Partajați prin

Securitatea ierarhică pentru controlul accesului

Modelul de securitate ierarhică este o extensie a modelelor de securitate existente care utilizează unități de business, roluri de securitate, partajare și echipe. Poate fi utilizat cu toate celelalte modele de securitate existente. Securitatea ierarhică oferă un acces mai granular la înregistrări pentru o organizație și ajută la reducerea costurilor de întreținere.

De exemplu, în scenariile complexe puteți începe cu crearea mai multor unități de business și apoi puteți adăuga securitatea ierarhică. Această securitate suplimentară oferă un acces mai granular la date, cu costuri de întreținere mult mai mici, costuri pe care le-ar putea necesita un număr mare de unități de afaceri.

Modele de securitate pentru ierarhia managerială și ierarhia pozițiilor

Două modele de securitate pot fi utilizate pentru ierarhii, ierarhia managerilor și ierarhia pozițiilor . În ierarhia managerilor, un manager trebuie să se afle în aceeași unitate de business ca și raportul sau în unitatea de business părinte a unității de business a raportului pentru a avea acces la datele raportului. Ierarhia pozițiilor permite accesul la datele din toate unitățile de business. Dacă sunteți o organizație financiară, ați putea prefera modelul ierarhic al managerilor, pentru a împiedica accesarea datelor de către manageri în afara unităților lor de afaceri. Totuși, dacă faceți parte dintr-o organizație de servicii pentru clienți și doriți ca managerii să acceseze cazurile de service gestionate în diferite unități de business, ierarhia pozițiilor ar putea funcționa mai bine pentru dvs.

Notă

În timp ce modelul de securitate ierarhică oferă un anumit nivel de acces la date, accesul suplimentar poate fi obținut prin alte forme de securitate, ca de exemplu rolurile de securitate.

Ierarhia managerilor

Modelul de securitate al ierarhiei managerilor se bazează pe lanțul de management sau pe structura de raportare directă, unde relația dintre manager și raportor este stabilită prin utilizarea câmpului *Manager* din tabela de utilizatori ai sistemului. Cu acest model de securitate, managerii pot accesa datele la care au acces rapoartele lor. Aceștia pot lucra în numele subordonaților lor direcți sau pot accesa informații care necesită aprobare.

Notă

Cu modelul de securitate ierarhic al managerilor, un manager are acces la înregistrările deținute de utilizator sau de echipa din care face parte și la înregistrările care sunt partajate direct cu utilizatorul sau echipa din care face parte. Când o înregistrare este partajată de un utilizator aflat în afara lanțului de gestionare cu un utilizator subordonat direct cu acces doar pentru citire, managerul subordonatului direct are doar acces doar pentru citire la înregistrarea partajată.

Când ați activat opțiunea Înregistrați proprietatea în mai multe unități de afaceri, managerii pot avea subordonați direcți din diferite unități de afaceri. Puteți folosi următoarele setări ale bazei de date a mediului pentru a elimina restricția unității de business.

ManageriiTrebuieSăFieÎnAceeașiSauUnitateDeBusinessPărinteCaRapoarte

Implicit = adevărat

Îl puteți seta la fals, iar unitatea de afaceri a unui manager nu trebuie să fie aceeași cu unitatea de afaceri a subordonatului direct.

Pe lângă modelul de securitate al ierarhiei managerilor, un manager trebuie să aibă cel puțin privilegiul de citire la nivel de utilizator asupra unui tabel pentru a vedea datele rapoartelor. De exemplu, dacă un manager nu are acces de citire la tabelul Caz, managerul nu poate vedea cazurile la care au acces rapoartele sale.

Pentru un subordonat nedirect din același lanț de management al managerului, managerul are acces doar pentru citire la datele subordonatului nedirect. Pentru un raport direct, managerul are acces de Citire, Scriere, Adăugare, Adăugare la la datele raportului. Pentru a ilustra modelul de securitate al ierarhiei managerilor, să aruncăm o privire la următoarea diagramă. Directorul general poate citi sau actualiza datele despre VP de Vânzări și datele despre VP de Serviciu. Totuși, CEO-ul poate citi doar datele managerului de vânzări și datele managerului de servicii, precum și datele de vânzări și asistență. Puteți limita și mai mult cantitatea de date accesibile de către un manager cu adâncime. Adâncimea este utilizată pentru a limita câte niveluri de adâncime are un manager acces doar pentru citire la datele din rapoartele sale. De exemplu, dacă adâncimea este setată la 2, CEO-ul poate vedea datele vicepreședintelui de vânzări, vicepreședintelui de servicii și managerilor de vânzări și servicii. Totuși, directorul general nu vede datele de vânzări sau datele de asistență.

