設定用於精細存取資料的階層安全性
階層安全性模型是使用業務單位、資訊安全角色、共用和團隊之現有 Dynamics 365 Customer Engagement (on-premises) 安全性模型的擴充功能。 可與其他現有安全性模型一起使用。 階層安全性提供更細微的組織記錄存取權和有助於減少維護成本。 例如,在複雜案例,您可以一開始建立數個業務單位,然後新增階層安全性。 這會達到更細微的資料存取,而維護成本遠低於大量業務單位所需的成本。
經理階層和職位階層安全性模型
兩個安全性模型可用於階層:經理階層和職位階層。 在經理階層,經理必須與下屬位在相同的業務單位內,或是下屬的業務單位的上層業務單位,才能存取下屬的資料。 職位階層允許跨業務單位間的資料存取。 如果是財務組織,您可能偏好經理階層模型,避免經理存取其業務單位外部的資料。 不過,如果您是客戶服務組織的一部分,而且想要經理存取不同的業務單位所處理的服務案例,職位階層對您比較合適。
Note
雖然階層安全性模型提供資料的某個存取等級,使用其他形式的安全性,例如資訊安全角色,可取得其他存取權。
經理階層
經理階層安全性模型以管理鏈或直屬結構為基礎,其中使用系統使用者實體的經理欄位來建立經理與下屬的關係。 使用此安全性模型,經理可存取其下屬有權存取的資料。 他們可代表其直接下屬執行工作或存取需要核准的資訊。
Note
在經理階層安全性模型,經理可存取由使用者或使用者所屬團隊擁有的記錄,以及與使用者或使用者所屬團隊直接共用的記錄。 當記錄是由具備唯讀存取權之直接下屬使用者的管理鏈結以外使用者所分享時,直接下屬的經理對所分享的記錄也只有唯讀存取權。
除了經理階層安全性模型之外,經理必須至少有實體的使用者層級讀取權限,以查看下屬的資料。 例如,若經理沒有案例實體的讀取權限,經理無法查看其下屬可存取的案例。
如果是在經理同一個管理鏈結中的非直接下屬,經理對非直接下屬的資料有唯讀存取權。 針對直接下屬,經理有下屬資料的讀取、寫入、更新、附加、附加至存取權。 若要說明經理階層安全性模型,讓我們查看下圖。 CEO 可以讀取或更新業務副總的資料以及服務副總的資料。 不過,CEO 只可以讀取銷售經理資料及服務經理資料,以及銷售與支援資料。 您可以用「深度」進一步限制經理可以存取的資料量。 深度用來限制經理對其下屬資料所擁有唯讀存取權的深度層級數目。 例如,如果深度設定為 2,CEO 可以看見業務副總、服務副總、銷售經理及服務經理的資料。 不過,CEO 看不到銷售資料或支援資料。
務請特別注意,直接下屬比他們的經理有更深層的實體安全性存取,經理可能無法看到直接下屬可存取的所有記錄。 下列範例說明這點。
單一業務單位有三個使用者:使用者 1、使用者 2,以及使用者 3。
使用者 2 是使用者 1 的直接下屬。
使用者 1 和使用者 3 有客戶實體的使用者等級讀取權限。 此存取層級可讓使用者存取其所擁有的記錄、與使用者共用的記錄,以及與使用者所屬團隊共用的記錄。
使用者 2 有客戶實體的業務單位讀取權限。 這允許使用者 2 檢視該業務單位的所有客戶,包括使用者 1 和使用者 3 擁有的所有客戶。
使用者 1 身為使用者 2 的直接經理,可存取使用者 2 所擁有或共用的客戶,以及使用者 2 所屬團隊共用或所擁有共用的所有客戶。 不過,使用者 1 無法存取使用者 3 的客戶,即使其直接下屬可以存取使用者 3 的客戶。
職位階層
職位階層不是像經理階層依據直屬結構。 使用者不必是其他使用者的實際經理,以存取使用者的資料。 身為系統管理員,您會定義組織中的各種工作職位並在職位階層中安排它們。 然後,將使用者新增至任何特定職位,或用另一個說法,以特定職位「標示」使用者。 使用者在特定階層中只可以標示一個職位,但是,職位可用於多位使用者。 階層中較高職位的使用者可存取在較低職位的使用者資料 (在直接上階路徑)。 直接較高職位有直接上階路徑中較低職位資料的讀取、寫入、更新、附加、附加至存取權。 非直接較高職位有直接上階路徑中較低職位資料的唯讀存取權。
