Condividi tramite

Configurare la sicurezza gerarchica per l'accesso granulare ai dati

  • Articolo

Nota

Se hai abilitato la modalità solo Unified Interface, prima di utilizzare le procedure in questo articolo, procedi come segue:

  1. Seleziona Impostazioni (Icona a forma di ingranaggio.) sulla barra di navigazione.
  2. Seleziona Impostazioni avanzate.

    Impostazioni avanzate.

Il modello di sicurezza gerarchica è un'estensione dei modelli di sicurezza esistenti di Dynamics 365 Customer Engagement (on-premises) che utilizzano Business Unit, ruoli di sicurezza, condivisione e team. È possibile utilizzarlo insieme a tutti gli altri modelli di sicurezza esistenti. La sicurezza gerarchica offre un accesso più granulare ai record di un'organizzazione e consente di abbassare i costi di manutenzione. Ad esempio, in scenari complessi, è possibile iniziare con la creazione di diverse Business Unit e quindi aggiungere la sicurezza gerarchica. In tal modo si ottiene un accesso più granulare ai dati con costi di mantenimento di gran lunga inferiori a quelli potenzialmente richiesti da un numero elevato di Business Unit.

Modelli di sicurezza di Gerarchia posizione e Gerarchia responsabile

I modelli di sicurezza che possono essere utilizzati per le gerarchie sono due: la gerarchia responsabile e la gerarchia posizione. Con la gerarchia responsabile, un responsabile per accedere ai dati del report deve trovarsi nella stessa Business Unit del report o nella Business Unit padre della Business Unit del report. La gerarchia posizione consente l'accesso ai dati tra Business Unit. Un'organizzazione finanziaria potrebbe preferire il modello di gerarchia responsabile per impedire l'accesso ai dati da parte dei responsabili esterni alla Business Unit. Tuttavia, se si fa parte di un'organizzazione di servizio clienti e si preferisce che i responsabili accedano ai casi di servizio gestiti in Business Unit diverse, la gerarchia posizione potrebbe essere più adatta.

Nota

Mentre il modello di sicurezza di gerarchia fornisce un determinato livello di accesso ai dati, l'accesso aggiuntivo può essere ottenuto tramite l'utilizzo di altri moduli di sicurezza, ad esempio i ruoli di sicurezza.

Gerarchia responsabile

Il modello di sicurezza di gerarchia responsabile è basato sulla catena di gestione o sulla struttura diretta dei report, dove la relazione dei report e dei responsabili viene definita utilizzando il campo Responsabile nell'entità utente di sistema. Con questo modello di sicurezza, i responsabili possono accedere ai dati a cui accedono i report, possono eseguire l'attività per conto dei report diretti o accedere alle informazioni che devono essere approvate.

Nota

Con il modello di sicurezza di gerarchia responsabile, un responsabile dispone dell'accesso ai record di proprietà dell'utente o del team di cui l'utente è membro e ai record che sono direttamente condivisi con l'utente o con il team di cui l'utente è membro. Quando un record viene condiviso da un utente che non rientra nella catena di gestione per un utente di report diretto con accesso di sola lettura, il responsabile del report diretto dispone solo dell'accesso di sola lettura al record condiviso.

Oltre al modello di sicurezza di gerarchia responsabile, un responsabile per visualizzare i dati dei report deve disporre almeno del privilegio Lettura a livello utente su un'entità. Ad esempio, se un responsabile non dispone dell'accesso in lettura all'entità Caso non sarà in grado di visualizzare i casi a cui i report possono accedere.

Per un report non diretto nella stessa catena di gestione del responsabile, un responsabile dispone dell'accesso di sola lettura ai dati del report non diretto. Per un report diretto, il responsabile dispone dell'accesso in lettura, scrittura, aggiornamento, aggiunta ai dati del report. Per definire il modello di sicurezza di gerarchia responsabile, esaminare il diagramma riportato di seguito. Il CEO può leggere o aggiornare i dati del vicepresidente delle vendite e i dati del vicepresidente del servizio. Tuttavia, il CEO può leggere solo i dati del direttore commerciale e del responsabile del servizio e i dati del servizio clienti e delle vendite. È possibile limitare ulteriormente la quantità di dati accessibili da un responsabile tramite l'opzione "Profondità". La profondità viene utilizzata per limitare il numero dei livelli a cui un responsabile può accedere in sola lettura ai dati dei report. Ad esempio, se la profondità è impostata su 2, il CEO può visualizzare i dati del vicepresidente delle vendite, del vicepresidente del servizio e dei responsabili delle vendite e del servizio. Tuttavia, il CEO non può visualizzare i dati delle vendite o i dati del servizio clienti.

