So kann die datensatzbasierte Sicherheit verwendet werden, um den Zugriff auf Datensätze in Microsoft Dynamics 365 zu steuern

 

Veröffentlicht: Januar 2017

Gilt für: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Die Datensatz-basierte Sicherheit in Microsoft Dynamics 365 und Microsoft Dynamics 365 (online) gilt für individuelle Datensätze. Sie wird mithilfe von Zugriffsrechten bereitgestellt.

Die Beziehung zwischen einem Zugriffsrecht und einer Berechtigung besteht darin, dass Zugriffsrechte nur dann gelten, wenn die Berechtigungen wirksam geworden sind. Wenn ein Benutzer beispielsweise nicht über die Berechtigung zum Lesen von Konten verfügt, dann kann dieser Benutzer gar kein Konto lesen, und zwar unabhängig von den Zugriffsrechten, die ein anderer Benutzer ihm mittels Freigabe für ein bestimmtes Konto gewährt.

In diesem Thema

Zugriffsrechte

Freigeben von Datensätzen

Datensätze zuweisen

Die Zugriffsrechte für einen Datensatz abrufen

Abhängigkeiten zwischen Zugriffsrechten

Zugriffsrechte

Einem Benutzer wird ein Zugriffsrecht für einen bestimmten Datensatz gewährt. In der folgenden Tabelle werden die Beschreibungen für diese Zugriffsrechte aufgeführt.

Zugriffsrecht

AccessRights Enumerationswert

Beschreibung

Lesezugriff

ReadAccess

Steuert, ob der Benutzer einen Datensatz lesen kann.

Schreiben

WriteAccess

Steuert, ob der Benutzer einen Datensatz aktualisieren kann.

Zuweisen

AssignAccess

Steuert, ob der Benutzer einen Datensatz einem anderen Benutzer zuweisen kann.

Anfügen

AppendAccess

Steuert, ob der Benutzer einen weiteren Datensatz dem angegebenen Datensatz anfügen kann.

Die Zugriffsrechte Anfügen und Anfügen an funktionieren in Kombination. Jedes Mal, wenn ein Benutzer einen Datensatz an einen anderen anfügt, muss der Benutzer über beide Rechte verfügen. Wenn Sie beispielsweise eine Notiz an eine Anfrage anfügen, müssen Sie über das Anfügen-Zugriffsrecht für die Notiz verfügen sowie über das Anfügen an-Zugriffsrecht für die Anfrage, damit der Vorgang funktioniert.

Anfügen an

AppendToAccess

Steuert, ob der Benutzer den angegebenen Datensatz einem weiteren Datensatz anfügen kann.

Die Zugriffsrechte Anfügen und Anfügen an funktionieren in Kombination. Weitere Informationen finden Sie unter der Beschreibung fürs Anfügen.

Freigeben

ShareAccess

Steuert, ob der Benutzer einen Datensatz für einen anderen Benutzer oder ein Team freigeben kann. Freigabe gibt einem anderen Benutzer Zugriff auf einen Datensatz. Weitere Informationen finden Sie unter Freigeben von Datensätzen.

Löschen

DeleteAccess

Steuert, ob der Benutzer einen Datensatz löschen kann.

Zugriff erstellen

Das Recht, einen Datensatz für einen Entitätstyp zu erstellen, ist in der vorherigen Tabelle nicht enthalten, da dieses Recht sich nicht auf einen einzelnen Datensatz bezieht, sondern vielmehr auf eine Klasse von Entitäten. Das Erstellen wird als Recht und nicht als Zugriffsrecht behandelt. Der Benutzer, der einen Datensatz erstellt, hat alle Berechtigungen für diesen Datensatz, es sei denn, dessen andere Rechte verbieten ein spezielles Recht.

Das Recht Erstellen steuert, ob Sie einen Datensatz erstellen können. Wenn Sie über das Recht Erstellen für einen lokalen, tiefen oder globalen Zugriff verfügen, können Sie Datensätze für andere Benutzer erstellen. Wenn Sie über Rechte zum Erstellen und Lesen mit einem Basic-Zugriff verfügen, können Sie Datensätze für sich selbst erstellen.

Weitere Informationen zu den Abhängigkeiten im Zusammenhang mit Erstellungsrechten vgl. Abhängigkeiten zwischen Zugriffsrechten.

