Chia sẻ qua

Khái niệm bảo mật trong Microsoft Dataverse

  • Bài viết

Một trong những tính năng chính của Dataverse là mô hình bảo mật phong phú có thể thích ứng với nhiều tình huống sử dụng của doanh nghiệp. Mô hình bảo mật này chỉ có hiệu lực khi có Dataverse cơ sở dữ liệu trong môi trường. Với tư cách là quản trị viên, bạn có thể sẽ không tự mình xây dựng toàn bộ mô hình bảo mật, nhưng thường sẽ tham gia vào quá trình quản lý người dùng và đảm bảo họ có cấu hình phù hợp và khắc phục sự cố liên quan đến quyền truy cập bảo mật.

Tiền boa

Biểu tượng videoHãy xem video sau: Microsoft Dataverse – Các khái niệm bảo mật được trình bày trong bản demo.

Bảo mật dựa trên vai trò

Dataverse sử dụng tính năng bảo mật dựa trên vai trò để nhóm thành một tập hợp đặc quyền. Các vai trò bảo mật này có thể được liên kết trực tiếp với người dùng hoặc có thể được liên kết với các nhóm và đơn vị kinh doanh trong Dataverse. Sau đó, người dùng có thể được liên kết với nhóm và do đó tất cả người dùng có liên kết với nhóm đều được hưởng lợi từ vai trò này. Một khái niệm chính của bảo mật Dataverse cần hiểu rõ là tất cả các đặc quyền được cấp sẽ cộng dồn với mức truy nhập lớn nhất hiện thời. Nếu bạn đã cấp quyền truy cập đọc ở cấp độ tổ chức rộng rãi cho tất cả các bản ghi liên hệ, bạn không thể quay lại và ẩn một bản ghi.

Đơn vị kinh doanh

Tiền bo

Biểu tượng videoHãy xem video sau: Hiện đại hóa các đơn vị kinh doanh.

Các đơn vị kinh doanh làm việc với vai trò bảo mật để xác định mức độ bảo mật hiệu quả mà người dùng có. Các đơn vị kinh doanh là một khối xây dựng mô hình bảo mật giúp quản lý người dùng và dữ liệu mà họ có thể truy nhập. Các đơn vị kinh doanh xác định ranh giới bảo mật. Mỗi cơ sở dữ liệu Dataverse có một đơn vị kinh doanh gốc.

Bạn có thể tạo đơn vị kinh doanh cấp dưới để phân đoạn người dùng và dữ liệu hơn nữa. Mỗi người dùng được phân công vào một môi trường đều thuộc về một đơn vị kinh doanh. Mặc dù các đơn vị kinh doanh có thể được dùng để lập mô hình phân cấp tổ chức 1:1 thực sự, nhưng thường thì họ nghiêng nhiều hơn về phía các ranh giới bảo mật vừa xác định để giúp đáp ứng nhu cầu về mô hình bảo mật.

Để hiểu rõ hơn, hãy xem xét ví dụ sau. Chúng tôi có 3 đơn vị kinh doanh. Woodgrove là đơn vị kinh doanh gốc và sẽ luôn ở trên cùng, đó là điều không thể thay đổi. Chúng tôi đã tạo ra hai đơn vị kinh doanh con A và B. Người dùng trong các đơn vị kinh doanh này có nhu cầu truy cập khác nhau. Khi liên kết người dùng với môi trường này, chúng tôi có thể đặt người dùng vào một trong ba đơn vị kinh doanh này. Nơi người dùng được liên kết sẽ xác định đơn vị kinh doanh nào sở hữu hồ sơ mà người dùng đó là chủ sở hữu. Nhờ việc liên kết đó, chúng tôi có thể điều chỉnh vai trò bảo mật để cho phép người dùng xem tất cả các bản ghi trong đơn vị kinh doanh đó.

Cấu trúc truy cập dữ liệu theo cấp bậc

Khách hàng có thể sử dụng cấu trúc tổ chức trong đó dữ liệu và người dùng được phân chia theo hệ thống cấp bậc dạng cây.

Khi liên kết người dùng với môi trường này, chúng tôi có thể đặt người dùng vào một trong ba đơn vị kinh doanh này và gán mô vai trò bảo mật từ đơn vị kinh doanh cho người dùng. Đơn vị kinh doanh mà người dùng được liên kết xác định đơn vị kinh doanh nào sở hữu bản ghi khi người dùng tạo bản ghi. Bằng cách liên kết đó, chúng ta có thể tùy chỉnh vai trò bảo mật, cho phép người dùng xem hồ sơ trong đơn vị kinh doanh đó.

Người dùng A được liên kết với Bộ phận A và được gán vai trò bảo mật Y từ Bộ phận A. Điều này cho phép người dùng A truy cập các bản ghi Liên hệ số 1 và Liên hệ số 2. Trong khi người dùng B ở Phân khu B không thể truy cập vào hồ sơ Liên hệ của Phân khu A nhưng có thể truy cập vào hồ sơ Liên hệ số 3.

Ví dụ về cấu trúc truy cập dữ liệu ma trận

Cấu trúc truy cập dữ liệu ma trận (Các đơn vị kinh doanh được hiện đại hóa)

Khách hàng có thể sử dụng cấu trúc tổ chức trong đó dữ liệu được phân chia theo hệ thống cấp bậc dạng cây và người dùng có thể làm việc và truy cập vào dữ liệu của bất kỳ đơn vị kinh doanh nào bất kể đơn vị kinh doanh mà người dùng được chỉ định.

Khi liên kết người dùng với môi trường này, chúng tôi có thể đặt người dùng vào một trong ba đơn vị kinh doanh này. Đối với mỗi đơn vị kinh doanh mà người dùng cần để truy cập dữ liệu, vai trò bảo mật từ đơn vị kinh doanh đó được chỉ định cho người dùng. Khi người dùng tạo bản ghi, người dùng có thể đặt đơn vị kinh doanh sở hữu bản ghi.

Người dùng A có thể được liên kết với bất kỳ đơn vị kinh doanh nào, bao gồm cả đơn vị kinh doanh gốc. Vai trò bảo mật Y từ Bộ phận A được chỉ định cho người dùng A, cấp cho người dùng này quyền truy cập vào các bản ghi Liên hệ số 1 và Liên hệ số 2. Vai trò bảo mật Y từ Bộ phận B được chỉ định cho người dùng A, cấp cho người dùng này quyền truy cập vào các bản ghi Liên hệ số 3.

Ví dụ về cấu trúc truy cập dữ liệu theo cấp bậc

Bật cấu trúc truy cập dữ liệu ma trận

Lưu ý

Trước khi bật tính năng này, bạn phải xuất bản tất cả các tùy chỉnh của mình để bật tất cả các bảng mới chưa xuất bản cho tính năng. Nếu bạn thấy rằng mình có các bảng chưa xuất bản không hoạt động với tính năng này sau khi bật tính năng, thì bạn có thể đặt cài đặt thiết đặt RecomputeOwnershipAcrossBusinessUnits bằng cách sử dụng công cụ cài đặt OrgDBOrg dành cho Microsoft Dynamics CRM. Thiết lập RecomputeOwnershipAcrossBusinessUnits thành true cho phép thiết lập và cập nhật trường Đơn vị kinh doanh sở hữu .

  1. đăng nhập vào Power Platform trung tâm quản trị với tư cách là quản trị viên (Dynamics 365 admin hoặc Microsoft Power Platform admin).
  2. Chọn Môi trường và sau đó chọn môi trường mà bạn muốn bật tính năng này.
  3. Chọn Thiết đặt>Sản phẩm>Tính năng.
  4. Bật công tắc Quyền sở hữu bản ghi trên nhiều đơn vị kinh doanh.

Sau khi bật công tắc tính năng này, bạn có thể chọn Đơn vị kinh doanh khi bạn gán vai trò bảo mật cho người dùng. Việc này cho phép bạn gán vai trò bảo mật từ các đơn vị kinh doanh khác nhau cho một người dùng. Người dùng cũng yêu cầu vai trò bảo mật từ đơn vị kinh doanh mà người dùng được gán với đặc quyền thiết đặt người dùng để chạy các ứng dụng dựa trên mô hình. Bạn có thể tham khảo vai trò bảo mật Người dùng cơ bản để biết cách bật các đặc quyền thiết đặt người dùng này.

Bạn có thể gán người dùng làm chủ sở hữu bản ghi trong bất kỳ đơn vị kinh doanh nào mà không cần gán vai trò bảo mật trong đơn vị kinh doanh sở hữu bản ghi, miễn là người dùng có vai trò bảo mật có đặc quyền Đọc bảng bản ghi. Xem Quyền sở hữu bản ghi trong các đơn vị kinh doanh được hiện đại hóa.

