角色型安全性如何用於控制 Microsoft Dynamics 365 實體的存取
發佈日期: 2017年1月
適用對象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online
在 Microsoft Dynamics CRM 2015 和 Microsoft Dynamics 365 (線上) 中,角色安全性的基本概念是角色包含定義一組可在組織中執行動作的權限。 例如,銷售人員角色獲指派一組權限,這組權限與該角色定義之工作的績效有關。 所有使用者都必須指派一個或多個預先定義或自訂的角色。 在 Microsoft Dynamics CRM 2015 中,也可以將角色指派給團隊。 當使用者或團隊指派給這些角色的其中一個時,人員或團隊成員即獲指派與該角色相關聯的權限集合。 使用者必須至少指派一個資訊安全角色。
權限授權使用者對特定實體類型執行特定動作。 權限會套用至物件的整個類別,而非物件的個別執行個體。 例如,如果使用者沒有讀取客戶的權限,則使用者讀取客戶的任何嘗試都將失敗。 權限含有存取層級,此層級決定權限所套用至的組織內部層級。 每個權限最多可以有四個存取層級:基本、本機、深度和全域。
本主題內容
角色
權限
存取層級
彙總
預先定義的資訊安全角色清單
角色
Microsoft Dynamics 365 包含十四個反映一般使用者角色的預先定義角色,這些角色的存取層級定義符合允許存取工作所需最低數量商務資料的資訊安全最佳作法目標。 您可以透過這些角色快速部署 Microsoft Dynamics 365 系統,而不必自行定義角色。 不過,您可以使用預先定義的角色為範本建立自訂角色,也可以定義一組新角色。 如需清單,請參閱 預先定義的資訊安全角色清單。
每個角色都會和一組權限有關聯,這組權限決定使用者或團隊對公司內部資訊的存取權。
您可以在 Microsoft Dynamics 365 中建立角色,並修改或移除這些自訂角色,以符合您的業務需求。 您為業務單位建立的角色是由階層中所有的業務單位所繼承。
您可以將一個或多個角色指派給使用者或團隊。 例如,一個使用者除了客戶服務代表角色之外,還可以具備銷售經理角色,在這種情況下,該使用者擁有這兩個角色的所有權限。
您無法在使用者層級修改權限,但可以建立具有所需權限的新角色。 例如,John 得到銷售人員角色,這會要求他必須接收指派給他的所有潛在客戶。 不過,系統管理員希望 John 可以重新指派先前指派給他的潛在客戶。 因此,系統管理員必須修改銷售人員角色以允許此行為,或是建立一個加入這個特定權限的新角色,再將 John 新增至此角色中。 建立新角色是建議選項,除非您認為所有指派為銷售人員角色的使用者現在都必須有這個額外的權限。
權限
在 Microsoft Dynamics 365 中,有超過 580 個在安裝期間預先定義於整個系統的權限。 權限是在 Microsoft Dynamics 365 中執行動作的許可。 有些權限套用至大多數實體類型,而有些則套用至特定實體類型。 如需在 Microsoft Dynamics 365 中可用權限的完整清單,請參閱Security role and privilege reference。
Microsoft Dynamics 365 使用權限做為基礎資訊安全檢查的核心。 權限「內建」於產品中,並且普遍在應用程式和平台層級中使用。 您無法新增或移除權限,或是變更權限如何用於授與特定功能的存取權限,但是您可以從現有的權限集合建構新的角色。
每個角色都會定義一組權限,這組權限決定使用者或團隊對公司內部資訊的存取權。 平台會檢查權限,如果使用者沒有必的權限,則拒絕作業。 權限是由深度與存取層級搭配組合而成。
例如,銷售人員角色可能包含 Read Account 搭配 Basic 存取和 Write Account 搭配 Basic 存取的權限,而銷售經理角色可能包含像是 Read Account 搭配 Local 存取和 Assign Contact 搭配 Local 存取的權限。
大多數實體都有一組可能的權限,這組權限可以新增至對應各種可對該實體時間記錄執行之動作的角色。 如需詳細資訊,請參閱依實體排列的權限。
系統中的每個動作,以及 SDK 文件中所述的每個訊息,都必須有一個或多個權限才能執行。 如需詳細資訊,請參閱Privileges by message。
存取層級
對特定實體類型來說,存取層級或權限深度決定使用者可以在組織階層中的哪些層級,對該實體類型採取動作。
下表列出 Microsoft Dynamics 365 中的存取層級 (從權限最大的開始)。 此圖示會在 Web 應用程式的資訊安全角色編輯器中出現。
.jpeg "全域存取等級")
|
全域。 此存取層級賦予使用者存取組織內所有記錄的權限,而不論執行個體或使用者所屬的業務單位階層層級為何。 擁有全域存取權限的使用者,同時自動取得深度、本機和基本存取權。 由於此存取層級允許在整個組織中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有組織授權的經理使用。 應用程式會將此存取層級稱為 [組織]。 |
.jpeg "深層存取等級")
|
深度。 此存取層級賦予使用者在使用者業務單位 (以及附屬於使用者業務單位之所有業務單位) 中存取記錄的權限。 擁有深度存取權限的使用者也會自動取得本機及基本存取權。 由於此存取層級允許在整個業務單位及附屬業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 應用程式將此存取層級稱為 [上/下層業務單位]。 |
.jpeg "本機存取等級")
|
本機。 此存取層級可讓使用者存取使用者業務單位中的記錄。 擁有本機存取權限的使用者也會自動取得基本存取權。 由於此存取層級允許在整個業務單位中存取資訊,因此必須受到限制以符合組織的資料安全性計劃。 此存取層級通常保留給擁有業務單位授權的經理使用。 應用程式將此存取層級稱為 [業務單位]。 |
.jpeg "基本存取等級")
|
基本版。 此存取層級可讓使用者存取其所擁有的記錄、與使用者共用的物件,以及與使用者所屬團隊共用的物件。 這是適用於銷售與服務代表的一般存取層級。 應用程式將此存取層級稱為 [使用者]。 |
.jpeg "無存取等級")
|
無。 不允許存取。 |
彙總
如果使用者擁有 Deep Read Account權限,則使用者可以讀取其業務單位中的所有客戶,以及該業務單位任何下層業務單位中的所有客戶。
如果使用者擁有 Local Read Account 權限,這個使用者可以讀取本機業務單位中的所有客戶。
如果將 Basic Read Account 權限指派給使用者,這個使用者只能讀取其所擁有的客戶,或者與該使用者共用的客戶。
擁有 Basic Read Account 權限的客戶服務代表可以檢視其所擁有的客戶,以及其他使用者與此使用者共用的任何客戶。 這讓代表可以讀取與服務要求相關的客戶資料,但無法變更資料。
擁有 Local Read Account 權限的資料分析師可以檢視客戶資料,並對其業務單位中的所有客戶執行客戶相關報表。
擁有 Deep Read Account 權限的公司財務主管可以檢視客戶資料,並對其業務單位及任何下層業務單位中的所有客戶執行客戶相關報表。
預先定義的資訊安全角色清單
下表列出 Microsoft Dynamics 365 SDK 中包含的一組預先定義角色。
角色 |
描述 |
CEO-商務經理人 |
在公司業務等級管理組織的使用者。 |
CSR 經理 |
在區域或團隊等級管理客戶服務活動的使用者。 |
客戶服務代表 (CSR) |
任何等級的客戶服務代表 (CSR)。 |
委派 |
允許代表另一個使用者採取動作的使用者。 |
行銷經理 |
在區域或團隊等級管理行銷活動的使用者。 |
行銷專業人員 |
在任何等級處理行銷活動的使用者。 |
銷售經理 |
在區域或團隊等級管理銷售活動的使用者。 |
銷售人員 |
任何等級的銷售人員。 |
排程規劃經理 |
排程服務約會的使用者。 |
排程規劃人員 |
管理服務、必要資源與工時的使用者。 |
支援使用者 |
具備客戶支援工程師身分的使用者。 |
系統管理員 |
在任何等級定義和實作程序的使用者。 |
系統自訂員 |
自訂 Microsoft Dynamics 365 實體、屬性、關聯及表單的使用者。 |
行銷副總 |
在業務單位等級管理行銷活動的使用者。 |
業務副總 |
在業務單位等級管理銷售組織的使用者。 |
另請參閱
Microsoft Dynamics 365 的安全性模型
權限與角色實體
Security role and privilege reference
記錄型安全性如何用於控制 Microsoft Dynamics 365 記錄的存取
欄位安全性如何用於控制 Microsoft Dynamics 365 欄位值的存取
Microsoft Dynamics 365
© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權