Поделиться через

Безопасность на уровне столбцов для контроля доступа

  • Статья

Разрешения на уровне записи предоставляются на уровне таблицы, однако можно иметь определенные столбцы, связанные с таблицей, которые содержат данные, являющиеся более конфиденциальными, чем данные в других столбцах. В таких ситуациях удобно пользоваться безопасностью на уровне столбцов, чтобы контролировать доступ к конкретным столбцам.

Область безопасности на уровне столбцов — вся организация; она применима ко всем запросам на доступ к данным, включая следующие запросы и вызовы:

  • Запросы доступа к данным из клиентского приложения, например веб-браузера, мобильного клиента или Microsoft Dynamics 365 for Outlook
  • Вызовы веб-служб с использованием веб-служб Microsoft Dataverse (для использования в подключаемых модулях, действиях пользовательских бизнес-процессов и пользовательском коде)
  • Создание отчетов (с использованием отфильтрованных представлений)

Заметка

Использование терминологии, относящейся к таблицам, зависит от используемого протокола или библиотеки классов. См. раздел Использование терминологии в зависимости от протокола или технологии.

Обзор безопасности на уровне столбцов

Безопасность на уровне столбцов доступна для предусмотренных по умолчанию столбцов в большинстве готовых таблиц, пользовательских столбцов и пользовательских столбцов в пользовательских таблицах. Безопасность на уровне столбцов управляется профилями безопасности. Для реализации безопасности на уровне столбцов системный администратор выполняет следующие задачи.

  1. Включите безопасность столбцов для одного или нескольких столбцов для конкретной таблицы.

  2. Выберите необязательное правило маскирования.

  3. Свяжите еще один из существующих профилей безопасности или создайте один или несколько новых профилей безопасности, чтобы предоставить подобающий доступ к конкретным пользователям или группам.

    Профиль безопасности определяет следующее.

    • Разрешения на безопасные столбцы
    • Пользователи и группы с назначенным доступом

    Можно настроить профиль безопасности, чтобы предоставить пользователю или участникам группы следующие разрешения на уровне столбцов:

    • Чтение: доступ к данным столбца с возможностью только чтения.
    • Чтение немаскированных значений: немаскированные значения данных столбца "Чтение".
    • Создание: пользователи или группы в этом профиле могут добавлять сведения в этот столбец при создании строки.
    • Обновление: пользователи или группы в этом профиле могут обновлять данные столбца после создания.

    Сочетание этих четырех разрешений можно настроить так, чтобы определять привилегии пользователя для конкретного столбца данных.

    Важно

    Только пользователи с ролью безопасности "Системный администратор" имеют доступ к этому столбцу, если только один или несколько профилей безопасности не назначены столбцу с безопасностью.

Пример ограничения столбца мобильного телефона для таблицы "Контакт"

Представим себе, что политика компании такова, что специалисты из группы специалистов по продажам должны иметь разные уровни доступа к номерам мобильных телефонов контактов, как здесь описано.

Пользователь или рабочая группа Открыть
Менеджер по продажам Только чтение. Можно только просматривать номер мобильного телефона в замаскированной форме контактов.
Вице-президенты Полный. Можно создавать, обновлять и просматривать номер мобильного телефона контакта.
Продавцы и все остальные пользователи Нет. Невозможно создавать, обновлять или просматривать номер мобильного телефона контакта.

Чтобы ограничить этот столбец, необходимо выполнить следующие задачи.

Защитить столбец

  1. Выполните вход в Power Apps.

  2. Выберите Таблицы.

  3. Выберите таблицу Контакт.

    Выберите таблицу Контакт.

  4. В разделе Схема выберите Столбцы.

    В разделе Схема выберите Столбцы.

  5. Прокрутите список столбцов вниз и откройте Мобильный телефон.

    Выберите столбец Мобильный телефон.

  6. Разверните узел Дополнительные параметры, а затем в разделе Общие выберите Включить безопасность столбцов.

    Разверните Расширенные параметры и включите защиту столбцов.

  7. Выберите раскрывающееся меню Правило маскирования и выберите правило маскирования.

  8. Выберите Сохранить.

Настройте профили безопасности

  1. В Центре администрирования Power Platform выберите среду, для которой вы хотите настроить профили безопасности.

  2. Выберите Параметры>Пользователи + разрешения>Профили безопасности столбцов.

  3. Выберите Новый профиль введите название, например Менеджер по продажам, введите описание и выберите Сохранить.

    Создание нового профиля безопасности столбцов.

  4. Выберите Менеджер по продажам, выберите вкладку Пользователи, выберите + Добавить пользователей, выберите пользователей, которым требуется предоставить доступ только для чтения к номеру мобильного телефона в контактной форме, а затем нажмите Добавить.

    Совет

    Вместо добавления каждого пользователя создайте одну или несколько групп, включающих всех пользователей, которым требуется предоставить доступ.

  5. Повторите вышеуказанные шаги и создайте профиль безопасности столбца для Вице-президента.

Настройка разрешений столбцов

  1. Выберите вкладку Профили безопасности столбцов, затем выберите Менеджер по продажам.

  2. Выберите вкладку Разрешения столбцов, выберите мобильный телефон, а затем нажмите Изменить. Установите параметру Чтение значение Разрешено, оставьте остальные значения Не разрешено, а затем выберите Сохранять.

    Изменение разрешений безопасности столбцов.

  3. Выберите вкладку Профили безопасности столбцов, затем выберите Вице-президент.

  4. Выберите вкладку Разрешения столбцов, выберите мобильный телефон, а затем нажмите Изменить. Задайте для параметра Чтение значение Разрешено, для параметра Чтение немаскированных значений значение Одна запись, а для остальных параметров Разрешено и нажмите Сохранить.

Любые пользователи, не определенные в ранее созданных профилях безопасности столбцов, не будут иметь доступ к столбцу мобильного телефона в контактных формах или представлениях. Значение в столбце отобразит Значок блокировки. ********. Это значит, что столбец защищен.

Какие столбцы можно защитить?

Добавьте новый столбец

  1. Выполните вход в Power Apps.

  2. В области переходов выберите Таблицы.

  3. Выберите таблицу, затем в разделе Схема выберите Столбцы.

  4. Выберите параметр + Создать столбец на панели команд.

  5. Введите Отображаемое имя и Описание.

  6. Выберите Тип данных.

    Типы данных Подстановка и Формула не могут быть установлены с безопасностью столбца. Дополнительные сведения см. в разделе Атрибуты, которые не могут быть включены для безопасности столбцов.

  7. Разверните Дополнительные параметры, затем в разделе Общие установите флажок Включить безопасность столбца.

Просмотр безопасности на уровне столбцов

Каждый столбец в системе содержит параметр, определяющий, можно ли обеспечить его безопасность. Используйте следующие шаги, чтобы просмотреть настройки безопасности столбцов.

  1. Выполните вход в Power Apps.

  2. В области переходов выберите Таблицы.

  3. Выберите таблицу, затем в разделе Схема выберите Столбцы.

  4. Выберите столбец, разверните Расширенные параметры, а потом в разделе Общее просмотрите состояние Включить безопасность столбца.

Если можно выбрать Включить защиту столбца, столбец можно включить для обеспечения безопасности столбца.

Включение безопасности столбца возможно.

Атрибуты, которые нельзя включить для безопасности столбцов

Хотя большинство атрибутов можно защитить, существуют системные атрибуты, такие как идентификаторы, метки времени и атрибуты отслеживания записей, которые нельзя защитить. Ниже приведено несколько примеров атрибутов, которые нельзя включить для обеспечения безопасности столбцов.

  • ownerid, processid, stageid, accountid, contactid, businessunitid, organizationid, solutionid, supportingsolutionid, transactioncurrencyid, goalownerid, subscriptionid, userpuid, yammeruserid
  • createdby, modifiedby, OwningTeam, OwningUser, Owningbusinessunit, yammeremailaddress
  • createdon, EntityImage_Timestamp, modifiedon, OnHoldTime, overriddencreatedon, overwritetime, modifiedonbehalfby, timezoneruleversionnumber, versionnumber, importsequencenumber
  • statecode, statuscode, componentstate, exchangerate, utcconversiontimezonecode
  • fullname, firstname, middlename, lastname, yominame, yomifirstname, yomifullname, yomilastname, yomimiddlename
  • устаревшие столбцы, например traversedpath, stageid

Для просмотра метаданных таблиц для вашей организации, включая информацию о том, какие столбцы могут быть включены для обеспечения безопасности столбцов, путем установки решения для браузера метаданных, описанного в Просмотр метаданных вашей организации.

Рекомендации по использованию безопасности столбцов

При использовании вычисляемых столбцов, включающих защищенный столбец, данные в вычисляемом столбце могут отображаться даже пользователям, у которых нет разрешений на просмотр защищенного столбца. В этой ситуации и исходный столбец, и вычисляемый столбец нужно защищать.

Некоторые данные, например адреса, состоят из нескольких столбцов. Поэтому для обеспечения полной безопасности данных с несколькими столбцами, например адресов, необходимо защитить и настроить соответствующие профили безопасности столбцов для нескольких столбцов таблицы. Например, чтобы полностью защитить адреса в таблице, нужно обеспечить безопасность всех соответствующих столбцов, таких как address_line1, address_line2, address_line3, address1_city, address1_composite и т. д.

Заметка

Чтобы изменения вступили в силу, конечному пользователю на клиенте (например, в приложении на основе модели) требуется обновление браузера. Это следует учитывать при динамической корректировке правил доступа.

Настройка разрешений безопасности для столбца
Включение или отключение безопасности для столбца для управления доступом
Добавление групп или пользователей в профиль безопасности для столбцов для управления доступом
Иерархическая безопасность