Nota
Jika anda mempunyai kerja/proses untuk menyegerakkan data antara persekitaran, dan Unit Perniagaan Pemilikan adalah sebahagian daripada skema, kerja anda akan gagal berkaitan pelanggaran sekatan KUNCI Asing jika persekitaran sasaran tidak mempunyai nilai Unit Perniagaan Pemilikan.
Anda boleh sama ada mengeluarkan lajur Unit Perniagaan Pemilikan daripada skema sumber, atau mengemas kini nilai lajur Unit Perniagaan Pemilikan bagi Sumber kepada mana-mana unit perniagaan sasaran.
Jika anda mempunyai kerja/proses untuk menyalin data daripada persekitaran ke sumber luaran, sebagai contoh PowerBI, anda perlu memilih atau menyahpilih lajur Unit Perniagaan Pemilikan daripada sumber anda. Pilihn jika sumber anda boleh menerimanya, jika tidak, nyahpilih.
Pemilikan jadual/rekod
Dataverse menyokong dua jenis pemilikan rekod. Organisasi dimiliki dan Pengguna atau Pasukan dimiliki. Ini adalah pilihan yang berlaku pada masa jadual dicipta dan tidak boleh ditukar. Untuk tujuan keselamatan, rekod yang dimiliki oleh organisasi, satu-satunya pilihan tahap akses sama ada pengguna boleh melakukan operasi atau tidak boleh. Untuk rekod yang dimiliki oleh pengguna dan pasukan, pilihan tahap akses bagi kebanyakan kelayakan adalah Organisasi, Unit Perniagaan, Unit Perniagaan dan Unit Perniagaan Anak berperingkat atau hanya pengguna memiliki rekod. Ini bermakna untuk kelayakan baca pada kenalan, saya dapat menetapkan pengguna dimiliki dan pengguna hanya akan melihat rekod mereka sendiri.
Untuk memberi contoh lain, katakan Pengguna A dikaitkan dengan Divisyen A dan kami memberi mereka akses Baca peringkat Unit Perniagaan pada Kenalan. Mereka akan dapat melihat Kenalan #1 dan Kenalan #2 tetapi tidak bukan Kenali #3.
Apabila anda mengkonfigurasi atau mengedit kelayakan peranan keselamatan, anda menetapkan tahap akses untuk setiap pilihan. Berikut ialah contoh editor kelayakan Peranan Keselamatan.
Di bahagian atas anda boleh melihat jenis kelayakan standard untuk setiap jadual Cipta, Baca, Tulis, Padam, Tambah, Tambah Pada, Tugaskan dan Kongsi. Anda boleh mengedit setiap ini secara individu. Paparan visual masing-masing akan sepadan dengan kekunci di bawah mengenai tahap akses yang anda berikan.
Dalam contoh di atas, kami telah memberikan akses peringkat organisasi kepada Kenalan yang bermaksud bahawa pengguna dalam Divisyen A dapat melihat dan mengemas kini kenalan yang dimiliki oleh sesiapa sahaja. Malah, salah satu daripada kebanyakan kesilapan pentadbiran yang paling biasa adalah kecewa dengan keizinan dan hanya untuk memberikan akses. Dengan cepat, model keselamatan yang direka bentuk dengan baik kelihatan seperti keju swiss (penuh dengan lubang!).
Pemilikan Rekod dalam Pemodenan Unit Perniagaan
Dalam Pemodenan Unit Perniagaan, anda boleh mempunyai pengguna sebagai pemilik rekod merentasi sebarang unit perniagaan. Semua pengguna memerlukan peranan keselamatan (sebarang unit perniagaan) yang telah Membaca kelayakan ke jadual rekod. Pengguna tidak perlu mempunyai peranan keselamatan ditugaskan dalam setiap unit perniagaan yang menyimpan rekod.
Jika Pemilikan rekod merentasi unit perniagaan telah didayakan dalam persekitaran pengeluaran anda semasa Tempoh pratonton, anda perlu melakukan perkara berikut untuk mendayakan pemilikan rekod merentasi unit perniagaan:
- Pasang editor Tetapan Organisasi
- Tetapkan tetapan organisasi RecomputeOwnershipAcrossBusinessUnits kepada benar. Apabila seting ini ditetapkan kepada benar, sistem dikunci dan boleh mengambil masa sehingga 5 minit untuk melakukan pengiraan semula untuk mendayakan keupayaan di mana pengguna kini boleh memiliki rekod merentas unit perniagaan tanpa perlu mempunyai peranan keselamatan berasingan yang diperuntukkan daripada setiap unit perniagaan. Ini membolehkan pemilik rekod untuk memperuntukkan rekod mereka kepada seseorang di luar unit perniagaan pemilik rekod.
