保護應用程式與資料
在您判斷要使用何種資料結構之後,下一個步驟是考慮如何保護您的資料。 您應該考慮哪些資料將會被誰存取,並參考您在規劃階段所列示的工作、商務程序及角色。 本文為不熟悉的人介紹一般安全性概念。 如需安全性技術方面的詳細資訊,請參閱資訊安全角色和權限。
安全性層級
設定安全性時,您可以在應用程式中設定四種不同的安全性層級。
應用程式層級安全性
應用程式層級安全性限制對應用程式的存取。
應用程式層級安全性不會保護您的資料儲存位置。 保護資料的方式將根據資料來源的功能而不同。 當您共用您的應用程式時,請確保您的使用者也具備適當的基礎資料存取權。
表單層級安全性
對於模型導向應用程式,表單層級安全性可讓您只允許特定的安全性群組存取特定的表單。 如果您想要限制人員如何依據工作角色輸入或查看資料,這會很有用。
例如,核准程序應用程式可以有一個表單供員工建立和送出核准要求,而另一個表單供核准者審查已提交的要求。 表單層級安全性適用於這種案例。 其他資訊:控制對模型導向應用程式表單的存取
記錄層級安全性
記錄層級安全性是一種安全性類型,您可以在其中指派特定記錄的存取權。 假設您目前在 Excel 活頁簿中有一張工作表。 記錄層級安全性可讓您為每個單獨的列設定安全性。
您可以為記錄層級安全性設定四種不同類型的存取權,稱為 CRUD(建立、讀取、更新及刪除):
建立允許使用者建立新的資料(例如在 Excel 中新增新的一列)。
讀取允許使用者查看資料。
更新允許使用者變更現有的資料。 這種方式與建立不同,因為建立會新增新的資料。
刪除允許使用者刪除資料(例如移除 Excel 中的列)。
對於 Microsoft Dataverse,有四種其他類型的存取權:附加、附加至、指派及共用。 其他資訊:資訊安全角色和權限
欄位層級安全性
欄位層級安全性是單一記錄中更細微的安全性。 就像在 Excel 中設定單一欄的安全性一樣。 這通常有類似於記錄層級安全性的存取等級,但是在欄位等級。
不同安全性等級如何相互關聯
上述的安全性等級與層級類似。 您的應用程式設計應考慮其中一或多個安全性等級來符合您的需求。 下表顯示每個安全性等級控制應用程式行為的方式。
| 安全性等級 | 範例 |
|---|---|
| 應用程式層級安全性 | 存取「Sales 應用程式」 |
| 表單層級安全性 | 存取「客戶卡片」 |
| 記錄層級安全性 | 存取「Contoso Ltd.」 |
| 欄位層級安全性 | 存取「營業額」 |
設計安全性的五個步驟
不同的安全性等級看起來似乎相當複雜,但是您可以將它分成下列五個步驟:
步驟 1:找出誰或哪群人(例如部門、區段或團隊) 將可以存取應用程式本身。 這應該與您在規劃階段中所識別的人員組相同。
步驟 2:您在步驟 1 中識別的使用者,將他們分成會(或不會)存取受限資訊類型的群組。
步驟 3:識別誰可以查看這些記錄的需求。
步驟 4:如果您使用的是 Dataverse 以外的資料來源—或沒有 Office 365 或 Microsoft Entra 驗證的服務—則您應該考慮如何允許存取這些系統。 如果您不是負責維護這些系統,請洽詢這些服務管理員的意見。
步驟 5:根據上述步驟,您應考慮如何管理這些不同的群組。 建議您使用安全性群組。
範例:費用報表解決方案安全性
在費用核准案例中,所有員工都可以提交費用報表,因此他們必須有權存取費用報表建立應用程式。 此外,核准者也需要存取核准應用程式。
我們需要一個「所有員工」安全性群組,該群組可存取費用報表應用程式及其使用的資料。 我們需要可存取核准應用程式的「核准者」安全性群組。
會計部門可能需要存取更敏感的資料,例如員工在報銷時所用的銀行帳戶。
我們需要一個「會計」團隊安全性群組,這是唯一可存取員工銀行代號的安全性群組。
我們很可能不想讓員工能看到彼此的費用報表,因此我們需要設定記錄層級安全性,以允許員工只存取自己的記錄。 但是,我們也需要確保核准者可以看到他們要核准的報表。 而且,我們需要稽核人員團隊能夠看到所有費用報表(但不能變更它們)。
我們需要「稽核員」安全性群組。 我們需要讓它和「核准者」安全性群組可以存取所有的記錄,而我們需要讓「所有員工」群組只能存取「我建立的記錄」。
其他資訊:Dataverse 中的安全性