Erişimi denetlemek için hiyerarşi güvenliği
Hiyerarşi güvenlik modeli iş birimleri, güvenlik rolleri, paylaşım ve takımlar kullanan varolan güvenlik modellerine bir genişletmedir. Varolan tüm güvenlik modelleri ile kullanılabilir. Hiyerarşi güvenliği, bir organizasyon için kayıtlara daha ayrıntılı bir erişim sunar ve bakım maliyetlerinin azaltılmasına yardımcı olur.
Örneğin, karmaşık senaryolarda, çeşitli iş birimlerinin oluşturulmasıyla başlayabilir ve hiyerarşi güvenliğini ekleyebilirsiniz. Bu eklenen güvenlik çok sayıda departmanın ihtiyaç duyduğu çok daha az bakım maliyeti bulunan verilere daha ayrıntılı erişim sağlar.
Yönetici hiyerarşisi ve pozisyon hiyerarşisi güvenlik modelleri
Hiyerarşiler için iki güvenlik modeli kullanılabilir, yönetici hiyerarşisi ve pozisyon hiyerarşisi. Yöneticisi hiyerarşi ile bir yöneticinin, raporun verilerine erişimi olması için raporla aynı departmanda olması veya raporun departmanının ana departmanında olması gerekir. Konum hiyerarşisi, departmanlar arasında veri erişimine olanak sağlar. Mali kuruluşsanız, yöneticilerin kendi departmanları dışındaki verilere erişimini engellemek için yönetici hiyerarşi modelini tercih edebilirsiniz. Ancak, bir müşteri hizmeti kuruluşunun bir parçasıysanız ve yöneticilerin farklı iş birimlerindeki servis taleplerine erişmesini istiyorsanız, pozisyon hiyerarşisi sizin için daha iyi olabilir.
Not
Hiyerarşi güvenlik modeli, verilere belirli bir düzeyde erişim sağlasa da, güvenlik rolleri gibi diğer güvenlik biçimleri kullanılarak ek erişim elde edilebilir.
Yönetici hiyerarşisi
Yönetici hiyerarşisi güvenlik modeli, yönetici ile bağlı çalışan ilişkisinin sistem kullanıcısı tablosundaki Yönetici alanının kullanılarak oluşturulduğu yönetim zinciri veya doğrudan bağlı çalışan yapısına dayalıdır. Bu güvenlik modeliyle, yöneticiler raporlarının erişim sahibi olduğu verilere erişebilir. Bağlı çalışanlarının adına çalışma yapabilir veya onay gerektiren bilgilere erişebilir.
Not
Yönetici hiyerarşisi güvenlik modeliyle, bir yönetici kullanıcı veya kullanıcının üyesi olduğu bir ekibin sahip olduğu kayıtlara erişebilir ve kullanıcı ya da kullanıcının üyesi olduğu ekiple doğrudan paylaşılan kayıtlara erişebilir. Bir kayıt, yönetim zincirinin dışında olan bir kullanıcıdan, bir doğrudan ast kullanıcısına salt okunur erişim ile paylaşılırsa, doğrudan ast'ın yöneticisi, paylaşılan kayda salt okunur erişime sahiptir.
Departmanlar genelinde kayıt sahipliği seçeneğini etkinleştirdiğinizde, yöneticiler farklı departmanlardan doğrudan raporları olabilir. Departman sınırlamasını kaldırmak için aşağıdaki ortam veritabanı ayarlarını kullanabilirsiniz.
ManagersMustBeInSameOrParentBusinessUnitAsReports
varsayılan = doğru
Bunu yanlış olarak ayarlayabilirsiniz ve bir yöneticinin departmanının doğrudan raporun departmanıyla aynı olması gerekmez.
Yönetici hiyerarşisi güvenlik modeline ek olarak, bir yöneticinin, raporların verilerini görmek için, bir tablo üzerinde en az kullanıcı düzeyinde Okuma ayrıcalığına sahip olması gerekir. Örneğin, bir yöneticinin Servis Talebi tablosuna Okuma erişimi yoksa, yönetici raporlarının erişim izni olduğu servis taleplerini göremez.
