Поделиться через


Безопасность на уровне столбцов для контроля доступа

Разрешения на уровне записи предоставляются на уровне таблицы, однако можно иметь определенные столбцы, связанные с таблицей, которые содержат данные, являющиеся более конфиденциальными, чем данные в других столбцах. В таких ситуациях удобно пользоваться безопасностью на уровне столбцов, чтобы контролировать доступ к конкретным столбцам.

Область безопасности на уровне столбцов — вся организация; она применима ко всем запросам на доступ к данным, включая следующие запросы и вызовы:

  • Запросы доступа к данным из клиентского приложения, например веб-браузера, мобильного клиента или Microsoft Dynamics 365 for Outlook
  • Вызовы веб-служб с использованием веб-служб Microsoft Dataverse (для использования в подключаемых модулях, действиях пользовательских бизнес-процессов и пользовательском коде)
  • Создание отчетов (с использованием отфильтрованных представлений)

Заметка

Использование терминологии, относящейся к таблицам, зависит от используемого протокола или библиотеки классов. См. раздел Использование терминологии в зависимости от протокола или технологии.

Обзор безопасности на уровне столбцов

Безопасность на уровне столбцов доступна для предусмотренных по умолчанию столбцов в большинстве готовых таблиц, пользовательских столбцов и пользовательских столбцов в пользовательских таблицах. Профили безопасности управляют безопасностью на уровне столбцов. Для реализации безопасности на уровне столбцов системный администратор выполняет следующие задачи.

  1. Включите безопасность столбцов для одного или нескольких столбцов для конкретной таблицы.

  2. Выберите необязательное правило маскирования.

  3. Свяжите еще один из существующих профилей безопасности или создайте один или несколько новых профилей безопасности, чтобы предоставить подобающий доступ к конкретным пользователям или группам.

    Профиль безопасности определяет:

    • Разрешения на безопасные столбцы.
    • Пользователи и группы с назначенным доступом.

    Можно настроить профиль безопасности, чтобы предоставить пользователю или участникам группы следующие разрешения на уровне столбцов:

    • Чтение: доступ к данным столбца с возможностью только чтения.
    • Чтение немаскированных значений: немаскированные значения данных столбца "Чтение".
    • Создание: пользователи или группы в этом профиле могут добавлять сведения в этот столбец при создании строки.
    • Обновить: пользователи или рабочие группы в этом профиле могут обновлять данные столбцов после их создания.

    Сочетание этих четырех разрешений можно настроить так, чтобы определять привилегии пользователя для конкретного столбца данных.

    Важно

    Только пользователи с ролью безопасности "Системный администратор" имеют доступ к этому столбцу, если только один или несколько профилей безопасности не назначены столбцу с безопасностью.

Пример ограничения столбца мобильного телефона для таблицы "Контакт"

Представим себе, что политика компании такова, что специалисты из группы специалистов по продажам должны иметь разные уровни доступа к номерам мобильных телефонов контактов, как здесь описано.

Пользователь или рабочая группа Открыть
Менеджер по продажам Только чтение. Можно только просматривать номер мобильного телефона в замаскированной форме контактов.
Вице-президенты Полный. Можно создавать, обновлять и просматривать номер мобильного телефона контакта.
Продавцы и все остальные пользователи Нет. Невозможно создавать, обновлять или просматривать номер мобильного телефона контакта.

Чтобы ограничить этот столбец, необходимо выполнить следующие задачи.

Защитить столбец

  1. Выполните вход в Power Apps.

  2. Выберите Таблицы.

  3. Выберите таблицу Контакт.

    Снимок экрана, показывающий, как выбрать таблицу «Контакты».

  4. В разделе Схема выберите Столбцы.

    Снимок экрана, показывающий, как в разделе «Схема» выбрать «Столбцы».

  5. Прокрутите список столбцов вниз и откройте Мобильный телефон.

    Снимок экрана, показывающий столбец мобильного телефона.

  6. Разверните узел Дополнительные параметры, а затем в разделе Общие выберите Включить безопасность столбцов.

    Снимок экрана с расширенными параметрами и включением безопасности столбцов.

  7. Выберите раскрывающееся меню Правило маскирования и выберите правило маскирования.

  8. Выберите Сохранить.

Настройте профили безопасности

  1. В Центре администрирования Power Platform выберите среду, для которой вы хотите настроить профили безопасности.

  2. Выберите Параметры>Пользователи + разрешения>Профили безопасности столбцов.

  3. Выберите Новый профиль введите название, например Менеджер по продажам, введите описание и выберите Сохранить.

    Снимок экрана, показывающий, как создать новый профиль безопасности столбцов.

  4. Выберите Менеджер по продажам, выберите вкладку Пользователи, выберите + Добавить пользователей, выберите пользователей, которым требуется предоставить доступ только для чтения к номеру мобильного телефона в контактной форме, а затем нажмите Добавить.

    Совет

    Вместо добавления каждого пользователя создайте одну или несколько групп, включающих всех пользователей, которым требуется предоставить доступ.

  5. Повторите вышеуказанные шаги и создайте профиль безопасности столбца для Вице-президента.

Настройка разрешений столбцов

  1. Выберите вкладку Профили безопасности столбцов, затем выберите Менеджер по продажам.

  2. Выберите вкладку Разрешения столбцов, выберите мобильный телефон, а затем нажмите Изменить. Установите параметру Чтение значение Разрешено, оставьте остальные значения Не разрешено, а затем выберите Сохранять.

    Снимок экрана с разрешения на редактирование безопасности столбцов.

  3. Выберите вкладку Профили безопасности столбцов, затем выберите Вице-президент.

  4. Выберите вкладку Разрешения столбцов, выберите мобильный телефон, а затем нажмите Изменить. Задайте для параметра Чтение значение Разрешено, для параметра Чтение немаскированных значений значение Одна запись, а для остальных параметров Разрешено и нажмите Сохранить.

Пользователи, не определенные в ранее созданных профилях безопасности столбцов, не имеют доступа к столбцу мобильного телефона в формах или представлениях контакта. Значение в столбце отобразит Значок блокировки. ********. Это значит, что столбец защищен.

Какие столбцы можно защитить?

Добавьте новый столбец

  1. Выполните вход в Power Apps.

  2. В области переходов выберите Таблицы.

  3. Выберите таблицу, затем в разделе Схема выберите Столбцы.

  4. Выберите параметр + Создать столбец на панели команд.

  5. Введите Отображаемое имя и Описание.

  6. Выберите Тип данных.

    Типы данных Подстановка и Формула не могут быть установлены с безопасностью столбца. Дополнительные сведения см. в разделе Атрибуты, которые не могут быть включены для безопасности столбцов.

  7. Разверните Дополнительные параметры, затем в разделе Общие установите флажок Включить безопасность столбца.

Просмотр безопасности на уровне столбцов

Каждый столбец в системе содержит параметр, определяющий, можно ли обеспечить его безопасность. Используйте следующие шаги, чтобы просмотреть настройки безопасности столбцов.

  1. Выполните вход в Power Apps.

  2. В области переходов выберите Таблицы.

  3. Выберите таблицу, затем в разделе Схема выберите Столбцы.

  4. Выберите столбец, разверните Расширенные параметры, а потом в разделе Общее просмотрите состояние Включить безопасность столбца.

Если можно выбрать Включить защиту столбца, столбец можно включить для обеспечения безопасности столбца.

Снимок экрана, показывающий, как включить безопасность столбцов.

Атрибуты, которые нельзя включить для безопасности столбцов

Хотя большинство атрибутов можно защитить, существуют системные атрибуты, такие как идентификаторы, метки времени и атрибуты отслеживания записей, которые нельзя защитить. Здесь приведено несколько примеров атрибутов, которые не допускаются для безопасности столбцов.

  • ownerid, processid, stageid, accountid, contactid, businessunitid, organizationid, solutionid, supportingsolutionid, transactioncurrencyid, goalownerid, subscriptionid, userpuid, yammeruserid
  • createdby, modifiedby, OwningTeam, OwningUser, Owningbusinessunit, yammeremailaddress
  • createdon, EntityImage_Timestamp, modifiedon, OnHoldTime, overriddencreatedon, overwritetime, modifiedonbehalfby, timezoneruleversionnumber, versionnumber, importsequencenumber
  • statecode, statuscode, componentstate, exchangerate, utcconversiontimezonecode
  • fullname, firstname, middlename, lastname, yominame, yomifirstname, yomifullname, yomilastname, yomimiddlename
  • устаревшие столбцы, например traversedpath, stageid

Для просмотра метаданных таблиц для вашей организации, включая информацию о том, какие столбцы могут быть включены для обеспечения безопасности столбцов, путем установки решения для браузера метаданных, описанного в Просмотр метаданных вашей организации.

Рекомендации по использованию безопасности столбцов

При использовании вычисляемых столбцов, включающих защищенный столбец, данные в вычисляемом столбце могут отображаться даже пользователям, у которых нет разрешений на просмотр защищенного столбца. В этой ситуации и исходный столбец, и вычисляемый столбец нужно защищать.

Некоторые данные, например адреса, состоят из нескольких столбцов. Поэтому для обеспечения полной безопасности данных с несколькими столбцами, например адресов, необходимо защитить и настроить соответствующие профили безопасности столбцов для нескольких столбцов таблицы. Например, чтобы полностью защитить адреса для таблицы, нужно защитить все соответствующие столбцы адреса, такие как address_line1, address_line2, address_line3, address1_city, address1_composite.

Заметка

Чтобы изменения вступили в силу, конечному пользователю на клиенте (например, в приложении на основе модели) требуется обновление браузера. Это следует учитывать при динамической корректировке правил доступа.

Настройка разрешений безопасности для столбца
Включение или отключение безопасности для столбца для управления доступом
Добавление групп или пользователей в профиль безопасности для столбцов для управления доступом
Иерархическая безопасность