Поделиться через


Настройка иерархической безопасности для детального доступа к данным

Заметка

Если вы включили режим Только единый интерфейс, перед выполнением описанных в этой статье процедур сделайте следующее:

  1. Выберите Настройки (Значок шестеренки.) на панели навигации.
  2. Выберите Дополнительные параметры.

    Дополнительные параметры.

Модель иерархической безопасности представляет собой расширений существующих моделей безопасности Dynamics 365 Customer Engagement (on-premises), основанных на подразделениях, ролях безопасности, общем доступе и рабочих группах. Его можно использовать в сочетании с всеми другими моделями безопасности. Иерархическая безопасность обеспечивает более точный контроль доступа к записям для организации и помогает снизить затраты на обслуживание. Например, в сложных сценариях можно начать с создания нескольких подразделений, а затем добавить иерархическую безопасность. Это обеспечит более детальный контроль доступа к данным со значительно меньшими затратами на обслуживание, чем того требует большое количество подразделений.

Модели безопасности "иерархия руководителей" и "иерархия должностей"

Для иерархий можно использовать две модели безопасности: иерархия руководителей и иерархия должностей. При использовании иерархии руководителей руководитель должен находиться в том же подразделении, что и подчиненный, или в головном подразделении по отношению к подразделению подчиненного, чтобы иметь доступ к данным подчиненного. Иерархия должностей обеспечивает доступ к данным между подразделениями. Если вы финансовая организация, вам может быть удобнее пользоваться моделью иерархии руководителей, чтобы руководители не имели возможности получать доступ к данным за пределами своих подразделений. Однако, если вы входите в состав организации, которая занимается обслуживанием клиентов, и вам нужно, чтобы руководители имели доступ к обращениям, обрабатываемым в других подразделениях, вам лучше подойдет иерархия должностей.

Заметка

Тогда как модель иерархической безопасности предоставляет определенный уровень доступа к данным, дополнительный доступ можно обеспечить путем использования других механизмов безопасности, таких как роли безопасности.

Иерархия руководителей

Модель безопасности "иерархия руководителей" основана на цепочке управления или структуре непосредственного подчинения, где отношение между руководителем и подчиненным устанавливается с помощью поля "Руководитель" в сущности пользователя системы. С этой моделью безопасности руководители могут получать доступ к данным, к которым имеют доступ их подчиненные. Они могут выполнять работу от имени своих непосредственных подчиненных или осуществлять доступ к информации, которая требует утверждения.

Заметка

При использовании модели безопасности "иерархия руководителей" руководитель имеет доступ к записям, принадлежащим пользователю или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь. Когда запись делается общей пользователем, который находится все цепи управления, для непосредственного подчиненного с доступом только для чтения, только руководитель непосредственного подчиненного имеет доступ только для чтения к общей записи.

В дополнение модели безопасности "иерархия руководителей" руководитель должен иметь по крайней мере привилегию "чтение" уровня пользователя в отношении сущности, чтобы видеть данные подчиненных. Например, если руководитель не имеет доступа на чтение к сущности "Обращение", руководитель не сможет видеть обращения, к которым имеют доступ его подчиненные.

Для непрямого подчиненного в той же цепочке управления руководителя руководитель имеет доступ только для чтения к данным непрямого подчиненного. В отношении непосредственного подчиненного руководитель имеет доступ на чтение, запись, обновление, добавление и добавление к данным подчиненного. В качестве иллюстрации модели безопасности "иерархия руководителей" рассмотрим схему ниже. Генеральный директор может читать или обновлять данные вице-президента по продажам и данные вице-президента по обслуживанию. Однако генеральный директор может только читать данные менеджера по продажам и менеджера по обслуживанию, а также данные специалистов отделов продаж и поддержки. Объем данных, доступных руководителю, можно дополнительно ограничить "глубиной". Глубина используется, чтобы ограничить число уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных. Например, если глубина установлена равной 2, исполнительный директор может видеть данные вице-президента по продажам, вице-президента по обслуживанию, а также менеджеров по продажам и по обслуживанию. Однако данные специалистов отдела продаж или отдела поддержки исполнительный директор не видит.

Иерархическая безопасность руководства в Dynamics 365 for Customer Engagement.

Важно отметить, что если подчиненный имеет более глубокий доступ безопасности к сущности, чем руководитель, руководитель не сможет просматривать все записи, к которым имеет доступ подчиненный. Это показано в следующем примере.

  • В одном подразделении имеется 3 пользователя: пользователь 1, пользователь 2 и пользователь 3.

  • Пользователь 2 — это подчиненный пользователя 1.

  • Пользователь 1 и пользователь 3 имеют доступ на чтение к сущности "Организация" на уровне пользователя. Этот уровень доступа предоставляет пользователям доступ к принадлежащим им записям, записям, к которым пользователю предоставлен общий доступ, а также записям, к которым общий доступ предоставлен рабочей группе, в которую входит пользователь.

  • Пользователь 2 имеет доступ на чтение к сущности "Организация" на уровне подразделения. Это позволяет пользователю 2 просматривать все организации для подразделения, включая все организации, которыми владеют пользователь 1 или пользователь 3.

  • Пользователь 1 как руководитель пользователя 2 имеет доступ к организациям, которыми владеет или к которым имеет общий доступ пользователь 2, а также всем организациям, к которым имеет общий доступ или владеет рабочая группа, участником которой является пользователь 2. Однако пользователь 1 не имеет доступ к организациям пользователя 3 несмотря на то, что его подчиненный может иметь доступ к организациям пользователя 3.

Иерархия должностей

Иерархия должностей не основанную на структуре непосредственного подчинения, как иерархия руководителей. Пользователь не обязательно должен быть фактическим руководителем другого пользователя для доступа к данным этого пользователя. Вы как администратор должны будете определить различные должности в организации и упорядочить их в виде иерархии должностей. Затем вам необходимо будет добавить пользователей в каждую конкретную должность или, как мы говорим, пометить пользователя определенной должностью. В пределах одной иерархии пользователь может быть помечен только одной должностью, однако одна должность может использоваться для нескольких пользователей. Пользователи на более высоких должностях в иерархии имеют доступ к данным пользователей на более низких должностях в прямом пути наследования. Непосредственные верхние должности имеют доступ на чтение, запись, обновление, добавление и добавление к данным нижних должностей в прямом пути наследования. Опосредованные более высокие должности имеют доступ только на чтение к данным нижних должностей в прямом пути наследования.

В качестве иллюстрации прямого пути наследования рассмотрим схему ниже. Должность "менеджер по продажам" имеет доступ к данным сотрудников отдела продаж, однако не имеет доступа к данным сотрудников отдела поддержки, которые находятся в другом пути наследования. То же самое справедливо для должности "менеджер по обслуживанию". Она не имеет доступа к данным сотрудников отдела продаж, которые находятся в пути наследования "Продажи". Как и в случае с иерархией руководителей объем данных, доступных более высоким должностям, можно ограничить глубиной. Глубина ограничивает число уровней, на которых более высокая должность имеет доступ только на чтение к данным более низких должностей в прямом пути наследования. Например, если глубина установлена равной 3, должность "исполнительный директор" может видеть данные всех сотрудников от вице-президентов по продажам и по обслуживанию до сотрудников отделов продаж и поддержки.

Иерархия должностей в Microsoft Dynamics 365 for Customer Engagement.

Заметка

При использовании модели безопасности "иерархия должностей" пользователь на более высокой должности имеет доступ к записям, принадлежащим пользователю на более низкой должности или рабочей группе, членом которой является пользователь, а также к записям, к которым непосредственно предоставлен доступ пользователю или группе, членом которой является пользователь.

В дополнение к модели безопасности "иерархия должностей" пользователи на более высоком уровне должны иметь по крайней мере привилегию "чтение" уровня пользователя в отношении сущности, чтобы видеть записи, к которым имеют доступ пользователи на более низких должностях. Например, если пользователь на более высоком уровне не имеет доступа на чтение к сущности "Обращение", этот пользователь не сможет видеть обращения, к которым имеют доступ пользователи на более низких должностях.

Настройка иерархической безопасности

Для настройки иерархической безопасности вы должны иметь роль безопасности "администратор".

Иерархическая безопасность по умолчанию отключена. Для ее включения выполните следующие действия.

  1. Перейдите в раздел Параметры>Безопасность.

  2. Выберите Иерархическая безопасность и Включение моделирования иерархии.

Внимание

Чтобы внести какие-либо изменения в разделе Иерархическая безопасность, необходимо иметь привилегию Изменить настройки иерархической безопасности.

Включив моделирование иерархии, выберите конкретную модель, выбрав Иерархия руководителей или Настраиваемая иерархия положений. Для всех системных сущностей поддержка иерархической безопасности включена по умолчанию, однако вы можете выборочно исключить сущности из иерархии. Ниже показано окно Иерархическая безопасность:

Настройка иерархической безопасности в Dynamics 365 for Customer Engagement.

Установите параметр Глубина равным желаемому количеству уровней, на которых руководитель имеет доступ только на чтение к данным своих подчиненных. Например, если глубина равна 2, руководитель может обращаться за доступом только к своим организациям и организациям подчиненных на два уровня ниже его в иерархии. В нашем примере, если вы войдете в приложения Customer Engagement не как администратор, который может видеть все организации, а как вице-президент по продажам, вы сможете видеть только активные организации пользователей в красной прямоугольнике, как показано ниже:

Доступ на чтение для вице-президента по продажам в Dynamics 365 for Customer Engagement.

Заметка

В то время как иерархическая безопасность дает вице-президенту по продажам доступ к записям в красном прямоугольнике, возможен также дополнительный доступ на основе роли безопасности, присвоенной вице-президенту по продажам.

Настройка иерархий руководителей и должностей

Иерархию руководителей легко создать с использованием отношения с руководителем в записи пользователя системы. Поле поиска "Руководитель" (ParentsystemuserID) используется для задания руководителя пользователя. Если вы уже создали иерархию должностей, вы также можете пометить пользователя определенной должности в иерархии должностей. В следующем примере сотрудник отдела продаж является подчиненным менеджера по продажам в иерархии руководителей, а также имеет должность сотрудника отдела продаж в иерархии должностей:

Запись пользователя-продавца в Dynamics 365 for Customer Engagement.

Чтобы добавить пользователя в определенную должность в иерархии должностей, используйте поле поиска "Должность" в форме записи пользователя, как показано ниже:

Внимание

Чтобы добавить пользователя в должность или изменить должность пользователя, необходимо иметь привилегию Назначить должность для пользователя.

Добавление пользователя для должности в иерархической безопасности в Dynamics 365 for Customer Engagement.

Чтобы изменить должность в форме записи пользователя, в панели навигации выберите Больше (…) и выберите другую должность, как показано ниже:

Изменение должности в иерархической безопасности в Dynamics 365 for Customer Engagement.

Чтобы создать иерархию должностей:

  1. Перейдите в раздел Параметры>Безопасность.

  2. Выберите Положения.

    Для всех должностей укажите название должности, родительскую должность и описание. Добавьте пользователей в это должность с помощью поля поиска Пользователи на этой должности. Ниже приведен пример иерархии должностей с активными должностями.

    Активные должности в иерархической безопасности в Dynamics 365 for Customer Engagement.

    Пример входящих в иерархию пользователей с соответствующими должностями показан ниже:

    Включенные пользователи с назначенными должностями в Dynamics 365 for Customer Engagement.

Замечания, связанные с быстродействием

Для повышения быстродействия рекомендуется:

  • Ограничить действующую иерархическую безопасность 50 или менее пользователями под руководителем/должностью. Ваша иерархия может иметь более 50 пользователей под руководителем/должностью, однако вы можете использовать параметр "Глубина" для ограничения количества уровней доступа только на чтение и тем самым ограничить фактическое количество пользователей под руководителем должностью 50 или менее пользователями.

  • Использовать модели иерархической безопасности в сочетании с другими существующими моделями безопасности для более сложных сценариев. Избегайте создания большого количества подразделений; вместо этого создавайте меньше подразделений и добавляйте иерархическую безопасность.

См. также

Концепции безопасности для Microsoft Dynamics 365 for Customer Engagement
Запрос и визуализация иерархических данных