Udostępnij za pośrednictwem

Koncepcje zabezpieczeń dla Microsoft Dynamics 365

  • Artykuł

 

Data opublikowania: luty 2017

Dotyczy: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Uwaga

Poniższe informacje dotyczą Dynamics 365 przed Dynamics 365 (online), wersja 9.0. Aby zapoznać się z najnowszą dokumentacją, zobacz Koncepcje zabezpieczeń.

Model zabezpieczeń w programie Microsoft Dynamics 365 jest używany w celu ochrony integralności i prywatności danych w organizacji programu Microsoft Dynamics 365. Model zabezpieczeń wspiera także efektywny dostęp do danych i współpracę. Cele modelu są następujące:

  • Udostępnienie modelu licencjonowania wielopoziomowego dla użytkowników.

  • Przyznanie użytkownikom dostępu tylko do poziomów informacji niezbędnych im do pracy.

  • Klasyfikowanie użytkowników i zespołów według ról zabezpieczeń oraz ograniczanie dostępu na podstawie tych ról.

  • Obsługa udostępniania danych, aby umożliwić udzielenie dostępu użytkowników do cudzych obiektów w celu wykonania jednorazowego zadania.

  • Uniemożliwianie użytkownikowi dostępu do obiektów, których nie posiada ani nie udostępnia.

Przynależność do jednostek biznesowych, zabezpieczenia oparte na rolach, zabezpieczenia na poziomie rekordu i zabezpieczenia oparte na polach będą łączone, aby zdefiniować całkowity dostęp do informacji użytkowników w organizacji programu Microsoft Dynamics 365.

W tym temacie

Jednostki biznesowe

Zabezpieczenia oparte na rolach

Dostęp na podstawie użytkownika i licencjonowanie

Zespoły

Zabezpieczenia na poziomie rekordu

Zabezpieczenia hierarchii

Zabezpieczenia oparte na polach

Zabezpieczenia na poziomie administracyjnym dla wdrożenia (tylko wdrożenia lokalne)

Modelowanie zabezpieczeń z Microsoft Dynamics 365

Jednostki biznesowe

Jednostka biznesowa jest w zasadzie grupą użytkowników. Wielkie organizacje posiadające wiele baz klientów często używają wielu jednostek biznesowych w celu kontrolowania dostępu do danych i definiowania ról zabezpieczeń w taki sposób, aby użytkownicy mieli dostęp tylko do rekordów należących do ich własnych jednostek biznesowych.Więcej informacji:Tworzenie lub edytowanie jednostek biznesowych

Zabezpieczenia oparte na rolach

Możesz używać zabezpieczeń opartych na rolach, aby grupować zestawów uprawnień w role, które opisują zadania, które mogą być wykonywane przez użytkownika lub zespół.Microsoft Dynamics 365 zawiera zestaw zdefiniowanych wstępnie ról zabezpieczeń, z których każdy jest zestawem uprawnień, aby ułatwić zarządzanie zabezpieczeniami. Większość uprawnień definiuje możliwość tworzenia, odczytu, zapisywania, usuwania i udostępniania rekordów określonego typu. Każde uprawnienie określa również, jak szeroko uprawnienie jest stosowane: na poziomie użytkownika, poziomie jednostki biznesowej, poziomie hierarchii jednostek całej działalności lub w całej organizacji.

Na przykład jeśli logujesz się jako użytkownik, któremu przypisano rolę sprzedawcy, masz uprawnienia do odczytu, zapisu i udostępniania kont dla całej organizacji, ale możesz usunąć tylko rekordy kont, które posiadasz. Ponadto nie masz żadnych uprawnień do wykonywania zadań administracyjnych, takich jak instalowanie aktualizacji produktu lub dodawanie użytkowników do systemu.

Użytkownik, który przypisano rolę Wiceprezes ds. sprzedaży może wykonywać szerszy zestaw zadań (i ma większą liczbę uprawnień) skojarzonych z wyświetlaniem i modyfikowaniem danych oraz zasobów niż użytkownik, który został przypisany do roli Sprzedawca. Użytkownik, któremu przypisano rolę Wiceprezes ds. sprzedaży może np. odczytać i przypisać dowolnego klienta do dowolnej osoby w systemie, a użytkownik, któremu przypisano rolę Sprzedawca nie ma takich możliwości.

Istnieją dwie role, które mają bardzo szerokie uprawnienia: Administrator systemu i Konfigurator. Aby zminimalizować ryzyko błędnej konfiguracji, stosowanie tych dwóch ról należy ograniczyć do kilku osób w organizacji odpowiedzialnych za administrowanie i dostosowywanie programu Microsoft Dynamics 365. Organizacje mogą również dostosowywać istniejące role i tworzyć własne, stosownie do potrzeb. Więcej informacji: Role zabezpieczeń i uprawnienia.

Dostęp na podstawie użytkownika i licencjonowanie

Domyślnie, podczas tworzenia użytkownika użytkownik otrzymuje prawo odczytu i zapisu danych, do których ma uprawnienia dostępu. Ponadto domyślnie licencja dostępu klienta (CAL) użytkownika jest ustawiana na Professional. Możesz zmienić dowolne z tych ustawień, aby bardziej ograniczyć dostęp do funkcji i danych.

Tryb dostępu. To ustawienie określa poziom dostępu dla każdego użytkownika.

  • Dostęp do odczytu i zapisu. Domyślnie użytkownicy mają dostęp do odczytu i zapisu, co umożliwia im dostęp do danych, dla których mają odpowiednie uprawnienia określone przez role zabezpieczeń.

  • Dostęp administracyjny Umożliwia dostęp do obszarów, do których użytkownik ma odpowiednie uprawnienia określone przez role zabezpieczeń, ale nie zezwala użytkownikowi na wyświetlanie lub dostęp do danych biznesowych na ogół znajdowanych w obszarach Sprzedaż, Usługi i Marketing, takich jak konta, kontakty, potencjalni klienci, szanse sprzedaży, kampanie i sprawy. Na przykład dostęp administracyjny może służyć do tworzenia administratorów Dynamics 365, którzy mogą mieć dostęp do wykonywania różnych zadań administracyjnych, takich jak tworzenie jednostek biznesowych, tworzenie użytkowników, ustawianie wykrywania duplikatów, ale nie mogą wyświetlać ani uzyskać dostępu do danych biznesowych. Zwróć uwagę, że użytkownicy, którym przypisano ten tryb dostępu nie zużywają licencji CAL.

  • Dostęp do odczytu. Umożliwia dostęp do obszarów, do których użytkownik ma dostęp określony przez rolę zabezpieczeń, ale użytkownik z dostępem do odczytu może tylko przeglądać dane, ale nie może tworzyć ani zmieniać istniejących danych. Na przykład użytkownik z rolą zabezpieczeń administrator systemu, który ma dostęp do odczytu może wyświetlić jednostki biznesowe, użytkowników i zespoły, ale nie może tych rekordów tworzyć ani modyfikować.

Typ licencji. Określa licencję CAL użytkownika oraz funkcje i obszary dla niego dostępne. Ta kontrola nad funkcjami i obszarem jest niezależna od ustawień roli zabezpieczeń użytkownika. Domyślnie użytkownicy są tworzeni z licencją Professional CAL dla dostępu do funkcji i obszarów, do których przyznano im uprawnienia dostępu.

Zespoły

Zespoły stanowią łatwy sposób udostępniania obiektów biznesowych i umożliwiają współpracę z innymi osobami w jednostkach biznesowych. Podczas gdy zespół należy do jednej jednostki biznesowej, może zawierać użytkowników z innych jednostek biznesowych. Użytkownik może być skojarzony z więcej niż jednym zespołem.Więcej informacji:Zarządzanie zespołami

Zabezpieczenia na poziomie rekordu

Zabezpieczenia na poziomie rekordu służą do sterowania uprawnieniami użytkownika i zespołu poprzez wykonywanie działań w poszczególnych rekordach. Dotyczy to wystąpień encji (rekordów) i jest zapewniane przez prawa dostępu. Właściciel rekordu można udostępnić rekord lub udzielić do niego dostępu innemu użytkownikowi lub zespołowi. W takim przypadku należy wybrać przyznawane prawa. Na przykład właściciel rekordu klienta może udzielić uprawnień do odczytu informacji o kliencie, ale nie udzielić prawa dostępu do zapisu.

Prawa dostępu mają zastosowanie tylko wtedy, gdy uprawnienia zostały wprowadzone. Na przykład jeśli użytkownik nie ma uprawnień do wyświetlania rekordów klientów (odczyt), nie może wyświetlić żadnego konta klienta, niezależnie od praw dostępu, które inny użytkownik może mu udzielić do określonego klienta poprzez włączenie funkcji udostępniania.

Zabezpieczenia hierarchii

Model zabezpieczeń hierarchii służy do uzyskiwania dostępu do danych hierarchicznych. Z tym dodatkowym zabezpieczeniem uzyskuje się bardziej szczegółowy dostęp do rekordów, co pozwala kierownikom na dostęp do rekordów ich podwładnych w celu zatwierdzenia lub wykonania pracy w imieniu podwładnych. Więcej informacji: Zabezpieczenia hierarchii.

Zabezpieczenia oparte na polach

Zabezpieczenia na poziomie pól służą do ograniczania dostępu do konkretnych pól o dużym znaczeniu biznesowym w encji tylko do określonych użytkowników lub zespołów. Podobnie jak w przypadku zabezpieczeń na poziomie rekordu, najpierw należy wprowadzić uprawnienia. Na przykład użytkownik może mieć uprawnienia do odczytu konta, ale może mieć ograniczony dostęp do odczytu konkretnych pól na wszystkich kontach. Więcej informacji: Zabezpieczenia na poziomie pola.

Zabezpieczenia na poziomie administracyjnym dla wdrożenia (tylko wdrożenia lokalne)

Podczas instalacji Instalator serwera systemu Microsoft Dynamics CRM tworzy specjalną rolę administratora wdrażania i dołącza ją do konta użytkownika, które jest używane do uruchamiania narzędzia Instalator serwera systemu Microsoft Dynamics CRM. Administratorzy wdrożenia mają pełny i nieograniczony dostęp do wszystkich organizacji w narzędziu Menedżer wdrażania we wdrożeniu programu Dynamics 365 (wersja lokalna). Rola Administrator wdrożenia nie jest rolą zabezpieczeń i nie pojawia się w aplikacji sieci web programu Microsoft Dynamics 365 .

Administratorzy wdrażania mogą tworzyć nowe organizacje lub wyłączać każdą istniejącą organizację we wdrożeniu. Z drugiej strony członkowie grupy Rola administratora systemu mają uprawnienia tylko w organizacji, gdzie znajdują się użytkownik i rola zabezpieczeń.

Ważne

Gdy administrator wdrożenia tworzy organizację, musi przekazać uprawnienia db_owner do baz danych organizacji innym administratorom wdrażania tak, aby mieli pełny dostęp do tych organizacji.

Aby uzyskać więcej informacji na temat roli Administrator wdrożenia, zobacz Deployment Administrators.

Modelowanie zabezpieczeń z Microsoft Dynamics 365

Aby poznać szczegółowe informacje na temat najlepszych praktyk w projektowaniu modelu zabezpieczeń w Microsoft Dynamics 365, przeczytaj oficjalny dokument Skalowalne modelowanie zabezpieczeń z Microsoft Dynamics CRM dostępny na Centrum pobierania firmy Microsoft.

Zobacz też

Administration best practices for on-premises deployments of Microsoft Dynamics 365
Zabezpieczenia na poziomie pola
Zabezpieczenia hierarchii
Role zabezpieczeń i uprawnienia
Tworzenie i edytowanie roli zabezpieczeń
Kopiowanie roli zabezpieczeń
Zarządzanie użytkownikami
Zarządzanie zespołami
Dodawanie zespołów lub użytkowników do profilu zabezpieczeń pól
Zarządzanie bezpieczeństwem, użytkownikami i zespołami

© 2017 Microsoft. Wszelkie prawa zastrzeżone. Prawa autorskie