Sdílet prostřednictvím

Koncepce zabezpečení pro aplikaci Microsoft Dynamics 365

  • Článek

 

Publikováno: únor 2017

Platí pro: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Poznámka

Informace uvedené zde platí pro verze Dynamics 365 před Dynamics 365 (online) verze 9.0. Nejnovější dokumentaci naleznete v části Koncepce zabezpečení.

Použití modelu zabezpečení v Microsoft Dynamics 365 k ochraně integrity dat a soukromí v organizaci Microsoft Dynamics 365. Model zabezpečení také podporuje efektivní přístup k datům a spolupráci. Cíle modelu jsou následující:

  • Nabídněte uživatelům model vícevrstvé správy licencí.

  • Poskytněte uživatelům přístup pouze k příslušným úrovním informací potřebným k výkonu jejich práce.

  • Ukládání uživatelů a týmů do kategorií podle rolí zabezpečení a omezení přístupu na základě těchto rolí.

  • Podpora sdílení dat tak, aby mohl být uživatelům udělen přístup k objektům, které nevlastní, pro jednorázovou spolupráci.

  • Zabránění přístupu k objektům, které uživatel nevlastní nebo nesdílí.

Můžete sloučit organizační jednotky, zabezpečení založené na rolích, zabezpečení založené na záznamech a zabezpečení založené na polích a definovat celkový přístup k informacím, který uživatelé mají ve vaší organizaci aplikace Microsoft Dynamics 365.

V tomto tématu

Organizační jednotky

Zabezpečení založené na rolích

Licencování a přístup založený na uživateli

Týmy

Zabezpečení založené na záznamech

Hierarchické zabezpečení

Zabezpečení založené na polích

Zabezpečení na správní úrovni v rámci celého nasazení (pouze místní)

Rozšiřitelné modelování zabezpečení pomocí aplikace Microsoft Dynamics 365

Organizační jednotky

Organizační jednotka je v podstatě skupina uživatelů. Velké organizace s více zákaznickými základnami často používají pro řízení přístupu k datům několik organizačních jednotek a definují role zabezpečení tak, aby uživatelé měli přístup k záznamům pouze ve vlastní organizační jednotce.Další informace:Vytvoření nebo úprava organizační jednotky

Zabezpečení založené na rolích

Můžete použít zabezpečení založené na rolích k seskupení sad oprávnění do rolí popisujících úlohy, které mohou být provedeny uživatelem nebo týmem. Aplikace Microsoft Dynamics 365 obsahuje sadu předdefinovaných rolí zabezpečení a každá z nich představuje sadu oprávnění seskupených za účelem usnadnění správy zabezpečení. Velká část oprávnění definuje možnost vytvářet, číst, zapisovat, odstraňovat a sdílet záznamy určitého typu entity. Každé oprávnění také definuje, jak široce oprávnění platí: na úrovni uživatele, na úrovni organizační jednotky, v hierarchii celé organizační jednotky nebo v celé organizaci.

Pokud se například přihlásíte jako uživatel, kterému je přiřazena role Prodejce, máte oprávnění ke čtení, zápisu a sdílení obchodních vztahů pro celou organizaci, ale můžete odstranit pouze záznamy obchodních vztahů, které vlastníte. Rovněž nemáte žádná oprávnění k provádění úloh správy systému, jako je například instalace aktualizací produktů nebo přidávání uživatelů do systému.

Uživatel, kterému byla přiřazena role Obchodní náměstek, může provádět širší sadu úloh (a má větší počet oprávnění) souvisejících se zobrazením a úpravou dat a prostředků, než může uživatel, kterému je přiřazena role Prodejce. Uživatel s přiřazenou rolí Obchodní náměstek může například číst a přiřadit jakýkoli obchodní vztah komukoli v systému. To uživatel s rolí Prodejce nemůže.

Existují dvě role, které mají velmi široká oprávnění: správce systému a úpravce systému. Chcete-li minimalizovat chybnou konfiguraci, využití těchto dvou rolí by mělo být omezeno jen na několik osob ve vaší organizaci odpovědných za správu a přizpůsobení Microsoft Dynamics 365. Organizace mohou také upravit stávající role a vytvořit vlastní role podle svých potřeb. Další informace: Role zabezpečení a oprávnění

Licencování a přístup založený na uživateli

Standardně při vytvoření uživatele má uživatel přístup pro čtení a zápis k libovolným datům, pro která má oprávnění. Ve výchozím nastavení je také licence klientského přístupu (CAL) uživatele nastavena na hodnotu Professional. Kterékoli z těchto nastavení lze změnit tak, aby ještě více omezovalo přístup k datům a funkcím.

Režim přístupu. Toto nastavení určuje úroveň přístupu pro každého uživatele.

  • Přístup pro čtení/zápis. Ve výchozím nastavení mají uživatelé přístup pro čtení/zápis, který jim umožňuje přístup k datům, pro která mají příslušná oprávnění nastavena rolemi zabezpečení.

  • Přístup ke správě. Umožňuje přístup k oblastem, u nichž má uživatel příslušné oprávnění nastaveno rolí zabezpečení, ale nedovoluje uživateli zobrazovat obchodní data, jež se zpravidla nachází v oblasti Prodej, Služby a Marketing, například obchodní vztahy, kontakty, zájemci, příležitosti, kampaně a případy, nebo k těmto datům přistupovat. Například přístup ke správě lze použít k vytvoření správců aplikace Dynamics 365, kteří mohou mít přístup k provádění celé řady úloh správy, jako je vytvoření obchodních jednotek, vytvoření uživatelů, nastavení vyhledávání duplicit, ale nemohou zobrazovat obchodní data ani k nim přistupovat. Všimněte si, že uživatelé, kteří jsou přiřazeni k tomuto režimu přístupu, nespotřebovávají licenci CAL.

  • Přístup pro čtení. Umožňuje přístup k oblastem, pro které má uživatel odpovídající přístup nastavený rolí zabezpečení, ale uživatel s přístupem pro čtení může data pouze zobrazit a nemůže je vytvářet nebo měnit stávající data. Například uživatel s rolí zabezpečení správce systému, který má přístup pro čtení, může zobrazit obchodní jednotky, uživatele a týmy, ale nemůže tyto záznamy vytvářet nebo upravovat.

Typ licence. Nastavuje uživatelské licence klientského přístupu (CAL) a určuje, jaké funkce a oblasti bude mít uživatel k dispozici. Tato ovládací prvek oblasti a funkce je oddělen od nastavení role zabezpečení uživatele. Ve výchozím nastavení jsou uživatelé vytvářeni s licencí klientského přístupu (CAL) Professional pro většinu přístupu k oblastem a funkcím, u nichž mají uděleno oprávnění.

Týmy

Týmy poskytují snadný způsob sdílení obchodních objektů a umožňují vám spolupracovat s ostatními uživateli napříč organizačními jednotkami. Přestože tým patří k jedné organizační jednotce, můžete do něj zahrnout uživatele i z jiných organizačních jednotek. Uživatele lze přiřadit i do více týmů.Další informace:Správa týmů

Zabezpečení založené na záznamech

Zabezpečení založené na záznamech můžete použít k nastavování práv uživatelů a týmů, která mají k provádění akcí u jednotlivých záznamů. To platí pro instance entit (záznamy) a je zajištěno prostřednictvím přístupových práv. Vlastník záznamu může sdílet nebo udělit přístup k záznamu jinému uživateli nebo týmu. V takovém případě je třeba zvolit práva, která jsou poskytována. Například vlastník záznamu obchodního vztahu můžete udělit oprávnění ke čtení informací o daném obchodním vztahu, ale nemůže udělit oprávnění k zápisu.

Přístupová práva se uplatní až s ohledem na oprávnění. Například pokud uživatel nemá oprávnění k zobrazení (čtení) záznamů obchodních vztahů, nebude moci zobrazit žádný obchodní vztah bez ohledu na přístupová práva, která mu jiný uživatel udělil k určitému obchodnímu vztahu prostřednictvím sdílení.

Hierarchické zabezpečení

Model hierarchického zabezpečení můžete použít pro přístup k hierarchickým datům. Toto dodatečné zabezpečení vám umožní získat podrobnější přístup k záznamům, umožňující správcům přístup k záznamům jejich sestav pro schválení nebo práci jménem sestavy. Další informace: Hierarchické zabezpečení

Zabezpečení založené na polích

Pomocí úrovně zabezpečení můžete konkrétním uživatelům nebo týmům omezit přístup k určitým polím s vysokým obchodním dopadem v entitě. Podobně jako u zabezpečení založeném na záznamech se tato práva uplatní až s ohledem na oprávnění. Například uživatel může mít oprávnění ke čtení obchodního vztahu, ale nemusí mít možnost zobrazit určitá pole u všech obchodních vztahů. Další informace: Zabezpečení na úrovni polí

Zabezpečení na správní úrovni v rámci celého nasazení (pouze místní)

Během instalace vytvoří aplikace Instalační program serveru Microsoft Dynamics CRM zvláštní roli správce celého nasazení a připojí ji k uživatelskému účtu, který se používá ke spuštění Instalační program serveru Microsoft Dynamics CRM. Správci nasazení mají úplný a neomezený přístup ke všem organizacím v nástroji Správce nasazení v rámci celého nasazení Dynamics 365 (místní). Role Správce nasazení není rolí zabezpečení a nezobrazí se ve webové aplikaci Microsoft Dynamics 365.

Správci nasazení mohou vytvořit nové organizace nebo zakázat jakékoli stávající organizace v nasazení. Členové role Správce systému mají na druhé straně oprávnění v rámci organizace pouze tam, kde se vyskytují uživatelé a role zabezpečení.

Důležité

Pokud správce nasazení vytvoří organizaci, musí tento správce udělit oprávnění db_owner pro databáze organizace ostatním správcům nasazení, aby také měli úplný přístup k těmto organizacím.

Další informace o roli Správce nasazení naleznete v tématu Deployment Administrators.

Rozšiřitelné modelování zabezpečení pomocí aplikace Microsoft Dynamics 365

Podrobné informace a doporučené postupy pro navrhování modelů zabezpečení v aplikaci Microsoft Dynamics 365 najdete v dokumentu white paper Škálovatelné modelování zabezpečení pomocí aplikace Microsoft Dynamics CRM, který je k dispozici v Stažení softwaru.

Viz také

Administration best practices for on-premises deployments of Microsoft Dynamics 365
Zabezpečení na úrovni polí
Hierarchické zabezpečení
Role zabezpečení a oprávnění
Vytvoření nebo úprava role zabezpečení
Kopírování role zabezpečení
Správa uživatelů
Správa týmů
Přidání týmů nebo uživatelů do profilu Zabezpečení polí
Správa zabezpečení, uživatelů a týmů

© 2017 Microsoft. Všechna práva vyhrazena. Autorská práva