Concetti relativi al modello di sicurezza

Utilizzare il modello di sicurezza in Dynamics 365 Customer Engagement (on-premises) per la protezione dell'integrità e della privacy dei dati in un'organizzazione Customer Engagement (on-premises). Il modello di sicurezza inoltre migliora l'efficienza dell'accesso ai dati e la collaborazione. Gli obiettivi del modello sono i seguenti:

  • Fornire un modello di licenze a più livelli per gli utenti.

  • Concedere agli utenti l'accesso solo ai livelli delle informazioni necessarie per svolgere le attività.

  • Suddividere gli utenti e i team in base al ruolo di sicurezza e limitare l'accesso in base ai ruoli.

  • Supportare la condivisione dei dati in modo che agli utenti possa essere concesso l'accesso agli oggetti che non sono di loro proprietà per collaborazioni occasionali.

  • Evitare l'accesso agli oggetti che non sono né condivisi né posseduti da un utente.

È possibile combinare Business Unit, la sicurezza basata sui ruoli, la sicurezza basata sui record e la sicurezza basata sui campi, al fine di definire l'accesso complessivo alle informazioni di cui gli utenti dispongono nell'organizzazione Customer Engagement (on-premises).

Business Unit

Una Business Unit è essenzialmente un gruppo di utenti. Le organizzazioni di grandi dimensioni con più basi di clienti utilizzano spesso più Business Unit per controllare l'accesso ai dati e definiscono ruoli di sicurezza per consentire agli utenti di accedere soltanto ai record della propria Business Unit. Altre informazioni: Creare Business Unit

Sicurezza basata sui ruoli

Puoi usare la sicurezza basata sui ruoli per raggruppare set di privilegi nei ruoli che descrivono le attività che possono essere eseguite da un utente o un team. Customer Engagement (on-premises) include un set di ruoli di sicurezza predefiniti, ognuno dei quali contiene un set di privilegi aggregati allo scopo di rendere più semplice la gestione della sicurezza. L'insieme di privilegi definisce la possibilità di creare, leggere, scrivere, eliminare e condividere record di un tipo di entità specifico. Ogni privilegio definisce inoltre l'ambito di applicazione, ovvero a livello utente, a livello di Business Unit o di intera gerarchia di Business Unit o a livello di organizzazione.

Ad esempio, se si accede come utente a cui è assegnato il ruolo di venditore, si dispone dei privilegi di lettura, scrittura e condivisione per l'intera organizzazione, ma sarà possibile eliminare solo i record di account di cui si è proprietari. Inoltre, non si dispone dei privilegi per eseguire attività di amministrazione di sistema, ad esempio l'installazione di aggiornamenti dei prodotti o l'aggiunta di utenti al sistema.

Un utente a cui è stato assegnato il ruolo di vicepresidente delle vendite può eseguire un set di attività più ampio (e dispone di un numero maggiore di privilegi) associati alla visualizzazione e alla modifica dei dati e delle risorse rispetto a un utente cui è stato assegnato il ruolo di venditore. Un utente cui è assegnato il ruolo di vicepresidente delle vendite può, ad esempio, visualizzare e assegnare qualsiasi account a qualsiasi utente del sistema, mentre un utente cui è assegnato il ruolo di venditore non può farlo.

Esistono due ruoli che dispongono di privilegi molto ampi, ovvero Amministratore di sistema e Addetto alla personalizzazione del sistema. Per ridurre gli errori di configurazione, l'utilizzo di questi due ruoli deve essere limitato a pochi utenti dell'organizzazione responsabili dell'amministrazione e della personalizzazione di Customer Engagement (on-premises). Le organizzazioni possono anche personalizzare i ruoli esistenti e creare i propri ruoli per soddisfare le esigenze specifiche. Ulteriori informazioni: Ruoli di sicurezza

Accesso e licenze basati sull'utente

Per impostazione predefinita, quando si crea un utente, questo ha accesso in scrittura e lettura ai dati per i quali dispone delle autorizzazioni. Inoltre, per impostazione predefinita, la licenza utente di accesso client (CAL) è impostata su Professional. È possibile modificare una di queste impostazioni per limitare ulteriormente l'accesso ai dati e alle funzionalità.

Modalità di accesso. Questa impostazione determina il livello di accesso per ogni utente.

  • Accesso in lettura e scrittura. Per impostazione predefinita, gli utenti possono disporre dell'accesso in lettura e scrittura per accedere ai dati per cui dispongono di autorizzazioni appropriate impostate dai ruoli di sicurezza.