Captură de ecran care prezintă ierarhia managerilor. Această ierarhie include CEO-ul, vicepreședintele de vânzări, vicepreședintele de servicii, managerii de vânzări, managerii de servicii, departamentul de vânzări și cel de asistență.

Este important de reținut că, dacă un subordonat direct are acces de securitate mai avansat la un tabel decât managerul său, este posibil ca managerul să nu poată vedea toate înregistrările la care are acces subordonatul direct. Următorul exemplu ilustrează acest punct.

  • O singură unitate de afaceri are trei utilizatori: Utilizatorul 1, Utilizatorul 2 și Utilizatorul 3.

  • Utilizatorul 2 este un subordonat direct al Utilizatorului 1.

  • Utilizatorul 1 și utilizatorul 3 au acces de citire la nivel de utilizator asupra tabelului Account. Acest nivel de acces oferă utilizatorilor acces la înregistrările pe care le dețin, înregistrările partajate cu utilizatorul și înregistrările partajate cu echipa din care face parte utilizatorul.

  • Utilizatorul 2 are acces de citire la unitatea de business asupra tabelului Account. Acest acces permite Utilizatorului 2 să vizualizeze toate conturile unității de afaceri, inclusiv toate conturile deținute de Utilizatorul 1 și Utilizatorul 3.

  • Utilizatorul 1, în calitate de manager direct al Utilizatorului 2, are acces la conturile deținute de sau partajate cu Utilizatorul 2, inclusiv conturile partajate cu sau deținute de alte echipe ale Utilizatorului 2. Totuși, Utilizatorul 1 nu are acces la conturile Utilizatorului 3, chiar dacă subordonatul său direct ar putea avea acces la conturile Utilizatorului 3.

Ierarhia de poziții

Ierarhia pozițiilor nu se bazează pe structura de raportare directă, cum ar fi ierarhia managerilor. Un utilizator nu trebuie să fie managerul unui alt utilizator pentru a accesa datele acestuia. Ca administrator, definești diverse poziții de muncă în cadrul organizației și le aranjezi în ierarhia pozițiilor. Apoi, adăugați utilizatori la orice poziție dată sau, cum spunem și noi, etichetați un utilizator cu o anumită poziție. Un utilizator poate fi etichetat cu o singură poziție dintr-o anumită ierarhie, dar o poziție poate fi folosită pentru mai mulți utilizatori. Utilizatorii cu poziții mai înalte în ierarhie au acces la datele utilizatorilor cu poziții inferioare, pe calea predecesorilor direcți. Pozițiile superioare directe au acces Citire, Scriere, Adăugare, Adăugare la la datele pozițiilor inferioare de pe calea predecesorilor direcți. Pozițiile superioare nedirecte au acces doar pentru citire la datele pozițiilor inferioare din calea strămoșului direct.

Pentru a ilustra conceptul de cale directă spre strămoș, să ne uităm la următoarea diagramă. Poziția de manager de vânzări are acces la datele de vânzări, însă nu are acces la datele de asistență, care se află pe o cale ancestrală diferită. Același lucru este valabil și pentru postul de manager de servicii. Nu are acces la datele de vânzări, care se află în calea de vânzare. Ca și în ierarhia managerilor, puteți limita cantitatea de date accesibile de către pozițiile superioare cu adâncime. Adâncimea limitează numărul de niveluri de adâncime la care o poziție superioară are acces doar pentru citire la datele pozițiilor inferioare din calea strămoșului direct. De exemplu, dacă adâncimea este setată la 3, directorul general poate vedea datele de la pozițiile de vicepreședinte de vânzări și vicepreședinte de servicii, până la pozițiile de vânzări și asistență.

Captură de ecran care prezintă ierarhia pozițiilor. Această ierarhie include CEO-ul, vicepreședintele de vânzări, vicepreședintele de servicii, managerii de vânzări, managerii de servicii, departamentul de vânzări și cel de asistență.

