Koncepcje modeli zabezpieczeń
Model zabezpieczeń w programie Dynamics 365 Customer Engagement (on-premises) jest używany w celu ochrony integralności i prywatności danych w organizacji programu Customer Engagement (on-premises). Model zabezpieczeń wspiera także efektywny dostęp do danych i współpracę. Cele modelu są następujące:
Udostępnienie modelu licencjonowania wielopoziomowego dla użytkowników.
Przyznanie użytkownikom dostępu tylko do poziomów informacji niezbędnych im do pracy.
Klasyfikowanie użytkowników i zespołów według ról zabezpieczeń oraz ograniczanie dostępu na podstawie tych ról.
Obsługa udostępniania danych, aby umożliwić udzielenie dostępu użytkowników do cudzych obiektów w celu wykonania jednorazowego zadania.
Uniemożliwianie użytkownikowi dostępu do obiektów, których nie posiada ani nie udostępnia.
Przynależność do jednostek biznesowych, zabezpieczenia oparte na rolach, zabezpieczenia na poziomie rekordu i zabezpieczenia oparte na polach będą łączone, aby zdefiniować całkowity dostęp do informacji użytkowników w organizacji programu Customer Engagement (on-premises).
Jednostki biznesowe
Jednostka biznesowa jest w zasadzie grupą użytkowników. Wielkie organizacje posiadające wiele baz klientów często używają wielu jednostek biznesowych w celu kontrolowania dostępu do danych i definiowania ról zabezpieczeń w taki sposób, aby użytkownicy mieli dostęp tylko do rekordów należących do ich własnych jednostek biznesowych. Więcej informacji: Tworzenie jednostek biznesowych
Zabezpieczenia oparte na rolach
Możesz używać zabezpieczeń opartych na rolach, aby grupować zestawów uprawnień w role, które opisują zadania, które mogą być wykonywane przez użytkownika lub zespół. Customer Engagement (on-premises) zawiera zestaw zdefiniowanych wstępnie ról zabezpieczeń, z których każdy jest zestawem uprawnień, aby ułatwić zarządzanie zabezpieczeniami. Większość uprawnień definiuje możliwość tworzenia, odczytu, zapisywania, usuwania i udostępniania rekordów określonego typu. Każde uprawnienie określa również, jak szeroko uprawnienie jest stosowane: na poziomie użytkownika, poziomie jednostki biznesowej, poziomie hierarchii jednostek całej działalności lub w całej organizacji.
Na przykład jeśli logujesz się jako użytkownik, któremu przypisano rolę sprzedawcy, masz uprawnienia do odczytu, zapisu i udostępniania kont dla całej organizacji, ale możesz usunąć tylko rekordy kont, które posiadasz. Ponadto nie masz żadnych uprawnień do wykonywania zadań administracyjnych, takich jak instalowanie aktualizacji produktu lub dodawanie użytkowników do systemu.
Użytkownik, który przypisano rolę Wiceprezes ds. sprzedaży może wykonywać szerszy zestaw zadań (i ma większą liczbę uprawnień) skojarzonych z wyświetlaniem i modyfikowaniem danych oraz zasobów niż użytkownik, który został przypisany do roli Sprzedawca. Użytkownik, któremu przypisano rolę Wiceprezes ds. sprzedaży może np. odczytać i przypisać dowolnego klienta do dowolnej osoby w systemie, a użytkownik, któremu przypisano rolę Sprzedawca nie ma takich możliwości.
Istnieją dwie role, które mają bardzo szerokie uprawnienia: Administrator systemu i Konfigurator. Aby zminimalizować ryzyko błędnej konfiguracji, stosowanie tych dwóch ról należy ograniczyć do kilku osób w organizacji odpowiedzialnych za administrowanie i dostosowywanie programu Customer Engagement (on-premises). Organizacje mogą również dostosowywać istniejące role i tworzyć własne, stosownie do potrzeb. Więcej informacji: Role zabezpieczeń
Dostęp na podstawie użytkownika i licencjonowanie
Domyślnie, podczas tworzenia użytkownika użytkownik otrzymuje prawo odczytu i zapisu danych, do których ma uprawnienia dostępu. Ponadto domyślnie licencja dostępu klienta (CAL) użytkownika jest ustawiana na Professional. Możesz zmienić dowolne z tych ustawień, aby bardziej ograniczyć dostęp do funkcji i danych.
Tryb dostępu. To ustawienie określa poziom dostępu dla każdego użytkownika.
Dostęp do odczytu i zapisu. Domyślnie użytkownicy mają dostęp do odczytu i zapisu, co umożliwia im dostęp do danych, dla których mają odpowiednie uprawnienia określone przez role zabezpieczeń.
Dostęp administracyjny Umożliwia dostęp do obszarów, do których użytkownik ma odpowiednie uprawnienia określone przez role zabezpieczeń, ale nie zezwala użytkownikowi na wyświetlanie lub dostęp do danych biznesowych na ogół znajdowanych w obszarach Sprzedaż, Usługi i Marketing, takich jak konta, kontakty, potencjalni klienci, szanse sprzedaży, kampanie i sprawy. Na przykład dostęp administracyjny może służyć do tworzenia administratorów Customer Engagement (on-premises), którzy mogą mieć dostęp do wykonywania różnych zadań administracyjnych, takich jak tworzenie jednostek biznesowych, tworzenie użytkowników, ustawianie wykrywania duplikatów, ale nie mogą wyświetlać ani uzyskać dostępu do danych biznesowych. Zwróć uwagę, że użytkownicy, którym przypisano ten tryb dostępu nie zużywają licencji CAL.
Dostęp do odczytu. Umożliwia dostęp do obszarów, do których użytkownik ma dostęp określony przez rolę zabezpieczeń, ale użytkownik z dostępem do odczytu może tylko przeglądać dane, ale nie może tworzyć ani zmieniać istniejących danych. Na przykład użytkownik z rolą zabezpieczeń administrator systemu, który ma dostęp do odczytu może wyświetlić jednostki biznesowe, użytkowników i zespoły, ale nie może tych rekordów tworzyć ani modyfikować.
Typ licencji. Określa licencję CAL użytkownika oraz funkcje i obszary dla niego dostępne. Ta kontrola nad funkcjami i obszarem jest niezależna od ustawień roli zabezpieczeń użytkownika. Domyślnie użytkownicy są tworzeni z licencją Professional CAL dla dostępu do funkcji i obszarów, do których przyznano im uprawnienia dostępu.
Zespoły
Zespoły stanowią łatwy sposób udostępniania obiektów biznesowych i umożliwiają współpracę z innymi osobami w jednostkach biznesowych. Podczas gdy zespół należy do jednej jednostki biznesowej, może zawierać użytkowników z innych jednostek biznesowych. Użytkownik może być skojarzony z więcej niż jednym zespołem. Więcej informacji: Zarządzanie zespołami
Zabezpieczenia na poziomie rekordu
Zabezpieczenia na poziomie rekordu służą do sterowania uprawnieniami użytkownika i zespołu poprzez wykonywanie działań w poszczególnych rekordach. Dotyczy to wystąpień encji (rekordów) i jest zapewniane przez prawa dostępu. Właściciel rekordu można udostępnić rekord lub udzielić do niego dostępu innemu użytkownikowi lub zespołowi. W takim przypadku należy wybrać przyznawane prawa. Na przykład właściciel rekordu klienta może udzielić uprawnień do odczytu informacji o kliencie, ale nie udzielić prawa dostępu do zapisu.
Prawa dostępu mają zastosowanie tylko wtedy, gdy uprawnienia zostały wprowadzone. Na przykład jeśli użytkownik nie ma uprawnień do wyświetlania rekordów klientów (odczyt), nie może wyświetlić żadnego konta klienta, niezależnie od praw dostępu, które inny użytkownik może mu udzielić do określonego klienta poprzez włączenie funkcji udostępniania.
Zabezpieczenia hierarchii
Model zabezpieczeń hierarchii służy do uzyskiwania dostępu do danych hierarchicznych. Z tym dodatkowym zabezpieczeniem uzyskuje się bardziej szczegółowy dostęp do rekordów, co pozwala kierownikom na dostęp do rekordów ich podwładnych w celu zatwierdzenia lub wykonania pracy w imieniu podwładnych. Więcej informacji: Zabezpieczenia hierarchii
Zabezpieczenia oparte na polach
Zabezpieczenia na poziomie pól służą do ograniczania dostępu do konkretnych pól o dużym znaczeniu biznesowym w encji tylko do określonych użytkowników lub zespołów. Podobnie jak w przypadku zabezpieczeń na poziomie rekordu, najpierw należy wprowadzić uprawnienia. Na przykład użytkownik może mieć uprawnienia do odczytu konta, ale może mieć ograniczony dostęp do odczytu konkretnych pól na wszystkich kontach. Więcej informacji: Zabezpieczenia na poziomie pola
Modelowanie zabezpieczeń z Customer Engagement (on-premises)
Aby poznać szczegółowe informacje na temat najlepszych praktyk w projektowaniu modelu zabezpieczeń w aplikacjach Customer Engagement (on-premises) przeczytaj oficjalny dokument Skalowalne modelowanie zabezpieczeń w programie Microsoft Dynamics CRM dostępny w Centrum pobierania firmy Microsoft.
Zobacz też
Zabezpieczenia na poziomie pola
Zabezpieczenia hierarchiczne
Kontrolowanie dostępu do danych
Tworzenie i edytowanie roli zabezpieczeń
Kopiowanie roli zabezpieczeń
Zarządzaj użytkownikami
Zarządzanie zespołami
Dodawanie zespołów lub użytkowników do profilu zabezpieczeń pól
Zarządzanie bezpieczeństwem, użytkownikami i zespołami