Concetti relativi alla sicurezza per Microsoft Dynamics CRM
Data di pubblicazione: novembre 2016
Si applica a: Dynamics CRM 2015
Utilizzare il modello di sicurezza in Microsoft Dynamics 365 per la protezione dell'integrità e della privacy dei dati in un'organizzazione Microsoft Dynamics 365. Il modello di sicurezza inoltre migliora l'efficienza dell'accesso ai dati e la collaborazione. Gli obiettivi del modello sono i seguenti:
Fornire un modello di licenze a più livelli per gli utenti.
Concedere agli utenti l'accesso solo ai livelli delle informazioni necessarie per svolgere le attività.
Suddividere gli utenti e i team in base al ruolo di sicurezza e limitare l'accesso in base ai ruoli.
Supportare la condivisione dei dati in modo che agli utenti possa essere concesso l'accesso agli oggetti che non sono di loro proprietà per collaborazioni occasionali.
Evitare l'accesso agli oggetti che non sono né condivisi né posseduti da un utente.
È possibile combinare Business Unit, la sicurezza basata sui ruoli, la sicurezza basata sui record e la sicurezza basata sui campi, al fine di definire l'accesso complessivo alle informazioni di cui gli utenti dispongono nell'organizzazione Microsoft Dynamics 365.
Per ulteriori informazioni sugli argomenti sulla sicurezza, vedere l'argomento di Microsoft Dynamics CRM SDKMSDN: Modello di sicurezza di Microsoft Dynamics CRM.
Business Unit
Una Business Unit è essenzialmente un gruppo di utenti. Le organizzazioni di grandi dimensioni con più basi di clienti utilizzano spesso più Business Unit per controllare l'accesso ai dati e definiscono ruoli di sicurezza per consentire agli utenti di accedere soltanto ai record della propria Business Unit.Ulteriori informazioni:Creare o modificare Business Unit
Sicurezza basata sui ruoli
È possibile utilizzare la sicurezza basata sui ruoli per raggruppare set di privilegi in ruoli che descrivono le attività eseguibili da un utente o un team.Microsoft Dynamics 365 include un set di ruoli di sicurezza predefiniti, ognuno dei quali contiene un set di privilegi aggregati allo scopo di rendere più semplice la gestione della sicurezza. L'insieme di privilegi definisce la possibilità di creare, leggere, scrivere, eliminare e condividere record di un tipo di entità specifico. Ogni privilegio definisce inoltre l'ambito di applicazione, ovvero a livello utente, a livello di Business Unit o di intera gerarchia di Business Unit o a livello di organizzazione.
Ad esempio, se si accede come utente a cui è assegnato il ruolo di venditore, si dispone dei privilegi di lettura, scrittura e condivisione per l'intera organizzazione, ma sarà possibile eliminare solo i record di account di cui si è proprietari. Inoltre, non si dispone dei privilegi per eseguire attività di amministrazione di sistema, ad esempio l'installazione di aggiornamenti dei prodotti o l'aggiunta di utenti al sistema.
Un utente a cui è stato assegnato il ruolo di vicepresidente delle vendite può eseguire un set di attività più ampio (e dispone di un numero maggiore di privilegi) associati alla visualizzazione e alla modifica dei dati e delle risorse rispetto a un utente cui è stato assegnato il ruolo di venditore. Un utente cui è assegnato il ruolo di vicepresidente delle vendite può, ad esempio, visualizzare e assegnare qualsiasi account a qualsiasi utente del sistema, mentre un utente cui è assegnato il ruolo di venditore non può farlo.
Esistono due ruoli che dispongono di privilegi molto ampi, ovvero Amministratore di sistema e Addetto alla personalizzazione del sistema. Per ridurre gli errori di configurazione, l'utilizzo di questi due ruoli deve essere limitato a pochi utenti dell'organizzazione responsabili dell'amministrazione e della personalizzazione di Microsoft Dynamics 365. Le organizzazioni possono anche personalizzare i ruoli esistenti e creare i propri ruoli per soddisfare le esigenze specifiche. Per ulteriori informazioni, vedere Ruoli di sicurezza e privilegi
.
Accesso e licenze basati sull'utente
Per impostazione predefinita, quando si crea un utente, questo ha accesso in scrittura e lettura ai dati per i quali dispone delle autorizzazioni. Inoltre, per impostazione predefinita, la licenza utente di accesso client (CAL) è impostata su Professional. È possibile modificare una di queste impostazioni per limitare ulteriormente l'accesso ai dati e alle funzionalità.
Modalità di accesso. Questa impostazione determina il livello di accesso per ogni utente.
Accesso in lettura e scrittura. Per impostazione predefinita, gli utenti possono disporre dell'accesso in lettura e scrittura per accedere ai dati per cui dispongono di autorizzazioni appropriate impostate dai ruoli di sicurezza.
Accesso amministrativo. Consente l'accesso alle aree per cui l'utente dispone di autorizzazioni appropriate impostate dai ruoli di sicurezza, ma non consente all'utente di visualizzare o accedere ai dati aziendali in genere disponibili nelle aree di vendita, assistenza e marketing, ad esempio account, contatti, lead, opportunità, campagne e casi. Ad esempio, l'accesso amministrativo può essere utilizzato per creare amministratori di Dynamics 365 che hanno accesso per eseguire una completa varietà di attività amministrative, ad esempio per creare business unit, creare utenti, impostare il rilevamento duplicati, ma che non possono visualizzare o accedere a tutte le business unit. Si noti che gli utenti che sono assegnati a questa modalità di accesso non utilizzano una licenza CAL.
Accesso in lettura. Consente l'accesso alle aree per cui l'utente ha accesso appropriato impostato dal ruolo di sicurezza, ma l'utente con accesso in lettura può solo visualizzare i dati e non può creare o modificare i dati esistenti. Ad esempio, un utente con il ruolo di sicurezza di amministratore di sistema con accesso in lettura può visualizzare le business unit, gli utenti e i team ma non può creare o modificare i record.
Tipo di licenza. Imposta la licenza CAL dell'utente e determina le funzionalità o le aree disponibili per l'utente. Questo controllo dell'area e della funzionalità non è incluso nell'impostazione del ruolo di sicurezza utente. Per impostazione predefinita, gli utenti verranno creati con la licenza CAL Professional per la maggior parte degli accessi alla funzionalità e all'area per cui è stata loro concessa l'autorizzazione.Ulteriori informazioni:Blog: Informazioni su Dynamics CRM - Licenze 2015
Sicurezza basata sui record
È possibile utilizzare la sicurezza basata sui record per controllare i diritti dei team e degli utenti relativi all'esecuzione di azioni su record singoli. Si applica alle istanze delle entità (record) ed è esercitata mediante i diritti di accesso. Il proprietario di un record può condividere o concedere l'accesso a un record a un altro utente o team. Al termine, è necessario scegliere i diritti da concedere. Ad esempio, il proprietario di un record di account può concedere l'accesso in lettura alle informazioni su tale account, ma non l'accesso in scrittura.
I diritti di accesso vengono applicati solo dopo l'applicazione dei privilegi. Se, ad esempio, un utente non dispone dei privilegi per visualizzare (leggere) i record di account, non potrà visualizzare alcun account, indipendentemente dai diritti di accesso che un altro utente potrebbe concedere mediante la condivisione a un account specifico.
Sicurezza gerarchica
È possibile utilizzare il modello di sicurezza gerarchica per accedere ai dati gerarchici. Con questa sicurezza aggiuntiva, si ottiene un accesso più granulare ai record, consentendo ai responsabili di accedere ai record dei report per l'approvazione o lavorare per conto dei report. Per ulteriori informazioni, vedere Sicurezza gerarchica
Sicurezza basata sui campi
È possibile utilizzare la sicurezza a livello di campo per limitare l'accesso a determinati campi di impatto aziendale elevato in un'entità solo a utenti o team specifici. Analogamente alla sicurezza basata su record, questo tipo di sicurezza si applica dopo l'applicazione dei privilegi. Ad esempio, un utente può disporre di privilegi per la lettura di un account, ma potrebbe non disporre dell'autorizzazione per visualizzare campi specifici in tutti gli account. Per ulteriori informazioni, vedere Sicurezza a livello di campo
Sicurezza amministrativa a livello di distribuzione (solo locale)
Durante l'installazione, il programma di Installazione server Microsoft Dynamics CRM crea un ruolo di amministratore speciale, valido a livello di distribuzione, e lo associa all'account utente utilizzato per eseguire il programma di Installazione server Microsoft Dynamics CRM. Gli amministratori della distribuzione dispongono di accesso completo e illimitato a tutte le organizzazioni in Gestione distribuzione nella distribuzione di Microsoft Dynamics CRM (locale). Il ruolo Amministratori distribuzione non è un ruolo di sicurezza e non compare come tale nell'applicazione Web di Microsoft Dynamics CRM.
Gli amministratori di distribuzione possono creare nuove organizzazioni o disabilitare un'organizzazione esistente nella distribuzione. Al contrario, i membri del ruolo Ruolo di amministratore di sistema dispongono delle autorizzazioni solo nell'organizzazione dove si trovano l'utente e il ruolo di sicurezza.
Importante
Quando un amministratore della distribuzione crea un'organizzazione, deve fornire i privilegi db_owner per i database dell'organizzazione agli altri amministratori della distribuzione in modo che dispongano dell'accesso completo a tali organizzazioni.
Per ulteriori informazioni sul ruolo Amministratori distribuzione, vedere la Guida di Gestione distribuzione.
Vedere anche
Procedure consigliate di amministrazione per le distribuzioni locali di Microsoft Dynamics CRM
Sicurezza a livello di campo
Sicurezza gerarchica
Ruoli di sicurezza e privilegi
Per creare o modificare un ruolo di protezione
Per copiare un ruolo di protezione
Gestire utenti
Gestire i team
Aggiungere team o utenti a un profilo sicurezza campi
Download: Modello di sicurezza scalabile con Microsoft Dynamics CRM 2011
Gestire la sicurezza, gli utenti e i team
Invitare qualcuno a utilizzare Microsoft Dynamics CRM
© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright