Sdílet prostřednictvím


Koncepce modelu zabezpečení

Použití modelu zabezpečení v Dynamics 365 Customer Engagement (on-premises) k ochraně integrity dat a soukromí v organizaci Customer Engagement (on-premises). Model zabezpečení také podporuje efektivní přístup k datům a spolupráci. Cíle modelu jsou následující:

  • Nabídněte uživatelům model vícevrstvé správy licencí.

  • Poskytněte uživatelům přístup pouze k příslušným úrovním informací potřebným k výkonu jejich práce.

  • Ukládání uživatelů a týmů do kategorií podle rolí zabezpečení a omezení přístupu na základě těchto rolí.

  • Podpora sdílení dat tak, aby mohl být uživatelům udělen přístup k objektům, které nevlastní, pro jednorázovou spolupráci.

  • Zabránění přístupu k objektům, které uživatel nevlastní nebo nesdílí.

Můžete sloučit organizační jednotky, zabezpečení založené na rolích, zabezpečení založené na záznamech a zabezpečení založené na polích a definovat celkový přístup k informacím, který uživatelé mají ve vaší organizaci aplikace Customer Engagement (on-premises).

Organizační jednotky

Organizační jednotka je v podstatě skupina uživatelů. Velké organizace s více zákaznickými základnami často používají pro řízení přístupu k datům několik organizačních jednotek a definují role zabezpečení tak, aby uživatelé měli přístup k záznamům pouze ve vlastní organizační jednotce. Další informace: Vytvoření organizačních jednotek

Zabezpečení založené na rolích

Můžete použít zabezpečení založené na rolích k seskupení sad oprávnění do rolí popisujících úlohy, které mohou být provedeny uživatelem nebo týmem. Aplikace Customer Engagement (on-premises) obsahuje sadu předdefinovaných rolí zabezpečení a každá z nich představuje sadu oprávnění seskupených za účelem usnadnění správy zabezpečení. Velká část oprávnění definuje možnost vytvářet, číst, zapisovat, odstraňovat a sdílet záznamy určitého typu entity. Každé oprávnění také definuje, jak široce oprávnění platí: na úrovni uživatele, na úrovni organizační jednotky, v hierarchii celé organizační jednotky nebo v celé organizaci.

Pokud se například přihlásíte jako uživatel, kterému je přiřazena role Prodejce, máte oprávnění ke čtení, zápisu a sdílení obchodních vztahů pro celou organizaci, ale můžete odstranit pouze záznamy obchodních vztahů, které vlastníte. Rovněž nemáte žádná oprávnění k provádění úloh správy systému, jako je například instalace aktualizací produktů nebo přidávání uživatelů do systému.

Uživatel, kterému byla přiřazena role Obchodní náměstek, může provádět širší sadu úloh (a má větší počet oprávnění) souvisejících se zobrazením a úpravou dat a prostředků, než může uživatel, kterému je přiřazena role Prodejce. Uživatel s přiřazenou rolí Obchodní náměstek může například číst a přiřadit jakýkoli obchodní vztah komukoli v systému. To uživatel s rolí Prodejce nemůže.

Existují dvě role, které mají velmi široká oprávnění: správce systému a úpravce systému. Chcete-li minimalizovat chybnou konfiguraci, využití těchto dvou rolí by mělo být omezeno jen na několik osob ve vaší organizaci odpovědných za správu a přizpůsobení Customer Engagement (on-premises). Organizace mohou také upravit stávající role a vytvořit vlastní role podle svých potřeb. Další informace: Role zabezpečení

Licencování a přístup založený na uživateli

Standardně při vytvoření uživatele má uživatel přístup pro čtení a zápis k libovolným datům, pro která má oprávnění. Ve výchozím nastavení je také licence klientského přístupu (CAL) uživatele nastavena na hodnotu Professional. Kterékoli z těchto nastavení lze změnit tak, aby ještě více omezovalo přístup k datům a funkcím.

Režim přístupu. Toto nastavení určuje úroveň přístupu pro každého uživatele.

  • Přístup pro čtení/zápis. Ve výchozím nastavení mají uživatelé přístup pro čtení/zápis, který jim umožňuje přístup k datům, pro která mají příslušná oprávnění nastavena rolemi zabezpečení.

  • Přístup ke správě. Umožňuje přístup k oblastem, u nichž má uživatel příslušné oprávnění nastaveno rolí zabezpečení, ale nedovoluje uživateli zobrazovat obchodní data, jež se zpravidla nachází v oblasti Prodej, Služby a Marketing, například obchodní vztahy, kontakty, zájemci, příležitosti, kampaně a případy, nebo k těmto datům přistupovat. Například přístup ke správě lze použít k vytvoření správců aplikace Customer Engagement (on-premises), kteří mohou mít přístup k provádění celé řady úloh správy, jako je vytvoření obchodních jednotek, vytvoření uživatelů, nastavení vyhledávání duplicit, ale nemohou zobrazovat obchodní data ani k nim přistupovat. Všimněte si, že uživatelé, kteří jsou přiřazeni k tomuto režimu přístupu, nespotřebovávají licenci CAL.

  • Přístup pro čtení. Umožňuje přístup k oblastem, pro které má uživatel odpovídající přístup nastavený rolí zabezpečení, ale uživatel s přístupem pro čtení může data pouze zobrazit a nemůže je vytvářet nebo měnit stávající data. Například uživatel s rolí zabezpečení správce systému, který má přístup pro čtení, může zobrazit obchodní jednotky, uživatele a týmy, ale nemůže tyto záznamy vytvářet nebo upravovat.

Typ licence. Nastavuje uživatelské licence klientského přístupu (CAL) a určuje, jaké funkce a oblasti bude mít uživatel k dispozici. Tato ovládací prvek oblasti a funkce je oddělen od nastavení role zabezpečení uživatele. Ve výchozím nastavení jsou uživatelé vytvářeni s licencí klientského přístupu (CAL) Professional pro většinu přístupu k oblastem a funkcím, u nichž mají uděleno oprávnění.

Týmy

Týmy poskytují snadný způsob sdílení obchodních objektů a umožňují vám spolupracovat s ostatními uživateli napříč organizačními jednotkami. Přestože tým patří k jedné organizační jednotce, můžete do něj zahrnout uživatele i z jiných organizačních jednotek. Uživatele lze přiřadit i do více týmů. Další informace: Správa týmů

Zabezpečení založené na záznamech

Zabezpečení založené na záznamech můžete použít k nastavování práv uživatelů a týmů, která mají k provádění akcí u jednotlivých záznamů. To platí pro instance entit (záznamy) a je zajištěno prostřednictvím přístupových práv. Vlastník záznamu může sdílet nebo udělit přístup k záznamu jinému uživateli nebo týmu. V takovém případě je třeba zvolit práva, která jsou poskytována. Například vlastník záznamu obchodního vztahu můžete udělit oprávnění ke čtení informací o daném obchodním vztahu, ale nemůže udělit oprávnění k zápisu.

Přístupová práva se uplatní až s ohledem na oprávnění. Například pokud uživatel nemá oprávnění k zobrazení (čtení) záznamů obchodních vztahů, nebude moci zobrazit žádný obchodní vztah bez ohledu na přístupová práva, která mu jiný uživatel udělil k určitému obchodnímu vztahu prostřednictvím sdílení.

Hierarchické zabezpečení

Model hierarchického zabezpečení můžete použít pro přístup k hierarchickým datům. Toto dodatečné zabezpečení vám umožní získat podrobnější přístup k záznamům, umožňující správcům přístup k záznamům jejich sestav pro schválení nebo práci jménem sestavy. Další informace: Hierarchické zabezpečení

Zabezpečení založené na polích

Pomocí úrovně zabezpečení můžete konkrétním uživatelům nebo týmům omezit přístup k určitým polím s vysokým obchodním dopadem v entitě. Podobně jako u zabezpečení založeném na záznamech se tato práva uplatní až s ohledem na oprávnění. Například uživatel může mít oprávnění ke čtení obchodního vztahu, ale nemusí mít možnost zobrazit určitá pole u všech obchodních vztahů. Další informace: Zabezpečení na úrovni polí

Rozšiřitelné modelování zabezpečení pomocí aplikace Customer Engagement (on-premises)

Podrobné informace a doporučené postupy pro navrhování modelů zabezpečení v aplikacích Customer Engagement (on-premises) najdete v dokumentu Škálovatelné modelování zabezpečení pomocí aplikace Microsoft Dynamics CRM, který je k dispozici v Centru stahování Microsoft.

Viz také

Zabezpečení na úrovni polí
Hierarchické zabezpečení
Řízení přístupu k datům
Vytvoření nebo úprava role zabezpečení
Kopírování role zabezpečení
Spravovat uživatele
Správa týmů
Přidání týmů nebo uživatelů do profilu Zabezpečení polí
Správa zabezpečení, uživatelů a týmů