Notă

Cu ajutorul securității ierarhiei de poziții, un utilizator aflat într-o poziție superioară are acces la înregistrările deținute de un utilizator aflat într-o poziție inferioară sau de echipa din care face parte și la înregistrările care sunt partajate direct cu utilizatorul sau echipa din care face parte.

Pe lângă modelul de securitate bazat pe ierarhia pozițiilor, utilizatorii de la un nivel superior trebuie să aibă cel puțin privilegiul de citire la nivel de utilizator asupra unui tabel pentru a vedea înregistrările la care au acces utilizatorii de la pozițiile inferioare. De exemplu, dacă un utilizator aflat la un nivel superior nu are acces de citire la tabelul Caz, acel utilizator nu va putea vedea cazurile la care au acces utilizatorii aflați la poziții inferioare.

Configurarea securității ierarhice

Pentru a configura securitatea ierarhică, asigurați-vă că aveți permisiunea de administrator de sistem pentru a actualiza setarea.

Ierarhia de securitate este dezactivată în mod implicit. Pentru a activa securitatea ierarhică, parcurgeți pașii următori.

  1. Conectați-vă la Power Platform centrul de administrare ca administrator (administrator Dynamics 365 sau Microsoft Power Platform administrator).

  2. În panoul de navigare, selectați Gestionare.

  3. În panoul Gestionare , selectați Medii, apoi selectați un mediu din listă.

  4. Mergi la Setări> Utilizatori + Permisiuni> Securitatea ierarhică.

  5. Sub Model ierarhic, selectați fie Activați modelul ierarhic al managerilor sau Activează modelul ierarhic de poziții în funcție de cerințele dumneavoastră.

    Important

    Pentru a efectua orice modificări în Securitate ierarhică, trebuie să aveți privilegiul Modificare setări de securitate ierarhică.

    În Gestionarea tabelelor ierarhice toate tabelele de sistem sunt activate în mod implicit pentru securitatea ierarhiei, dar puteți exclude tabele selective din ierarhie. Pentru a exclude anumite tabele din modelul ierarhic, debifați casetele de selectare pentru tabelele pe care doriți să le excludeți și salvați modificările.

    Captură de ecran a paginii Securitate ierarhică din Setări pentru medii.

  6. Setați Adâncimea la o valoare dorită pentru a limita câte niveluri de adâncime are un manager acces doar pentru citire la datele din rapoartele sale.

    De exemplu, dacă adâncimea este egală cu 2, un manager poate accesa doar propriile conturi și conturile rapoartelor cu două niveluri de adâncime. În exemplul nostru, dacă vă conectați la aplicațiile Customer Engagement ca vicepreședinte de vânzări fără statut de administrator, veți vedea doar conturile active ale utilizatorilor, așa cum se arată:

    Captură de ecran care arată accesul de citire pentru vicepreședintele de vânzări și alte poziții.

    Notă

    În timp ce securitatea ierarhică acordă accesul VP de Vânzări la înregistrările din dreptunghiul roșu, accesul suplimentar poate fi oferit pe baza rolului de securitate al VP de Vânzări.

Configurați ierarhiile managerilor și ale pozițiilor

Ierarhia managerilor se creează ușor utilizând relația de manager din înregistrarea utilizatorului de sistem. Utilizați câmpul de căutare a managerului (IDutilizatorsistemprincipal) pentru a specifica managerul utilizatorului. Dacă ați creat ierarhia de poziții, puteți eticheta utilizatorul și cu o anumită poziție în ierarhia de poziții. În exemplul următor, agentul de vânzări raportează managerului de vânzări din ierarhia managerilor și are, de asemenea, poziția de vânzări în ierarhia pozițiilor:

Captură de ecran care prezintă înregistrarea unui utilizator de vânzări.

Pentru a adăuga un utilizator la o anumită poziție în ierarhia de poziții, utilizați câmpul de căutare numit Poziție din formularul înregistrării utilizatorului.

Important

Pentru a adăuga un utilizator într-o poziție sau a schimba poziția utilizatorului, trebuie să aveți privilegiul Atribuire poziție pentru un utilizator.

Captură de ecran care arată cum se adaugă un utilizator la o poziție în Securitatea ierarhică

Pentru a schimba poziția în formularul înregistrării utilizatorului, în bara de navigare, alegeți Mai multe (…) și alegeți o altă poziție.