為說明直接上階路徑的概念,讓我們檢視下圖。 銷售經理職位可存取銷售資料,但不可以存取支援資料,因為這是在其他上階路徑。 服務經理職位也是如此。 它無法存取銷售資料,因為這是在銷售路徑。 如同經理階層,您可以用「深度」限制較高職位可以存取的資料量。 深度會限制較高職位對直接上階路徑中較低職位資料所擁有唯讀存取權的深度層級數目。 例如,如果深度設定為 3,CEO 職位可以看到業務副總、服務副總職位,一直到銷售與支援職位的資料。
注意
在職位階層安全性模型,較高職位的使用者可存取由較低職位的使用者或使用者所屬團隊擁有的記錄,以及與使用者或使用者所屬團隊直接共用的記錄。
除了職位階層安全性模型之外,較高職位的使用者必須至少有實體的使用者層級讀取權限,以查看較低職位的使用者可存取的記錄。 例如,若較高職位的使用者沒有案例實體的讀取權限,該使用者無法查看較低職位的使用者可存取的案例。
設定階層安全性
若要設定安全性階層,您必須具有系統管理員資訊安全角色。
階層安全性預設為停用。 若要啟用:
移至設定>安全性。
選擇階層安全性並選取啟用階層模型。
重要
若要在階層安全性中進行任何變更,您必須具有變更階層安全性模型設定權限。
當您啟用階層模型之後,選取經理階層或自訂職位階層以選取特定模型。 所有系統實體都會啟用階層安全性 (立即可用),但是,可以從階層排除選擇性的實體。 階層安全性視窗如下所示:
將 深度 設定為所需的值,以限制經理對其下屬資料所擁有唯讀存取權的深度層級數目。 例如,如果深度等於 2,經理只能存取其帳戶以及兩個等級深度的下屬帳戶。 在我們的範例,如果您不是以系統管理員身分登入 Customer Engagement 應用程式,系統管理員可以看到所有客戶,但是身為業務副總,您只能看到紅色方形中所顯示使用者的現行客戶,如下圖所示:
注意
雖然階層安全性授與業務副總對紅色方形中之記錄的存取權,但是根據業務副總擁有的資訊安全角色也可以使用額外的存取權。
安裝經理和職位階層
使用系統使用者記錄的經理關係,可輕鬆建立經理階層。 使用經理 (ParentsystemuserID) 查詢欄位指定使用者的經理。 如果您已經建立職位階層,您也可以使用職位階層的特定職位來標記使用者。 在下列範例中,銷售人員在經理階層中是銷售經理的下屬,也有職位階層的銷售職位:
若要新增使用者至職位階層的特定位置,請在使用者記錄表單上使用 [職位] 查詢欄位,如下所示:
重要
若要新增使用者到職位或變更使用者職位,您必須具有 指派使用者的職位 權限。
若要變更使用者記錄表單上的職位,請選擇更多 (…),然後選擇其他職位,如下所示:
若要建立職位階層:
移至設定>安全性。
選擇職位。
在每個職位,請提供職位的名稱、職位的上層,以及描述。 使用在這個職位的使用者查詢欄位,新增使用者到此職位。 以下是具有使用中職位的職位階層範例。
已啟用使用者和其對應職位的範例如下所示:
效能考量
若要提高效能,我們建議:
在經理/職位下保持有效階層安全性在 50 個使用者以內。 您的階層中,經理/職位底下可能有超過 50 個使用者,但是您可以使用 [深度] 設定減少唯讀存取權的層級數目,以及加上此限制將經理/職位底下有效的使用者數目減至 50 個使用者以內。
在較複雜案例中,將階層安全性模型與其他現有的安全性模型一起使用。 避免建立大量的業務單位,因此建立較少的業務單位並新增階層安全性。
請參閱
Microsoft Dynamics 365 for Customer Engagement 安全性概念
查詢及視覺化階層式資料