Concepts de sécurité pour Microsoft Dynamics 365
Date de publication : février 2017
S’applique à : Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Notes
Les informations fournies ici concernent les versions de Dynamics 365 précédant Dynamics 365 (online), version 9.0. Pour obtenir la dernière documentation, voir Concepts de sécurité.
Vous utilisez le modèle de sécurité de Microsoft Dynamics 365 pour protéger l'intégrité et la confidentialité de vos données dans une organisation Microsoft Dynamics 365. Le modèle de sécurité favorise également l'accès aux données et une collaboration efficace. Les objectifs du modèle sont les suivants :
Proposer un modèle de licence à plusieurs niveaux aux utilisateurs.
Accorder aux utilisateurs l'accès aux seuls niveaux d'informations nécessaires dans le cadre de leur travail.
Catégorisez les utilisateurs et les équipes par rôle de sécurité et limitez l'accès en fonction de ces rôles.
Prendre en charge le partage de données pour que les utilisateurs aient accès aux objets qu'ils ne possèdent pas dans le cadre d'une collaboration unique.
Empêcher l'accès à des objets par un utilisateur qui ne les possède pas ou ne les partage pas.
Vous combinez les divisions, la sécurité basée sur les rôles, la sécurité basée sur les enregistrements et la sécurité basée sur les champs pour définir l'accès global des utilisateurs aux informations dans votre organisation Microsoft Dynamics 365.
Contenu de la rubrique
Divisions
Sécurité basée sur les rôles
Accès basé sur les utilisateurs et licences
Équipes
Sécurité basée les enregistrements
Sécurité de la hiérarchie
Sécurité basée sur les champs
Sécurité de niveau administration pour le déploiement (en local uniquement)
Modélisation de sécurité évolutive avec Microsoft Dynamics 365
Divisions
Une division est un groupe d’utilisateurs. Les organisations importantes avec plusieurs bases de données de clients utilisent souvent plusieurs divisions pour contrôler l’accès aux données et définir les rôles de sécurité, afin que les utilisateurs accèdent uniquement aux enregistrements de leur propre division.Pour plus d'informations :Créer ou modifier des divisions
Sécurité basée sur les rôles
Vous pouvez utiliser la sécurité basée sur les rôles pour regrouper des ensembles de privilèges dans des rôles qui décrivent les tâches qui peuvent être effectuées par un utilisateur ou une équipe.Microsoft Dynamics 365 comprend un ensemble de rôles de sécurité prédéfinis, chacun consistant en un ensemble de privilèges agrégés pour faciliter la gestion de la sécurité. L'ensemble des privilèges définit la possibilité de créer, lire, écrire, supprimer et partager les enregistrements d'un type d'entité spécifique. Chaque privilège définit également comment le privilège s'applique globalement : au niveau utilisateur, au niveau de la division, pour toute la hiérarchie de la division ou pour toute l'organisation.
Par exemple, si vous vous connectez en tant qu'utilisateur ayant le rôle Vendeur, vous disposez des privilèges de lecture, d'écriture et de partage des comptes pour l'ensemble de l'organisation, mais vous pouvez supprimer uniquement les enregistrements de compte dont vous êtes propriétaire. En outre, vous n'avez aucun privilège permettant d'effectuer des tâches d'administration du système, telles que l'installation de mises à jour du produit, ou d'ajouter des utilisateurs au système.
Un utilisateur qui a le rôle de Vice-président des ventes peut effectuer un panel de tâches associées à la consultation et à la modification des données et des ressources plus large (et dispose d'un plus grand nombre de privilèges) qu'un utilisateur qui a le rôle de Commercial. Un utilisateur qui a le rôle de Vice-président des ventes peut, par exemple, lire et attribuer un compte à tout utilisateur du système, contrairement à un utilisateur avec le rôle Commercial.
Il existe deux rôles disposant de privilèges très larges : Administrateur système et Personnalisateur. Pour réduire le risque de mauvaise configuration, l'utilisation de ces deux rôles doit être limitée à quelques personnes de votre organisation responsables de l'administration et de la personnalisation de Microsoft Dynamics 365. Les organisations peuvent également personnaliser des rôles existants et créer leurs propres rôles pour répondre à leurs besoins. Pour plus d'informations, voir Rôles et privilèges de sécurité
Accès basé sur les utilisateurs et licences
Par défaut, lorsque vous créez un utilisateur, ce dernier a un accès en lecture et en écriture aux données pour lesquelles il dispose d'une autorisation. En outre, par défaut, la licence d'accès client de l'utilisateur est définie sur Professionnel. Vous pouvez modifier ces paramètres pour limiter davantage l'accès aux données et fonctionnalités.
Mode d'accès. Ce paramètre détermine le niveau d'accès de chaque utilisateur.
Accès en lecture-écriture. Par défaut, les utilisateurs disposent d'un accès en lecture-écriture qui leur permet d'accéder aux données pour lesquelles ils disposent d'une autorisation appropriée définie par les rôles de sécurité.
Accès administrateur. Autorise l'accès aux zones pour lesquelles l'utilisateur dispose d'une autorisation appropriée définie par les rôles de sécurité, mais n'autorise pas l'utilisateur à afficher ou accéder aux données commerciales généralement disponibles dans les zones Sales, Service et Marketing, telles que les comptes, contacts, prospects, opportunités, campagnes et incidents. Par exemple, l'accès administrateur permet de créer des administrateurs Dynamics 365 qui peuvent effectuer un éventail complet de tâches administratives, telles que la création de divisions, la création d'utilisateurs, la configuration de règles de détection de doublons. Toutefois, ils ne peuvent pas afficher les données commerciales ou y accéder. Notez que les utilisateurs bénéficiant de ce mode d'accès n'utilisent pas une licence d'accès client.
Accès en lecture. Autorise l'accès aux zones pour lesquelles l'utilisateur dispose d'une autorisation appropriée définie par le rôle de sécurité. L'utilisateur disposant d'un accès en lecture peut uniquement afficher les données, mais pas créer ou modifier les données existantes. Par exemple, un utilisateur disposant du rôle de sécurité Administrateur système qui a un accès en lecture peut afficher les divisions, utilisateurs et équipes, mais pas créer ou modifier ces enregistrements.
Type de licence. Cette option définit la licence d'accès client et détermine les fonctions et zones accessibles à l'utilisateur. Ce contrôle de fonction et de zone se distingue du paramètre de rôle de sécurité de l'utilisateur. Par défaut, les utilisateurs sont créés avec une licence d'accès client Professionnel qui leur permet d'accéder à la plupart des fonctions et zones pour lesquelles une autorisation leur est accordée.
Équipes
Les équipes constituent un moyen simple de partager des objets professionnels et vous permettent de collaborer avec d'autres utilisateurs dans les divisions. Lorsqu'une équipe appartient à une division, elle peut inclure des utilisateurs d'autres divisions. Vous pouvez associer un utilisateur à plusieurs équipes.Pour plus d'informations :Gérer des équipes
Sécurité basée les enregistrements
Vous pouvez utiliser la sécurité basée sur les enregistrements pour contrôler les droits des utilisateurs et des équipes à effectuer des actions sur des enregistrements distincts. Elle s'applique aux instances des entités (enregistrements) et repose sur des droits d'accès. Le propriétaire d'un enregistrement peut partager, ou accorder l'accès à un enregistrement à un autre utilisateur ou à une autre équipe. Lorsque cela est fait, il doit choisir les droits à accorder. Par exemple, le propriétaire d'un enregistrement de compte peut accorder l'accès en lecture à ces informations de comptes, mais pas l'accès en écriture.
Les droits d'accès s'appliquent uniquement une fois que les privilèges sont effectifs. Par exemple, si un utilisateur ne dispose pas des privilèges pour afficher (lire) les enregistrements de comptes, il ne pourra lire aucun compte, et ce quels que soient les droits d'utilisateur qu'un autre utilisateur pourrait lui accorder sur un compte spécifique par le biais d'un partage.
Sécurité de la hiérarchie
Vous pouvez utiliser le modèle de sécurité de hiérarchie pour accéder aux données hiérarchiques. Avec cette sécurité supplémentaire, vous obtenez un accès plus granulaire aux enregistrements, ce qui permet aux dirigeants d'accéder aux enregistrements de leurs subordonnés pour approbation ou de travailler au nom de ces subordonnés. Pour plus d'informations, voir Sécurité de la hiérarchie
Sécurité basée sur les champs
Vous pouvez utiliser la sécurité au niveau des champs pour limiter l'accès à des champs ayant un fort impact sur l'activité dans une entité uniquement à certains utilisateurs ou à certaines équipes. Comme la sécurité basée sur les enregistrements, elle s'applique une fois que les privilèges sont effectifs. Par exemple, un utilisateur peut avoir des privilèges de lecture d'un compte, mais être limité pour la lecture de certains champs dans tous les comptes. Pour plus d'informations, voir Sécurité au niveau des champs
Sécurité de niveau administration pour le déploiement (en local uniquement)
Au cours de l’installation, Programme d’installation de Microsoft Dynamics CRM Server crée un rôle de niveau administration pour l’ensemble du déploiement et lui joint le compte d’utilisateur utilisé pour exécuter Programme d’installation de Microsoft Dynamics CRM Server. Les administrateurs de déploiement ont un accès complet et illimité à toutes les organisations dans le Gestionnaire de déploiement du déploiement Dynamics 365 (local). Le rôle Administrateur de déploiement n’est pas un rôle de sécurité et n’apparaît pas dans l’application Web Microsoft Dynamics 365 en tant que tel.
Les administrateurs de déploiement peuvent créer de nouvelles organisations ou désactiver n'importe quelle organisation existante dans le déploiement. Inversement, les membres du rôle de sécurité Rôle Administrateur système n'ont d'autorisations dans l'organisation que pour les emplacements de l'utilisateur et du rôle de sécurité.
Important
Lorsqu'un administrateur de déploiement crée une organisation, il doit proposer des privilèges db_owner pour les bases de données de l'organisation aux autres administrateurs de déploiement afin qu'ils puissent également avoir un accès complet à ces organisations.
Pour plus d’informations sur le rôle Administrateur de déploiement, voir Administrateurs de déploiement.
Modélisation de sécurité évolutive avec Microsoft Dynamics 365
Pour plus d'informations sur les meilleures pratiques pour la conception du modèle de sécurité dans Microsoft Dynamics 365, consultez le libre blanc Modélisation de sécurité évolutive avec Microsoft Dynamics CRM disponible dans le Centre de téléchargement Microsoft.
Voir aussi
Meilleures pratiques d'administration pour les déploiements locaux de Microsoft Dynamics 365
Sécurité au niveau des champs
Sécurité de la hiérarchie
Rôles et privilèges de sécurité
Créer ou modifier un rôle de sécurité
Copier un rôle de sécurité
Gérer les utilisateurs
Gérer des équipes
Ajouter des équipes ou des utilisateurs à un profil de sécurité de champ
Gérer la sécurité, les utilisateurs et les équipes
© 2017 Microsoft. Tous droits réservés. Copyright