Khái niệm mô hình bảo mật
Bạn sử dụng mô hình bảo mật trong Dynamics 365 Customer Engagement (on-premises) để bảo vệ sự toàn vẹn và bảo mật dữ liệu trong tổ chức Customer Engagement (on-premises). Mô hình bảo mật cũng thúc đẩy truy cập dữ liệu và hợp tác hiệu quả. Mục tiêu của mô hình như sau:
Cung cấp mô hình cấp phép đa tầng cho người dùng.
Cấp cho người dùng quyền truy cập - chỉ cho phép các cấp độ thông tin cần thiết để làm công việc của họ.
Phân loại người dùng và các nhóm theo vai trò bảo mật và hạn chế truy cập dựa trên các vai trò này.
Hỗ trợ chia sẻ dữ liệu để người dùng có thể được cấp quyền truy cập vào các đối tượng họ không sở hữu đối với một nỗ lực hợp tác một thời gian.
Ngăn chặn truy cập đến các đối tượng mà người dùng không sở hữu hoặc chia sẻ.
Bạn kết hợp đơn vị kinh doanh, bảo mật dựa trên vai trò, bảo mật dựa trên bản ghi và bảo mật dựa trên lĩnh vực để xác định quyền truy cập chung vào thông tin người dùng có trong tổ chức Customer Engagement (on-premises) của bạn.
Các đơn vị kinh doanh
Một đơn vị kinh doanh về cơ bản là một nhóm người dùng. Các tổ chức lớn với cơ sở nhiều khách hàng thường dựa trên nhiều đơn vị kinh doanh để điều khiển truy nhập dữ liệu và xác định vai trò bảo mật để người dùng có thể truy cập các hồ sơ chỉ trong đơn vị kinh doanh của riêng họ. Thông tin thêm: Tạo đơn vị kinh doanh
Bảo mật dựa trên vai trò
Bạn có thể sử dụng tính năng bảo mật dựa trên vai trò để nhóm các nhóm đặc quyền lại với nhau thành các vai trò mô tả các nhiệm vụ mà một người dùng hoặc nhóm có thể thực hiện. Customer Engagement (on-premises) bao gồm một bộ các vai trò bảo mật được xác định trước, mỗi vai trò trong số đó là một tập hợp các đặc quyền được tổng hợp để thực hiện quản lý bảo mật dễ dàng hơn. Phần lớn các đặc quyền xác định khả năng để tạo, đọc, viết, xóa và chia sẻ hồ sơ của một loại thực thể cụ thể. Mỗi đặc quyền cũng xác định cách các đặc quyền áp dụng rộng rãi: ở cấp độ người dùng, cấp độ đơn vị kinh doanh, Hệ thống phân cấp đơn vị kinh doanh toàn bộ hoặc qua toàn bộ tổ chức.
Ví dụ, nếu bạn đăng nhập như là người dùng được gán vai trò nhân viên bán hàng, bạn có quyền đọc, viết và chia sẻ tài khoản cho toàn bộ tổ chức, nhưng bạn chỉ có thể xóa hồ sơ tài khoản bạn sở hữu. Ngoài ra, bạn có không có đặc quyền thực hiện tác vụ quản trị hệ thống chẳng hạn như cài đặt bản cập nhật sản phẩm, hoặc thêm người dùng vào hệ thống.
Một người dùng đã được giao vai trò Phó giám đốc bán hàng có thể thực hiện một tập hợp nhiệm vụ lớn hơn (và có nhiều đặc quyền hơn) liên quan đến xem và sửa đổi dữ liệu và tài nguyên hơn một người dùng có thể được chỉ định vai trò của nhân viên bán hàng. Người dùng được gán vai trò Phó giám đốc bán hàng có thể, ví dụ, đọc và chỉ định bất kỳ tài khoản nào cho bất cứ ai trong hệ thống, trong khi một người dùng được gán vai trò nhân viên bán hàng không thể thực hiện như vậy.
Có hai vai trò có nhiều đặc quyền: quản trị viên hệ thống và người tùy chỉnh hệ thống. Để giảm thiểu cấu hình sai, phải giới hạn việc sử dụng hai vai trò này ở một vài người trong tổ chức chịu trách nhiệm về quản lý và tùy chỉnh Customer Engagement (on-premises). Tổ chức cũng có thể tùy chỉnh vai trò hiện tại và tạo ra vai trò riêng của mình để đáp ứng nhu cầu của họ. Thông tin thêm: Vai trò bảo mật
Cấp phép và quyền truy cập dựa trên người dùng
Theo mặc định, khi bạn tạo người dùng, người dùng sẽ có quyền đọc và ghi vào bất kỳ dữ liệu nào họ có quyền. Ngoài ra, theo mặc định, giấy phép quyền truy cập ứng dụng người dùng (CAL) được đặt thành Professional. Bạn có thể thay đổi một trong các cài đặt để hạn chế hơn nữa quyền truy cập tín năng và dữ liệu.
Chế độ truy cập. Cài đặt này xác định cấp độ quyền truy cập cho mỗi người dùng.
Quyền Đọc-ghi Theo mặc định, người dùng có quyền Đọc-Ghi mà cho phép họ truy cập vào dữ liệu họ có quyền thích hợp được đặt theo vai trò bảo mật.
Quyền truy cập quản trị. Cho phép truy cập vào các vùng người dùng có quyền thích hợp được đặt bởi vai trò bảo mật nhưng không cho phép người dùng xem hoặc truy cập dữ liệu kinh doanh đặc biệt là dữ liệu trong khu vực Sales, Service và Marketing, chẳng hạn như tài khoản, liên hệ, khách hàng tiềm năng, chiến dịch và trường hợp. Ví dụ: có thể sử dụng quyền truy cập quản trị để tạo quản trị viên Customer Engagement (on-premises) người có thể có quyền truy cập để thực hiện hoàn chỉnh nhiều nhiệm vụ quản trị, chẳng hạn như tạo đơn vị kinh doanh, tạo người dùng, đặt phát hiện trùng lặp, nhưng không thể xem hoặc truy cập bất kỳ dữ liệu kinh doanh nào. Thông báo rằng người dùng được chỉ định chế độ truy cập này không được sử dụng CAL.
Quyền đọc. Cho phép truy cập vào các khu vực mà người dùng có quyền truy cập thích hợp được đặt theo vai trò bảo mật nhưng người dùng có quyền đọc chỉ có thể xem dữ liệu và không thể tạo hoặc thay đổi dữ liệu hiện có. Ví dụ: người dùng có vai trò bảo mật là quản trị viên với quyền đọc có thể xem đơn vị kinh doanh, người dùng và các nhóm nhưng không thể tạo hay sửa đổi các hồ sơ đó.
Loại giấy phép. Điều này đặt CAL người dùng và xác định tính năng và khu vực có sẵn cho người dùng. Kiểm soát khu vực và tính năng này khác với cài đặt vai trò bảo mật của người dùng. Theo mặc định, người dùng được tạo bằng Professional CAL cho hầu hết quyền truy cập vào khu vực và tính năng mà chúng được cấp quyền.
Các nhóm
Các nhóm cung cấp cách thức dễ dàng để chia sẻ đối tượng kinh doanh và cho phép bạn cộng tác với những người khác trên các đơn vị kinh doanh. Khi một nhóm thuộc về một đơn vị kinh doanh, nó có thể bao gồm người dùng từ các đơn vị kinh doanh khác. Bạn có thể liên kết một người dùng với nhiều hơn một nhóm. Thông tin thêm: Quản lý nhóm
Bảo mật dựa trên hồ sơ
Bạn có thể sử dụng bảo mật dựa trên hồ sơ để kiểm soát quyền cho người dùng và nhóm để thực hiện hành động trên hồ sơ cá nhân. Điều này áp dụng cho các trường hợp thực thể (hồ sơ) và được cung cấp bởi quyền truy cập. Chủ sở hữu của một hồ sơ có thể chia sẻ, hoặc cấp quyền truy cập vào một hồ sơ cho người dùng hoặc nhóm khác. Khi điều này được thực hiện, họ phải chọn quyền mà họ cung cấp. Ví dụ, chủ sở hữu của một hồ sơ tài khoản có thể cấp quyền truy cập cho thông tin tài khoản đó, nhưng không phải cấp quyền truy cập ghi.
Quyền truy cập chỉ áp dụng sau khi đặc quyền đã có hiệu lực. Ví dụ: nếu người dùng không có đặc quyền để xem (đọc) hồ sơ tài khoản, họ sẽ không thể xem bất kỳ tài khoản nào, bất kể các quyền truy cập người dùng khác có thể cấp cho họ một tài khoản cụ thể thông qua chia sẻ.
Bảo mật hệ thống phân cấp
Bạn có thể sử dụng mô hình bảo mật hệ thống phân cấp để truy cập dữ liệu phân cấp. Với bảo mật bổ sung này, bạn có quyền truy cập chi tiết hơn vào bản ghi, cho phép người quản lý truy cập vào các bản ghi của báo cáo của họ để phê duyệt hoặc làm việc thay cho báo cáo. Thông tin thêm: Bảo mật phân cấp
Bảo mật dựa trên trường
Bạn có thể sử dụng bảo mật ở cấp độ lĩnh vực để hạn chế quyền truy cập vào các lĩnh vực tác động đến hoạt động kinh doanh lớn cụ thể chỉ ở người dùng hoặc nhóm được chỉ định. Giống như bảo mật dựa trên hồ sơ, điều này áp dụng sau khi đặc quyền đã có ảnh hưởng. Ví dụ, người dùng có thể có đặc quyền để đọc một tài khoản, nhưng có thể bị hạn chế xem các trường cụ thể trong tất cả tài khoản. Thông tin thêm: Bảo mật cấp hiện trường
Lập mô hình Bảo mật với Customer Engagement (on-premises)
Để biết thông tin chi tiết và các phương pháp hay nhất để thiết kế mô hình bảo mật trong Customer Engagement (on-premises), hãy đọc Mô hình bảo mật có thể mở rộng với Microsoft Dynamics CRM màu trắng giấy có sẵn từ Trung tâm Tải xuống của Microsoft.
Xem thêm
Bảo mật cấp trường
Bảo mật hệ thống cấp bậc
Kiểm soát quyền truy cập dữ liệu
Tạo hoặc chỉnh sửa vai trò bảo mật
Sao chép vai trò bảo mật
Quản lý người dùng
Quản lý nhóm
Thêm nhóm hoặc người dùng vào hồ sơ bảo mật trường
Quản lý bảo mật, người dùng và nhóm