Lưu ý

Công tắc tính năng này được lưu trữ trong thiết đặt EnableOwnershipAcrossBusinessUnits và có thể được đặt bằng công cụ OrgDBOrgSettings cho Microsoft Dynamics CRM.

Liên kết một đơn vị kinh doanh với một Microsoft Entra nhóm bảo mật

Bạn có thể sử dụng nhóm bảo mật để lập bản đồ đơn vị kinh doanh của mình nhằm hợp lý hóa việc quản trị người dùng và phân công vai trò. Microsoft Entra

Tạo một Microsoft Entra nhóm bảo mật cho mỗi đơn vị kinh doanh và chỉ định đơn vị kinh doanh tương ứng vai trò bảo mật cho mỗi nhóm.

Tạo Microsoft Entra nhóm bảo mật cho mỗi đơn vị kinh doanh.

Đối với mỗi đơn vị kinh doanh, hãy tạo một Microsoft Entra nhóm bảo mật. Tạo một Dataverse nhóm cho mỗi Microsoft Entra nhóm bảo mật. Gán vai trò bảo mật tương ứng từ đơn vị kinh doanh cho từng nhóm Dataverse. Người dùng trong sơ đồ trên sẽ được tạo trong đơn vị kinh doanh gốc khi người dùng truy cập vào môi trường. Bạn có thể để người dùng và nhóm Dataverse trong đơn vị kinh doanh gốc. Họ chỉ có quyền truy cập vào dữ liệu trong đơn vị kinh doanh mà vai trò bảo mật được gán.

Thêm người dùng vào nhóm bảo mật tương ứng để cấp cho họ quyền truy cập vào đơn vị kinh doanh. Microsoft Entra Người dùng có thể ngay lập tức chạy ứng dụng và truy cập tài nguyên/dữ liệu của ứng dụng.

Trong quyền truy cập dữ liệu ma trận, nơi người dùng có thể làm việc và truy cập dữ liệu từ nhiều đơn vị kinh doanh, hãy thêm người dùng vào Microsoft Entra nhóm bảo mật được ánh xạ tới các đơn vị kinh doanh đó.

Đơn vị kinh doanh sở hữu

Mỗi bản ghi đều có một cột Đơn vị kinh doanh sở hữu , xác định đơn vị kinh doanh nào sở hữu bản ghi. Cột này mặc định là đơn vị kinh doanh của người dùng khi bản ghi được tạo và không thể thay đổi trừ khi công tắc tính năng được BẬT.

Lưu ý

Khi bạn thay đổi đơn vị kinh doanh sở hữu bản ghi, hãy nhớ kiểm tra những điều sau để biết hiệu ứng thác đổ: Sử dụng SDK cho .NET để cấu hình hành vi thác đổ.

Bạn có thể quản lý xem bạn có muốn cho phép người dùng của mình đặt cột Đơn vị kinh doanh sở hữu hay không khi công tắc tính năng được BẬT. Để đặt cột Đơn vị kinh doanh sở hữu, bạn cần cấp cho vai trò bảo mật của người dùng đặc quyền Gắn thêm vào của bảng Đơn vị kinh doanh với quyền cấp cục bộ.

Để cho phép người dùng của bạn đặt cột này, bạn có thể bật cột này theo cách sau đây:

  1. Biểu mẫu - cả nội dung và tiêu đề.
  2. Xem.
  3. Ánh xạ cột. Nếu bạn đang sử dụng AutoMapEntity, bạn có thể chỉ định cột trong cột ánh xạ của mình.

Lưu ý

Nếu bạn có một công việc/quy trình để đồng bộ hóa dữ liệu giữa các môi trường và Sở hữu đơn vị kinh doanh được bao gồm như một phần của lược đồ, công việc của bạn sẽ thất bại với vi phạm ràng buộc KHÓA ngoại nếu môi trường đích không có cùng giá trị Sở hữu đơn vị kinh doanh.

Bạn có thể xóa trường Đơn vị kinh doanh sở hữu khỏi sơ đồ nguồn hoặc cập nhật giá trị cột Đơn vị kinh doanh sở hữu của Nguồn cho bất kỳ đơn vị kinh doanh nào của đích.

Nếu bạn có một công việc/quy trình sao chép dữ liệu từ môi trường sang nguồn lực bên ngoài, chẳng hạn như PowerBI, bạn sẽ cần chọn hoặc bỏ chọn cột Đơn vị kinh doanh sở hữu từ nguồn của bạn. Chọn trường này nếu nguồn lực của bạn có thể nhận, nếu không hãy bỏ chọn.

Quyền sở hữu bảng/bản ghi

Dataverse hỗ trợ 2 loại quyền sở hữu bản ghi. Thuộc sở hữu của tổ chức và Thuộc sở hữu của người dùng hoặc nhóm. Đây là lựa chọn xảy ra tại thời điểm tạo bảng và không thể thay đổi. Vì mục đích bảo mật, các bản ghi thuộc sở hữu của tổ chức, các lựa chọn cấp độ truy cập duy nhất là người dùng có thể thực hiện thao tác hoặc không thể. Đối với bản ghi do người dùng và nhóm sở hữu, lựa chọn cấp độ truy cập cho hầu hết các đặc quyền là Tổ chức, Đơn vị kinh doanh, Đơn vị kinh doanh và Đơn vị kinh doanh cấp dưới được phân cấp hoặc chỉ các bản ghi của chính người dùng. Điều đó nghĩa là đối với đặc quyền đọc trên mục liên hệ, tôi có thể đặt là thuộc sở hữu của người dùng và người dùng sẽ chỉ nhìn thấy bản ghi của riêng họ.

Để đưa ra một ví dụ khác, hãy giả sử Người dùng A được liên kết với Bộ phận A và chúng tôi cấp cho họ quyền đọc ở cấp Đơn vị kinh doanh trên mục liên hệ. Họ có thể nhìn thấy Liên hệ số 1 và số 2 nhưng không thấy Liên hệ số 3.

Khi bạn định cấu hình hoặc chỉnh sửa các đặc quyền vai trò bảo mật, bạn đang đặt cấp truy cập cho từng tùy chọn. Sau đây là một ví dụ về trình chỉnh sửa đặc quyền Vai trò bảo mật.

Quyền lợi của vai trò bảo mật.

Ở trên, bạn có thể thấy các loại đặc quyền tiêu chuẩn cho mỗi bảng Tạo, Đọc, Viết, Xóa, Gắn thêm, Gắn thêm vào, Gán và Chia sẻ. Bạn có thể chỉnh sửa riêng từng loại. Màn hình hiển thị trực quan của từng loại sẽ khớp với khóa bên dưới về mức độ truy cập mà bạn đã cấp.

Khóa đặc quyền vai trò bảo mật.

Trong ví dụ ở trên, chúng tôi đã cấp quyền truy nhập vào mục Liên hệ ở cấp tổ chức, tức là người dùng trong Bộ phận A có thể xem và cập nhật các mục liên hệ thuộc sở hữu của bất kỳ ai. Trong thực tế, một trong những sai lầm quản trị thường gặp nhất là thấy thất vọng về các quyền và chỉ cấp quyền truy nhập. Rất nhanh thôi, một mô hình bảo mật được tạo kỹ lưỡng sẽ bắt đầu đầy rẫy lỗ hổng.

Quyền sở hữu bản ghi trong các đơn vị kinh doanh được hiện đại hóa

Trong Đơn vị kinh doanh được hiện đại hóa, bạn có thể có người dùng là chủ sở hữu của hồ sơ trên bất kỳ đơn vị kinh doanh nào. Tất cả những gì người dùng cần là vai trò bảo mật (bất kỳ đơn vị kinh doanh nào) có đặc quyền Đọc đối với bảng bản ghi. Người dùng không cần phải có vai trò bảo mật được gán trong mỗi đơn vị kinh doanh nơi lưu trữ bản ghi.

Nếu Quyền sở hữu bản ghi giữa các đơn vị kinh doanh đã được bật trong môi trường sản xuất của bạn trong giai đoạn Xem trước, thì bạn cần thực hiện các thao tác sau đây để bật quyền sở hữu bản ghi này trên toàn bộ đơn vị kinh doanh:

  1. Cài đặt trình sửa Thiết đặt tổ chức
  2. Đặt thiết đặt tổ chức RecomputeOwnershipAcrossBusinessUnits thành true. Khi thiết lập này được đặt thành đúng, hệ thống sẽ bị khóa và có thể mất tới 5 phút để tính toán lại nhằm kích hoạt khả năng cho phép người dùng sở hữu hồ sơ trên nhiều đơn vị kinh doanh mà không cần phải chỉ định vai trò bảo mật riêng cho từng đơn vị kinh doanh. Điều này cho phép chủ sở hữu hồ sơ chuyển nhượng hồ sơ của mình cho người nào đó bên ngoài đơn vị kinh doanh sở hữu hồ sơ đó.
  3. Đặt AlwaysMoveRecordToOwnerBusinessUnit thành false. Điều này làm cho bản ghi vẫn tồn tại trong đơn vị kinh doanh sở hữu ban đầu khi quyền sở hữu bản ghi được thay đổi.

Đối với tất cả các môi trường phi sản xuất, bạn chỉ cần đặt AlwaysMoveRecordToOwnerBusinessUnit thành false để sử dụng khả năng này.

Lưu ý

Nếu bạn tắt tính năng Ghi lại quyền sở hữu giữa các đơn vị kinh doanh hoặc đặt cài đặt Tính toán lại quyền sở hữu giữa các đơn vị kinh doanh thành sai bằng cách sử dụng công cụ OrgDBOrgSettings cho Microsoft Dynamics CRM, bạn sẽ không thể đặt hoặc cập nhật trường Đơn vị kinh doanh sở hữu và tất cả các bản ghi có trường Đơn vị kinh doanh sở hữu khác với đơn vị kinh doanh của chủ sở hữu sẽ được cập nhật thành đơn vị kinh doanh của chủ sở hữu.

Nhóm (bao gồm nhóm)

Nhóm là một khối xây dựng bảo mật quan trọng khác. Nhóm thuộc sở hữu của một Đơn vị kinh doanh. Mỗi Đơn vị kinh doanh có một nhóm mặc định được tạo tự động khi tạo Đơn vị kinh doanh. Các thành viên nhóm mặc định được quản lý bởi Dataverse và luôn chứa tất cả người dùng được liên kết với Đơn vị kinh doanh đó. Bạn không thể thêm hoặc xóa thành viên trong nhóm mặc định theo cách thủ công. Hệ thống điều chỉnh linh hoạt các thành viên như người dùng mới được liên kết/hủy liên kết với đơn vị kinh doanh. Có 2 loại nhóm: nhóm sở hữu và nhóm truy nhập.

  • Các nhóm sở hữu có thể sở hữu các bản ghi, điều này cho phép bất kỳ thành viên nào trong nhóm truy cập trực tiếp vào bản ghi đó. Người dùng có thể là thành viên của nhiều nhóm. Đây sẽ là cách hữu hiệu để cấp quyền cho người dùng trên diện rộng mà không cần truy nhập vi mô ở cấp người dùng cá nhân.
  • Các nhóm truy cập sẽ được thảo luận trong phần tiếp theo như một phần của việc chia sẻ bản ghi.

Chia sẻ bản ghi

Có thể chia sẻ từng bản ghi riêng lẻ với người dùng khác. Đây là một cách hiệu quả để xử lý các trường hợp ngoại lệ không thuộc quyền sở hữu bản ghi hoặc là thành viên của mô hình truy cập đơn vị kinh doanh. Tuy nhiên, đây chỉ là một ngoại lệ vì đây là cách kiểm soát truy cập kém hiệu quả hơn. Việc chia sẻ khó khắc phục sự cố hơn vì nó không phải là biện pháp kiểm soát truy cập được triển khai nhất quán. Chia sẻ có thể được thực hiện ở cả cấp người dùng lẫn cấp nhóm. Chia sẻ với nhóm là cách chia sẻ hiệu quả hơn. Một khái niệm chia sẻ nâng cao hơn là sử dụng Access Teams, cung cấp tính năng tự động tạo nhóm và chia sẻ quyền truy cập hồ sơ với nhóm dựa trên Mẫu nhóm Access (mẫu quyền) được áp dụng. Bạn cũng có thể sử dụng nhóm Access mà không cần mẫu, chỉ cần thêm hoặc xóa thành viên theo cách thủ công. Nhóm truy nhập có hiệu quả hơn vì nhóm này không cho phép sở hữu các bản ghi của nhóm hoặc được gán các vai trò bảo mật cho nhóm. Người dùng có quyền truy nhập vì bản ghi được chia sẻ với nhóm và người dùng là một thành viên.

Bảo mật ở cấp bản ghi trong Dataverse

Bạn có thể tự hỏi – điều gì quyết định quyền truy nhập vào bản ghi? Nghe có vẻ là một câu hỏi đơn giản nhưng đối với bất kỳ người dùng nào, đó là sự kết hợp của tất cả các vai trò bảo mật, đơn vị kinh doanh mà họ liên kết, nhóm mà họ là thành viên và các hồ sơ được chia sẻ với họ. Điều quan trọng cần nhớ là tất cả các quyền truy nhập đều cộng dồn trên mọi khái niệm đó trong phạm vi môi trường cơ sở dữ liệu Dataverse. Các quyền này chỉ được cấp trong một cơ sở dữ liệu duy nhất và được theo dõi riêng trong từng cơ sở dữ liệu Dataverse. Tất cả điều này yêu cầu họ phải có giấy phép thích hợp để truy cập Dataverse.