Modificarea poziției în securitatea ierarhică

Pentru a crea o ierarhie de poziții:

  1. Selectați un mediu și mergeți la Setări>Utilizatori + Permisiuni>Poziții.

    Pentru fiecare poziție, furnizați numele poziției, creatorul poziției și descrierea. Adăugați utilizatori în această poziție utilizând câmpul de căutare numit Utilizatori în această poziție. Următoarea imagine este un exemplu de ierarhie a pozițiilor cu pozițiile active.

    Poziții active în securitatea ierarhiei

    Exemplul utilizatorilor activați cu pozițiile corespunzătoare este prezentat în imaginea următoare.

    Captură de ecran care prezintă utilizatorii activați cu poziții atribuite.

Editați și actualizați mai multe niveluri de înregistrări pentru subordonații direcți

În mod implicit, managerii pot actualiza înregistrările pentru subordonații lor direcți și înregistrările pentru persoanele care raportează subordonaților lor direcți. În esență, puteți actualiza înregistrări care au trei niveluri de adâncime. Puteți modifica setarea implicită parcurgând următorii pași.

  1. Instalați instrumentul OrganizationSettingsEditor.
  2. Editați setarea HierarchyLevelForHierarchyFeature .
  3. Introduceți numărul adâncimii de nivelare directă. De exemplu, introduceți 5.
  4. Selectați Actualizare.

Includeți sau excludeți înregistrări deținute de raportul direct cu statusul de utilizator cu dezactivare

Managerii pot vedea înregistrările subordonaților lor direcți cu starea dezactivată pentru mediile în care securitatea ierarhică este activată după 31 ianuarie 2024. Pentru alte medii, înregistrările subordonaților direcți cu starea dezactivată nu sunt incluse în vizualizarea managerului.

Pentru a include înregistrările raportorului direct cu statut de invaliditate:

  1. Instalați instrumentul OrganizationSettingsEditor.
  2. Actualizați setarea AuthorizationEnableHSMForDisabledUsers la true.
  3. Dezactivați Modelarea ierarhică.
  4. Reactivați-l din nou.

Pentru a exclude înregistrările raportorului direct cu statut de invaliditate:

  1. Instalați instrumentul OrganizationSettingsEditor.
  2. Actualizați setarea AuthorizationEnableHSMForDisabledUsers la false.
  3. Dezactivați Modelarea ierarhică.
  4. Reactivați-l din nou.

Notă

  • Când dezactivați și reactivați modelarea ierarhică, actualizarea poate dura ceva timp, deoarece sistemul trebuie să recalculeze accesul la înregistrările managerului.
  • Dacă observați o expirare, reduceți numărul de tabele din lista *Gestionare tabele ierarhice* pentru a include doar tabelele care trebuie vizualizate de manager. Dacă expirarea persistă, trimiteți un tichet de asistență pentru a solicita asistență.
  • Înregistrările subordonaților direcți cu starea dezactivată sunt incluse dacă aceste înregistrări sunt partajate cu un alt subordonat direct care este activ. Puteți exclude aceste înregistrări eliminând partajarea.

Considerente de performanță

Pentru a stimula performanța, vă recomandăm:

  • Mențineți securitatea ierarhică efectivă la maximum 50 de utilizatori sub un manager sau o poziție. Ierarhia dvs. poate avea mai mult de 50 de utilizatori sub un manager sau o poziție, dar puteți utiliza setarea *Depth* pentru a reduce numărul de niveluri pentru acces doar citire și, prin aceasta, limita numărul efectiv de utilizatori sub un manager sau o poziție la maximum 50 de utilizatori.

  • Folosește modele de securitate ierarhice împreună cu alte modele de securitate existente pentru scenarii mai complexe. Evitați crearea unui număr mare de unități de afaceri. În schimb, creați mai puține unități de afaceri și adăugați securitate ierarhică.

  • Păstrați numărul HierarchyLevelForHierarchyFeature la cel mai mic număr de adâncime directă, așa cum este necesar în funcție de cerințele afacerii dvs., pentru a permite managerilor să actualizeze înregistrările subordonaților lor direcți.

Consultați și

Securitate în Microsoft Dataverse
Interogarea și vizualizarea datelor ierarhice

  • Last updated on