Beveiligingsmodelconcepten
U gebruikt het beveiligingsmodel in Dynamics 365 Customer Engagement (on-premises) om de gegevensintegriteit en - privacy in een Customer Engagement (on-premises)-organisatie te beschermen. Het beveiligingsmodel bevordert tevens een efficiënte gegevenstoegang en samenwerking. De doelen van het model zijn als volgt:
Een uit meerdere lagen opgebouwd licentiemodel voor gebruikers.
Gebruikers alleen toegang verlenen tot de informatieniveaus die zij nodig hebben om hun taken te kunnen uitvoeren.
Categoriseer gebruikers en teams per beveiligingsrol en beperk toegang op basis van deze rollen.
Gegevensdeling ondersteunen, zodat gebruikers voor een eenmalige samenwerking toegang kunnen krijgen tot objecten waarvan ze geen eigenaar zijn.
Toegang verhinderen tot objecten die een gebruiker niet deelt en waarvan hij/zij geen eigenaar is.
U combineert Business Units, op rollen gebaseerde beveiliging, op records gebaseerde beveiliging en op velden gebaseerde beveiliging om de algehele toegang tot gegevens te definiëren die gebruikers in uw Customer Engagement (on-premises)-organisatie hebben.
Business units
Een Business Unit is in feite een groep gebruikers. In grote organisaties met verschillende klantendatabases worden vaak meerdere Business Units gebruikt om de gegevenstoegang te beheren en beveiligingsrollen te definiëren, zodat gebruikers alleen toegang hebben tot records in hun eigen Business Unit. Meer informatie: Business units maken
Op rollen gebaseerde beveiliging
Met op rollen gebaseerde beveiliging kunt u sets met bevoegdheden samen groeperen in rollen die de taken die door een gebruiker of een team kunnen worden uitgevoerd beschrijven. Customer Engagement (on-premises) bevat een reeks vooraf gedefinieerde beveiligingsrollen waarvan elk een set verzamelde bevoegdheden is om het beheer van gebruikersbeveiliging eenvoudiger te maken. Het grootste deel van de bevoegdheden bepaalt de mogelijkheid om records van een specifiek entiteitstype te maken, lezen, schrijven, verwijderen en delen. Elke bevoegdheid bepaalt ook hoe algemeen deze bevoegdheid is: op gebruikersniveau, businessunit-niveau, de gehele businessunit-hiërarchie of over de volledige organisatie.
Bijvoorbeeld: als u zich aanmeldt als een gebruiker met de rol van Verkoper, dan hebt u de bevoegdheden om accounts voor de hele organisatie te lezen, schrijven en te delen, maar u kunt alleen accountrecords verwijderen die uw eigendom zijn. Bovendien hebt u geen bevoegdheden om systeembeheerderstaken uit te voeren zoals om productupdates te installeren, of gebruikers toe te voegen aan het systeem.
Een gebruiker die de rol Adjunct-directeur van verkoop is toegewezen, kan een bredere serie taken uitvoeren (en heeft een groter aantal bevoegdheden) met betrekking tot het weergeven en wijzigen van gegevens en bronnen dan een gebruiker die de rol Verkoper is toegewezen. Een gebruiker die de rol Adjunct-directeur van verkoop heeft kan bijvoorbeeld elk account in het systeem lezen en aan iedereen in het systeem toewijzen, terwijl een gebruiker met de rol Verkoper dit niet kan.
Er zijn twee rollen met zeer ruime bevoegdheden: Systeembeheerder en Systeemaanpasser. U kunt onjuiste configuratie tot een minimum beperken door het gebruik van de volgende twee rollen te beperken tot een paar personen in uw organisatie die verantwoordelijk zijn voor het beheer en de aanpassing van Customer Engagement (on-premises). Organisaties kunnen ook bestaande rollen aanpassen en eigen rollen maken om aan hun behoeften te voldoen. Meer informatie: Beveiligingsrollen
Gebruikergebaseerde toegang en licenties
Standaard hebben gebruikers die u maakt lees- en schrijftoegang tot alle gegevens waarvoor zij machtiging hebben. Bovendien wordt de CAL (Client Access License) van gebruikers standaard ingesteld op Professional. U kunt één van de volgende instellingen wijzigen om de toegang tot gegevens en functies verder te beperken.
Toegangsmodus. Deze instelling bepaalt het toegangsniveau voor elke gebruiker.
Lees-schrijftoegang. Standaard hebben de gebruikers lees-schrijftoegang zodat zij toegang tot gegevens hebben waarvoor de juiste machtigingen zijn ingesteld op basis van beveiligingsrollen.