- Tetapkan AlwaysMoveRecordToOwnerBusinessUnit kepada palsu. Ini menjadikan rekod masih kekal dalam unit perniagaan pemilikan asal apabila pemilikan rekod ditukar.
Untuk semua persekitaran yang bukan pengeluaran, anda hanya perlu menetapkan AlwaysMoveRecordToOwnerBusinessUnit kepada palsu untuk menggunakan keupayaan ini.
Nota
Jika anda mematikan sama ada ciri Pemilikan rekod merentas unit perniagaan atau menetapkan seting RecomputeOwnershipAcrossBusinessUnits kepada palsu menggunakan alat OrgDBOrgSettings untuk Microsoft Dynamics CRM, anda tidak akan dapat mengesetkan atau mengemas kini medan Unit Perniagaan Pemilik dan semua rekod di mana medan Unit Perniagaan Memiliki berbeza daripada unit perniagaan pemilik akan dikemas kini kepada unit perniagaan pemilik.
Pasukan (termasuk kumpulan pasukan)
Pasukan ialah blok bangunan keselamatan penting yang lain. Pasukan dimiliki oleh Unit Perniagaan. Setiap Unit Perniagaan mempunyai satu pasukan lalai yang dicipta secara automatik apabila Unit Perniagaan dicipta. Ahli pasukan lalai diuruskan oleh Dataverse dan sentiasa mengandungi semua pengguna yang berkaitan dengan Unit Perniagaan itu. Anda tidak boleh menambahkan atau mengalih keluar ahli daripada pasukan lalai secara manual, mereka disesuaikan secara dinamik oleh sistem sebagai pengguna baharu yang dikaitkan/dipisahkan dengan unit perniagaan. Terdapat dua jenis pasukan, pasukan pemilikan dan pasukan akses.
- Pasukan Pemilikan boleh memiliki rekod, yang memberikan mana-mana ahli pasukan akses langsung kepada rekod itu. Pengguna boleh menjadi ahli berbilang pasukan. Ini akan membenarkan ia menjadi cara pemberian keizinan yang kuat kepada pengguna secara luas tanpa mengawal akses pada peringkat pengguna individu.
- Pasukan akses dibincangkan dalam bahagian seterusnya sebagai sebahagian daripada perkongsian rekod.
Perkongsian rekod
Rekod individu boleh dikongsi secara satu demi satu dengan pengguna lain. Ini ialah cara yang berkesan untuk mengendalikan pengecualian yang tidak termasuk dalam pemilikan rekod atau merupakan ahli model akses unit perniagaan. Ia sepatutnya menjadi pengecualian, walaupun, kerana ia adalah cara yang kurang berprestasi untuk mengawal akses. Perkongsian lebih sukar untuk diselesaikan kerana ia bukan kawalan akses yang dilaksanakan secara konsisten. Perkongsian boleh dilakukan di kedua-dua peringkat pengguna dan pasukan. Perkongsian dengan pasukan adalah cara perkongsian yang paling berkesan. Konsep perkongsian yang lebih maju adalah dengan Pasukan Akses, yang menyediakan penciptaan automatik pasukan dan perkongsian akses rekod dengan pasukan adalah berdasarkan Templat Pasukan Akses (templat kebenaran) yang digunakan. Pasukan akses juga boleh digunakan tanpa templat, dengan hanya menambah atau mengalih keluar ahlinya secara manual. Pasukan akses lebih berkesan kerana mereka tidak membenarkan pemilikan rekod oleh pasukan atau mempunyai peranan keselamatan yang ditugaskan kepada pasukan. Pengguna mendapat akses kerana rekod dikongsi bersama dengan pasukan dan pengguna ialah ahli.
Keselamatan peringkat rekod dalam Dataverse
Anda mungkin tertanya-tanya - apa yang menentukan akses kepada rekod? Itu kedengaran seperti soalan mudah tetapi bagi mana-mana pengguna tertentu, ia adalah gabungan semua peranan keselamatan mereka, unit perniagaan yang dikaitkan dengan mereka, pasukan yang menjadi ahli mereka dan rekod yang dikongsi dengan mereka. Perkara penting yang perlu diingat adalah semua akses adalah terkumpul merentasi semua konsep tersebut dalam skop persekitaran pangkalan data Dataverse. Kelayakan ini hanya diberikan dalam pangkalan data tunggal dan dijejaki secara individu dalam setiap pangkalan data Dataverse. Ini semua memerlukannya mempunyai lesen yang sesuai untuk mengakses Dataverse.
