แชร์ผ่าน

ตั้งค่าการรักษาความปลอดภัยลำดับชั้นสำหรับการเข้าถึงข้อมูลแบบละเอียด

  • บทความ

หมายเหตุ

หากคุณเปิดใช้งาน โหมดส่วนติดต่อแบบรวมเท่านั้น แล้วก่อนทำตามขั้นตอนในบทความนี้ ให้ทำดังต่อไปนี้

  1. เลือก การตั้งค่า (ไอคอนรูปเฟือง) บนแถบนำทาง
  2. เลือก การตั้งค่าขั้นสูง

    การตั้งค่าขั้นสูง

โมเดลความปลอดภัยลำดับชั้นนั้นเป็นส่วนเสริมของโมเดลความปลอดภัย Dynamics 365 Customer Engagement (on-premises) ที่มีอยู่ที่ใช้หน่วยธุรกิจ Security role การใช้ร่วมกัน และทีม ซึ่งสามารถใช้ร่วมกับโมเดลความปลอดภัยที่มีอยู่อื่นๆ ทั้งหมดได้ ความปลอดภัยของลำดับชั้นนั้นจะให้การเข้าถึงเรกคอร์ดสำหรับองค์กรที่ละเอียดยิ่งขึ้น และช่วยลดต้นทุนการบำรุงรักษาลงได้ ตัวอย่างเช่น ในสถานการณ์ที่ซับซ้อน คุณสามารถเริ่มต้นด้วยการสร้างหน่วยธุรกิจหลายๆ หน่วย และจึงเพิ่มความปลอดภัยลำดับชั้น การดำเนินการนี้จะช่วยให้การเข้าถึงข้อมูลนั้นละเอียดยิ่งขึ้น และมีต้นทุนการบำรุงรักษาที่น้อยลงมาก ซึ่งเป็นสิ่งที่หน่วยธุรกิจจำนวนมากต้องการ

โมเดลความปลอดภัยแบบลำดับชั้นผู้จัดการและลำดับชั้นตำแหน่ง

ลำดับชั้นสามารถใช้โมเดลความปลอดภัยได้สองรูปแบบคือ ลำดับชั้นผู้จัดการและลำดับชั้นตำแหน่ง สำหรับลำดับชั้นผู้จัดการนั้น ผู้จัดการต้องอยู่ภายในหน่วยธุรกิจเดียวกันกับรายงาน หรือในหน่วยธุรกิจหลักของหน่วยธุรกิจของรายงาน ถึงจะสิทธิ์เข้าถึงข้อมูลของรายงาน ลำดับชั้นของตำแหน่งอนุญาตให้เข้าถึงข้อมูลข้ามหน่วยธุรกิจได้ หากคุณเป็นองค์กรทางด้านการเงิน คุณอาจต้องการใช้โมเดลแบบลำดับชั้นผู้จัดการ เพื่อป้องกันไม่ให้ผู้จัดการเข้าถึงข้อมูลที่อยู่นอกหน่วยธุรกิจของพวกเขา อย่างไรก็ตาม ถ้าคุณเป็นส่วนหนึ่งขององค์กรการบริการลูกค้า และต้องการให้ผู้จัดการเข้าถึงกรณีและปัญหาด้านการบริการที่อยู่ในหน่วยธุรกิจอื่น การเลือกใช้ลำดับชั้นตำแหน่งอาจดีกว่าสำหรับคุณ

หมายเหตุ

ในขณะที่โมเดลความปลอดภัยลำดับชั้นนั้นให้ระดับการเข้าถึงข้อมูลที่ชัดเจน แต่ก็สามารถรับการเข้าถึงเพิ่มเติมได้ด้วยการใช้ความปลอดภัยรูปแบบอื่นๆ เช่น Security role

ลำดับชั้นผู้จัดการ

โมเดลความปลอดภัยลำดับชั้นผู้จัดการนั้นจะยึดตามสายการบริหารหรือโครงสร้างการรายงานโดยตรง ที่ซึ่งความสัมพันธ์ของผู้จัดการและรายงานนั้นจะถูกสร้างขึ้นโดยใช้ฟิลด์ผู้จัดการบนเอนทิตีผู้ใช้ระบบ ด้วยการใช้โมเดลความปลอดภัยแบบนี้ ผู้จัดการจะสามารถเข้าถึงข้อมูลที่รายงานของพวกเขาสามารถเข้าถึงได้ พวกเขาสามารถดำเนินงานในนามของรายงานโดยตรงของพวกเขา หรือเข้าถึงข้อมูลที่จำเป็นต้องมีการอนุมัติได้

