Вопросы безопасности для Microsoft Dynamics 365

Dynamics CRM 2016
 

Опубликовано: Февраль 2017

Применимо к: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Используйте модель безопасности в Microsoft Dynamics 365 для защиты целостности и конфиденциальности данных в организации Microsoft Dynamics 365. Модель безопасности также обеспечивает эффективный доступ к данным и совместную работу. Цели модели перечислены ниже.

  • Предоставление пользователям многоуровневой модели лицензирования.

  • Предоставление пользователям доступа только к информации соответствующего уровня, необходимого для выполнения работы.

  • Категоризация пользователей и групп по ролям безопасности, ограничение доступа на основе этих ролей.

  • Поддержка обмена данными, чтобы пользователям можно было предоставить доступ к объектам, которыми они не владеют, для одноразового взаимодействия.

  • Предотвращение доступа к объектам, которыми пользователь не владеет и которые не находятся в общем доступе.

Объединение подразделений, безопасности ролей, безопасности на базе записей и безопасности на базе полей с целью определения общего доступа к информации для пользователей в организации Microsoft Dynamics 365.

Подразделение по сути представляет собой группу пользователей. В крупных организациях с несколькими клиентскими базами часто используются подразделения, позволяющие контролировать доступ к данным, и роли безопасности, гарантирующие доступ пользователей только к записям в соответствующем подразделении.Дополнительные сведения:Создание и изменение подразделений

Можно использовать безопасность на основе ролей для группирования наборов привилегий в роли, которые описываются задачи, которые могут выполняться пользователем или группой.Microsoft Dynamics 365 предоставляет набор предопределенных ролей безопасности, каждая из которых представляет собой сводный набор привилегий для упрощения управления безопасностью. В основном привилегии определяют способность создавать, читать, записывать, удалять и предоставлять в общий доступ записи определенного типа сущностей. Каждая привилегия также определяет широту применения привилегии: на уровне пользователя, подразделения, всей иерархии подразделений или на уровне всей организации.

Например, если выполнить вход от лица пользователя, которому назначена роль "Продавец", у вас будут привилегии на чтение, запись и совместный доступ к учетным записям для всей организации, однако удалять можно только записи учетных записей, которые вам принадлежат. Также у вас нет привилегий на выполнение задач системного администратора, например установку обновлений продуктов или добавление пользователей в систему.

Пользователь, которому назначена роль "Вице-президент" или "Продажи", может выполнять более широкий набор задач (и имеет расширенное число привилегий), связанных с просмотром и изменением данных и ресурсов по сравнению с пользователем, которому назначена роль "Продавец". Пользователь, которому назначена роль "Вице-президент" или "Продажи", к примеру, может читать и назначать любую учетную запись любому пользователю системы, в отличие от пользователя, которому назначена роль "Продавец".

Существует две роли с очень широкими привилегиями: системный администратор и настройщик. Чтобы свести к минимуму вероятность неправильной настройки, использование этих двух ролей должно быть ограничено несколькими сотрудниками организации, ответственными за администрирование и настройку Microsoft Dynamics 365. Также можно настроить существующие роли и создать собственные роли для удовлетворения их потребностей в организациях. Дополнительные сведения: Роли безопасности и привилегии

По умолчанию при создании пользователя у него есть доступ на чтение и запись любых данных, для которых пользователю предоставлено разрешение. Также по умолчанию клиентская лицензия доступа пользователя является профессиональной. Любой из этих параметров можно изменить, чтобы ограничить доступ к данным и функциям.

Режим доступа. Этот параметр определяет уровень доступа для каждого пользователя.

  • Доступ на чтение и запись. По умолчанию у пользователей есть доступ на чтение и запись, позволяющий получить доступ к данным, на которые у них есть разрешение, заданное ролями безопасности.

  • Административный доступ. Позволяет получить доступ к областям, для которых у пользователя есть соответствующее разрешение, заданное ролями безопасности, но не позволяет пользователю получить доступ или просматривать бизнес-данные, обычно расположенные в областях продаж, маркетинга и сервиса, такие как организации, контакты, интересы, возможные сделки, кампании и обращения. Например, с помощью административного доступа можно создавать администраторов Dynamics 365, имеющих права на выполнение различных административных задач, таких как создание подразделений, пользователей, поиск повторяющихся данных, однако не имеющих прав доступа или просмотра бизнес-данных. Обратите внимание, что пользователи, которым назначен этот режим доступа, не учитываются при подсчете количества клиентских лицензий.