Keselamatan peringkat lajur dalam Dataverse
Kadangkala kawalan akses peringkat rekod tidak mencukupi untuk beberapa senario perniagaan. Dataverse mempunyai ciri keselamatan peringkat lajur untuk membenarkan lebih kawalan keselamatan butiran di peringkat lajur. Keselamatan peringkat lajur boleh didayakan pada semua lajur tersuai dan kebanyakan lajur sistem. Kebanyakan lajur sistem yang merangkumi maklumat boleh dikenal pasti peribadi (PII) mampu dijamin secara individu. Setiap lajur metadata mentakrifkan jika itu ialah pilihan tersedia untuk lajur sistem.
Keselamatan peringkat lajur didayakan pada lajur mengikut asas lajur. Akses kemudian diurus dengan mencipta Profil Keselamatan Lajur. Profil mengandungi semua lajur yang mempunyai keselamatan peringkat lajur yang didayakan dan diberikan akses oleh profil tertentu itu. Setiap lajur boleh dikawal dalam profil untuk Cipta, Kemas Kini dan Baca capaian. Profil Keselamatan Lajur kemudian dikaitkan dengan pengguna atau Pasukan untuk memberikan kelayakan tersebut kepada pengguna ke rekod yang mereka mempunyai akses. Harap maklum bahawa keselamatan peringkat lajur tidak ada kaitan dengan keselamatan tahap rekod. Pengguna mesti mempunyai akses kepada rekod untuk Profil Keselamatan Lajur untuk memberikan mereka sebarang capaian kepada lajur. Keselamatan peringkat lajur harus digunakan seperti yang diperlukan dan tidak berlebihan kerana dapat menambah overhed yang merugikan jika lebih digunakan.
Menguruskan keselamatan merentasi berbilang persekitaran
Peranan keselamatan dan Profil Keselamatan Lajur boleh dipakejkan dan dipindahkan daripada satu persekitaran ke lokasi seterusnya menggunakan penyelesaian Dataverse. Unit Perniagaan dan Pasukan mesti dicipta dan diuruskan dalam setiap persekitaran bersama-sama dengan tugasan pengguna ke komponen keselamatan yang diperlukan.
Mengkonfigurasikan keselamatan persekitaran pengguna
Setelah peranan, pasukan dan unit perniagaan dicipta dalam persekitaran, sudah tiba masanya untuk memperuntukkan pengguna konfigurasi keselamatan mereka. Pertama, apabila anda mencipta pengguna, anda akan mengaitkan pengguna dengan unit perniagaan. Secara lalai, ini ialah unit perniagaan akar dalam organisasi. Mereka juga ditambah kepada pasukan lalai unit perniagaan tersebut.
Selain itu, anda akan menugaskan sebarang peranan keselamatan yang diperlukan oleh pengguna. Anda juga akan menambah mereka sebagai ahli mana-mana pasukan. Ingat pasukan juga boleh mempunyai peranan keselamatan, jadi hak berkesan pengguna adalah gabungan peranan keselamatan yang diperuntukkan secara langsung digabungkan dengan mana-mana pasukan yang mereka anggotai. Keselamatan sentiasa merupakan bahan tambahan yang menawarkan keizinan paling ketat daripada mana-mana kelayakan mereka. Berikut adalah lintas semak yang baik untuk mengkonfigurasi keselamatan persekitaran.
Jika anda telah menggunakan keselamatan peringkat lajur, anda perlu mengaitkan pengguna atau pasukan pengguna ke salah satu Profil Keselamatan Lajur yang anda cipta.
Keselamatan ialah artikel yang kompleks dan paling baik dicapai sebagai usaha bersama antara pembuat aplikasi dan pasukan yang mentadbir kebenaran pengguna. Sebarang perubahan besar perlu diselaraskan dengan baik sebelum melaksanakan perubahan dalam persekitaran.
Lihat juga
Konfigurasi keselamatan persekitaran
Peranan Keselamatan dan kelayakan
Maklum balas
Akan datang: Sepanjang 2024, kami akan menghentikan secara berperingkat Isu GitHub sebagai kaedah maklum balas untuk kandungan dan menggantikannya dengan sistem maklum balas baharu. Untuk mendapatkan maklumat lanjut lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat maklum balas untuk