Bảo mật cấp độ cột trong Dataverse

Đôi khi việc kiểm soát quyền truy cập ở cấp độ bản ghi không đủ cho một số tình huống kinh doanh. Dataverse có một tính năng bảo mật cấp độ cột để cho phép kiểm soát bảo mật chi tiết hơn ở cấp độ cột. Bảo mật ở cấp độ cột có thể được bật trên tất cả các cột tùy chỉnh và hầu hết các cột hệ thống. Hầu hết các cột hệ thống chứa thông tin nhận dạng cá nhân (PII) đều có khả năng được bảo mật riêng. Siêu dữ liệu của mỗi cột xác định liệu đó có phải là tùy chọn khả dụng cho cột hệ thống không.

Bảo mật cấp độ cột được bật trên từng cột. Sau đó, quyền truy cập được quản lý bằng cách tạo Hồ sơ bảo mật cột. Hồ sơ chứa tất cả cột đã bật tính năng bảo mật cấp độ cột và quyền truy nhập được cấp bởi hồ sơ cụ thể đó. Mỗi cột có thể được kiểm soát bên trong hồ sơ đối với quyền truy cập Tạo, Cập nhật và Đọc. Sau đó, Hồ sơ bảo mật cột được liên kết với người dùng hoặc Nhóm để cấp các đặc quyền đó cho người dùng đối với các bản ghi mà họ đã có quyền truy nhập. Điều quan trọng cần lưu ý là bảo mật cấp độ cột không liên quan gì đến bảo mật cấp độ bản ghi. Người dùng phải có quyền truy cập vào hồ sơ cho Hồ sơ bảo mật cột để cấp cho họ bất kỳ quyền truy cập nào vào các cột. Tính năng bảo mật cấp độ cột nên được sử dụng khi cần và không nên quá mức vì điều này có thể phát sinh thêm chi phí gây bất lợi nếu sử dụng quá mức.

Quản lý bảo mật trên nhiều môi trường

Vai trò bảo mật và Hồ sơ bảo mật cột có thể được đóng gói và di chuyển từ môi trường này sang môi trường khác bằng cách sử dụng các giải pháp Dataverse. Đơn vị kinh doanh và Nhóm phải được tạo và quản lý trong từng môi trường cùng với việc gán người dùng cho các thành phần bảo mật cần thiết.

Cấu hình bảo mật môi trường của người dùng

Sau khi vai trò, nhóm và đơn vị kinh doanh được tạo trong một môi trường, đã đến lúc chỉ định cấu hình bảo mật cho người dùng của họ. Đầu tiên, khi bạn tạo người dùng, bạn sẽ liên kết người dùng đó với một đơn vị kinh doanh. Theo mặc định, đây là đơn vị kinh doanh gốc trong tổ chức. Họ cũng được thêm vào nhóm mặc định của đơn vị kinh doanh đó.

Ngoài ra, bạn sẽ gán bất kỳ vai trò bảo mật nào mà người dùng cần. Bạn cũng sẽ thêm họ làm thành viên của bất kỳ nhóm nào. Hãy nhớ rằng các nhóm cũng có thể có các vai trò bảo mật, vì vậy quyền hiệu quả của người dùng là sự kết hợp của các vai trò bảo mật được chỉ định trực tiếp kết hợp với các vai trò của bất kỳ nhóm nào mà họ là thành viên. Bảo mật luôn là phần bổ sung mang lại quyền ít hạn chế nhất của bất kỳ quyền lợi nào. Sau đây là giải pháp tốt cho việc cấu hình bảo mật môi trường.

Nếu bạn đã sử dụng bảo mật cấp độ cột, thì bạn cần liên kết người dùng hoặc một nhóm người dùng với một trong các Hồ sơ bảo mật cột mà bạn đã tạo.

Bảo mật là một vấn đề phức tạp và cách tốt nhất để thực hiện là thông qua nỗ lực chung giữa nhà phát triển ứng dụng và nhóm quản lý quyền của người dùng. Cần phối hợp tốt bất kỳ thay đổi lớn nào trước khi triển khai các thay đổi vào môi trường.

Xem thêm

Cấu hình bảo mật môi trường
Vai trò và quyền bảo mật