Visão geral do módulo de segurança
Na seção Visão geral do modelo de segurança do modelo, você deve fornecer uma visão geral de alto nível do modelo de segurança dos participantes. Os detalhes não precisam ser extremamente detalhados, pois cada área específica será discutida em detalhes posteriormente no modelo.
Em seguida, responda como você está gerenciando o acesso aos registros. Estas informações são úteis para saber se há restrições específicas no local dos dados (como os vendedores que têm permissão para exibir seus próprios dados de cliente) ou se outras informações especiais de acesso a dados afetarão o modelo de segurança. Além disso, esta seção pode incluir detalhes técnicos, como a necessidade de autenticação multifator para acessar os dados do sistema.
Informações básicas
Dois slides cobrem informações básicas sobre o modelo de segurança. As perguntas a seguir estão inclusas nesses slides.
Quantos usuários você tem (alvo)? - O número de usuários impacta significativamente na escalabilidade do modelo de segurança. Por exemplo, se o cliente depende do compartilhamento de registros para fornecer acesso, deve estar ciente do possível impacto no desempenho quando vários registros são compartilhados entre muitos usuários. Alguns modelos de segurança que são aceitos por pequenas contagens de usuário se tornam inadequados à medida que essa contagem aumenta. Por esse motivo, é importante considerar o crescimento de usuários atual e o esperado no futuro.
Quantos padrões ou configurações de segurança distintos há no seu modelo e quantos usuários estão em cada configuração padrão? - Padrão de segurança refere-se às diferentes configurações de segurança que o cliente deseja implementar para atender aos requisitos. Por exemplo, o departamento de vendas fará o uso padrão de direito de acesso de usuário, o serviço de atendimento ao consumidor usará uma combinação de funções de usuário e hierarquia de gerente e o marketing usará somente as equipes de acesso. Ao determinar o número esperado de padrões, você identificará se o modelo de segurança será excessivamente complicado ou difícil de manter a longo prazo.
Qual porcentagem de usuários tem requisitos de segurança potencialmente mais complexos do que o restante? - Os clientes às vezes complicam desnecessariamente seus modelos de segurança ao criar exceções de nicho para o processo padrão. Ao identificar a existência de vários requisitos diferentes não padronizados, você deve questionar a necessidade e recomendar a padronização no processo principal.
Você precisa restringir ou filtrar o acesso aos dados? - Essa pergunta distingue os filtros de conveniência e os requisitos de segurança reais. Desejar fornecer aos usuários uma visão simplificada dos dados que mais importam para eles é uma boa meta; no entanto, a segurança não deve ser usada para atingir esse objetivo. Use modos de exibição para filtrar dados enquanto mantém o acesso a outros registros disponíveis.
De quantos direitos de acesso você precisa? - Minimizar o número de direitos de acesso facilita o gerenciamento de tarefas administrativas. O Dynamics 365 inclui vários direitos de acesso padrão para tipos de usuário padrão, como gerente de vendas, representante de serviço de atendimento ao consumidor e administrador do sistema. Essas funções devem ser a base para direitos de acesso do cliente.
Se os requisitos forem diferentes das funções padrão, considere a criação de cópias e a iteração a partir delas.
Você criou novos direitos de acesso em vez de personalizar os existentes? - Uma prática recomendada é salvar uma cópia de um dos direitos de acesso padrão, em vez de criar um novo.
Os direitos de acesso incluem muitas permissões necessárias para entrar no aplicativo, e a criação de um novo direito é problemática, porque o cliente provavelmente não terá todas as permissões básicas necessárias.
Lembre ao cliente que as novas permissões são frequentemente adicionadas aos direitos de acesso padrão por meio de atualizações regulares de aplicativos, e essas novas permissões não são adicionadas automaticamente a direitos de acesso personalizados existentes. Se direitos de acesso personalizados forem usados, alguém precisará se lembrar de identificar as permissões recentemente adicionadas e de atualizar os direitos de acesso personalizados após cada atualização para garantir a continuidade do acesso ao sistema após as atualizações.
Você tentou reduzir o número de direitos de acesso o máximo possível? - Quanto mais direitos de acesso forem usados pela implantação do Dynamics 365, mais difícil será administrar em longo prazo. Quando a nova funcionalidade for adicionada, se 25 direitos de acesso estiverem disponíveis e a funcionalidade for necessária para todos, o fabricante deverá atualizar cada função para fornecer acesso ao novo recurso.
Uma estratégia conhecida é usar uma função básica, que fornece a linha de base de funcionalidade necessária para conectar no aplicativo e em todas as tabelas disponíveis para todos os usuários. Em seguida, complemente essa função com funções extras com os recursos específicos necessários.
Por exemplo, se todos os usuários precisarem ler contas, mas somente os gerentes de vendas puderem criá-las, a função de base conterá a permissão de leitura da conta no nível da organização e somente a função de gerente de vendas incluirá a permissão para criar conta. Em seguida, se um novo recurso necessário para todos os usuários for criado, ele poderá ser adicionado apenas à função de base.
Quantos direitos de acesso são necessários a uma pessoa individual? - Quanto mais direitos de acesso precisarem ser adicionados a um usuário individual, mais complicada a integração do usuário se tornará e maior será a probabilidade de erros. Se houver muitas funções necessárias, elas deverão ser consolidadas para ajudar a facilitar a administração contínua.
Outra abordagem útil é usar o grupo de segurança do Microsoft Entra ID ou as equipes Microsoft Entra ID do grupo de escritório para conceder as funções uma vez à equipe e, em seguida, os usuários as herdarão automaticamente para a equipe (portanto, no contexto da unidade de negócios da equipe), após serem adicionados ao grupo Microsoft Entra ID apropriado.
Os direitos de acesso são criados no nível da unidade de negócios raiz ou no nível filho? - Embora seja possível criar funções específicas a uma divisão secundária, recomendamos que você crie direitos de acesso e os edite no nível da unidade de negócios raiz.
A criação de funções no nível da unidade de negócios raiz as torna disponíveis para todas as unidades de negócios, enquanto as funções de unidade de negócios de nível filho só estão disponíveis em um único nível. Se você tiver uma função específica da unidade de negócios, ela não estará disponível ao mover um usuário para outra unidade de negócios. Caso contrário, você terá versões diferentes da mesma função em uma unidade de negócios diferente, dificultando a administração do sistema.
Qual a sua estratégia para atualizar os direitos de acesso ao implantar novas tabelas e funcionalidades? - Em um ambiente em alteração rápida com desenvolvimento contínuo, pode ser fácil esquecer de atualizar as funções ou somente fazer testes com o acesso do administrador do sistema e perder os direitos de acesso da atualização para incluir a nova funcionalidade. A estratégia do cliente deve incluir um processo de atualização de direitos de acesso e testes com cada combinação de funções da persona sempre que uma nova versão de configuração é revertida.
Motivos para essas informações
Os motivos pelos quais você deve solicitar as informações anteriores dos participantes são:
É raro que um padrão de segurança atenda a todas as necessidades e funções dos usuários. Você precisa compreender quantos padrões diferentes precisará implementar no projeto.
Os modelos de segurança complexos são criados com frequência para acomodar as necessidades de uma fração de usuários que não estão no modelo principal. Nesse caso, poderia haver uma oportunidade de desafio se esses usuários não pudessem acessar os dados desejados de outra forma ou em outro local, como relatórios.