Иерархическая безопасность для контроля доступа

Модель иерархической безопасности представляет собой расширений существующих моделей безопасности, основанных на подразделениях, ролях безопасности, общем доступе и рабочих группах. Его можно использовать со всеми другими моделями безопасности. Иерархическая безопасность обеспечивает более точный контроль доступа к записям для организации и помогает снизить затраты на обслуживание.

Например, в сложных сценариях можно начать с создания нескольких подразделений, а затем добавить иерархическую безопасность. Эта дополнительная безопасность обеспечивает более детальный контроль доступа к данным со значительно меньшими затратами на обслуживание, чем того требует большое количество подразделений.

Модели безопасности иерархии менеджеров и иерархии позиций

Для иерархий можно использовать две модели безопасности, иерархия руководителей и иерархия должностей. При использовании иерархии руководителей руководитель должен находиться в том же бизнес-единице, что и отчет, или в родительском бизнес-единице относительно бизнес-единицы отчета, чтобы иметь доступ к данным отчета. Иерархия должностей обеспечивает доступ к данным между подразделениями. Если вы финансовая организация, вам может быть удобнее пользоваться моделью иерархии руководителей, чтобы руководители не имели возможности получать доступ к данным за пределами своих подразделений. Однако, если вы входите в состав организации, которая занимается обслуживанием клиентов, и вам нужно, чтобы руководители имели доступ к обращениям, обрабатываемым в других подразделениях, вам лучше подойдет иерархия должностей.

Замечание

Тогда как модель иерархической безопасности предоставляет определенный уровень доступа к данным, дополнительный доступ можно обеспечить путем использования других механизмов безопасности, таких как роли безопасности.

Иерархия руководителей

Модель безопасности "иерархия руководителей" основана на цепочке управления или структуре непосредственного подчинения, где отношение между руководителем и подчиненным устанавливается с помощью поля Руководитель в таблице пользователя системы. С этой моделью безопасности руководители могут получать доступ к данным, к которым имеют доступ их подчиненные. Они могут выполнять работу от имени своих непосредственных подчиненных или осуществлять доступ к информации, которая требует утверждения.

Замечание

При использовании модели безопасности "иерархия руководителей" руководитель имеет доступ к записям, принадлежащим пользователю или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь. Когда запись делается общей пользователем, который находится вне цепи управления, пользователю, который является непосредственным подчиненным и имеет доступ только для чтения, руководитель непосредственного подчиненного имеет доступ только для чтения к общей записи.

Когда вы включаете параметр Владение записями в различных бизнес-единицах, у руководителей могут быть прямые подчиненные из разных бизнес-единиц. Вы можете использовать следующие настройки базы данных среды, чтобы снять ограничение бизнес-единицы.

Менеджеры должны находиться в том же или родительском бизнес-юните, что и их подчиненные

Значение по умолчанию = True

Вы можете установить для него значение false, и бизнес-подразделение менеджера не обязательно должно совпадать с бизнес-подразделением прямого подчинения.

В дополнение к модели безопасности "иерархия руководителей" руководитель должен иметь по крайней мере привилегию "Чтение" уровня пользователя для таблицы, чтобы видеть данные отчетов. Например, если руководитель не имеет доступа на чтение к таблице "Дело", он не может видеть дела, к которым имеют доступ его подчиненные.

Для непрямого подчиненного в той же управленческой цепочке у менеджера имеется режим доступа 'только для чтения' к данным этого непрямого подчиненного. В отношении непосредственно отчёта, менеджер имеет доступ на чтение, запись, добавление и присоединение к данным отчёта. В качестве иллюстрации модели безопасности "иерархия руководителей" рассмотрим следующую схему. Генеральный директор может читать или обновлять данные вице-президента по продажам и данные вице-президента по обслуживанию. Однако генеральный директор может только читать данные менеджера по продажам и менеджера по обслуживанию, а также данные специалистов отделов продаж и поддержки. Объем данных, доступных руководителю, можно дополнительно ограничить глубиной. Глубина используется, чтобы ограничить число уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных. Например, если глубина установлена равной 2, исполнительный директор может видеть данные вице-президента по продажам, вице-президента по обслуживанию, а также менеджеров по продажам и по обслуживанию. Однако данные специалистов отдела продаж или отдела поддержки исполнительный директор не видит.

Важно отметить, что если подчиненный имеет более высокий уровень доступа к таблице, чем менеджер, менеджер может не иметь возможности видеть все записи, к которым имеет доступ подчиненный. Это показано в следующем примере.

• В одном подразделении имеется 3 пользователя: пользователь 1, пользователь 2 и пользователь 3.

• Пользователь 2 — это подчиненный пользователя 1.