  • Accesso amministrativo. Consente l'accesso alle aree per cui l'utente dispone di autorizzazioni appropriate impostate dai ruoli di sicurezza, ma non consente all'utente di visualizzare o accedere ai dati aziendali in genere disponibili nelle aree di vendita, assistenza e marketing, ad esempio account, contatti, lead, opportunità, campagne e casi. Ad esempio, l'accesso amministrativo può essere utilizzato per creare amministratori di Customer Engagement (on-premises) che hanno accesso per eseguire una completa varietà di attività amministrative, ad esempio per creare business unit, creare utenti, impostare il rilevamento duplicati, ma che non possono visualizzare o accedere a tutte le business unit. Si noti che gli utenti che sono assegnati a questa modalità di accesso non utilizzano una licenza CAL.

  • Accesso in lettura. Consente l'accesso alle aree per cui l'utente ha accesso appropriato impostato dal ruolo di sicurezza, ma l'utente con accesso in lettura può solo visualizzare i dati e non può creare o modificare i dati esistenti. Ad esempio, un utente con il ruolo di sicurezza di amministratore di sistema con accesso in lettura può visualizzare le business unit, gli utenti e i team ma non può creare o modificare i record.

Tipo di licenza. Imposta la licenza CAL dell'utente e determina le funzionalità o le aree disponibili per l'utente. Questo controllo dell'area e della funzionalità non è incluso nell'impostazione del ruolo di sicurezza utente. Per impostazione predefinita, gli utenti verranno creati con la licenza CAL Professional per la maggior parte degli accessi alla funzionalità e all'area per cui è stata loro concessa l'autorizzazione.

Team

I team rappresentano un modo semplice per condividere gli oggetti aziendali e consentono di collaborare con altri utenti nelle Business Unit. Un team appartiene a una sola Business Unit, ma può includere utenti di altre Business Unit. È possibile associare un utente a più di un team. Altre informazioni: Gestire i team

Sicurezza basata sui record

È possibile utilizzare la sicurezza basata sui record per controllare i diritti dei team e degli utenti relativi all'esecuzione di azioni su record singoli. Si applica alle istanze delle entità (record) ed è esercitata mediante i diritti di accesso. Il proprietario di un record può condividere o concedere l'accesso a un record a un altro utente o team. Al termine, è necessario scegliere i diritti da concedere. Ad esempio, il proprietario di un record di account può concedere l'accesso in lettura alle informazioni su tale account, ma non l'accesso in scrittura.

I diritti di accesso vengono applicati solo dopo l'applicazione dei privilegi. Se, ad esempio, un utente non dispone dei privilegi per visualizzare (leggere) i record di account, non potrà visualizzare alcun account, indipendentemente dai diritti di accesso che un altro utente potrebbe concedere mediante la condivisione a un account specifico.

Sicurezza gerarchica

È possibile utilizzare il modello di sicurezza gerarchica per accedere ai dati gerarchici. Con questa sicurezza aggiuntiva, si ottiene un accesso più granulare ai record, consentendo ai responsabili di accedere ai record dei report per l'approvazione o lavorare per conto dei report. Ulteriori informazioni: Sicurezza gerarchica

Sicurezza basata sui campi

È possibile utilizzare la sicurezza a livello di campo per limitare l'accesso a determinati campi di impatto aziendale elevato in un'entità solo a utenti o team specifici. Analogamente alla sicurezza basata su record, questo tipo di sicurezza si applica dopo l'applicazione dei privilegi. Ad esempio, un utente può disporre di privilegi per la lettura di un account, ma potrebbe non disporre dell'autorizzazione per visualizzare campi specifici in tutti gli account. Per ulteriori informazioni, vedere Sicurezza a livello di campo

Modello di sicurezza con Customer Engagement (on-premises)

Per informazioni dettagliate sulle procedure consigliate per progettare il modello di sicurezza in Customer Engagement (on-premises), leggi il white paper Modelli di sicurezza scalabile con Microsoft Dynamics CRM dall'Area di download di Microsoft.

Vedi anche

Sicurezza a livello di campo
Sicurezza gerarchica
Controllare l'accesso ai dati
Creare o modificare un ruolo di sicurezza
Copiare un ruolo di sicurezza
Gestisci utenti
Gestire i team
Aggiungere team o utenti a un profilo sicurezza campi
Gestire la sicurezza, gli utenti e i team