分享方式:

控制存取的資料行等級安全性

  • 文章

記錄等級權限是在資料表等級授與,但是,您可能有與資料表相關聯的某些資料行,其資料比其他資料行更具敏感性。 對於這些情況,您可以使用 列級安全性 來控制對特定列的訪問。

資料行等級安全性範圍是全組織,適用所有資料存取要求,包括下列要求和呼叫:

  • 來自用戶端應用程式 (如 Web 瀏覽器、行動用戶端) 的數據訪問請求,或者 Microsoft Dynamics 365 for Outlook
  • 使用 Microsoft Dataverse Web 服務的 Web 服務呼叫 (用於外掛程式、自訂工作流程活動和自訂程式碼)
  • 報告 (使用過濾檢視)

注意

使用與資料表相關的術語,視所使用的通訊協定或類別庫而定。 有關詳細資訊,請參閱 根據協議或技術使用術語

資料行等級安全性概觀

資料行等級安全性可用於大部分內建資料行的預設資料表、自訂資料表和自訂資料表的自訂資料行。 資料行等級安全性由安全性設定檔管理。 為了實施資料行等級安全性,系統管理員執行下列工作。

  1. 為給定表的一個或多個列啟用列安全性。

  2. 選擇可選的 掩碼規則

  3. 關聯一個或多個現有的安全性設定檔,或建立一個或多個新安全性設定檔以授與特定使用者或團隊的適當權限。

    安全性設定檔決定下列各項:

    • 安全資料行的權限
    • 指派了存取權的使用者和團隊

    可設定安全性設定檔,以將資料行層級的下列權限授與使用者或團隊成員:

    • 讀取:對列數據的唯讀訪問許可權。
    • Read unmasked:Read 列的數據 未遮罩值
    • 創建:此設定檔中的使用者或團隊可以在創建行時向此列添加數據。
    • Update:此設定檔中的用戶或團隊可以在創建列數據後更新列的數據。

    可以配置這四個許可權的組合,以確定特定數據列的用戶許可權。

    重要

    除非將一個或多個安全配置檔分配給具有安全性的列,否則只有系統系統管理員資訊安全角色的使用者才能訪問該列。

限制 Contact 表的 mobile phone 列的示例

假設您公司的政策是,銷售人員應該擁有不同級別的聯繫手機號碼訪問許可權,如此處所述。

使用者或團隊 存取權限
銷售經理 唯讀。 只能查看聯繫人的 掩碼形式的 手機號碼。
副總 完整。 可以建立、更新和檢視連絡人的行動電話號碼。
銷售人員和其他所有使用者 無。 無法創建、更新或查看聯繫人的手機號碼。

若要限制此資料行,您會執行下列工作。

保護色譜柱

  1. 登入 Power Apps

  2. 選取 資料表

  3. 選擇內容資料表。

    選擇內容資料表。

  4. 結構描述底下,選取資料行

    在結構描述底下,選取資料行。

  5. 在資料行清單中向下滾動,並打開行動電話

    選取行動電話資料行。

  6. 展開 Advanced options (高級選項 ),然後在 General (常規) 下 ,選擇 Enable column security (啟用列安全性 )。

    展開進階選項,並啟用資料行安全性。

  7. 選擇 Masking rule 下拉功能表,然後選擇掩碼 規則

  8. 選取儲存

配置安全配置檔

  1. Power Platform 系統管理中心選取您要設定安全性設定檔的環境。

  2. 選取設定>使用者 + 權限>資料行安全性設定檔

  3. 選取新增設定檔,輸入名稱,例如銷售經理,輸入描述,然後選取儲存

    建立新資料行安全性設定檔。

  4. 選取銷售經理,選取使用者索引標籤,選取 + 新增使用者,選取要授與其連絡人表單上的行動電話號碼存取權使用者,然後選取新增

    小費

    請建立內含所有使用者想要授與存取權的一個或多個團隊,而不是加入每個使用者。

  5. 重複上述步驟,並建立副總的資料行安全性設定檔。

設定資料行權限

  1. 選取資料行安全性設定檔索引標籤,然後選取銷售經理

  2. 選取資料行權限,選取行動電話,然後選取編輯。 將讀取設定設為已允許,讓其他項目保持不允許,然後選取儲存

    編輯資料行安全性權限。

  3. 選取資料行安全性設定檔索引標籤,然後選取副總

  4. 選取資料行權限,選取行動電話,然後選取編輯將 Read (讀取 ) 設定為 Allowed (允許),將 Read unmasked (讀取未遮罩 ) 設置為 One record (一條記錄),其餘設置為 Allow (允許),然後選擇 Save ( 保存)。

先前建立的資料行安全性設定檔中未定義的任何使用者,無法存取連絡人表單或檢視上的行動電話資料行。 此時將顯示 鎖定圖示。 ******** column 值,指示該列是安全的。

哪些資料行可受保護?

添加新列

  1. 登入 Power Apps

  2. 選取導覽窗格中的資料表

  3. 選取資料表,然後在結構描述底下選取資料行

  4. 在命令列中選取 + 新資料行選項。

  5. 輸入顯示名稱描述

  6. 選取資料類型

    不能使用資料行安全性設定查詢公式資料類型。 有關更多資訊,請參閱 無法為列安全性啟用的屬性。

  7. 展開進階選項,然後在一般底下,選取啟用資料行安全性核取方塊。

查看列級安全性

系統的每個資料行包含是否允許資料行安全性的設定。 請使用下列步驟來檢視資料行安全性設定。

  1. 登入 Power Apps

  2. 選取導覽窗格中的資料表

  3. 選取資料表,然後在結構描述底下選取資料行

  4. 選取資料行、展開進階選項,然後在一般底下,檢視啟用資料行安全性的狀態。

如果可以選取啟用資料行安全性,即表示可以啟用資料行的資料行安全性。

可能啟用資料行安全性。

無法為資料行安全性啟用的屬性

雖然大多數屬性都會可以受到安全保護,但還是有些如識別碼、時間戳記和記錄追蹤屬性等系統屬性無法受保護。 以下是幾個無法啟用資料行安全性的屬性範例。

  • ownerid、processid、stageid、accountid、contactid、businessunitid、organizationid、solutionid、supportingsolutionid、transactioncurrencyid、goalownerid、subscriptionid、userpuid、yammeruserid
  • createdby、modifiedby、OwningTeam、OwningUser、Owningbusinessunit、yammeremailaddress
  • createdon、EntityImage_Timestamp、modifiedon、OnHoldTime、overriddencreatedon、overwritetime、modifiedonbehalfby、timezoneruleversionnumber、versionnumber、importsequencenumber
  • statecode、statuscode、componentstate、exchangerate、utcconversiontimezonecode
  • fullname、firstname、middlename、lastname、yomi、yomifirstname、yomifullname、yomilastname、yomimiddlename
  • 已取代的資料行,例如:traversedpath、stageid

您可以安裝瀏覽組織的中繼資料 中所述的中繼資料瀏覽器解決方案,來檢視組織的資料表中繼資料,包括哪些資料行可以啟用資料行安全性。

使用資料行安全性時的最佳作法

當您使用的計算結果欄包含受保護的資料行時,計算結果欄資料可能會顯示給沒有受保護資料行之權限的使用者。 在此情況下,原始資料行和計算結果欄都必須受保護。

部分資料 (例如地址) 是由多個資料行組成。 因此,若要完全保護包含多個資料行的資料,例如地址,您必須在資料表的多個資料行上保護並設定適當資料行安全性設定檔。 例如,若要完全保護資料表的地址,請保護相關的地址資料行,例如 address_line1、address_line2、address_line3、address1_city、address1_composite,依此類推。

設置列的安全許可權
啟用或禁用列的安全性以控制訪問
將團隊或使用者添加到資料行安全性設定檔以控制訪問許可權
層次結構安全性