分享方式:


Microsoft Dynamics CRM 的安全性概念

 

發佈日期: 2016年11月

適用對象: Dynamics CRM 2015

使用 Microsoft Dynamics 365 安全性模型,可保護 Microsoft Dynamics 365 組織的資料完整性和隱私。 安全性模型也可以提升有效率的資料存取和共同作業。 此模型的目標如下:

  • 為使用者提供多層的授權模型。

  • 僅授與使用者執行其工作所需的資訊層級存取權。

  • 根據資訊安全角色來分類使用者和團隊,並根據這些角色來限制存取。

  • 支援資料共用,授與使用者可進行一次性共同作業的物件存取權 (使用者並未擁有這些物件)。

  • 防止使用者存取未擁有或共用的物件。

您將結合業務單位、以角色為基礎的安全性、以記錄為基礎的安全性和以欄位為基礎的安全性,來定義 Microsoft Dynamics 365 組織中的使用者所擁有的整體資訊存取權限。

如需安全性主題的詳細資訊,請參閱 Microsoft Dynamics CRM SDK 主題 MSDN:Microsoft Dynamics CRM 的安全性模型

業務單位

業務單位基本上是一個使用者群組。 具有許多客戶的大型組織,通常會使用多個業務單位來控制資料的存取及定義資訊安全角色,讓使用者只能存取自己業務單位內的記錄。其他資訊:建立或編輯業務單位

角色安全性

您可以使用角色型安全性將多組權限設為群組放入角色中,描述使用者或團隊可以執行的工作。Microsoft Dynamics 365 內含一組預先定義的資訊安全角色,每個角色都是一組彙總的權利,讓您更容易管理安全性。 大部分權限定義建立、讀取、寫入和共用特定實體型別記錄的功能。 每個權限也定義該權限的應用範圍:使用者層級、業務單位層級、整個業務單位階層或整個組織。

例如,如果您以指派為銷售人員角色的使用者身份登入,您就擁有整個組織的帳戶的讀取、寫入和共用權限,但您只能刪除您所擁有的帳戶記錄。 此外,您沒有執行系統管理工作 (例如安裝產品更新或將使用者新增至系統) 的權限。

指派為銷售副總裁角色的使用者可以執行較多與檢視和修改資料和資源相關的工作 (而且有較多的權限),其權限比指派給銷售人員角色的使用者大。 例如,指派為銷售副總裁角色的使用者可以讀取和指派任何帳戶給系統中的任何人,而指派為銷售人員角色的使用者則不可以。

有兩種角色擁有非常廣泛的權限:系統管理員和自訂員。 若要讓設定錯誤降至最低,這兩個角色的使用應該僅限於組織中負責管理和自訂 Microsoft Dynamics 365 的某些人員。 組織也可以自訂現有的角色和根據需求自行建立角色。 其他資訊:資訊安全角色和權限

.

根據使用者的存取與授權

根據預設,當您建立使用者時,使用者擁有讀取和寫入他們有權限使用之任何資料的存取權。 此外,也預設將使用者用戶端存取授權 (CAL) 設定為 Professional。 您可以變更其中一個設定,進一步限制資料及功能存取權。

存取模式。 這個設定決定每個使用者的存取層級。

  • 讀寫存取權。 根據預設,使用者擁有讀寫存取權,允許使用者存取他們有資訊安全角色所設定之適當權限的資料。

  • 系統管理存取權。 允許存取使用者有資訊安全角色所設定之適當權限的區域,但不允許使用者檢視或存取通常在銷售、服務和行銷區域中找到的商務資料 (例如客戶、連絡人、潛在客戶、商機、行銷活動和案例)。 例如,系統管理存取權可以用來建立 Dynamics 365 系統管理員,有權限可執行完整類型的管理工作 (例如,建立業務單位、建立使用者、設定重複資料偵測),但是無法檢視或存取任何商務資料。 請注意,獲指派此存取模式的使用者不會耗用 CAL。

  • 讀取存取權。 允許存取使用者有資訊安全角色所設定之適當權限的區域,但是具有讀取存取權的使用者只能檢視資料,無法建立或變更現有資料。 例如,擁有讀取存取權限且具備系統管理員資訊安全角色的使用者,可以檢視業務單位、使用者和團隊,但無法建立或修改這些記錄。

授權類型。 這會設定使用者 CAL,並決定使用者可使用的功能及區域。 此功能及區域控制權與使用者的資訊安全角色設定不同。 根據預設,會透過 Professional CAL,針對使用者獲授與權限的大部分功能或區域存取權來建立使用者。其他資訊:部落格:了解 Dynamics CRM 授權 2015

以記錄為基礎的安全性

您可以使用以記錄為基礎的安全性控制對個別記錄執行動作的使用者和團隊權限。 這是用於實體執行個體 (記錄),而且由存取權限提供。 記錄的擁有者可以和另一個使用者或團隊共用或授與記錄存取權限。 完成時,他們必須選擇要授與的權限。 例如,帳戶記錄的擁有者可以授與該帳戶資訊的讀取存取權限,但不能授與寫入存取權限。

權限生效後才可套用存取權限。 例如,如果使用者不具備檢視 (讀取) 帳戶記錄的權限,則他們將無法檢視任何帳戶,即使另一個使用者可以透過共用方式授與他們特定帳戶的存取權限。

階層安全性

您可以使用階層安全模型以存取階層式資料。 透過此額外的安全性,可取得更細微的記錄存取權,讓經理存取其下屬記錄以供核准或代表下屬作業。 其他資訊:階層安全性

以欄位為基礎的安全性

您可以使用欄位層級安全性,限制只有指定使用者或團隊能夠存取特定具有高業務影響的欄位。 如同以記錄為基礎的安全性,權限生效後才能套用這個存取權限。 例如,使用者可以擁有帳戶讀取權限,但可能受限於檢視所有帳戶中的特定欄位。 其他資訊:欄位層級安全性

整個部署的系統管理層級安全性 (僅內部部署)

安裝期間,Microsoft Dynamics CRM Server 安裝程式會建立特殊的跨部署系統管理員角色,並將它附加至用以執行Microsoft Dynamics CRM Server 安裝程式的使用者帳戶。 部署系統管理員對於 Microsoft Dynamics CRM (內部部署) 部署中部署管理員的所有組織都具有完整且無限制的存取權。 [部署系統管理員] 角色並不是資訊安全角色,因此不會顯示在 Microsoft Dynamics CRM Web 應用程式中。

部署系統管理員可以建立新的組織,或停用部署中的任何現有組織。 反過來說,系統管理員角色的成員只具備使用者和資訊安全角色所在組織中的權限。

重要

當部屬系統管理員建立組織時,該系統管理員必須將組織資料庫的 db_owner 權限授與其他部署系統管理員,讓他們也能擁有這些組織的完整存取權限。

如需 部署系統管理員 角色的詳細資訊,請參閱部署管理員說明。

另請參閱

Microsoft Dynamics CRM 內部部署管理最佳做法
欄位層級安全性
階層安全性
資訊安全角色和權限
建立或編輯資訊安全角色
複製資訊安全角色
管理使用者
管理團隊
將團隊或使用者新增至欄位安全性設定檔
下載:使用 Microsoft Dynamics CRM 2011 建立可擴充的安全性模型
管理安全性、使用者和團隊
邀請其他人使用 Microsoft Dynamics CRM

© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權