Sicurezza gerarchica del responsabile in Dynamics 365 for Customer Engagement.

È importante notare che se un subalterno dispone di un migliore accesso di sicurezza a un'entità rispetto al responsabile, quest'ultimo potrebbe non essere in grado di vedere tutti i record a cui a accesso il subalterno. Nell'esempio seguente viene illustrato questo argomento.

  • Una singola Business Unit dispone di tre utenti: Utente 1, Utente 2 e Utente 3.

  • L'Utente 2 è un subalterno dell'Utente 1.

  • L'Utente 1 e l'Utente 3 hanno accesso in lettura a livello dell'utente nell'entità Conto. Questo livello di accesso consente agli utenti di accedere ai record di loro proprietà, ai record condivisi con l'utente e ai record condivisi con il team di cui l'utente è membro.

  • L'Utente 2 ha accesso in lettura alla Business Unit nell'entità Conto. Ciò consente all'Utente 2 di visualizzare tutti i conti per la Business Unit, inclusi tutti i conti di proprietà dell'Utente 1 e dell'Utente 3.

  • L'utente 1, in quanto responsabile diretto dell'Utente 2, ha accesso ai conti di proprietà o condivisi con l'Utente 2, e a tutti i conti di proprietà o condivisi da un team di cui l'Utente 2 è membro. Tuttavia, l'Utente 1 non ha accesso ai conti dell'Utente 3, anche se il suo subalterno potrebbe avere accesso ai conti dell'Utente 3.

Gerarchia posizione

La gerarchia posizione non è basata sulla struttura diretta dei report, come la gerarchia responsabile. Un utente non deve essere l'effettivo responsabile di un altro utente per accederne ai dati. In qualità di amministratore, si definiscono e si dispongono le varie posizioni professionali dell'organizzazione nella gerarchia posizione. Quindi, si aggiungono gli utenti a una specifica posizione o, come si dice in genere, si "contrassegna" un utente con una posizione particolare. Un utente può essere contrassegnato esclusivamente con una sola posizione in una gerarchia specificata, ma una posizione può essere utilizzata per più utenti. Gli utenti delle posizioni superiori nella gerarchia hanno accesso ai dati degli utenti delle posizioni inferiori, nel percorso del predecessore diretto. Le posizioni dirette superiori dispongono dell'accesso in lettura, scrittura, aggiornamento, aggiunta e aggiunta a per i dati delle posizioni inferiori nel percorso del predecessore diretto. Le posizioni non dirette superiori dispongono dell'accesso in sola lettura ai dati delle posizioni inferiori nel percorso del predecessore diretto.

Per illustrare il concetto del percorso del predecessore diretto, si esamini il diagramma seguente. La posizione del direttore commerciale dispone dell'accesso ai dati delle vendite, ma non dell'accesso ai dati del servizio clienti che si trova in un percorso del predecessore diverso. Lo stesso vale per la posizione del responsabile del servizio. Non può accedere ai dati delle vendite che si trovano nel percorso delle vendite. Come per la gerarchia responsabile, è possibile limitare la quantità di dati accessibili dalle posizioni superiori tramite l'opzione "Profondità". La profondità limiterà il numero dei livelli a cui una posizione superiore può accedere in sola lettura ai dati delle posizioni inferiori nel percorso del predecessore diretto. Ad esempio, se la profondità è impostata su 3, la posizione CEO può visualizzare i dati nelle posizioni inferiori a partire dalle posizioni del vicepresidente delle vendite e del vicepresidente del servizio alle posizioni delle vendite e del servizio clienti.

Gerarchia di posizione in Microsoft Dynamics 365 for Customer Engagement.

Nota

Con la sicurezza di gerarchia posizione, un utente di una posizione superiore dispone dell'accesso ai record di proprietà di un utente di una posizione inferiore o del team di cui un utente è membro e ai record che sono direttamente condivisi con l'utente o con il team di cui l'utente è membro.

Oltre al modello di sicurezza di gerarchia posizione, gli utenti a un livello superiore devono disporre almeno del privilegio Lettura a livello utente per un'entità al fine di visualizzare i record a cui gli utenti delle posizioni inferiori possono accedere. Ad esempio, se un utente di un livello superiore non dispone dell'accesso in lettura all'entità Caso non sarà in grado di visualizzare i casi a cui gli utenti delle posizioni inferiori possono accedere.

Configurazione della sicurezza gerarchica

È necessario disporre di un ruolo di sicurezza Amministratore per configurare la sicurezza gerarchica.