Yöneticinin aynı yönetim zincirindeki doğrudan olmayan bir rapor için, bir yöneticinin doğrudan olmayan raporun verilerine salt okunur erişimi vardır. Doğrudan rapor için yönetici, raporun verilerine Okuma, Yazma, Ekleme, Ekleme erişimine sahiptir. Yönetici hiyerarşisi güvenlik modelini göstermek için aşağıdaki diyagrama göz atalım. Yönetim Kurulu Başkanı, Satış Başkan Yardımcısı verilerini ve Servis Başkan Yardımcısı verilerini okuyabilir veya güncelleştirebilir. Ancak, Yönetim Kurulu Başkan;ı satış müdürü verileri ve hizmet yöneticisi verileri ile satış ve destek verilerini yalnızca okuyabilir. "Derinlik" ile, bir yönetici tarafından erişilebilir veri miktarını daha da sınırlandırabilirsiniz. Derinlik, bir yöneticinin, kaç seviye derinde, bağlı çalışanlarının verilerine yalnızca okuma erişimine sahip olacağını sınırlamak için kullanılır. Örneğin, derinlik 2'ye ayarlanırsa, Yönetim Kurulu Başkanı; Satış Başkan Yardımcısının, Servis Başkan Yardımcısının ve satış ile servis müdürlerinin verilerini görebilir. Ancak, Yönetim Kurulu Başkanı, satış verilerini veya destek verilerini görmez.
Bağlı bir çalışanın bir tabloya yöneticisinden daha derin güvenlik erişimine sahip olması durumunda, yöneticinin bağlı çalışanın erişimi olan tüm kayıtları göremeyebileceğini unutmayın. Aşağıdaki örnek bu noktayı gösterir.
Tek bir departmanın üç kullanıcısı vardır: Kullanıcı 1, Kullanıcı 2 ve Kullanıcı 3.
Kullanıcı 2, Kullanıcı 1'in bağlı çalışanıdır.
Kullanıcı 1 ve Kullanıcı 3, Firma tablosunda kullanıcı düzeyi okuma erişimine sahipler. Bu erişim düzeyi kullanıcılara kendi sahip oldukları kayıtlara, kullanıcıyla paylaşılan kayıtlara ve üyesi oldukları takımla paylaşılan kayıtlara erişim sağlar.
Kullanıcı 2, Firma tablosunda departman okuma erişimine sahiptir. Bu erişim, Kullanıcı 2'nin Kullanıcı 1 ve Kullanıcı 3'e ait firmalar dahil tüm departman firmalarını görüntülemesine olanak sağlar.
Kullanıcı 2'nin doğrudan yöneticisi olan Kullanıcı 1, diğer Kullanıcı 2 takımlarıyla paylaşılan veya bunların sahip olduğu firmalar da dahil olmak üzere, Kullanıcı 2'nin sahibi olduğu veya onunla paylaşılan firmalara erişebilir. Bununla birlikte, bağlı çalışanlarının Kullanıcı 3 hesaplarına erişimi olabilmesine karşın, Kullanıcı 1'in Kullanıcı 3'ün hesaplarına erişimi yoktur.
Pozisyon hiyerarşisi
Pozisyon hiyerarşisi, yöneticisi hiyerarşi gibi doğrudan raporlama yapısına dayalı değildir. Bir kullanıcının, başka bir kullanıcının verilerine erişmek için, onun gerçek yöneticisi olması gerekmez. Yönetici olarak, organizasyonda çeşitli iş pozisyonlarını tanımlar ve pozisyon hiyerarşisi içinde düzenlersiniz. Daha sonra, belirli bir konuma kullanıcılar ekler veya dediğimiz gibi, bir kullanıcıyı belirli bir pozisyonla "etiketlersiniz". Bir kullanıcı, belirli bir hiyerarşi içinde yalnızca bir pozisyonla etiketlenebilir, ancak bir pozisyon birden çok kullanıcı için kullanılabilir. Hiyerarşide daha yüksek pozisyonlardaki kullanıcıların, doğrudan üst yolda daha düşük pozisyonlardaki kullanıcıların verilerine erişimi vardır. Doğrudan daha yüksek pozisyonların, doğrudan üst öğe yolundaki daha düşük pozisyonların verilerine Okuma, Yazma, Ekleme, Sonuna Ekle erişimi vardır. Doğrudan olmayan daha yüksek pozisyonların, doğrudan üst öğe yolundaki daha düşük pozisyonların verilerine yalnızca okuma erişimi vardır.
Doğrudan üst öğe yolu kavramını göstermek için aşağıdaki diyagrama göz atalım. Satış Müdürü pozisyonu, satış verilerine erişebilir, ancak farklı üst öğe yolunda olan destek verilerine erişimi yoktur. Servis müdürü pozisyonu için aynısı geçerlidir. Satış yolunda olan satış verilerine erişimi yoktur. Yönetici hiyerarşisinde olduğu gibi, "derinlik" ile, daha yüksek konumların erişilebileceği veri miktarını sınırlayabilirsiniz. Derinlik, doğrudan üst öğe yolundaki alt pozisyonların verilerine, daha yüksek bir konumun kaç seviye derinlikte salt okunur erişime sahip olduğunu sınırlar. Örneğin, derinlik 3'ayarlı ise, CEO pozisyonu, Satış Başkan Yardımcısı ve Servis Başkan Yardımcısı pozisyonlarından satış ve destek pozisyonlarına kadar verileri görebilir.
