Jaa

Käytön hallinta hierarkian suojauksen avulla

  • Artikkeli

Hierarkia-suojausmalli on olemassa olevien liiketoimintayksiköitä, käyttöoikeusrooleja, jakamista ja tiimejä käyttävien suojausmallien laajennus. Sitä voidaan käyttää kaikkien muiden aiemmin luotujen suojausmallien kanssa. Hierarkia-suojaus tarjoa organisaation tietueiden tarkkarajaiset käyttöoikeudet ja auttaa pienentämään ylläpitokustannuksia.

Esimerkiksi monimutkaisissa tilanteissa voit aloittaa luomalla useita liiketoimintayksiköitä ja lisätä sitten hierarkia-suojauksen. Tämä lisäsuojaus mahdollistaa tietojen tarkennetut käyttöoikeudet huomattavasti pienemmillä ylläpitokustannuksilla kuin mitä suuri määrä liiketoimintayksiköitä saattaa edellyttää.

Esihenkilö- ja toimihierarkian suojausmallit

Hierarkioissa voidaan käyttää kahta suojausmallia, esihenkilöhierarkiaa ja toimihierarkiaa. Esihenkilöhierarkiassa esihenkilön on oltava samassa liiketoimintayksikössä kuin raportoiva tai raportoivan liiketoimintayksikön ylätason liiketoimintayksikössä, jotta esihenkilö voi käyttää raportoitavan tietoja. Asemahierarkia mahdollistaa tietojen käytön liiketoimintayksiköiden välillä. Jos kyseessä on taloushallinnon organisaatio, esihenkilöhierarkiamalli saattaa soveltua parhaiten, sillä se estää esihenkiköitä käyttämästä liiketoimintayksiköiden ulkopuolisia tietoja. Jos kuitenkin kyse asiakaspalveluorganisaatioon kuuluvasta ja esihenkilöiden halutaan käyttävän eri liiketoimintayksiköissä käsiteltyjä palvelupyyntöjä, toimihierarkia voi olla parempi vaihtoehto.

Muistiinpano

Vaikka hierarkia-suojausmalli tarjoaa osittaisen tietojen käyttöoikeuden, lisää oikeuksia voidaan määrittää muilla tietoturva-asetuksilla, kuten käyttöoikeusrooleilla.

Esimieshierarkia

Esihenkilön suojausmalli perustuu suoran raportointirakenteen hallintaketjuun, jossa esihenkilön ja raportoivan suhde luodaan järjestelmäkäyttäjätaulukon Esihenkilö-kentän avulla. Tässä suojausmallissa esihenkilöt voivat käyttää tietoja, joihin käyttöoikeus heille raportoivilla on. He voivat tehdä töitä suorien alaistensa puolesta tai käyttää tietoja, jotka vaativat hyväksyntää.

Muistiinpano

Esihenkilöhierarkian suojausmallissa esihenkilöllä käyttäjän tai käyttäjän tiimin omistamien tietueiden ja käyttäjän tai käyttäjän tiimin kanssa suoraan jaettujen tietueiden käyttöoikeus. Jos tietue on jaettu sellaisen käyttäjän kanssa, joka ei kuulu vain luku -oikeudet omaavan suoraan raportoivan hallintaketjuun, vain suoraan raportoivan esihenkilöllä on jaetun tietueen vain luku -oikeus.

Jos Tietueiden omistuksen liiketoimintayksiköiden välillä -vaihtoehto on otettu käyttöön, esihenkilöillä voi olla suoraan raportoivia useasta liiketoimintayksiköstä. Seuraavien ympäristötietokannan asetusten avulla voit poistaa liiketoimintayksikkörajoituksen.

ManagersMustBeInSameOrParentBusinessUnitAsReports

oletusarvo = tosi

Voit määrittää sen epätodeksi, eikä esihenkilön liiketoimintayksikön tarvitse olla sama kuin alaisen liiketoimintayksikkö.

Raportoivan tietojen tarkasteleminen edellyttää, että esihenkilöhierarkian suojausmallin lisäksi esihenkilöllä on oltava taulukossa vähintään käyttäjätason lukuoikeus. Jos esihenkilöllä ei ole esimerkiksi Palvelupyyntö-taulukon lukuoikeutta, esihenkilö ei näe palvelupyyntöjä, joiden käyttöoikeus raportoitavilla on.

Kun kyseessä on esihenkilön saman hallintaketjun muu kuin suora alainen, esihenkilöllä on vain luku -oikeus muun kuin suoran alaisen tietoihin. Suoraan raportoivien osalta esihenkilöllä on suoraan raportoivan tietojen luku-, kirjoitus-, lisäys- ja lisää kohteeseen -oikeudet. Seuraava kaavio kuvaa esimieshenkilöhierarkian suojausmallia. Toimitusjohtaja voi lukea tai päivittää myyntijohtajan ja palvelujohtajan tietoja. Toimitusjohtaja voi kuitenkin lukea vain myyntipäällikön ja palvelupäällikön tietoja sekä myynti- ja tukitietoja. Esihenkilön käytettävissä olevia tietoja voi rajoittaa myös syvyyden perusteella. Syvyydellä määritetään kuinka monen tason osalta esihenkilöllä on raportoitavien tietojen vain luku -oikeus. Jos syvyyden arvoksi on määritetty esimerkiksi 2, toimitusjohtaja nähdä myyntijohtajan, palvelujohtajan, myyntipäällikön ja palvelupäällikön tiedot. Toimitusjohtaja ei kuitenkaan näe myynti- tai tukitietoja.

Näyttökuvassa esihenkilöhierarkia. Tämä hierarkia sisältää toimitusjohtaja, myynnin varatoimitusjohtajan, myyntipäälliköt, palvelupäälliköt, myynnin ja tuen.

On tärkeää huomata, että jos suoralla alaisella on syvemmät taulukon käyttöoikeudet kuin esihenkilöllä, esihenkilö ei välttämättä näe kaikkia tietueita, joita alainen voi tarkastella. Seuraavassa esimerkissä havainnollistetaan tätä asiaa.

  • Yhdellä liiketoimintayksiköllä on kolme käyttäjää: Käyttäjät 1, 2 ja 3.

  • Käyttäjä 2 on käyttäjän 1 suora alainen.

  • Käyttäjillä 1 ja 3 on Asiakas-taulukon käyttäjätason lukuoikeudet. Tämä käyttöoikeustaso antaa käyttäjille käyttöoikeuden käyttäjän omistamiin tietueisiin, käyttäjän kanssa jaettuihin tietueisiin, ja sen ryhmän kanssa jaettuihin tietueisiin, jonka jäsen käyttäjä on.

  • Käyttäjällä 2 on liiketoimintayksikkötason Asiakas-taulukon lukuoikeus. Tämä käyttöoikeus antaa käyttäjälle 2 mahdollisuuden tarkastella kaikkia liiketoimintayksikön asiakkaita, mukaan lukien käyttäjien 1 ja 3 omistamia asiakkaita.

  • Käyttäjällä 1 on käyttäjän 2 suorana esihenkilönä käyttöoikeus kaikkiin käyttäjän 2 omistamiin ja jaettuihin asiakkaisiin sekä kaikkiin niihin asiakkaisiin, jotka on jaettu käyttäjän 2 ryhmien kanssa tai jotka kyseiset ryhmät omistavat. Käyttäjällä 1 ei kuitenkaan ole käyttöoikeutta käyttäjän 3 asiakkaisiin, vaikka suoralla alaisella olisikin käyttöoikeus käyttäjän 3 asiakkaisiin.

Sijaintihierarkia

Sijaintihierarkia ei perustu suorien alaisten rakenteeseen, kuten esihenkilöhierarkia. Käyttäjän ei tarvitse olla toisen käyttäjän todellinen esimies, jotta hän voi käyttää käyttäjän tietoja. Järjestelmänvalvojan tehtävänä on määrittää tehtävänimikkeet organisaatiossa ja järjestää ne toimihierarkiassa. Käyttäjiä voidaan sitten lisätä mihin tahansa toimeen tai toisin sanottuna käyttäjään voidaan lisätä tietyn toimen tunniste. Käyttäjälle voidaan asettaa tunniste vain yhteen tietyn hierarkian tehtävään liittyen, mutta tehtävää voidaan käyttää useiden käyttäjien kanssa. Hierarkian korkeammissa tehtävissä olevilla käyttäjillä on käyttöoikeudet alempien tehtävänimikkeiden tietoihin suoraan ylemmälle tasolle johtavassa polussa. Suorilla korkeammilla tehtävänimikkeillä on luku-, kirjoitus-, lisäys-, lisää kohteeseen -käyttöoikeus alempien tehtävänimikkeiden tietoihin suoraan ylemmälle tasolle johtavassa polussa. Muilla kuin suorilla korkeammilla tehtävänimikkeillä on vain luku -käyttöoikeus alempien tehtävänimikkeiden tietoihin suoraan ylemmälle tasolle johtavassa polussa.

Alla olevassa kaaviossa on suoraan ylemmälle tasolle johtava polku. Myyntipäällikön toimella myyntitietojen käyttöoikeus muttei kuitenkaan eri polussa sijaitsevien tukitietojen käyttöoikeutta. Sama koskee myös palvelupäällikön toimea. Sillä ei ole myyntipolussa sijaitsevien myyntitietojen käyttöoikeutta. Esihenkilöhierarkian tavoin korkeammalla olevien toimien mahdollisuutta käyttää tietoja voidaan rajoittaa syvyyden avulla. Syvyys määrittää kuinka monta syvyystasoa korkeammalla tasolla olevalla toimella on vain luku -oikeus alemman tasojen toimien tietoihin suoraan ylemmälle tasolle johtavalla polulla. Jos syvyys on esimerkiksi 3, toimitusjohtaja voi nähdä tiedot myynnin varatoimitusjohtajan ja palvelun varatoimitusjohtajan toimista aina myynti- ja tukitoimien tietoihin saakka.

Näyttökuvassa sijaintihierarkia. Tämä hierarkia sisältää toimitusjohtaja, myynnin varatoimitusjohtajan, myyntipäälliköt, palvelupäälliköt, myynnin ja tuen.

Muistiinpano

Toimihierarkian suojausmallissa korkeammalla tasolla olevalla käyttäjällä on alemmalla tasolla olevan käyttäjän tai käyttäjän tiimin omistamien tietueiden ja käyttäjälle tai käyttäjän tiimille suoraan jaettujen tietueiden käyttöoikeus.

Toimihierarkian suojausmallin lisäksi korkeamman tason käyttäjillä on oltava vähintään taulukon käyttäjätason lukuoikeus, jotta he voivat nähdä tietueet, joihin käyttöoikeus alemmilla tasoilla olevilla käyttäjillä on. Jos korkeammalla tasolla olevalla käyttäjällä ei ole esimerkiksi Palvelupyyntö-taulukon lukuoikeutta, kyseinen käyttäjä ei näe palvelupyyntöjä, joiden käyttöoikeus alemmalla tasolla olevilla käyttäjillä on.

Hierarkia-suojauksen asettaminen

Hierarkian suojausta määritettäessä on varmistettava, käytössä on järjestelmänvalvojan oikeus, jolla asetus voidaan päivittää.

Hierarkia-suojaus on asetettu pois käytöstä oletusarvoisesti. Hierarkian suojaus otetaan käyttöön seuraavasti.

  1. Valitse ensin ympäristö ja sitten Asetukset>Käyttäjät + oikeudet>Hierarkian suojaus.

  2. Valitse Hierarkiamalli-kohdassa omien tarpeiden mukaan joko Ota esihenkilön hierarkiamalli käyttöön tai Ota toimen hierarkiamalli käyttöön.

    Tärkeää

    Jotta hierarkia-suojaukseen voidaan tehdä mitään muutoksia, käyttäjällä on oltava Hierarkian suojausasetusten muuttaminen -oikeus.

    Hierarkiataulukon hallinta -alueella kaikilla järjestelmätaulukoilla on oletusarvoisesti käytössä hierarkiasuojaus, mutta taulukoita voidaan jättää valinnan mukaan pois hierarkiasta. Tietyt taulukot voidaan jättää pois hierarkiamallista poistamalla taulukkoa vastaava valintamerkki ja tallentamalla muutokset.

    Näyttökuvassa Hierarkiasuojaus-sivu ympäristöjen asetuksissa

  3. MääritäSyvyys-arvon avulla, kuinka monen tason osalta esihenkilöllä on raportoitavien tietojen vain luku -muotoinen käyttöoikeus.

    Jos syvyys on esimerkiksi 2, esimies voi käyttää vain omaa tiliänsä ja alaisten tilejä kaksi tasoa syvemmällä. Jos esimerkissä kirjaudutaan asiakasvuorovaikutussovelluksiin myynnin varatoimitusjohtajana, joka ei ole järjestelmänvalvoja, vain käyttäjien aktiiviset asiakkaat näkyvät kuvan osoittamalla tavalla:

    Näyttökuvassa myynnin varatoimitusjohtajan ja muiden toimien lukuoikeus

    Muistiinpano

    Vaikka hierarkia-suojaus myöntää myyntijohtaja käyttöoikeuden punaisen suorakaiteen sisällä oleviin tietueisiin, lisäoikeuksia voidaan myöntää myyntijohtajan käyttöoikeusroolin perusteella.

  4. Hierarkiataulukon hallinta -osassa hierarkian suojaus otetaan oletusarvoisesti käyttöön kaikissa järjestelmätaulukoissa. Tietyt taulukot voidaan jättää pois hierarkiamallista poistamalla taulukon nimen vieressä oleva valintamerkki ja tallentamalla muutokset.

    Näyttökuvassa näkyy, missä hiearkiasuojaus määritetään uuden, modernin käyttöliittymän asetuksissa

    Tärkeää

    • Tämä on esiversiotoiminto.
    • Esiversiotoimintoja ei ole tarkoitettu tuotantokäyttöön, ja niiden toiminnot voivat olla rajoitettuja. Näihin toimintoihin sovelletaan lisäkäyttöehtoja ja ne ovat käytettävissä ennen virallista julkaisua, jotta asiakkaat voivat käyttää niitä aikaisessa vaiheessa ja antaa palautetta.

Esimies- ja sijaintihierarkian määrittäminen

Esihenkilöhierarkia on helppo luoda käyttämällä esihenkilösuhdetta järjestelmäkäyttäjätietueessa. Voit määrittää käyttäjän esimiehen esimiehen (ParentsystemuserID) -hakukentän avulla. Jos sijaintihierarkia on luotu, käyttäjä voidaan merkitä tiettyyn tehtävänimikkeeseen sijaintihierarkiassa. Seuraavassa esimerkissä myyjä raportoi myyntipäällikölle esihenkilöhierarkiassa, minkä lisäksi myyjällä on myyntitoimi toimihierarkiassa:

Näyttökuvassa myyjän käyttäjätietue

Käyttäjä voidaan lisätä tiettyyn toimihierarkian toimeen käyttämällä Toimi-valintakenttää käyttäjätietueen lomakkeessa.

Tärkeää

Jotta voit lisätä käyttäjän tehtävänimikettä tai muuttaa käyttäjän tehtävänimikettä, sinulla on oltava Määritä käyttäjän sijainti -oikeus.

Näyttökuvassa käyttäjän lisääminen toimeen hierarkiasuojauksessa

Käyttäjätietuelomakkeessa oleva toimi voidaan vaihtaa valitsemalla siirtymispalkissa Lisää (...) ja valitsemalla jokin muu toimi.

