Gerenciar o armazenamento do PrincipalObjectAccess

Usuários em um ambiente com o banco de dados Microsoft Dataverse podem colaborar com outros usuários concedendo acesso a um registro de propriedade do usuário. O usuário pode compartilhar um registro com outro usuário ou equipe, ou reatribuir um registro a outro usuário ou equipe.

Para gerenciar essa colaboração em nível de registro e fornecer acesso de usuário a registros compartilhados, todos os compartilhamentos de registros e suas permissões são armazenados na tabela PrincipalObjectAccess (POA). Sempre que os usuários tentam acessar um registro que não é de sua propriedade ou não têm o privilégio apropriado no direito de acesso, o sistema verifica a tabela POA para autorizar o acesso do usuário.

Fontes de POA

Os tópicos a seguir descrevem as configurações ou o uso que criam registros POA, pois permitem o compartilhamento de registros. As configurações devem ser revisadas e atualizadas adequadamente para evitar compartilhamento excessivo e aumento no armazenamento do POA.

Compartilhar registros reatribuídos com o proprietário original

Por padrão, a definição Definir se os registros reatribuídos são compartilhados com o proprietário original é Não. É aqui que o proprietário original do registro não tem mais acesso ao registro quando a propriedade do registro é reatribuída a outro usuário. Quando essa configuração é definida como Sim, um registro é criado na tabela POA sempre que um usuário atribui um registro a outro usuário ou equipe. O proprietário original é adicionado automaticamente como Compartilhar.

Gerenciar o armazenamento do PrincipalObjectAccess.

Equipes de acesso

Quando uma equipe de acesso é usada para colaboração de registros, os registros são criados na tabela POA sempre que um usuário é adicionado à equipe de acesso. Há dois tipos de equipes de acesso:

  • Gerenciado pelo sistema: estes são criados por meio de modelos e são incorporados em um formulário para permitir que o usuário gerencie facilmente a lista de membros. O sistema cria automaticamente uma equipe de acesso para um registro que é compartilhado. Por exemplo, a conta nº 1 tem uma equipe de acesso diferente da conta nº 2.

  • Adicionado manualmente: são equipes de acesso individual em que um administrador/proprietário da equipe gerencia a lista de membros da equipe.

Compartilhamento direto

  • Quando um usuário compartilha explicitamente um registro com outro usuário, um registro é criado na tabela POA.

Compartilhamento indireto

  • Quando um usuário compartilha um registro com uma equipe, todos os membros da equipe são compartilhados indiretamente.

  • O compartilhamento indireto também ocorre com um registro com um relacionamento de compartilhamento em cascata ou em uma tabela com um relacionamento principal/secundário. Quando um registro principal é compartilhado com um usuário ou uma equipe, o usuário ou a equipe compartilhado tem acesso a todos os registros em cascata ou secundários. Todas essas permissões para acessar os registros filho são criadas na tabela POA.

    Exemplo de relacionamento de tabela

    Uma tabela pode ser definida para ter relacionamentos com outras tabelas (por exemplo, conta para ocorrência). Por padrão, o relacionamento da opção Reassociar está definido como Todos em Cascata. Todos os sub-registros relacionados são compartilhados com o proprietário do registro pai.

    Por exemplo: O usuário nº 1 tem a conta nº 1. O usuário nº 1 compartilha a conta nº 1 com o usuário nº 2. O usuário nº 2 cria uma ocorrência nº 1 abaixo da conta nº 1. Com as opções de reassociação prontas para uso, o usuário nº 1 tem acesso à ocorrência nº 1. Todas essas permissões de usuário são capturadas na tabela POA.

Compartilhar a fonte

A API RetrieveAccessOrigin pode ser usada para determinar a origem do acesso de um usuário ou equipe para uma tabela específica. A API requer objectId, logicalName e principalId na solicitação, e a resposta é uma cadeia de caracteres que descreve onde o acesso à tabela foi obtido.

Gerenciamento do crescimento da tabela POA

  • Avalie as necessidades de negócios e ative Definir se os registros reatribuídos são compartilhados com o proprietário original onde necessário. Observe que esta é uma configuração de todo o sistema. Depois de ativada, a configuração é aplicada a todos os registros.
  • Compartilhe com usuários para colaboração em que a lista de usuários não seja a mesma nos diferentes registros compartilhados.
  • Use a equipe como o proprietário do registro se você compartilhar registros com frequência com a mesma lista de usuários ou compartilhar o registro com a equipe.
  • Se você tiver uma estrutura de unidade de negócios complexa e uso frequente de compartilhamento:
    • Compartilhe apenas onde for necessário.
    • Minimizar o número de unidades de negócios.
    • Certifique-se de que os usuários sejam colocados na unidade de negócios apropriada.
    • Compartilhe com a equipe para permitir que usuários de unidades de negócios distintas acessem os registros.
  • Quando um registro puder ser acessado por várias equipes de acesso (por exemplo, uma equipe de representantes de vendas que só pode ler o registro e outra equipe de gerentes de vendas que tem acesso total de leitura e gravação), considere o uso de formulários distintos baseados em função para representantes de vendas e gerente de vendas.
  • Gerencie o ciclo de vida dos membros da equipe de acesso. Remova usuários que não são mais necessários para a colaboração.
  • Remova todos os membros da equipe de acesso quando a colaboração terminar.

Excluir registros POA

A tabela POA é gerenciada pelo sistema para garantir o devido acesso dos usuários ou das equipes aos respectivos registros. A exclusão direta nesta tabela não é compatível, pois pode quebrar o modelo de segurança definido para a organização. A maneira correta de limpar a tabela POA é ajustando o modelo de segurança e revogando o acesso que foi concedido anteriormente.

Guias de solução de problemas

Quando a configuração em cascata de um relacionamento de tabela é alterada de Reassociar ou Compartilhar para Sem cascata, use este artigo para limpar o acesso herdado. Isso remove registros POA desnecessários. Mais informações: Como limpar o acesso herdado.

A limpeza de direitos de acesso herdados é um trabalho do sistema que limpa os direitos de acesso herdados que permanecem depois que o comportamento em cascata é alterado para Nenhum em Cascata. Mais informações: Limpeza de direitos de acesso herdados

Para saber se o acesso do usuário foi concedido devido ao POA, consulte Determinar por que um usuário tem acesso.

Confira também

Capacidade de armazenamento do Dataverse

  • Last updated on