Not
Pozisyon hiyerarşisi güvenlik modeliyle, daha yüksek bir pozisyondaki bir kullanıcı, daha düşük bir pozisyondaki bir kullanıcı veya kullanıcının üyesi olduğu bir ekibin sahip olduğu kayıtlara erişebilir ve kullanıcı ya da kullanıcının üyesi olduğu ekiple doğrudan paylaşılan kayıtlara erişebilir.
Konum hiyerarşisi güvenlik modeline ek olarak, daha yüksek düzeydeki kullanıcıların alt pozisyonlardaki kullanıcıların erişim hakkı olan kayıtları görmek için tabloda en az kullanıcı düzeyinde okuma ayrıcalığına sahip olması gerekir. Örneğin, daha yüksek düzeydeki bir kullanıcının Servis Talebi tablosuna okuma erişimi yoksa, bu kullanıcı daha alt pozisyonlardaki kullanıcıların erişime sahip olduğu servis taleplerini göremez.
Hiyerarşi güvenliği ayarlama
Hiyerarşi güvenliğini ayarlamak için, ayarı güncelleştirme Sistem Yönetici iznine sahip olduğunuzdan emin olun.
- Kullanıcı profilinizi görüntüleme konusundaki adımları izleyin.
- Doğru izinlere sahip değil misiniz? Sistem yöneticinize başvurun.
Hiyerarşi güvenliği, varsayılan olarak devre dışıdır. Hiyerarşi güvenliğini etkinleştirmek için aşağıdaki adımları tamamlayın.
Bir ortam seçin ve Ayarlar>Kullanıcılar + İzinler>Hiyerarşi güvenliği'ne gidin.
Hiyerarşi Modeli altında, gereksinimlerinize bağlı olarak Yönetici Hiyerarşi Modelini Etkinleştir veya Konum Hiyerarşi Modelini Etkinleştir seçeneğini belirleyin.
Önemli
Hiyerarşi Güvenliği'nde bir değişiklik yapmak için, Hiyerarşi Güvenliği Ayarlarını Değiştir ayrıcalığına sahip olmanız gerekir.
Hiyerarşi Tablosu Yönetimi alanında, tüm sistem tabloları hiyerarşi güvenliği için varsayılan olarak etkinleştirilmiştir, ancak seçici tabloları hiyerarşiden hariç tutabilirsiniz. Hiyerarşi modelinden belirli tabloları hariç tutmak için hariç tutmak istediğiniz tablolar için onay kutularını temizleyin ve değişikliklerinizi kaydedin.
Bir yöneticinin, kaç seviye derinlikte, çalışanlarının verilerine yalnızca okuma erişimine sahip olacağını sınırlamak için, Derinlik'i istediğiniz bir değere ayarlayın.
Örneğin derinlik 2'ye eşitse bir yönetici yalnızca kendi hesaplarına ve iki düzey derindeki çalışanların hesaplarına erişebilir. Örneğimizde, müşteri etkileşimi uygulamalarında yönetici olmayan Satış başkan yardımcısı olarak oturum açarsanız, kullanıcıların etkin firmalarını yalnızca gösterildiği gibi görürsünüz:
Not
Hiyerarşi güvenliği, Satış Başkan Yardımcısı'na, kırmızı dikdörtgen içindeki kayıtlara erişim verse de, Satış Başkan Yardımcısının sahip olduğu güvenlik rolüne göre ek erişim bulunabilir.
Hiyerarşi Tablo Yönetimi bölümünde, tüm sistem tabloları varsayılan olarak hiyerarşi güvenliği özelliklidir. Hiyerarşi modelinden belirli bir tabloyu çıkarmak için, tablo adının yanındaki onay işaretini kaldırın ve değişikliklerinizi kaydedin.
Önemli
- Bu, bir önizleme özelliğidir.
- Önizleme özellikleri, üretimde kullanıma yönelik değildir ve sınırlı işlevselliğe sahip olabilir. Bu özellikler, ek kullanım koşullarına tabidir ve müşterilerin önceden erişmesi ve geri bildirim sağlaması amacıyla resmi sürümden önce kullanıma sunulur.
