Freigeben über


Sicherheitskonzepte für Microsoft Dynamics 365

 

Veröffentlicht: Februar 2017

Gilt für: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Hinweis

Die Informationen, die hier bereitgestellt werden, gelten für Dynamics 365 vor Dynamics 365 (online), Version 9.0. Die aktuelle Dokumentation finden Sie unter Sicherheitskonzepte.

Sie verwenden das Sicherheitsmodell in Microsoft Dynamics 365, um den Datenschutz und die Datenintegrität in einer Microsoft Dynamics 365-Organisation zu schützen. Das Sicherheitsmodell fördert außerdem effizienten Datenzugriff und Zusammenarbeit. Die Ziele des Modells sind:

  • Bereitstellen Sie eines Lizenzierungsmodells mit mehreren Ebenen für Benutzer.

  • Ermöglichung von Benutzerzugriff ausschließlich auf die Informationen, die Benutzer zum Ausführen ihrer Aufgaben benötigen

  • Kategorisierung von Benutzern und Teams nach Sicherheitsrolle und Beschränkung des Zugriffs basierend auf diesen Rollen

  • Unterstützung der Datenfreigabe, sodass Benutzern der Zugriff auf Objekte, die sie nicht besitzen, einmalig per Zusammenarbeitsfunktion gewährt werden kann

  • Vermeidung des Zugriffs auf Objekte, die ein Benutzer nicht besitzt oder freigibt

Geschäftsenheiten, rollenbasierte Sicherheit, Objektsicherheit und datensatzbasierte Sicherheit für benutzerdefinierte Felder werden kombiniert, um den Gesamtzugriff auf Informationen zu definieren, über der Benutzer in Ihrer Microsoft Dynamics 365-Organisation verfügen.

In diesem Thema

Unternehmenseinheiten

Rollenbasierte Sicherheit

Benutzerbasierter Zugriff und Lizenzierung

Teams

Datensatzbasierte Sicherheit

Hierarchiesicherheit

Feldbasierte Sicherheit

Sicherheit auf Administratorebene für die gesamte Bereitstellung (nur lokal)

Sicherheitsmodellierung mit Microsoft Dynamics 365

Unternehmenseinheiten

Eine Unternehmenseinheit stellt grundsätzlich eine Gruppe von Benutzern dar. Große Organisationen mit mehreren Kundenstämmen verwenden häufig mehrere Unternehmenseinheiten, um den Datenzugriff zu steuern. Zudem definieren sie Sicherheitsrollen, damit die Benutzer auf Datensätze in ihrer Unternehmenseinheit zugreifen können.Weitere Informationen:Erstellen oder Bearbeiten von Unternehmenseinheiten

Rollenbasierte Sicherheit

Sie können rollenbasierte Sicherheit verwenden, um Sätze von Rechten in Rollen zusammenzugruppieren, die die Aufgaben beschreiben, die von einem Benutzer oder Team ausgeführt werden können.Microsoft Dynamics 365 umfasst einen Satz vordefinierter Sicherheitsrollen, von denen jede einen Satz von Rechten darstellt, die aggregiert werden, um die Verwaltung der Sicherheit zu vereinfachen. Die meisten Berechtigungen definieren die Möglichkeit, Datensätze eines bestimmten Entitätstyps zu erstellen, zu lesen, zu schreiben, zu löschen oder freizugeben. Jedes Berechtigung definiert auch, wie breit die Berechtigung gilt: auf Benutzerebene, auf Unternehmenseinheitebene, für die gesamte Unternehmenshierarchie oder in der gesamten Organisation.

Wenn Sie sich zum Beispiel als Benutzer anmelden, dem die Rolle "Vertriebsmitarbeiter" zugewiesen ist, haben Sie die Berechtigungen zum Lesen, Schreiben und freigeben für die gesamte Organisation, Sie können jedoch nur Accountdatensätze löschen, deren Besitzer Sie sind. Außerdem haben keine Berechtigung zur Systemverwaltung, wie etwa zum Installieren von Produktaktualisierungen, oder um Benutzer zum System hinzuzufügen.

Ein Benutzer, dem die Vice President of Sales-Rolle zugewiesen wurde, kann mehr Aufgaben ausführen (und besitzt eine größere Anzahl von Rechten) im Zusammenhang mit der Anzeige und Änderung von Daten und Ressourcen, als ein Benutzer mit der Rolle Vertriebsmitarbeiter. Ein Benutzer mit der Vice President of Sales-Rolle kann beispielsweise jedes Konto im System lesen und allen Benutzern zuweisen, während ein Vertriebsmitarbeiter dies nicht kann.

Es gibt zwei Rollen mit sehr umfassenden Berechtigungen: Systemadministrator und Anpasser. Um Fehlkonfigurationen zu minimieren, sollte die Verwendung dieser beiden Rollen für bestimmte Personen in Ihrer Organisation eingeschränkt sein, die zum Verwalten und Anpassen von Microsoft Dynamics 365 zuständig sind. Organisationen können auch vorhandene Rollen anpassen und nach Bedarf eigene Rollen erstellen. Weitere Informationen: Sicherheitsrollen und Berechtigungen

Benutzerbasierter Zugriff und Lizenzierung

Standardmäßig hat ein Benutzer beim Erstellen Lese- und Schreibzugriff auf alle Daten für die er über die entsprechende Berechtigung verfügt. Zudem wird die Clientzugriffslizenz (CAL) des Benutzers standardmäßig auf "Professional" festgelegt. Sie können die über die Einstellungen ändern und so den Zugriff auf Daten und Funktionen einschränken.

Zugriffsmodus Diese Einstellung legt für den Benutzer die Zugriffsebene fest.

  • Lese-Schreib-Zugriff. Standardmäßig haben die Benutzer Lese-Schreib-Zugriff und können auf Daten zugreifen, für die sie über die entsprechenden Sicherheitsrollen über Zugriffsrechte verfügen.

  • Administrativer Zugriff. Ermöglicht Zugriff auf Bereiche, für die der Benutzer die entsprechenden Zugriffsrechte über Sicherheitsrollen hat. Erlaubt dem Benutzer nicht die Anzeige oder den Zugriff auf geschäftliche Daten aus den Bereichen Sales, Service und Marketing (beispielsweise Firmen, Kontakte, Leads, Verkaufschancen, Anfragen und Kampagnen). Beispielsweise kann der Administratorer-Zugriff dazu verwendet werden, um Dynamics 365-Administratoren zu erstellen, die eine Vielzahl von Verwaltungsaufgaben ausführen dürfen (z. B. Unternehmenseinheiten erstellen, Benutzer erstellen, Duplikaterkennung einrichten). Er kann jedoch nicht zur Anzeige oder zum Zugriff auf geschäftliche Daten genutzt werden. Beachten Sie, dass Benutzer, denen dieser Zugriffsmodus zugewiesen wurden, keine Clientzugriffslizenz nutzen.

  • Lesezugriff. Ermöglicht den Zugriff auf Bereiche, für die der Benutzer Zugriff durch entsprechende Sicherheitsrolle hat. Benutzer mit Lesezugriff können Daten nur anzeigen und keine Daten erstellen oder vorhandene Daten bearbeiten. Ein Benutzer mit Sicherheitsrolle "Systemadministrator" und Lesezugriff kann beispielsweise geschäftliche Einheiten, Nutzer und Teams anzeigen. Er kann jedoch keine Erstellen oder bearbeiten.

Lizenztyp. Legt die Benutzer-Clientzugriffslizenz fest und definiert, welche Funktionen und Bereiche für den Benutzer verfügbar sind. Diese Kontrolle der Funktionen und Bereiche findet getrennt von den Einstellung der Sicherheitsrolle des Benutzers statt. Standardmäßig werden für Benutzer mit einer Professional-CAL erstellt. Sie haben auf die meisten Funktionen und Bereiche für die ihnen Berechtigungen gewährt wurden Zugriff.

Teams

Teams bieten eine einfache Möglichkeit, um Geschäftsobjekte freizugeben, und mit anderen Personen in anderen Unternehmenseinheiten zusammenzuarbeiten. Während ein Team zu einer Unternehmenseinheit gehört, kann es Benutzer von anderen Unternehmenseinheiten enthalten. Sie können einen Benutzer mehreren Teams zuordnen.Weitere Informationen:Verwalten von Teams

Datensatzbasierte Sicherheit

Sie können die Datensatzbasierte Sicherheit verwenden, um Benutzer- und Teamrechte zu steuern, um Aktionen zu einzelnen Datensätzen durchzuführen. Dies gilt für Instanzen von Entitäten (Datensätzen) und wird durch Zugriffsrechte ermöglicht. Der Besitzer eines Datensatzes kann diesen freigeben oder einem anderen Benutzer oder Team den Zugriff darauf gewähren. Dabei muss er auswählen, welche Rechte er vergibt. Zum Beispiel kann der Besitzer eines Kontodatensatzes den Lesezugriff auf diese Kontoinformationen gewähren, nicht jedoch den Schreibzugriff.