หมายเหตุ

ด้วยการใช้โมเดลความปลอดภัยลำดับชั้นผู้จัดการ ผู้จัดการจะสามารถเข้าถึงเรกคอร์ดที่มีเจ้าของเป็นผู้ใช้หรือทีมที่ผู้ใช้นั้นเป็นสมาชิกอยู่ และสามารถเข้าถึงเรกคอร์ดที่ใช้งานร่วมกับผู้ใช้หรือทีมที่ผู้ใช้นั้นเป็นสมาชิกอยู่โดยตรงได้ เมื่อเรกคอร์ดถูกใช้ร่วมกันโดยผู้ใช้ที่อยู่ภายนอกห่วงโซ่การจัดการไปยังผู้ใช้ที่มีรายงานที่ไม่ใช่แบบโดยตรงที่มีการเข้าถึงแบบอ่านอย่างเดียว ผู้จัดการของรายงานที่ไม่ใช่แบบโดยตรงจะมีเฉพาะการเข้าถึงแบบอ่านอย่างเดียวไปยังเรกคอร์ดที่ใช้ร่วมกัน

นอกเหนือจากโมเดลความปลอดภัยลำดับชั้นผู้จัดการ ผู้จัดการต้องมีสิทธิ์การอ่านบนเอนทิตีอย่างน้อยในระดับของผู้ใช้ ถึงจะเห็นข้อมูลของรายงาน ตัวอย่างเช่น ถ้าผู้จัดการไม่มีสิทธิ์การอ่านเอนทิตีกรณีและปัญหา ผู้จัดการจะไม่สามารถมองเห็นกรณีและปัญหาที่รายงานของพวกเขาสามารถเข้าถึงได้

สำหรับรายงานที่ไม่ใช่แบบโดยตรงในห่วงโซ่การจัดการเดียวกันของผู้จัดการนั้น ผู้จัดการจะมีการเข้าถึงแบบอ่านอย่างเดียวไปยังข้อมูลของรายงานที่ไม่ใช่แบบโดยตรง สำหรับรายงานโดยตรง ผู้จัดการจะมีสิทธิ์การเข้าถึงข้อมูลของรายงานแบบอ่าน เขียน ปรับปรุง ผนวก ผนวกไปยัง เพื่อให้เห็นภาพโมเดลความปลอดภัยลำดับชั้นผู้จัดการ ลองมาดูที่ไดอะแกรมด้านล่างนี้ ซีอีโอสามารถอ่าน หรือปรับปรุง VP ของข้อมูลฝ่ายขาย และ VP ของข้อมูลฝ่ายการบริการได้ อย่างไรก็ตาม ซีอีโอสามารถทำได้แค่อ่านข้อมูลของผู้จัดการฝ่ายขายและข้อมูลของผู้จัดการฝ่ายการบริการ ตลอดจนข้อมูลของฝ่ายขาย และฝ่ายสนับสนุน เท่านั้น คุณยังสามารถจำกัดจำนวนของข้อมูลที่ผู้จัดการสามารถเข้าถึงได้เพิ่มเติมด้วยการใช้ "ความลึก" ความลึกจะถูกใช้เพื่อจำกัดว่าผู้จัดการจะสามารถเข้าถึงข้อมูลรายงานของพวกเขาด้วยสิทธิ์การอ่านอย่างเดียวได้ลึกแค่ไหน ตัวอย่างเช่น ถ้าความลึกถูกตั้งค่าเป็น 2 ซีอีโอจะสามารถดูข้อมูลของ VP ของฝ่ายขาย VP ของฝ่ายการบริการ และของผู้จัดการฝ่ายขายและผู้จัดการ ฝ่ายบริการได้ อย่างไรก็ตาม ซีอีโอจะไม่เห็นข้อมูลของฝ่ายขายหรือข้อมูลของฝ่ายสนับสนุน

ความปลอดภัยของลำดับชั้นของตัวจัดการใน Dynamics 365 for Customer Engagement

เป็นสิ่งสำคัญที่ต้องหมายเหตุว่า ถ้าผู้ใต้บังคับบัญชาโดยตรงมีความปลอดภัยในการเข้าถึงเอนทิตีมากกว่าผู้จัดการ ผู้จัดการอาจไม่สามารถดูเรกคอร์ดทั้งหมดที่ผู้ใต้บังคับบัญชามีการเข้าถึงโดยตรง ตัวอย่างต่อไปนี้แสดงให้เห็นถึงจุดนี้

  • หน่วยธุรกิจเดียวที่มีผู้ใช้สามคน: ผู้ใช้ 1 ผู้ใช้ 2 และผู้ใช้ 3

  • ผู้ใช้ 2 เป็นรายงานโดยตรงของผู้ใช้ 1

  • ผู้ใช้ 1 และ 3 มีการเข้าถึงระดับการอ่านของผู้ใช้บนเอนทิตีการบัญชี การเข้าถึงระดับนี้อนญาตให้ผู้ใช้เข้าถึงเรกคอร์ดที่เขาหรือเธอเป็นเจ้าของ รวมถึงวัตถุที่ใช้ร่วมกับผู้ใช้ดังกล่าว และระเบียนที่ใช้ร่วมกันในทีมที่ผู้ใช้ดังกล่าวนั้นเป็นสมาชิกอยู่

  • ผู้ใช้ 2 มีหน่วยธุรกิจการเข้าถึงแบบอ่านบนเอนทิตีการบัญชี ช่วยให้ผู้ใช้ 2 ดูรายการบัญชีทั้งหมดสำหรับหน่วยธุรกิจ รวมบัญชีเป็นเจ้าของผู้ใช้ 1 และ 3 ทั้งหมด

  • ผู้ใช้ 1 เป็นผู้จัดการโดยตรงของผู้ใช้ 2 มีการเข้าถึงบัญชีเป็นเจ้าของ หรือใช้ร่วมกันกับผู้ใช้ 2 และบัญชีผู้ใช้ใดที่ถูกใช้ร่วมกันหรือเป็นเจ้าของ โดยที่ผู้ใช้ 2 เป็นสมาชิกของทีม อย่างไรก็ตาม ผู้ใช้ 1 ไม่สามารถเข้าถึงบัญชีของผู้ใช้ 3 ถึงแม้ว่ารายงานโดยตรงของพวกเขาอาจสามารถเข้าถึงบัญชีผู้ใช้ 3 ได้

ลำดับชั้นตำแหน่ง

ลำดับชั้นตำแหน่งนั้นไม่ได้ยึดตามโครงสร้างการรายงานโดยตรง เหมือนกับลำดับชั้นผู้จัดการ ในการที่จะเข้าถึงข้อมูลของผู้ใช้ ผู้ใช้ไม่จำเป็นต้องเป็นผู้จัดการของผู้ใช้อื่นอย่างแท้จริง ในฐานะผู้ดูแลระบบ คุณจะกำหนดตำแหน่งงานต่างๆ ในองค์กรและจัดเรียงตำแหน่งเหล่านั้นในลำดับชั้นตำแหน่ง จากนั้น ให้คุณเพิ่มผู้ใช้ไปยังตำแหน่งใดๆ ที่กำหนด หรือที่เรียกกันอีกอย่างหนึ่งว่า "การติดป้าย" ผู้ใช้ด้วยตำแหน่งเฉพาะหนึ่งๆ สามารถติดป้ายผู้ใช้ด้วยตำแหน่งเพียงตำแหน่งเดียวเท่านั้นในลำดับชั้นที่ระบุ อย่างไรก็ตาม สามารถใช้ตำแหน่งนั้นกับผู้ใช้หลายๆ คนได้ ผู้ใช้ในตำแหน่งที่สูงกว่าในลำดับชั้นจะสามาถเข้าถึงข้อมูลของผู้ใช้ในตำแหน่งที่ต่ำกว่าได้ ตามเส้นทางสายลำดับชั้นโดยตรง ตำแหน่งที่สูงกว่าโดยตรงจะมีสิทธิ์การเข้าถึงแบบอ่าน เขียน ปรับปรุง ผนวก ผนวกไปยัง ในข้อมูลของตำแหน่งที่ต่ำกว่าตามเส้นทางสายลำดับชั้นโดยตรง ตำแหน่งที่สูงกว่าแต่ไม่ใช่โดยตรงนั้นจะมีสิทธิ์การเข้าถึงแบบอ่านได้อย่างเดียว ในข้อมูลของตำแหน่งที่ต่ำกว่าตามเส้นทางสายลำดับชั้นโดยตรง

เพื่อให้เห็นแนวคิดของเส้นทางสายลำดับชั้นโดยตรง ลองดูไดอะแกรมด้านล่างนี้ ตำแหน่งผู้จัดการฝ่ายขายมีสิทธิ์เข้าถึงข้อมูลฝ่ายขาย อย่างไรก็ตาม จะไม่มีสิทธิ์ในการเข้าถึงข้อมูลของฝ่ายสนับสนุน ซึ่งอยู่ในเส้นทางสายลำดับชั้นที่แตกต่างกัน ซึ่งเป็นเช่นเดียวกันกับตำแหน่งผู้จัดการฝ่ายการบริการ คือจะไม่มีสิทธิ์ในการเข้าถึงข้อมูลของฝ่ายขาย ซึ่งอยู่ในเส้นทางฝ่ายขาย เช่นเดียวกับในลำดับชั้นผู้จัดการ คุณสามารถจำกัดจำนวนของข้อมูลที่ตำแหน่งที่สูงกว่าสามารถเข้าถึงได้ด้วย "ความลึก" ความลึกจะจำกัดว่าตำแหน่งที่สูงกว่านั้นจะสามารถเข้าถึงข้อมูลของตำแหน่งที่ต่ำกว่า ด้วยสิทธิ์การเข้าถึงแบบอ่านได้อย่างเดียวได้ลึกแค่ไหนในเส้นทางสายลำดับชั้นโดยตรง ตัวอย่างเช่น ถ้าความลึกถูกตั้งไว้เป็น 3 ตำแหน่งซีอีโอจะสามารถดูข้อมูลได้ทั้งหมดตั้งแต่ตำแหน่ง VP ของฝ่ายขายและ VP ของฝ่ายการบริการ ลงไปจนถึงตำแหน่งต่างๆ ของฝ่ายขายและฝ่ายสนับสนุน

ลำดับชั้นตำแหน่งใน Microsoft Dynamics 365 for Customer Engagement

หมายเหตุ

ด้วยการใช้ความปลอดภัยลำดับชั้นตำแหน่ง ผู้ใช้ในตำแหน่งที่สูงกว่าจะสามารถเข้าถึงเรกคอร์ดที่มีเจ้าของเป็นผู้ใช้ที่มีตำแหน่งต่ำกว่า หรือทีมที่ผู้ใช้นั้นเป็นสมาชิกอยู่ และสามารถเข้าถึงเรกคอร์ดที่ใช้งานร่วมกับผู้ใช้หรือทีมที่ผู้ใช้นั้นเป็นสมาชิกอยู่โดยตรงได้

นอกเหนือจากโมเดลความปลอดภัยลำดับชั้นตำแหน่งแล้ว ผู้ใช้ในระดับที่สูงกว่าอย่างน้อยที่สุดจะต้องมีสิทธิ์การอ่านบนเอนทิตีถึงจะเห็นเรกคอร์ดที่ผู้ใช้ในตำแหน่งที่ต่ำกว่าสามารถเข้าถึงได้ ตัวอย่างเช่น ถ้าผู้ใช้ในระดับที่สูงกว่านั้นไม่มีสิทธิ์การอ่านเอนทิตีกรณีและปัญหา ผู้ใช้ดังกล่าวจะไม่สามารถมองเห็นกรณีและปัญหาที่ผู้ใช้ในตำแหน่งที่ต่ำกว่าสามารถเข้าถึงได้

ตั้งค่าความปลอดภัยลำดับชั้น

เมื่อต้องการตั้งค่าลำดับชั้นความปลอดภัย คุณต้องมี Security rold เป็นผู้ดูแลระบบ

ลำดับชั้นความปลอดภัยจะถูกปิดใช้งานไว้โดยค่าเริ่มต้น หากต้องการเปิดใช้งาน:

  1. ไปที่ การตั้งค่า>ความปลอดภัย

  2. เลือก ความปลอดภัยลำดับชั้น และเลือก เปิดใช้งานลำดับชั้นการสร้างโมเดล

สำคัญ

เมื่อต้องการทำการเปลี่ยนแปลงใดๆ ในความปลอดภัยลำดับชั้นคุณจำเป็นต้องมีสิทธิ์เปลี่ยนแปลงการตั้งค่าลำดับชั้นความปลอดภัย

หลังจากที่คุณได้เปิดใช้การสร้างโมเดลลำดับชั้น ให้เลือกโมเดลโดยการเลือก ลำดับชั้นผู้จัดการหรือลำดับชั้นตำแหน่งแบบกำหนดเอง เอนทิตีระบบทั้งหมดจะถูกเปิดใช้งานไว้สำหรับความปลอดภัยลำดับชั้นมาแล้วแต่ต้น แต่คุณสามารถเลือกแยกเอนทิตีออกจากลำดับชั้นได้ หน้าต่าง ความปลอดภัยลำดับชั้น ที่แสดงอยู่ด้านล่าง:

ตั้งค่าความปลอดภัยของลำดับชั้นใน Dynamics 365 for Customer Engagement

ตั้งค่า ความลึก ด้วยค่าตามต้องการเพื่อจำกัดว่าผู้จัดการจะสามารถเข้าถึงข้อมูลรายงานของพวกเขาด้วยสิทธิ์การอ่านอย่างเดียวได้ลึกแค่ไหน ตัวอย่างเช่น หากความลึกเท่ากับ 2 ผู้จัดการจะสามารถเข้าถึงได้เฉพาะบัญชีของพวกเขา และบัญชีของรายงานที่ลึกลงไปสองระดับ ในตัวอย่างของเรา ถ้าคุณเข้าสู่ระบบแอป Customer Engagement ไม่ใช่ในฐานะของผู้ดูแลระบบที่สามารถดูบัญชีทั้งหมดได้ แต่เข้าสู่ระบบในฐานะเป็น VP ของฝ่ายขาย คุณจะเห็นเฉพาะแต่บัญชีที่ใช้งานอยู่ของผู้ใช้ที่แสดงอยู่ในรูปสี่เหลี่ยมสีแดง ดังที่แสดงด้านล่างนี้เท่านั้น

การเข้าถึงแบบอ่านสำหรับ VP ของการขายใน Dynamics 365 for Customer Engagement

หมายเหตุ

ในขณะที่ ลำดับชั้นความปลอดภัยนั้นให้สิทธิ์ VP ของฝ่ายขายให้สามารถเข้าถึงเรกคอร์ดในสี่เหลี่ยมสีแดงได้ การเข้าถึงเพิ่มเติมสามารถมีได้โดยใช้บทบาทความปลอดภัยที่ VP ของฝ่ายขายนั้นมี

ตั้งค่าลำดับชั้นผู้จัดการและลำดับชั้นตำแหน่ง

ลำดับชั้นผู้จัดการนั้นสามารถสร้างขึ้นได้อย่างง่ายๆ โดยใช้ความสัมพันธ์ของผู้จัดการบนเรกคอร์ดผู้ใช้ระบบ ให้คุณใช้ฟิลด์ค้นหาผู้จัดการ (ParentsystemuserID) เพื่อระบุผู้จัดการของผู้ใช้ ถ้าคุณได้สร้างลำดับชั้นตำแหน่งไว้แล้ว คุณสามารถติดป้ายผู้ใช้ดังกล่าวด้วยตำแหน่งเฉพาะในลำดับชั้นตำแหน่งได้ ในตัวอย่างต่อไปนี้ พนักงานขายรายงานกับผู้จัดการฝ่ายขายในลำดับชั้นผู้จัดการ และยังมีตำแหน่งฝ่ายขายในลำดับชั้นตำแหน่งด้วย:

เรกคอร์ดผู้ใช้ของพนักงานขายใน Dynamics 365 for Customer Engagement

เมื่อต้องการเพิ่มผู้ใช้ไปยังตำแหน่งเฉพาะในลำดับชั้นตำแหน่ง ให้ใช้ฟิลด์ค้นหาที่เรียกว่าตำแหน่งในฟอร์มของเรกคอร์ดผู้ใช้ ที่แสดงด้านล่าง:

สำคัญ

เมื่อต้องการเพิ่มผู้ใช้ไปยังตำแหน่ง หรือเปลี่ยนตำแหน่งของผู้ใช้ คุณต้องมีสิทธิ์มอบหมายตำแหน่งสำหรับผู้ใช้

เพิ่มผู้ใช้ไปยังตำแหน่งในความปลอดภัยของลำดับชั้นใน Dynamics 365 for Customer Engagement

เมื่อต้องการเปลี่ยนตำแหน่งบนฟอร์มเรกคอร์ดผู้ใช้ บนแถบนำทาง เลือกเพิ่มเติม(...) และเลือกตำแหน่งอื่น ดังที่แสดงด้านล่าง:

เปลี่ยนตำแหน่งในความปลอดภัยของลำดับชั้นใน Dynamics 365 for Customer Engagement

เมื่อต้องการสร้างลำดับชั้นของตำแหน่ง:

  1. ไปที่ การตั้งค่า>ความปลอดภัย

  2. เลือก ตำแหน่ง

    สำหรับแต่ละตำแหน่ง ให้ใส่ชื่อของตำแหน่ง หน่วยหลักของตำแหน่ง และคำอธิบาย เพิ่มผู้ใช้ไปยังตำแหน่งนี้ โดยใช้ฟิลด์ค้นหาที่เรียกว่าผู้ใช้ในตำแหน่งนี้ ด้านล่างนี้คือตัวอย่างของลำดับชั้นตำแหน่งที่มีตำแหน่งที่ใช้งานอยู่

    ตำแหน่งที่ใช้งานอยู่ในความปลอดภัยของลำดับชั้นใน Dynamics 365 for Customer Engagement

    ตัวอย่างของผู้ใช้ที่เปิดใช้งานกับตำแหน่งที่สอดคล้องกันของตนเองนั้นจะแสดงอยู่ด้านล่างนี้:

    ผู้ใช้ที่เปิดใช้งานที่มีตำแหน่งที่กำหนดใน Dynamics 365 for Customer Engagement

ข้อควรพิจารณาเกี่ยวกับประสิทธิภาพการทำงาน

เมื่อต้องการเพิ่มประสิทธิภาพการทำงาน เราขอแนะนำ:

  • ให้กำหนดความปลอดภัยลำดับชั้นไว้ที่ 50 ผู้ใช้หรือน้อยกว่านั้นภายใต้ผู้จัดการ/ตำแหน่ง ลำดับชั้นของคุณอาจมีผู้ใช้มากกว่า 50 คนภายใต้ผู้จัดการ/ตำแหน่งได้ แต่คุณสามารถใช้การตั้งค่าความลึกเพื่อลดจำนวนของระดับ การเข้าถึงแบบอ่านอย่างเดียวได้ และการดำเนินการนี้ช่วยจำกัดจำนวนผู้ใช้ภายใต้ผู้จัดการ/ตำแหน่ง ให้เป็นไปอย่างเหมาะสมที่ 50 คนหรือน้อยกว่าได้

  • ใช้โมเดลความปลอดภัยลำดับชั้นร่วมกับโมเดลความปลอดภัยที่มีอยู่อื่นๆ สำหรับสถานการณ์ที่ซับซ้อนยิ่งขึ้น หลีกเลี่ยงการสร้างหน่วยธุรกิจในปริมาณมากๆ แต่ให้สร้างหน่วยธุรกิจให้น้อยลงแล้วเพิ่มความปลอดภัยลำดับชั้นเข้าไปแทน

ดูเพิ่มเติม

แนวคิดด้านความปลอดภัยสำหรับ Microsoft Dynamics 365 for Customer Engagement
แบบสอบถามและแสดงภาพข้อมูลลำดับชั้น