Freigeben von Datensätzen

Das Freigeben ermöglicht es Benutzern, anderen Benutzern oder Teams Zugriff auf spezifische Kundeninformationen zu gewähren. Dies ist für die Freigabe von Informationen bei Benutzern in Rollen nützlich, die nur über die Zugriffsebene Basic verfügen. Beispielsweise kann ein Vertriebsmitarbeiter in einer Organisation, die Vertriebsmitarbeitern einen Lese- und Schreibzugriff der Kategorie Basic zu Konten gewährt, eine Verkaufschance für einen anderen Vertriebsmitarbeiter freigeben, so dass sie beide den Fortschritt bei einem wichtigen Verkauf nachverfolgen können.

Aus Sicherheitsgründen sollten Sie es sich zur Gewohnheit machen, nur die notwendigen Datensätze der kleinstmöglichen Benutzergruppe freizugeben. Gewähren Sie nur den minimalen Zugriff, den Benutzer benötigen, um ihre Arbeit zu erledigen.

Microsoft Dynamics 365 bietet die folgenden Freigabefunktionen:

  • Freigeben. Jeder Benutzer, der über Freigaberechte für einen bestimmten Entitätstyp verfügt, kann Datensätze dieses Typs jedem anderen Benutzer oder Team in Microsoft Dynamics 365 freigeben. Um einen Datensatz freizugeben, verwenden Sie GrantAccessRequest.

    Wenn Sie einen Datensatz für einen anderen Benutzer freigeben, geben Sie an, welche Zugriffsrechte (Lesen, Schreiben, Löschen, Anfügen, Zuweisen und Freigeben) Sie dem anderen Benutzer gewähren möchten. Zugriffsrechte auf einen freigegebenen Datensatz können für jeden Benutzer anders sein, für den der Datensatz freigegeben wird. Allerdings können einem Benutzer keine Rechte gewähren, die er oder sie für diesen Typ von Entität nicht hätten, basierend auf der Rolle, die diesem Benutzer zugewiesen wurde. Wenn ein Benutzer beispielsweise über keine Leserechte für Konten verfügt und Sie ein Konto für diesen Besucher freigeben, wird der Benutzer nicht in der Lage sein, dieses Konto zu lesen.

  • Freigabe ändern Sie können die Rechte ändern, die für einen freigegeben Datensatz gewährt wurden, nachdem dieser freigegeben wurde. Um die Freigabe für einen Datensatz zu ändern, verwenden Sie die ModifyAccessRequest.

  • Freigabe entfernen. Wenn Sie einen Datensatz für einen anderen Benutzer oder Team freigeben, können Sie die Freigabe des Datensatzes beenden. Nachdem Sie die Freigabe für einen Datensatz entfernen, verliert der andere Benutzer oder das andere Team die Zugriffsrechte für diesen Datensatz. Um die Freigabe für einen Datensatz zu entfernen, verwenden Sie die RevokeAccessRequest.

Tipp

 Verwenden Sie GrantAccessRequest, ModifyAccessRequest und RevokeAccessRequest zum Freigeben.

Ein Benutzer hat möglicherweise Zugriff auf den gleichen Datensatz in mehreren Kontexten. Beispielsweise kann ein Benutzer möglicherweise einen Datensatz direkt mit spezifischen Zugriffsrechten freigeben, und er oder sie sind möglicherweise auch in einem Team, in dem derselbe Datensatz mit unterschiedlichen Zugriffsrechten freigegeben ist. In diesem Fall sind die Zugriffsrechte, über die dieser Benutzer für den Datensatz verfügt, die Vereinigung aller Rechte.

Eine Liste der Entitäten, die die Freigabe unterstützen finden Sie unter GrantAccessRequest.

Freigabe und Vererbung

Wenn ein Datensatz erstellt wird und der übergeordneten Datensatz über bestimmte Freigabeneigenschaften verfügt, erbt der neue Datensatz diese Eigenschaften. Beispielsweise arbeiten Joe und Mike an einem Lead mit hoher Priorität. Joe erstellt einen neuen Lead und zwei Aktivitäten, gibt den Lead für Mike frei und wählt eine überlappende Freigabe. Mike führt ein Telefongespräch und sendet eine E-Mail wegen dem neuen Lead. Joe sieht, dass Mike das Unternehmen zweimal kontaktiert hat, deshalb ruft er nicht nochmal an.

Die Freigabe wird für einzelne Datensätze verwaltet. Ein Datensatz erbt die Freigabeneigenschaften vom übergeordneten Datensatz und verwaltet auch seine eigenen Freigabeeigenschaften. Deshalb kann ein Datensatz zwei Sätze von Freigabeneigenschaften haben – einen, den er selbst besitzt, und einen, den er vom übergeordneten Datensatz erbt.

Beim Entfernen der Freigabe eines übergeordneten Datensatzes werden die Freigabeeigenschaften von Objekten (Datensätzen), die er vom übergeordneten Datensatz erbte, entfernt. Das bedeutet, dass für alle Benutzer, für die dieser Datensatz zuvor sichtbar war, er nun nicht mehr sichtbar ist. Untergeordnete Objekte könnten für einige dieser Benutzer freigegeben werden, wenn sie einzeln freigegeben würden und nicht vom übergeordneten Datensatz.

Datensätze zuweisen

Jeder, der Rechte zum Zuweisen für einen Datensatz besitzt, kann diesen Datensatz einem anderen Benutzer zuweisen. Wenn ein Datensatz zugeordnet wurde, wird der neue Benutzer oder das neue Team der Besitzer des Datensatzes und der damit verknüpften Datensätze. Der ursprüngliche Benutzer bzw. Team verlieren den Besitz des Datensatzes, geben ihn aber automatisch für den neuen Besitzer frei.

In Microsoft Dynamics 365 kann der Systemadministrator für eine Organisation entscheiden, ob Datensätze nach dem Zuweisungsvorgang für vorherige Eigentümern freigegeben werden sollen oder nicht. Wenn Freigabe für vorherigen Besitzer ausgewählt ist, hat der bisherige Besitzer nach dem Zuweisungsvorgang eine Freigabe für den Datensatz mit allen Zugriffsrechten. Andernfalls hat der bisherige Besitzer keine Freigabe für den Datensatz und kann auf den Datensatz möglicherweise nicht zugreifen, abhängig von seinen Zugriffsrechten. Das Attribut Organization.ShareRoPreviousOwnerOnAssign steuert diese Einstellung.

Eine Liste der Entitäten, die Zuweisen unterstützen, finden Sie unter AssignRequest.

Die Zugriffsrechte für einen Datensatz abrufen

Verwenden Sie die Message RetrievePrincipalAccessRequest, um die Zugriffsrechte abzurufen, die der angegebene Sicherheitsprinzipal (Benutzer oder Team) auf einen Datensatz hat.

Verwenden Sie die Message RetrieveSharedPrincipalsAndAccessRequest, um alle Sicherheitsprinzipale (Benutzer oder Teams) abzurufen, die Zugriff auf einen Datensatz haben.

Abhängigkeiten zwischen Zugriffsrechten

Manchmal gibt es Sicherheitsabhängigkeiten, da mehr als ein Zugriffsrecht erforderlich ist, um eine bestimmte Aktion auszuführen. Wenn Sie beispielsweise das Zugriffsrecht Erstellen für Konten haben, können Sie einen Datensatz des Kontoentitätstyps erstellen. Es sei denn, Sie verfügen auch über einen Lesen-Zugriff für Konten, können Sie jedoch keinen Kontodatensatz erstellen und der Besitzer dieses neuen Datensatzes sein.

Die folgende Tabelle führt die Zugriffsrechteabhängigkeiten für die angegebenen Aktionen auf.

Aktion

Erforderliche Zugriffsrechte.

So Erstellen Sie einen Datensatz und sind der Datensatzbesitzer

CREATE

READ

So erfolgt das Freigeben eines Datensatzes

SHARE. Dieses Recht ist für eine Person erforderlich, die den Freigabevorgang durchführt.

READ. Dieses Recht ist für die Person erforderlich, die den Freigabenvorgang durchführt und auch für die Person, für die der Datensatz freigegeben wird.

So erfolgt das Zuweisen eines Datensatzes

ASSIGN

WRITE

READ

So erfolgt das Anfügen an einen Datensatz

READ

APPENDTO

So erfolgt das Anfügen eines Datensatzes

READ

APPEND

Eine weitere Art der Abhängigkeit ist vorhanden, wenn Objekte einem anderen Objekt untergeordnet sind. Zum Beispiel kann das Verkaufschancenobjekt nicht eigenständig vorhanden sein. Jede Verkaufschance ist stets einer Firma/Konto oder einem Kontakt angefügt. Um eine Verkaufschance zu erstellen, müssen Sie das Zugriffsrecht appendto für Konten und das Zugriffsrecht append für Verkaufschancen haben.

Siehe auch

AccessRights
RetrievePrincipalAccessRequest
Das Sicherheitsmodell von Microsoft Dynamics 365
So kann die rollenbasierte Sicherheit verwendet werden, um den Zugriff auf Entitäten in Microsoft Dynamics 365 zu steuern
Wie Feldicherheit verwendet werden kann, um Zugriff auf Feldwerte in Microsoft Dynamics 365 zu steuern
Einführung in Entitäten in Microsoft Dynamics 365
Entitätenbeziehungsverhalten

Microsoft Dynamics 365

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright