层次结构安全性

  • 15 分钟

除了业务单位之外,您还可以使用现成的分层安全模型之一来帮助保护 Dataverse。

重要提示

若要在层次结构安全性中进行更改,您必须拥有系统管理员安全角色或更改层次结构安全性设置特权。

分层安全模型的类型

分层安全模型可扩展 Dataverse 安全性。 可用于层次结构的两种安全模型为:

  • 管理人员层次结构 - 若要访问下属的数据,用户与下属必须位于同一业务单位中,或位于下属业务单位的上级业务部门中。

  • 职位层次结构 - 允许跨业务单位进行数据访问。

管理人员层次结构

管理人员层次结构安全模型基于管理链或直接报告结构。

您可以使用用户表上的管理人员字段建立管理人员和下属的关系。

通过此安全模型,管理人员可以访问下属有权访问的数据,也可以代表其下属执行工作。 管理人员对其直接下属的数据具有完全访问权限。 对于非直接下属,管理人员对其数据仅具有只读访问权限。

职位层次结构

在职位层次结构安全性中,您可以使用职位表在层次结构中定义和排列组织中的各种工作职位。

然后,您可以使用用户记录上的职位查找列将用户添加到任何给定职位。

在层次结构中具有较高职位的用户有权访问位于较低职位的用户的数据。 与管理人员层次结构类似,父职位具有对子职位的数据的完全访问权限,但高于直接父级的职位具有只读访问权限。

注意

在这两个层次结构模型中,在层次结构中较高的用户必须至少具有表上的用户级别读取特权,才能查看下属的数据。 例如,如果管理人员没有对案例表的读取访问权限,该管理人员将无法查看其下属有权访问的案例。

配置管理人员层次结构安全性示例

以下过程显示了如何配置管理人员层次结构安全性。

先决条件

若要完成本练习中的步骤,您需要满足以下先决条件:

  • Microsoft Dataverse 实例

  • 系统管理员安全角色

配置层次结构安全性系统设置

默认情况下,层次结构安全性处于关闭状态。 若要使层次结构安全性可用,请按照以下步骤操作:

  1. 登录到 Power Apps

  2. 在右上角,选择设置齿轮图标,然后选择管理中心

  3. 从左侧面板中选择环境,然后选择要配置的环境。

  4. 从功能区中,选择设置

  5. 选择用户 + 权限下拉菜单,然后选择层次结构安全性

  6. 将打开一个名为层次结构安全性的新浏览器选项卡。 选择启用管理人员层次结构模型深度字段不再显示为灰色,将显示 3。 层次结构深度是指管理人员对其下属的数据具有只读访问权限的级别深度。

  7. 层次结构表管理部分中,所有系统表默认情况下均可用于层次结构安全性。 您可以选择(或清除)想要为层次结构模型打开的表。

  8. 在功能区上选择保存

    已打开层次结构建模、已选择模型并已设置深度的屏幕截图。

    重要提示

    在新的现代 UI 中打开层次结构安全性功能处于预览状态。 对于旧的 UI,说明类似。 有关详细信息,请参阅旧的 UI 界面

设置管理人员层次结构

您可以使用用户记录上的管理人员关系来创建管理人员层次结构。 使用管理人员 (ParentsystemuserID) 查阅字段指定用户的管理人员。

重要提示

一个环境在给定时间内只能有一个层次结构安全模型可用。

  1. 转到 Power Platform 管理中心中的层次结构安全性设置页面。

    Power Platform 管理中心中的“层次结构安全性”设置页面的屏幕截图。

  2. 启用管理人员层次结构模型旁边,选择配置

  3. 为每个用户分配一个管理人员和职位(可选)。 可以使用右上角的筛选器字段搜索用户。 从已启用用户下方选择一个用户,以打开用户弹出窗口。

    “已启用用户”窗口的屏幕截图。

以下示例显示已选择用户 Adele Vance。 Adele Vance 在管理人员层次结构中向 Nestor Wilke 报告,并且在职位层次结构中也具有销售人员职位。

Adele Vance 的用户窗口的屏幕截图。

若要将用户添加到职位层次结构中的特定职位,请在用户记录的窗体上选择职位查阅字段。 将显示组织层次结构中的现有职位,您可以使用搜索字段搜索职位。

“职位”字段的屏幕截图,其中已选择“销售人员”。

您可以根据需要添加职位。 为此,选择 + 新建职位以显示新建职位弹出窗口。 然后,输入名称和(可选)父职位。 如果保存此职位,它将显示为在您的职位层次结构中可用。

“新建职位”窗口的屏幕截图。

创建职位层次结构

若要创建职位层次结构,请按照以下步骤操作:

  1. 登录到 Power Platform 管理中心。

  2. 选择环境,然后选择要修改的环境。

  3. 从功能区中选择设置

    在 Power Platform 管理中心中选择了“设置”的屏幕截图。

  4. 展开用户 + 权限,然后选择层次结构安全性。 或者,您可以在搜索设置字段中的标头下输入层次结构

    “安全性”窗口上突出显示了层次结构安全性的屏幕截图。

  5. 选择启用职位层次结构模型旁边的按钮,然后确保深度设置为 3(默认值)。

    已打开层次结构建模并且深度已设置为 3 的屏幕截图。

  6. 选择配置

  7. 对于每个职位,提供职位的名称、职位的父级和描述。 使用处于此职位的用户查阅字段将用户添加到此职位。 以下屏幕截图是具有可用职位的职位层次结构的示例。 您可以选择任意职位,然后在层次结构中分配/添加其他职位。

    可用职位的屏幕截图。

  8. 如果您选择某个职位,则可以看到处于此职位的用户的列表。 每个用户都可供选择。 选择用户后,系统会将您转到其相应的用户管理屏幕,您可以在其中根据需要更改用户详细信息。 使用窗口左上角的“返回”箭头,可以返回到之前的屏幕。

    “销售人员”屏幕的屏幕截图,其中“处于此职位的用户”区域中显示了 Adele Vance。

  9. 使用可用职位屏幕,以确保在层次结构中为每个用户设置了正确的职位。

性能注意事项

为了提高性能,我们建议您:

  • 将一个管理人员/职位下的用户数量保持在 50 个或以下,以实现有效的层次结构安全性。 在您的层次结构中,一个管理人员/职位下的用户数量可能超过 50 个,但您可以使用深度设置减少只读访问权限的级别数。 通过此设置,您可以将管理人员/职位下的有效用户数限制在 50 个或以下。

  • 对于更复杂的应用场景,将层次结构安全模型与其他现有安全模型配合使用。 避免创建大量业务单位。 相反,应创建较少的业务单位并添加层次结构安全性。