La sicurezza gerarchica è disabilitata per impostazione predefinita. Per abilitarla, effettuare i seguenti passaggi:

  1. Vai a Impostazioni>Sicurezza.

  2. Scegliere Sicurezza gerarchica e Abilita modello di gerarchia.

Importante

Per apportare modifiche nella Sicurezza gerarchica, è necessario disporre del privilegio per modificare le impostazioni della sicurezza gerarchica.

Dopo aver abilitato il modello di gerarchia, scegliere il modello specifico selezionando Gerarchia responsabile o Gerarchia posizione personalizzata. Tutte le entità di sistema sono abilitate per la sicurezza gerarchica per impostazione predefinita, tuttavia è possibile escludere selettivamente entità dalla gerarchia. Di seguito è riportata la finestra Sicurezza gerarchica:

Configurare la sicurezza gerarchica del responsabile in Dynamics 365 for Customer Engagement.

Impostare la Profondità sul valore desiderato per limitare il numero dei livelli a cui un responsabile può accedere in sola lettura ai dati dei report. Ad esempio, se la profondità è pari a 2, un responsabile può accedere solo ai suoi account e agli account dei report di due livelli in profondità. In questo esempio, se si esegue l'accesso alle app Customer Engagement non come amministratore, il quale può visualizzare tutti gli account, ma come vicepresidente delle vendite, sarà possibile visualizzare solo gli account attivi degli utenti presenti nel rettangolo rosso, come illustrato di seguito:

Accesso in lettura per Vicepresidente vendite in Dynamics 365 for Customer Engagement.

Nota

La sicurezza gerarchica garantisce al vicepresidente delle vendite l'accesso ai record del rettangolo rosso, tuttavia potrebbe essere disponibile un accesso aggiuntivo in base al ruolo di sicurezza del vicepresidente delle vendite.

Configurazione delle gerarchie posizione e responsabile

La gerarchia responsabile si crea facilmente utilizzando la relazione di responsabile del record utente di sistema. Utilizzare il campo di ricerca (ParentsystemuserID) Responsabile per specificare il responsabile dell'utente. Se la gerarchia posizione è già stata creata, è anche possibile contrassegnare l'utente con una posizione particolare nella gerarchia posizione. Nel seguente esempio, il venditore riporta al direttore commerciale nella gerarchia responsabile e inoltre dispone della posizione delle vendite nella gerarchia posizione:

Record utente del venditore in Dynamics 365 for Customer Engagement.

Per aggiungere un utente a una posizione particolare nella gerarchia posizione, utilizzare il campo di ricerca denominato Posizione nel modulo del record utente, come indicato di seguito:

Importante

Per aggiungere un utente a una posizione o modificare la posizione dell'utente, è necessario disporre del privilegio Assegna posizione per un utente.

Aggiungere l'utente a una posizione nella sicurezza gerarchica in Dynamics 365 for Customer Engagement.

Per modificare la posizione nel modulo del record utente, sulla barra di spostamento, selezionare Altro (...) e scegliere una posizione diversa, come illustrato di seguito:

Cambiare posizione nella sicurezza gerarchica in Dynamics 365 for Customer Engagement.

Per creare di una gerarchia delle posizioni:

  1. Vai a Impostazioni>Sicurezza.

  2. Scegliere Posizioni.

    Per ogni posizione, immettere il nome della posizione, l'elemento padre della posizione e la descrizione. Aggiungere gli utenti a questa posizione utilizzando il campo di ricerca denominato Utenti in questa posizione. Di seguito è riportato un esempio di gerarchia posizione con posizioni attive.

    Posizioni attive nella sicurezza gerarchica in Dynamics 365 for Customer Engagement.

    L'esempio degli utenti abilitati con le rispettive posizioni è riportato di seguito:

    Utenti abilitati con posizioni assegnate in Dynamics 365 for Customer Engagement.

Considerazioni sulle prestazioni

Per aumentare le prestazioni, attenersi alle seguenti raccomandazioni.

  • Mantenere la sicurezza gerarchica effettiva a 50 utenti o un numero inferiore sotto una posizione o un responsabile. La gerarchia potrebbe avere più di 50 utenti sotto una posizione o un responsabile, ma è possibile utilizzare l'impostazione Profondità per ridurre il numero di livelli dell'accesso in sola lettura e quindi limitare il numero effettivo di utenti sotto una posizione o un responsabile a 50 utenti o un numero inferiore.

  • Utilizzare i modelli di sicurezza gerarchica insieme ad altri modelli di sicurezza esistenti per scenari più complessi. Evitare di creare un numero elevato di Business Unit, creare quindi meno Business Unit e aggiungere sicurezza gerarchica.

Vedi anche

Concetti relativi alla sicurezza per Microsoft Dynamics 365 for Customer Engagement
Eseguire una query e visualizzare i dati gerarchici