Yöneticisi ve pozisyon hiyerarşilerini ayarlama
Yönetici hiyerarşisi, sistem kullanıcı kaydında yönetici ilişkisi kullanılarak kolaylıkla oluşturulur. Kullanıcının yöneticisini belirtmek için, Yönetici (ParentsystemuserID) arama alanı kullanılır. Pozisyon hiyerarşisini zaten oluşturduysanız, kullanıcıyı pozisyon hiyerarşisinde belirli bir pozisyonla da etiketleyebilirsiniz. Aşağıdaki örnekte, satış elemanı, yönetici hiyerarşisinde satış müdürüne bağlıdır ve pozisyon hiyerarşisinde satış pozisyonuna da sahiptir:
Bir kullanıcıyı, pozisyon hiyerarşisinde belirli bir pozisyona eklemek için, aşağıda gösterildiği gibi, kullanıcı kaydının formunda, Pozisyon adlı arama konumunu kullanın.
Önemli
Bir kullanıcıyı bir pozisyona eklemek veya kullanıcının pozisyonunu değiştirmek için, Kullanıcı için pozisyon atama ayrıcalığına sahip olmanız gerekir.
Kullanıcı kaydının formundaki konumu değiştirmek için gezinti çubuğunda Diğer'i (...) ve farklı bir konum seçin.
Pozisyon hiyerarşisi oluşturmak için:
Bir ortam seçin ve Ayarlar>Kullanıcılar + İzinler>Pozisyonlar'a gidin.
Her pozisyon için, pozisyonun adını, üstünü ve açıklamayı sağlayın. Bu pozisyondaki kullanıcılar adlı arama alanını kullanarak, bu pozisyona kullanıcılar ekleyin. Aşağıdaki görüntü, etkin pozisyonları olan bir pozisyon hiyerarşisi örneğidir.
Etkin kullanıcılar ve ilgili pozisyonlarının örneği aşağıdaki görüntüde gösterilmiştir.
Devre dışı kullanıcı durumuna sahip bağlı çalışanın sahip olduğu kayıtları dahil etme veya hariç tutma
Yöneticiler, 31 Ocak 2024'den sonra hiyerarşi güvenliğinin etkinleştirildiği ortamlar için, devre dışı durumdaki bağlı çalışanların kayıtlarını görebilir. Diğer ortamlarda, devre dışı durumdaki bağlı çalışanın kayıtları yöneticinin görünümünde yer almaz.
Devre dışı durumdaki bağlı çalışanın kayıtlarını eklemek için:
- OrganizationSettingsEditor aracını yükleyin.
- AuthorizationEnableHSMForDisabledUsers ayarını doğru olarak güncelleştirin.
- Hiyerarşi modellemeyi devre dışı bırakın.
- Yeniden etkinleştirin.
Devre dışı durumdaki bağlı çalışanın kayıtlarını dışarıda bırakmak için:
- OrganizationSettingsEditor aracını yükleyin.
- AuthorizationEnableHSMForDisabledUsers ayarını yanlış olarak güncelleştirin.
- Hiyerarşi modellemeyi devre dışı bırakın.
- Yeniden etkinleştirin.
Not
- Hiyerarşi modellemesini devre dışı bırakıp yeniden etkinleştirdiğinizde, sistemin yönetici kaydı erişimini yeniden hesaplaması gerektiğinden, güncelleştirme zaman alabilir.
- Zaman aşımı görürseniz, yalnızca yönetici tarafından görüntülenmesi gereken tabloları dahil etmek için Hiyerarşi Tablosu Yönetimi listesinin altından tablo sayısını azaltın. Zaman aşımı devam ederse, yardım istemek için bir destek bileti gönderin.
- Devre dışı durumdaki bağlı çalışanın kayıtları, bu kayıtlar etkin olan başka bir bağlı çalışanla paylaşılıyorsa dahil edilir. Paylaşımı kaldırarak bu kayıtları dışarıda tutabilirsiniz.
Performansla ilgili önemli noktalar
Performansı artırmak için, aşağıdakiler önerilir:
Etkili hiyerarşi güvenliğini yönetici veya pozisyon altında 50 kullanıcı veya daha az tutun. Hiyerarşiniz bir yönetici veya pozisyon altında 50'den fazla kullanıcı içerebilir, ancak salt okunur erişim için düzey sayısını azaltmak ve bu sınırla, bir yönetici veya konum altındaki kullanıcı sayısını 50 veya daha az olarak sınırlamak için Derinlik ayarını kullanabilirsiniz.
Daha karmaşık senaryolar için, hiyerarşi güvenlik modellerini, diğer varolan güvenlik modelleri ile birlikte kullanın. Çok sayıda iş birimleri oluşturmaktan kaçının, bunun yerine, daha az iş birimleri oluşturun ve hiyerarşi güvenliği ekleyin.
Ayrıca bkz.
Güvenlik Microsoft Dataverse
Hiyerarşik verileri sorgulama ve görselleştirme