  • Доступ на чтение. Предоставляет доступ к областям, к которым у пользователя есть соответствующий доступ, заданный ролью безопасности, но пользователь с доступом на чтение может только просматривать данные и не может создавать новые или изменять существующие данные. Например, пользователь с ролью безопасности "системный администратор" с доступом на чтение может просматривать подразделения, пользователей и группы, но не может создавать или изменять эти записи.

Тип лицензии. Устанавливает клиентскую лицензию пользователя и определяет, какие функции и области доступны пользователю. Этот элемент управления функциями и областью отделен от настройки роли безопасности пользователя. По умолчанию пользователи создаются с профессиональной клиентской лицензией для наиболее полного доступа к функциям и областям, на которые у них есть разрешение.

Рабочие группы — это простой способ предоставить общий доступ к бизнес-объектам и наладить взаимодействие с другими сотрудниками подразделения. Хотя рабочая группа относится к одному подразделению, в нее могут входить пользователи из других подразделений. Можно связать пользователя с несколькими командами.Дополнительные сведения:Управление группами

Безопасность на уровне записей можно использовать для контроля прав пользователей и групп на выполнение действий с индивидуальными записями. Это применяется к экземплярам сущностей (записей) и предоставляется правами доступа. Владелец записи может предоставлять доступ к записи другому пользователю или группе либо предоставлять запись в общий доступ. При этом необходимо указать, какие права предоставляются. Например, владелец записи учетной записи может предоставить доступ к информации об учетной записи с правом на чтение, но не запись.

Права доступа применяются только после вступления в силу привилегий. Например, если у пользователя нет привилегий на просмотр (чтение) записей учетной записи, они не смогут просмотреть учетную запись независимо от прав доступа, которые им может предоставить другой пользователь к конкретной учетной записи в рамках общего доступа.

Модель иерархической безопасности можно использовать для доступа к иерархическим данным. С помощью этой дополнительной безопасности можно обеспечить более структурированный доступ к записям, предоставляя руководителям доступ к записям отчетов для утверждения или выполнения работы от имени отчетов. Дополнительные сведения: Иерархическая безопасность

Безопасность на уровне полей можно использовать, чтобы ограничить доступ к важным бизнес-полям в сущности только определенным пользователям или рабочим группам. Как и в случае с безопасностью на уровне записей, это применимо после того как привилегии вступят в силу. Например, пользователь может иметь привилегии на чтение учетной записи, но иметь ограничения на просмотр определенных полей во всех учетных записях. Дополнительные сведения: Безопасность на уровне полей

В процессе установки Установка сервера Microsoft Dynamics CRM создает специальную роль администратора в масштабах всего развертывания и прикрепляет ее к учетной записи пользователя, используемой для выполнения Установка сервера Microsoft Dynamics CRM. Администраторы развертывания имеют полный и неограниченный доступ ко всем организациям в Диспетчер развертывания в развертывании Dynamics 365 (локальная версия). Роль Администратор развертывания не является ролью безопасности и не отображается в веб-приложении Microsoft Dynamics 365 как таковая.

Администратор развертывания может создать новые организации или отключить любую существующую организацию в развертывании. С другой стороны, участники Роль системного администратора имеют разрешения в организации только там, где расположены пользователь и роль безопасности.

System_CAPS_importantВажно

Если администратор развертывания создает организацию, этот администратор обязан предоставить привилегии db_owner для баз данных организации другим администраторам развертывания, чтобы они тоже имели полный доступ к таким организациям.

Дополнительные сведения о роли Администратор развертывания см. в разделе Deployment Administrators.

Подробные сведения и рекомендации по разработке модели безопасности в Microsoft Dynamics 365 см. в информационном документе Моделирование масштабируемой безопасности с Microsoft Dynamics CRM, доступном через Центр загрузки Майкрософт

© Корпорация Майкрософт (Microsoft Corporation), 2017. Все права защищены. Авторские права

Добавления сообщества

ДОБАВИТЬ
Показ: