Защита приложения и данных
После того, как вы определили, какую структуру данных использовать, следующим шагом будет рассмотрение того, как защитить ваши данные. Вам следует подумать, кто к каким данным будет получать доступ, и обратиться к задачам, бизнес-процессам и пользователям, которые вы перечислили на этапе планирования. Эта статья объясняет общие концепции безопасности для людей, которые не знакомы с ними. Дополнительные сведения о технических аспектах безопасности см. см. в разделе Роли безопасности и привилегии.
Уровни безопасности
При настройке безопасности в приложении можно настроить четыре различных уровня безопасности.
Безопасность на уровне приложения
Безопасность на уровне приложения ограничивает доступ к приложению.
Безопасность на уровне приложений не защищает ваше хранилище данных. Как ваши данные защищены, зависит от возможностей ваших источников данных. Когда вы публикуете свое приложение, убедитесь, что ваши пользователи также имеют соответствующий доступ к базовым данным.
Безопасность на уровне форм
Для приложений на основе модели защита на уровне форм позволяет разрешать доступ к определенным формам только определенным группам безопасности. Это полезно, если вы хотите ограничить способ ввода или просмотра данных пользователям в зависимости от их должности.
Например, у приложения процесса утверждения может быть одна форма для сотрудников, чтобы создавать и отправлять запрос на утверждение, и отдельная форма для утверждающих, чтобы просмотреть то, что было отправлено. Безопасность на уровне формы подойдет для этого сценария. Дополнительные сведения: Управление доступом к формам приложений на основе модели.
Безопасность на уровне записей
Безопасность на уровне записей — это тип защиты, при котором вы можете назначить доступ к определенным записям. Представьте, что у вас есть лист в книге Excel. Безопасность на уровне записи позволяет вам настроить безопасность для каждой отдельной строки.
Существует четыре различных типа доступа, известных как CRUD (создание, чтение, обновление и удаление), которые можно настроить для защиты на уровне записей:
Создание — позволяет пользователю создавать новые данные (например, добавление новой строки в Excel).
Чтение — позволяет пользователю просматривать данные.
Обновление — позволяет пользователю изменять данные, которые уже существуют. Это отличается от создания, потому что создать — это добавить новые данные.
Удалить — позволяет пользователю удалять данные (например, удаление строки в Excel).
Для Microsoft Dataverse есть еще четыре типа доступа: добавление, добавление кому, назначение и совместное использование. Дополнительные сведения: Роли безопасности и привилегии
Безопасность на уровне полей
Безопасность на уровне полей — это более детальная защита в пределах одной записи. Это похоже на настройку безопасности для одного столбца в Excel. Обычно есть уровни доступа, аналогичные уровням безопасности на уровне записи, но на уровне поля.
Как разные уровни безопасности связаны друг с другом
Уровни безопасности, упомянутые выше, похожи на слои. Проект вашего приложения должен учитывать один или несколько из этих уровней безопасности в соответствии с вашими потребностями. В следующей таблице показано, что контролирует каждый уровень безопасности в поведении приложения.
| Уровень безопасности | Пример |
|---|---|
| Безопасность на уровне приложения | Доступ к "приложению Sales" |
| Безопасность на уровне форм | Доступ к "Карта клиента" |
| Безопасность на уровне записей | Доступ к "Contoso Ltd." |
| Безопасность на уровне полей | Доступ к "Сумма выручки" |
Пять шагов для проектирования безопасности
Различные уровни безопасности могут показаться довольно сложными и непонятными, но вы можете разбить их на следующие пять шагов:
Шаг 1. Определите, кто или какие группы людей (например, отделы, подразделения или группы) будут иметь доступ к самому приложению. Это должен быть тот же набор людей, которых вы определили на этапе планирования.
Шаг 2. Среди тех пользователей, которых вы определили на шаге 1, разделите их на группы, которые будут (или не будут) иметь доступ к ограниченным типам информации.
Шаг 3. Определите требования для тех, кто может видеть записи.
Шаг 4. Если вы используете источники данных, кроме Dataverse—или службы без аутентификации Office 365 или Microsoft Entra — вы должны подумать, как вы разрешите доступ к этим системам. Если вы не отвечаете за эти системы, обратитесь за советом к администраторам этих служб.
Шаг 5. На основании вышеописанных шагов вы должны подумать о том, как будут управляться эти разные группы. Рекомендуется проверить все группы безопасности.
Пример: безопасность решения отчета о расходах
В сценарии утверждения расходов все сотрудники могут отправлять отчеты о расходах, поэтому им всем необходимо иметь доступ к приложению для создания отчетов о расходах. Кроме того, утверждающим требуется доступ к приложению для утверждения.
Нам нужна группа безопасности "Все сотрудники", у которой есть доступ к приложению отчетности о расходах и используемым им данным. Нам нужна группа безопасности "Утверждающие", которая имеет доступ к приложению "Утверждения".
Для бухгалтерии может потребоваться доступ к более конфиденциальным данным, таким как банковский счет сотрудников для возмещения.
Нам нужна группа безопасности бухгалтерии, которая является единственной группой безопасности, которая имеет доступ к информации о маршрутизации банка сотрудника.
Скорее всего, мы не хотим, чтобы сотрудники могли видеть отчеты о расходах друг друга, поэтому нам нужно настроить безопасность на уровне записей, чтобы сотрудники могли получать доступ только к своим собственным записям. Однако мы также должны обеспечить, чтобы утверждающие могли видеть отчеты, которые они получают для утверждения. И нам нужна команда аудиторов, чтобы иметь возможность видеть все отчеты о расходах (но не изменять их).
Нам нужна группа безопасности аудиторов. Нам нужно предоставить ей и группе безопасности утверждающих доступ ко всем записям, и нам нужно предоставить группе "Все сотрудники" доступ только к "записям, которые я создаю".
Дополнительные сведения: Роли безопасности в Dataverse.
Примечание
Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).
Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).