分享方式:

欄位安全性實體

  • 文章

 

發佈日期: 2017年1月

適用對象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online

使用欄位安全性實體套用實體欄位層級安全性限制,會限制欄位存取權限指定使用者和團隊。 此欄位層級的安全性範圍是全域的,這代表會套用至整個組織內的所有記錄,而不論紀錄或使用者所屬的業務單位階層層級為何。 在所有 Microsoft Dynamics 365 用戶端中都適用欄位安全性,包括網頁用戶端、Microsoft Dynamics 365 for Outlook 及 手機專用 Microsoft Dynamics 365。 欄位安全性會套用至所有元件,例如 Microsoft Dynamics 365 SDK、報表、搜尋、離線、篩選過的檢視、稽核和重複資料偵測。 在這個版本,欄位安全性會套用在自訂欄位和許多內建 (OOB) 欄位。

如需受保護的欄位如何變更方法行為的詳細資訊,請參閱 欄位安全性如何用於控制 Microsoft Dynamics 365 欄位值的存取

System_CAPS_security 安全性 附註

欄位層級安全性設定檔防止非預期的使用者取得至 Microsoft Dynamics 365 資料 (基於設定檔定義) 的存取。 如果 Microsoft SQL Server ACLs 設定錯誤,或是如果發生 SQL 隱碼攻擊,對方可以直接在 Microsoft SQL Server 取得資料的存取權限,並跳過欄位層級安全性的限制。 如需詳細資訊,請參閱 Web 應用程安全性威脅概觀

本主題內容

設定和使用欄位安全性

哪些屬性可受保護?

共用受保護欄位

設定和使用欄位安全性

如要使用欄位安全性,您必須依照以下步驟:

  1. 建立欄位安全性設定檔紀錄

  2. 新增使用者或團隊至設定檔

  3. 尋找欄位層級可受保護的屬性

  4. 保護屬性的安全,無論是在建立屬性或是更新屬性的中繼資料

  5. 發行屬性自訂項目

  6. 建立一個欄位權限紀錄,定義設定檔要給自訂屬性何種權限 (建立、更新、讀取)

如需範例程式碼執行步驟,請參閱 範例:啟用實體的欄位安全性

使用下列欄位權限屬性設定指定的欄位安全性設定檔是否可以建立,讀取、更新屬性。 使用 [是] 或 [否] 布林值 (field_security_permission_type) 全域選項組,您可以設定或比較這些屬性的值:

  • FieldPermission.CanCreate

  • FieldPermission.CanRead

  • FieldPermission.CanUpdate

System_CAPS_security 安全性 附註

如果給予低權限的使用者讀取欄位安全性設定檔實體的權限,他們就可以看見其他使用者擁有的設定檔,並尋找他們有興趣的其他能夠存取受保護屬性的使用者。 然後就可以使用社會工程學的技術取得指派的設定檔,用來存取這些受保護的屬性。

哪些屬性可受保護?

若要找出那些屬性可受保護,您可以查詢下列屬性的實體中繼資料:

特定屬性資料類型有一些額外的適用規則:

  • 對於建立和更新作業,布林屬性可受保護,但讀取則不可。

  • 預設值未指定時,選項組屬性針對建立、更新和讀取可受保護。

有數千個屬性可受保護,有兩個比較輕鬆的方法尋找此資訊。若要檢視組織的實體中繼資料,請安裝瀏覽組織的中繼資料中敘述的中繼資料瀏覽器解決方案。 您也可以下載 SDK 後開啟其頂層資料夾內所附名為 EntityMetadata.xlsx 的 Excel 檔案,從中檢視未經自訂組織的中繼資料。

共用受保護欄位

您可以共用受保護的欄位,一如您可共用記錄。 若要這麼做,您建立、更新或刪除 PrincipalObjectAttributeAccess (欄位共用) 記錄,您可指定使用者或團隊、實體和權限。

下表列出用來比較保護欄位與保護紀錄安全性的對應方法。

共用記錄

欄位存取共用

使用 GrantAccessRequest 訊息,授與使用者或團隊記錄權限。

使用 CreateRequest 訊息或 IOrganizationService.Create 方法來授予使用者或團隊安全欄位權限。

使用 ModifyAccessRequest 訊息,更新使用者或團隊記錄權限。

使用 UpdateRequest 訊息或 IOrganizationService.Update 方法來更新使用者或團隊安全欄位權限。

使用 RevokeAccessRequest 訊息,移除使用者或團隊記錄權限。

使用 DeleteRequest 訊息或 IOrganizationService.Delete 方法來移除使用者或團隊安全欄位權限。

另請參閱

Microsoft Dynamics 365 的安全性模型
管理和安全性實體
FieldSecurityProfile 實體訊息和方法
FieldPermission 實體訊息和方法
PrincipalObjectAttributeAccess (欄位共用) 實體訊息和方法
欄位層級資料加密
範例:擷取欄位權限
範例:啟用實體的欄位安全性
範例:擷取欄位共用記錄

Microsoft Dynamics 365

© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權