Toimen muuttaminen hierarkian suojauksessa

Toimihierarkian luonti:

  1. Valitse ympäristö ja siirry kohtaan Asetukset>Käyttäjät + oikeudet>Toimet.

    Määritä jokaiselle sijainnille sijainnin nimi, sijainnin ylätaso ja kuvaus. Lisätä käyttäjiä tähän sijaintiin käyttämällä hakukenttää nimeltä Käyttäjät tässä sijainnissa. Seuraava kuva on esimerkki toimihierarkiasta, jossa on aktiivisia toimia.

    Aktiiviset toimet hierarkian suojauksessa

    Seuraavassa kuvassa on esimerkki käyttöönotetuista käyttäjistä ja heidän toimistaan.

    Näyttökuvassa käyttöönotetut käyttäjät ja heille määritetyt toimet

Suoran alaisen omistamien tietueiden sisällyttäminen tai jättäminen pois, kun kyseisen käyttäjän tila on käytöstä poistettu

Esihenkilöt voivat nähdä tilaltaan käytöstä poistetun suoran alaisen tietueet ympäristöissä, joissa hierarkiasuojaus on otettu käyttöön 31. tammikuuta 2024 jälkeen. Muissa ympäristöissä tilaltaan käytöstä poistetun suoran alaisen tietueita ei sisällytetä esihenkilön näkymään.

Tilaltaan käytöstä poistetun suoran alaisen tietueiden sisällyttäminen:

  1. Asenna OrganizationSettingsEditor-työkalu.
  2. Päivitä AuthorizationEnableHSMForDisabledUsers-asetukseksi tosi.
  3. Poista hierarkian mallinnus käytöstä.
  4. Ota se uudelleen käyttöön.

Tilaltaan käytöstä poistetun suoran alaisen tietueiden jättäminen pois:

  1. Asenna OrganizationSettingsEditor-työkalu.
  2. Päivitä AuthorizationEnableHSMForDisabledUsers-asetukseksi epätosi.
  3. Poista hierarkian mallinnus käytöstä.
  4. Ota se uudelleen käyttöön.

Muistiinpano

  • Kun hierarkian mallinnus poistetaan käytöstä ja otetaan uudelleen käyttöön, päivitys voi kestää kauan, sillä järjestelmän on laskettava esihenkilötietueen käyttöoikeus uudelleen.
  • Vähennä aikakatkaisun sattuessa Hierarkiataulukon hallinta -luettelossa olevien taulukoiden määrää siten, että luettelo sisältää vain taulukot, joita esihenkilön on tarkasteltava. Jos aikakatkaisu esiintyy tästä huolimatta, pyydä apua lähettämällä tukipalvelupyyntö.
  • Tilaltaan käytöstä poistetun suoran alaisen tietueet sisällytetään, jos kyseiset tietueet on jaettu toisen, aktiivisen suoran alaisen kanssa. Nämä tietueet voidaan jättää pois poistamalla jakaminen.

Suorituskykyyn liittyviä huomioita

Suosittelemme suorituskyvyn parantamiseksi:

  • Hierarkian suojaus pysyy tehokkaana, kun yhteen esihenkilöön tai toimeen liittyy enintään 50 käyttäjää. Hierarkiassa yhdellä esihenkilöllä tai toimella saattaa olla yli 50 käyttäjää. Syvyys-asetuksen avulla voidaan kuitenkin vähentää vain luku -oikeuden tasoja ja rajoittaa tällä tavoin esihenkilön tai toimen käyttäjien määrän käytännössä alle 50 käyttäjään.

  • Hierarkiasuojausmalleja voi käyttää muiden aiemmin luotujen suojausmallien kanssa monimutkaisissa skenaarioissa. välttämään suurta määrää liiketoimintayksiköitä ja luomaan tämän sijaan vähemmän liiketoimintayksiköitä ja lisäämään hierarkia-suojauksen.

Katso myös

Turvallisuus Microsoft Dataverse
Hierarkkisten tietojen kyselyjen tekeminen ja visualisointi