• Пользователь 1 и пользователь 3 имеют доступ на чтение к таблице "Аккаунт" на уровне пользователя. Этот уровень доступа предоставляет пользователям доступ к принадлежащим им записям, записям, к которым пользователю предоставлен общий доступ, а также записям, к которым общий доступ предоставлен рабочей группе, в которую входит пользователь.

• Пользователь 2 имеет права на чтение к таблице "Учетная запись". Этот доступ позволяет пользователю 2 просматривать все учетные записи для подразделения, включая все учетные записи, которыми владеют пользователь 1 и пользователь 3.

• Пользователь 1 как непосредственный руководитель пользователя 2 имеет доступ к организациям, которыми владеет или к которым имеет общий доступ пользователь 2, включая организации, к которым имеет общий доступ или которыми владеют другие рабочие группы пользователя 2. Однако пользователь 1 не имеет доступ к организациям пользователя 3 несмотря на то, что его прямой подчиненный может иметь доступ к организациям пользователя 3.

Иерархия штатных единиц

Иерархия должностей не основана на структуре непосредственного подчинения, как иерархия руководителей. Пользователь не обязательно должен быть фактическим руководителем другого пользователя для доступа к данным этого пользователя. Вы как администратор должны определить различные должности в организации и упорядочить их в виде иерархии должностей. Затем вам необходимо будет добавить пользователей в каждую конкретную должность или, как мы говорим, пометить пользователя определенной должностью. В пределах одной иерархии пользователь может быть помечен только одной должностью, однако одна должность может использоваться для нескольких пользователей. Пользователи на более высоких должностях в иерархии имеют доступ к данным пользователей на более низких должностях в прямом пути наследования. Непосредственные верхние должности имеют доступ на чтение, запись, добавление и добавление к данным нижних должностей в прямом пути наследования. Опосредованные более высокие должности имеют доступ только на чтение к данным нижних должностей в прямом пути наследования.

В качестве иллюстрации прямого пути наследования рассмотрим следующую схему. Должность "менеджер по продажам" имеет доступ к данным сотрудников отдела продаж, однако не имеет доступа к данным сотрудников отдела поддержки, которые находятся в другом пути наследования. То же самое справедливо для должности "менеджер по обслуживанию". Она не имеет доступа к данным о продажах, которые находятся в пути продаж. Как и в случае с иерархией руководителей объем данных, доступных более высоким должностям, можно ограничить глубиной. Глубина ограничивает число уровней, на которых более высокая должность имеет доступ только на чтение к данным более низких должностей в прямом пути наследования. Например, если глубина установлена равной 3, генеральный директор может видеть данные всех сотрудников начиная с вице-президентов по продажам и по обслуживанию и заканчивая сотрудниками отделов продаж и поддержки.

Замечание

При использовании модели безопасности "иерархия должностей" пользователь на более высокой должности имеет доступ к записям, принадлежащим пользователю на более низкой должности или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь.

В дополнение к модели безопасности иерархии должностей пользователи на более высоком уровне должны иметь по крайней мере право на чтение уровня пользователя в отношении таблицы, чтобы видеть записи, к которым имеют доступ пользователи на более низких должностях. Например, если пользователь на более высоком уровне не имеет доступа на чтение к таблице "Дела", этот пользователь не сможет видеть дела, к которым имеют доступ пользователи на более низких должностях.

Настройка иерархической безопасности

Чтобы настроить иерархическую безопасность, убедитесь, что у вас есть разрешение системного администратора для обновления параметра.

• Следуйте этим инструкциям: Просмотр профиля пользователя.
• У вас нет нужных разрешений? Обратитесь к администратору системы.

Иерархическая безопасность по умолчанию отключена. Чтобы включить иерархическую безопасность, выполните следующие шаги.

1. Войдите в центр администрирования Power Platform как администратор (администратор Dynamics 365 или администратор Microsoft Power Platform).

2. В области навигации выберите Управление.

3. На панели Управление выберите Среды, а затем выберите среду из списка.

4. Перейдите в Настройки>Пользователи + Разрешения>Иерархия безопасности.

5. В разделе Модель иерархии выберите Включить модель иерархии менеджеров или Включить модель иерархии должностей, в зависимости от ваших требований.

   Important

   Чтобы внести какие-либо изменения в разделе Иерархическая безопасность, необходимо иметь привилегию Изменить настройки иерархической безопасности.

   В области Управление таблицами иерархии для всех системных таблиц по умолчанию включена иерархическая безопасность, но вы можете исключить отдельные таблицы из иерархии. Чтобы исключить определенные таблицы из модели иерархии, снимите флажки для таблиц, которые вы хотите исключить, и сохраните изменения.

   

6. Установите параметр Глубина равным желаемому количеству уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных.

   Например, если глубина равна 2, руководитель может получить доступ только к своим собственным аккаунтам и аккаунтам отчетов на два уровня вглубь. В нашем примере, если вы входите в приложения для взаимодействия с клиентами в качестве вице-президента по продажам, не являющегося администратором, вы увидите только активные учетные записи пользователей, как показано:

   

   Замечание

   В то время как иерархическая безопасность дает вице-президенту по продажам доступ к записям в красном прямоугольнике, возможен также дополнительный доступ на основе роли безопасности, присвоенной вице-президенту по продажам.

Настройка иерархий руководителей и должностей

Создать иерархию руководителей легко, используя связь с руководителем в учетной записи системного пользователя. Поле поиска "Руководитель" (ParentsystemuserID) используется для задания руководителя пользователя. Если вы создали иерархию должностей, вы также можете пометить пользователя определенной должности в иерархии должностей. В следующем примере сотрудник отдела продаж является подчиненным менеджера по продажам в иерархии руководителей, а также имеет должность сотрудника отдела продаж в иерархии должностей:

Чтобы добавить пользователя в определенную должность в иерархии должностей, используйте поле поиска Должность в форме записи пользователя, как показано ниже.

Important

Чтобы добавить пользователя в должность или изменить должность пользователя, необходимо иметь привилегию Назначить должность для пользователя.

Чтобы изменить должность в форме записи пользователя, в панели навигации выберите Больше (…) и выберите другую должность.

Чтобы создать иерархию должностей:

1. Выберите среду и перейдите Настройки>Пользователи и разрешения>Должности.

   Для всех должностей укажите название должности, родительскую должность и описание. Добавьте пользователей в это должность с помощью поля поиска Пользователи на этой должности. На следующем рисунке приведен пример иерархии должностей с активными должностями.

   

   Пример включённых пользователей с соответствующими должностями представлен на следующем изображении.

   

Редактировать и обновлять несколько уровней записей для непосредственных подчиненных

По умолчанию менеджеры могут обновлять записи для своих непосредственных подчиненных, а также записи для лиц, которые подчиняются их непосредственным подчиненным. По сути, вы можете обновлять записи на трех уровнях глубины. Вы можете изменить настройки по умолчанию, выполнив следующие шаги.

1. Установите средство OrganizationSettingsEditor.
2. Измените параметр HierarchyLevelForHierarchyFeature .
3. Введите значение глубины прямого уровня. Например, введите 5.
4. Выберите Обновить.

Включение или исключение записей, принадлежащих непосредственному подчиненному со статусом отключенного пользователя

Менеджеры могут видеть записи своих подчиненных, имеющих отключенный статус, для сред, где иерархическая безопасность включена, начиная с 31 января 2024 г. В других средах записи непосредственных подчиненных с отключенным статусом не включаются в представление менеджера.

Чтобы включить записи непосредственно подчиненных, находящихся в отключенном состоянии:

1. Установите средство OrganizationSettingsEditor.
2. Обновите параметр AuthorizationEnableHSMForDisabledUsers на true.
3. Отключите моделирование иерархии.
4. Включите его снова.

Чтобы исключить записи о деактивированном статусе записей прямых подчиненных:

1. Установите средство OrganizationSettingsEditor.
2. Обновите параметр AuthorizationEnableHSMForDisabledUsers на false.
3. Отключите моделирование иерархии.
4. Включите его снова.

Замечание

• При отключении и повторном включении моделирования иерархии обновление может занять некоторое время, поскольку системе необходимо повторно вычислить доступ к записям менеджера.
• Если вы видите тайм-аут, уменьшите количество таблиц в списке Управление таблицами иерархии, чтобы включить только те таблицы, которые должен просматривать менеджер. Если тайм-аут сохраняется, отправьте заявку в службу поддержки, чтобы запросить помощь.
• Записи о неактивных непосредственных подчиненных включаются, если они доступны другому непосредственному подчиненному, который активен. Вы можете исключить эти записи, удалив общий ресурс.

Вопросы производительности

Для повышения быстродействия рекомендуется:

• Ограничить эффективную иерархическую безопасность 50 пользователями или менее в рамках руководителя или должности. Ваша иерархия может иметь более 50 пользователей под руководителем или должностью, однако вы можете использовать параметр Глубина для ограничения количества уровней доступа только на чтение и тем самым ограничить фактическое количество пользователей под руководителем или должностью 50 или менее пользователями.

• Используйте иерархические модели безопасности с другими существующими моделями безопасности для более сложных сценариев. Избегайте создания большого количества бизнес-подразделений. Вместо этого создайте меньше бизнес-подразделений и усильте иерархическую безопасность.

• Установите для параметра HierarchyLevelForHierarchyFeature минимальное значение глубины уровня прямого подчинения, как того требуют ваши бизнес-требования, чтобы менеджеры могли обновлять записи своих непосредственных подчиненных.

См. также

Безопасность в Microsoft Dataverse
Запрос и визуализация иерархических данных