Beheerderstoegang. Biedt toegang tot gebieden waarvoor de juiste machtiging voor de gebruiker is ingesteld via beveiligingsrollen maar waarvoor de gebruiker niet de zakelijke gegevens mag bekijken of openen die meestal te vinden zijn in de gebieden Verkoop, Service en Marketing, zoals accounts, contactpersonen, leads, verkoopkansen, campagnes en aanvragen. Zo kan bijvoorbeeld beheerderstoegang worden gebruikt om Customer Engagement (on-premises)-beheerders te maken die toegang kunnen hebben voor het uitvoeren van een complete reeks van beheertaken, zoals het maken van business units, het maken van gebruikers en het instellen van duplicatendetectie, maar die geen zakelijke gegevens kunnen bekijken of openen. Overigens verbruiken gebruikers aan wie deze toegangsmodus is toegewezen geen CAL.
Leestoegang. Biedt toegang tot gebieden waarvoor passende toegang voor de gebruiker is ingesteld op basis van de beveiligingsrol, maar waarvoor de gebruiker met leestoegang alleen gegevens kan bekijken en geen nieuwe gegevens kan maken of bestaande gegevens wijzigen. Zo kan een gebruiker met de beveiligingsrol systeembeheerder die leestoegang heeft business units, gebruikers en teams bekijken, maar deze records niet maken of wijzigen.
Licentietype. Hiermee wordt de gebruikers-CAL ingesteld en bepaald welke functies en gebieden beschikbaar zijn voor de gebruiker. Deze functie- en gebiedsbesturing is onafhankelijk van de instelling voor de beveiligingsrol van de gebruiker. Standaard worden gebruikers gemaakt met Professional CAL voor de meeste functies en gebiedstoegang waarvoor zij gemachtigd zijn.
Teams
Teams bieden een eenvoudige manier om bedrijfsobjecten te delen en kunt u met mensen in andere business units samenwerken. Hoewel een team tot slechts één business unit behoort, kan het ook gebruikers van andere business units bevatten. U kunt een gebruiker aan meerdere teams koppelen. Meer informatie: Teams beheren
Op record gebaseerde beveiliging
U kunt op record gebaseerde beveiliging gebruiken om rechten van gebruikers en teams te bepalen voor het uitvoeren van acties op afzonderlijke records. Dit geldt voor exemplaren van entiteiten (records) en wordt verstrekt door toegangsrechten. De eigenaar van een record kan delen, of toegang verlenen tot een record aan een andere gebruiker of een team. Als dit is gedaan, dan moeten ze kiezen welke rechten ze verlenen. Bijvoorbeeld: de eigenaar van een accountrecord kan leestoegang geven tot de accountgegevens, maar geen schrijftoegang verlenen.
Toegangsrechten gelden alleen nadat bevoegdheden van kracht zijn geworden. Als gebruikers bijvoorbeeld niet de bevoegdheden hebben om accountrecords weer te geven (lezen), dan kunnen ze geen accounts weergeven, ongeacht de toegangsrechten die een andere gebruiker ze voor een bepaald account kan verlenen via delen.
Hiërarchiebeveiliging
U kunt het hiërarchiebeveiligingsmodel gebruiken voor toegang tot hiërarchische gegevens. Met deze extra beveiliging hebt u op een hoge detailniveau toegang tot records, waardoor managers toegang hebben tot de records van hun rapporten voor goedkeuring of werk kunnen uitvoeren namens rapporterenden. Meer informatie: Hiërarchiebeveiliging
Op veld gebaseerde beveiliging
U kunt beveiliging op veldniveau gebruiken om de toegang tot specifieke aangepaste velden met grote bedrijfsgevolgen in een entiteit te beperken tot alleen specifieke gebruikers of teams. Zoals op record gebaseerde beveiliging, geldt dit toe wanneer bevoegdheden van invloed zijn geworden. Bijvoorbeeld: een gebruiker kan bevoegdheden hebben om een account kunnen lezen, maar van het raadplegen van bepaalde velden in alle accounts zijn uitgesloten. Meer informatie: Beveiliging op veldniveau
Schaalbare beveiligingsmodellering met Customer Engagement (on-premises)
Voor meer informatie over en aanbevolen procedures voor het ontwerpen van het beveiligingsmodel in Customer Engagement (on-premises) leest u het technische document Schaalbare beveiligingsmodellering met Microsoft Dynamics CRM dat beschikbaar is via het Microsoft Downloadcentrum.
Zie ook
Beveiliging op veldniveau
Hiërarchiebeveiliging
Gegevenstoegang beheren
Een beveiligingsrol maken of bewerken
Een beveiligingsrol kopiëren
Gebruikers beheren
Teams beheren
Teams of gebruikers aan een veldbeveiligingsprofiel toevoegen
Beveiliging, gebruikers en teams beheren