Zugriffsrechte gelten erst, nachdem Berechtigungen wirksam geworden sind. Wenn Benutzer beispielsweise nicht über die Berechtigung zum Anzeigen (Lesen) von Kontodatensätzen verfügen, dann können sie gar kein Konto lesen, und zwar unabhängig von den Benutzerrechten, die ein anderer Benutzer ihnen mittels Freigabe für einen bestimmten Firmendatensatz gewährt.

Hierarchiesicherheit

Sie können das Hierarchiensicherheitsmodell für den Zugriff auf hierarchische Daten verwenden. Mit dieser zusätzlichen Sicherheit erhalten sie präziseren Zugriff auf Datensätze , sodass Manager auf die Datensätze ihrer Berichte zwecks Genehmigung oder Arbeit an den Datensätzen zugreifen können. Weitere Informationen: Hierarchiesicherheit

Feldbasierte Sicherheit

Sie können Sicherheit auf Feldebene verwenden, um den Zugriff auf bestimmte Felder mit hohen Auswirkungen auf das Unternehmen in einer Entität auf bestimmte Benutzer oder Teams zu beschränken. Wie bei der datensatzbasierten Sicherheit gilt dies, nachdem die Berechtigungen wirksam geworden sind. Beispielsweise kann ein Benutzer die Berechtigung zum Lesen eines Kontos haben, nicht aber die Möglichkeit, bestimmte Felder in allen Konten anzuzeigen. Weitere Informationen: Sicherheit auf Feldebene

Sicherheit auf Administratorebene für die gesamte Bereitstellung (nur lokal)

Während der Installation wird von Microsoft Dynamics CRM Server-Setup eine spezielle Administratorrolle für die gesamte Bereitstellung erstellt und an das zum Ausführen von Microsoft Dynamics CRM Server-Setup verwendete Benutzerkonto angefügt. Bereitstellungsadministratoren verfügen über vollständigen und uneingeschränkten Zugriff auf alle Organisationen in Bereitstellungs-Manager in der Dynamics 365 (lokal)-Bereitstellung. Bei der Rolle der Bereitstellungsadministrator handelt es sich nicht um eine Sicherheitsrolle, und sie wird daher nicht als solche in der Microsoft Dynamics 365-Webanwendung angezeigt.

Bereitstellungsadministratoren können neue Organisationen erstellen oder eine vorhandene Organisation in der Bereitstellung deaktivieren. Umgekehrt verfügen Mitglieder der Systemadministratorrolle-Sicherheitsrolle nur dort über Berechtigungen innerhalb des Unternehmens, wo sich der Benutzer und die Sicherheitsrolle befinden.

Wichtig

Wenn ein Bereitstellungsadministrator eine Organisation erstellt, muss er DB-Besitzerberechtigungen für die Datenbanken der Organisation den anderen Bereitstellungsadministratoren erteilen, damit auch diese vollständigen Zugriff auf diese Organisationen haben.

Weitere Informationen über die Bereitstellungsadministrator-Rolle finden Sie unter Bereitstellungsadministratoren.

Sicherheitsmodellierung mit Microsoft Dynamics 365

Ausführliche Informationen und bewährte Methoden zum Entwerfen des Sicherheitsmodells in Microsoft Dynamics 365 finden Sie im Whitepaper Skalierbare Sicherheitsmodellierung mit Microsoft Dynamics CRM, das im Microsoft Download Center erhältlich ist.

Siehe auch

Bewährte Methoden für die Verwaltung für lokale Bereitstellungen von Microsoft Dynamics 365
Sicherheit auf Feldebene
Hierarchiesicherheit
Sicherheitsrollen und Berechtigungen
Erstellen oder Bearbeiten einer Sicherheitsrolle
Kopieren einer Sicherheitsrolle
Verwalten von Benutzern
Verwalten von Teams
Hinzufügen von Benutzern oder Teams zu einem Feldsicherheitsprofil
Verwalten von Sicherheit, Benutzern und Teams

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright