Comparteix a través de

Seguretat de la jerarquia per controlar l’accés

  • Article

Nota

El centre Power Platform d'administració nou i millorat ja està en versió preliminar pública. Hem dissenyat el nou centre d'administració perquè sigui més fàcil d'utilitzar, amb una navegació orientada a tasques que us ajuda a aconseguir resultats específics més ràpidament. Publicarem documentació nova i actualitzada a mesura que el nou Power Platform centre d'administració passi a la disponibilitat general.

El model de seguretat de jerarquia és una extensió dels models de seguretat existents que utilitzen unitats de negoci, funcions de seguretat, ús compartit i equips. Es pot utilitzar amb tots els altres models de seguretat existents. La seguretat de la jerarquia ofereix un accés més granular als registres per a una organització i ajuda a reduir els costos de manteniment.

Per exemple, en situacions complexes, podeu començar amb la creació de diverses unitats de negoci i després afegir la seguretat de la jerarquia. Aquesta seguretat afegida proporciona un accés més granular a les dades amb molts menys costos de manteniment que un gran nombre d'unitats de negoci poden requerir.

Models de seguretat de jerarquia de gestors i jerarquia de posicions

Es poden utilitzar dos models de seguretat per a les jerarquies, la jerarquia de gestors i la jerarquia de posicions. Amb la jerarquia d'administradors, un administrador ha d'estar dins de la mateixa unitat de negoci que l'informe o a la unitat de negoci principal de la unitat de negoci de l'informe per tenir accés a les dades de l'informe. La jerarquia de càrrecs permet accés a les dades a través d'unitats de negoci. Si sou una organització financera, és possible que preferiu el model de jerarquia de gestors, per evitar que els gestors accedeixin a dades fora de les seves unitats de negoci. Tanmateix, si formeu part d'una organització d'atenció al client i voleu que els administradors accedeixin als casos de servei gestionats en diferents unitats de negoci, la jerarquia de llocs us pot funcionar millor.

Nota

Mentre que el model de seguretat de jerarquia proporciona un cert nivell d'accés a dades, es poden obtenir accesos addicionals mitjançant altres formes de seguretat com les funcions de seguretat.

Jerarquia de caps

El model de seguretat de la jerarquia de l'administrador es basa en la cadena d'administració o l'estructura d'informes directes, on la relació de l'administrador i l'informe s'estableix mitjançant el camp Administrador de la taula d'usuaris del sistema. Amb aquest model de seguretat, els gestors poden accedir a les dades a les quals tenen accés els seus informes. Poden realitzar treballs en nom dels seus subordinats directes o accedir a informació que necessiti aprovació.

Nota

Amb el model de seguretat de jerarquia d'administradors, un administrador té accés als registres propietat de l'usuari o de l'equip del qual és membre i als registres que es comparteixen directament amb l'usuari o l'equip del qual és membre. Quan un usuari que està fora de la cadena d'administració comparteix un registre amb un usuari d'informe directe amb accés només de lectura, l'administrador de l'informe directe només té accés només de lectura al registre compartit.

Quan heu habilitat l'opció Propietat de registres entre unitats de negoci, els administradors poden tenir informes directes de diferents unitats de negoci. Podeu utilitzar la configuració de la base de dades de l'entorn següent per suprimir la restricció d'unitat de negoci.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Per defecte = true

Podeu establir-lo com a fals i la unitat de negoci d'un administrador no ha de ser la mateixa que la unitat de negoci de l'subordinat directe.

A més del model de seguretat de jerarquia de gestors, un gestor ha de tenir com a mínim el privilegi de lectura a nivell d'usuari en una taula per veure les dades dels informes. Per exemple, si un gestor no té accés de lectura a la taula Cas, no podrà veure els casos als quals tenen accés els seus informes.

Per a un informe no directe de la mateixa cadena d'administració del gestor, un gestor té accés només de lectura a les dades de l'informe no directe. Per a un informe directe, l'administrador té accés a les dades de l'informe. Per il·lustrar el model de seguretat de la jerarquia del gestor, fem una ullada al diagrama següent. El CEO pot llegir o actualitzar les dades del VP de vendes i les dades del VP de servei. Tanmateix, el CEO només pot llegir les dades del director de vendes i les dades del gestor de serveis, així com les dades de vendes i suport. Podeu limitar encara més la quantitat de dades accessibles per un gestor amb profunditat. La profunditat s'utilitza per limitar el nombre de nivells de profunditat que un gestor té accés només de lectura a les dades dels seus informes. Per exemple, si la profunditat s'estableix en 2, el CEO pot veure les dades del vicepresident de vendes, el vicepresident de servei i els directors de vendes i serveis. Tanmateix, el CEO no veu les dades de vendes ni les dades de suport.

Captura de pantalla que mostra la jerarquia del gestor. Aquesta jerarquia inclou el CEO, el vicepresident de vendes, el vicepresident de servei, els directors de vendes, els gestors de serveis, les vendes i el suport.

És important tenir en compte que si un subordinat directe té un accés de seguretat més profund a una taula que el seu gestor, és possible que l'administrador no pugui veure tots els registres als quals té accés. L'exemple següent il·lustra aquest punt.

  • Una sola unitat de negoci té tres usuaris: usuari 1, usuari 2 i usuari 3.

  • L'usuari 2 és un subordinat immediat de l'usuari 1.

  • L'usuari 1 i l'usuari 3 tenen accés de lectura a nivell d'usuari a la taula Compte. Aquest nivell d'accés proporciona als usuaris accés als registres de la seva propietat, els registres que estan compartits amb l'usuari i els registres que estan compartits amb l'equip al qual pertanyen els usuaris.

  • L'usuari 2 té accés de lectura de la unitat de negoci a la taula Compte. Aquest accés permet a l'usuari 2 veure tots els comptes de la unitat de negoci, inclosos tots els comptes propietat de l'usuari 1 i l'usuari 3.

  • L'usuari 1, com a gestor directe de l'usuari 2, té accés als comptes propietat o compartits amb l'usuari 2, inclosos els comptes compartits o propietat d'altres equips de l'usuari 2. Tanmateix, l'usuari 1 no té accés als comptes de l'usuari 3, tot i que el seu subordinat directe pot tenir accés als comptes de l'usuari 3.

La jerarquia de posició

La jerarquia de posicions no es basa en l'estructura d'informes directes, com la jerarquia d'administradors. Un usuari no ha de ser un cap real d'un altre usuari per accedir a les dades de l'usuari. Com a administrador, definiu diversos llocs de treball a l'organització i els organitzeu a la jerarquia de llocs. A continuació, afegiu usuaris a qualsevol posició determinada o, com també diem, etiqueteu un usuari amb una posició en particular. Un usuari només pot ser etiquetat amb una posició en una jerarquia determinada; no obstant això, una posició pot ser utilitzada per a diversos usuaris. Els usuaris de les posicions més altes en la jerarquia tenen accés a les dades dels usuaris de les posicions més baixes, en el camí de l'antecessor directe. Les posicions més altes directes tenen accés per llegir, escriure, annexar, annexar a, a les dades de les posicions directes més baixes en el camí de l'antecessor directe. Les posicions superiors no directes tenen accés només de lectura a les dades de les posicions inferiors en el camí directe de l'avantpassat.

Per il·lustrar el concepte del camí directe de l'avantpassat, vegem el diagrama següent. La posició de director de vendes té accés a les dades de vendes, però no té accés a les dades de suport, que es troben al camí de l'avantpassat diferent. El mateix passa amb la posició de gestor de serveis. No té accés a les dades de vendes, que es troben a la ruta de vendes. Igual que a la jerarquia de gestors, podeu limitar la quantitat de dades accessibles per les posicions superiors amb profunditat. La profunditat limita quants nivells de profunditat té accés només de lectura una posició superior a les dades de les posicions inferiors en el camí directe de l'avantpassat. Per exemple, si la profunditat s'estableix en 3, la posició de CEO pot veure les dades des de les posicions de vicepresident de vendes i vicepresident de servei fins a les posicions de vendes i suport.

Captura de pantalla que mostra la jerarquia de posicions. Aquesta jerarquia inclou el CEO, el vicepresident de vendes, el vicepresident de servei, els directors de vendes, els gestors de serveis, les vendes i el suport.

Nota

Amb la seguretat de jerarquia de posicions, un usuari en una posició superior té accés als registres propietat d'un usuari de posició inferior o de l'equip del qual és membre un usuari, i als registres que es comparteixen directament amb l'usuari o l'equip del qual és membre.

A més del model de seguretat de jerarquia de posicions, els usuaris d'un nivell superior han de tenir com a mínim el privilegi de lectura a nivell d'usuari en una taula per veure els registres als quals tenen accés els usuaris de les posicions inferiors. Per exemple, si un usuari d'un nivell superior no té accés de lectura a la taula de casos, aquest usuari no podrà veure els casos als quals tenen accés els usuaris d'una posició inferior.

Definiu la seguretat de la jerarquia

Per configurar la seguretat de la jerarquia, assegureu-vos que teniu el permís d'administrador del sistema per actualitzar la configuració.

La seguretat de la jerarquia està inhabilitada per defecte. Per habilitar la seguretat de la jerarquia, completeu els passos següents.

  1. Seleccioneu un entorn i aneu a Configuració>Usuaris i seguretat>Seguretat de la jerarquia.

  2. A Model de jerarquia, seleccioneu Habilita el model de jerarquia d'administrador o Habilita el model de jerarquia de posicions en funció dels vostres requisits.

    Important

    Per fer qualsevol modificació a Seguretat de la jerarquia, heu de tenir el privilegi de Canvia la configuració de la seguretat de la jerarquia.

    A l'àrea Administració de taules de jerarquia, totes les taules del sistema estan habilitades per a la seguretat de la jerarquia per defecte, però podeu excloure taules selectives de la jerarquia. Per excloure taules específiques del model de jerarquia, desactiveu les caselles de selecció de les taules que voleu excloure i deseu els canvis.

    Captura de pantalla de la pàgina Seguretat de la jerarquia a Configuració dels entorns.

  3. Definiu la profunditat en un valor desitjat per limitar el nombre de nivells de profunditat que un gestor té accés només de lectura a les dades dels seus informes.

    Per exemple, si la profunditat és igual a 2, un gestor només pot accedir als seus propis comptes i als comptes dels informes de dos nivells de profunditat. En el nostre exemple, si inicieu sessió a les aplicacions d'interacció amb el client com a vicepresident de vendes no administrador, només veureu els comptes actius dels usuaris tal com es mostra:

    Captura de pantalla que mostra l'accés de lectura per al vicepresident de vendes i altres posicions.

    Nota

    Mentre la seguretat de la jerarquia concedeix l'accés als registres del rectangle vermell al VP de vendes, es pot disposar d'accesos addicionals basats en la funció de seguretat que té el VP de vendes.

  4. A la secció Administració de taules de jerarquia, totes les taules del sistema estan habilitades per a la seguretat de la jerarquia, per defecte. Per excloure una taula específica del model de jerarquia, desactiveu la marca de verificació que hi ha al costat del nom de la taula i deseu els canvis.

    Captura de pantalla que mostra on configurar la seguretat de la jerarquia a Configuració de la nova i moderna interfície d'usuari.

    Important

    • Aquesta és una característica de visualització prèvia.
    • Les característiques en versió preliminar no estan dissenyades per a un entorn de producció i poden tenir una funcionalitat restringida. Aquestes funcions estan subjectes a condicions d'ús addicionals i estan disponibles abans d'un llançament oficial perquè els clients puguin obtenir accés anticipat i proporcionar comentaris.

Configurar jerarquies de gestors i posicions

La jerarquia d'administrador es crea fàcilment utilitzant la relació d'administrador al registre d'usuari del sistema. Utilitzeu el camp de cerca del cap (ParentsystemuserID) per especificar el cap de l'usuari. Si heu creat la jerarquia de posicions, també podeu etiquetar l'usuari amb una posició concreta a la jerarquia de posicions. En l'exemple següent, el comercial informa al director de vendes a la jerarquia de l'administrador i també té la posició de vendes a la jerarquia de posicions:

Captura de pantalla que mostra un registre d'usuari de comercials.

Per afegir un usuari a una posició concreta de la jerarquia de posicions, utilitzeu el camp de cerca anomenat Posició al formulari del registre d'usuari.

Important

Per afegir un usuari a una posició o canviar la posició de l'usuari, heu de tenir el privilegi Assigna una posició per a un usuari.

Captura de pantalla que mostra com afegir un usuari a una posició a Seguretat de la jerarquia

Per canviar la posició en el formulari del registre d'usuari, a la barra de navegació, trieu Més (...) i trieu una posició diferent.

Canviar el càrrec en la seguretat de la jerarquia

Per crear una jerarquia de posicions:

  1. Seleccioneu un entorn i aneu a Configuració>Usuaris i seguretat>Càrrecs.

    Per a cada posició, proporcioneu el nom de la posició, el principal de la posició i la descriptció. Afegiu usuaris a aquesta posició mitjançant el camp de cerca anomenat Usuaris en aquesta posició. La següent imatge és un exemple de jerarquia de posicions amb les posicions actives.

    Càrrecs actius a la seguretat de la jerarquia

    L'exemple dels usuaris habilitats amb les seves posicions corresponents es mostra a la següent imatge.

    Captura de pantalla que mostra els usuaris habilitats amb posicions assignades.

Incloure o excloure registres propietat de l'informador directe amb l'estat d'usuari inhabilitat

Els gestors poden veure els registres de l'informe directe de l'estat inhabilitat per als entorns on la seguretat de la jerarquia està habilitada després del 31 de gener de 2024. Per a altres entorns, els registres de l'informe directe d'estat inhabilitat no s'inclouen a la visualització de l'administrador.

Per incloure els registres de l'informe directe d'estat inhabilitat:

  1. Instal·leu l'eina OrganizationSettingsEditor.
  2. Actualitzeu la configuració AuthorizationEnableHSMForDisabledUsers a true.
  3. Desactiveu el modelatge de jerarquia.
  4. Torneu a activar-lo de nou.

Per excloure els registres de l'informe directe d'estat inhabilitat:

  1. Instal·leu l'eina OrganizationSettingsEditor.
  2. Actualitzeu la configuració AuthorizationEnableHSMForDisabledUsers a false.
  3. Desactiveu el modelatge de jerarquia.
  4. Torneu a activar-lo de nou.

Nota

  • Quan inhabiliteu i torneu a habilitar el modelatge de jerarquia, l'actualització pot trigar temps, ja que el sistema ha de tornar a calcular l'accés al registre del gestor.
  • Si veieu un temps d'espera, reduïu el nombre de taules a la llista Administració de taules de jerarquia per incloure només les taules que ha de ser visualitzades per l'administrador. Si el temps d'espera persisteix, envieu un tiquet d'assistència per sol·licitar ajuda.
  • Els registres de l'informe directe d'estat inhabilitat s'inclouen si aquests registres es comparteixen amb un altre subordinat directe actiu. Podeu excloure aquests registres suprimint el recurs compartit.

Consideracions de rendiment

Per augmentar el rendiment, us recomanem:

  • Mantingueu la seguretat jeràrquica efectiva a 50 usuaris o menys sota un gerent o posició. La jerarquia pot tenir més de 50 usuaris sota un administrador o una posició, però podeu utilitzar la configuració Profunditat per reduir el nombre de nivells per a l'accés només de lectura i, amb això, limitar el nombre efectiu d'usuaris sota un administrador o posició a 50 usuaris o menys.

  • Utilitzeu models de seguretat de jerarquia amb altres models de seguretat existents per a escenaris més complexos. Eviteu crear un gran nombre d'unitats de negoci, en lloc d'això, creeu menys unitats de negoci i afegiu seguretat de jerarquia.

Consulteu també

Seguretat a Microsoft Dataverse
Consulta i visualització de dades jeràrquiques