Come utilizzare la sicurezza basata sui ruoli per controllare l'accesso alle entità in Microsoft Dynamics 365

 

Data di pubblicazione: gennaio 2017

Si applica a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

In Microsoft Dynamics CRM 2015 e in Microsoft Dynamics 365 (online) il concetto fondamentale della sicurezza basata su ruoli è che un ruolo include privilegi che definiscono un insieme di azioni che possono essere eseguite all'interno dell'organizzazione. Ad esempio, al ruolo venditore è assegnato un set di privilegi pertinenti alle prestazioni delle attività definite per tale ruolo. A tutti gli utenti devono essere assegnati uno o più ruoli predefiniti o personalizzati. In Microsoft Dynamics CRM 2015 i ruoli possono essere anche assegnati ai team. Quando a un utente o a un team è assegnato uno di questi ruoli, alla persona o ai membri di un team viene assegnato un set di privilegi associati a tale ruolo. A un utente deve essere assegnato almeno un ruolo.

Un privilegio autorizza l'utente a eseguire un'azione specifica su un tipo di entità specifico. I privilegi vengono applicati a un'intera classe di oggetti, anziché alle singole istanze di essi. Ad esempio, se un utente non possiede il privilegio di lettura per gli account, qualsiasi suo tentativo di leggere un account avrà esito negativo. Un privilegio contiene un livello di accesso che determina i livelli all'interno dell'organizzazione a cui un privilegio si riferisce. Ogni privilegio può includere fino a quattro livelli di accesso: base, locale, esteso e globale.

In questo argomento

Ruoli

Privilegi

Livelli di accesso

Riepilogo

Elenco di ruoli di sicurezza predefiniti

Ruoli

Microsoft Dynamics 365 include quattordici ruoli predefiniti che rispecchiano i ruoli utente comuni con livelli di accesso definiti per corrispondere con l'obiettivo di sicurezza ottimale di concedere l'accesso alla quantità minima di dati aziendali richiesti per il lavoro. Con questi ruoli è possibile distribuire rapidamente un sistema Microsoft Dynamics 365 senza la necessità di definire personalmente dei ruoli. Tuttavia, è possibile creare ruoli personalizzati mediante i ruoli predefiniti come modello oppure definire un nuovo set di ruoli. Per un elenco, vedere Elenco di ruoli di sicurezza predefiniti.

A ogni ruolo è associato a un set di privilegi che determinano l'accesso dell'utente o del team alle informazioni disponibili all'interno dell'azienda.

È possibile creare i ruoli in Microsoft Dynamics 365 e modificare o rimuovere questi ruoli personalizzati per soddisfate le specifiche esigenze aziendali. I ruoli creati per la Business Unit vengono ereditati da tutte le Business Unit della gerarchia.

È possibile assegnare uno o più ruoli a un utente o a un team. Ad esempio, un utente potrà disporre del ruolo del direttore commerciale oltre che del ruolo di rappresentante del servizio clienti, caso in cui disporrà, quindi, di tutti i privilegi per entrambi i ruoli.

Non è possibile modificare i privilegi a livello utente, ma è possibile creare un nuovo ruolo con i privilegi desiderati. Ad esempio, a John viene assegnato un ruolo venditore, che gli richiede di accettare tutti i lead a lui assegnati. Tuttavia, l'amministratore desidera che John sia in grado di riassegnare i lead a lui assegnati. Pertanto, l'amministratore deve modificare il ruolo venditore per consentire questa operazione oppure creare un nuovo ruolo che includa il privilegio specifico e aggiungere John a questo ruolo. La creazione di un nuovo ruolo è l'alternativa consigliata a meno che non si ritenga necessario che tutti gli utenti a cui è assegnato il ruolo venditore debbano avere questo privilegio aggiuntivo.

Privilegi

In Microsoft Dynamics 365 sono disponibili oltre 580 privilegi che vengono predefiniti a livello di sistema durante l'installazione. Un privilegio è un'autorizzazione a eseguire un'azione in Microsoft Dynamics 365. Alcuni privilegi vengono applicati a livello generale e alcuni a un tipo di entità specifica. Per un elenco completo dei privilegi disponibili in Microsoft Dynamics 365, vedere Security role and privilege reference.

Microsoft Dynamics 365 utilizza i privilegi come base del controllo di sicurezza sottostante. I privilegi sono "integrati" nel prodotto e vengono utilizzati nei livelli della piattaforma e dell'applicazione. Non è possibile aggiungere o rimuovere i privilegi, né modificare il modo in cui i privilegi vengono utilizzati per concedere l'accesso a determinate funzionalità, tuttavia è possibile creare nuovi ruoli dal set di privilegi di sicurezza esistente.

Ogni ruolo definisce un set di privilegi che determinano l'accesso dell'utente o del team alle informazioni all'interno dell'azienda. La piattaforma verifica la presenza del privilegio e rifiuta l'operazione se l'utente non possiede il privilegio necessario. Un privilegio è combinato con un livello di profondità o di accesso.

Ad esempio, il ruolo di venditore può contenere i privilegi Read Account con accesso Basic e Write Account con accesso Basic, mentre il ruolo del responsabile vendite potrebbe contenere i privilegi come Read Account con accesso Local e Assign Contact con accesso Local.

La maggior parte delle entità dispone di un set di privilegi che può essere aggiunto a un ruolo corrispondente a varie azioni eseguibili sui record di tale tipo di entità. Per ulteriori informazioni, vedere Privilegi per entità.

Ogni azione nel sistema e ogni messaggio descritto nella documentazione di SDK, richiede l'esecuzione di uno o più privilegi. Per ulteriori informazioni, vedere Privileges by message.

Livelli di accesso

La profondità del livello o del privilegio di accesso determina, per un tipo di entità specifico, i livelli all'interno della gerarchia dell'organizzazione in cui un utente può eseguire operazioni su tale tipo di entità.

Nella tabella seguente sono elencati i livelli di accesso disponibili in Microsoft Dynamics 365, a partire da quello con maggiore accesso. L'icona viene visualizzata nell'editor dei ruoli di sicurezza nell'applicazione Web.

Livello di accesso globale

Globale. Questo livello di accesso consente a un utente di accedere a tutti record all'interno dell'organizzazione, indipendentemente dal livello gerarchico della Business Unit a cui appartiene l'istanza o l'utente. Gli utenti con livello di accesso globale possiedono automaticamente l'accesso esteso, locale e di base.

Poiché questo livello di accesso consente di accedere alle informazioni nell'organizzazione, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili che dispongono di autorità sull'organizzazione.

L'applicazione fa riferimento a questo livello di accesso come Organizzazione.

Livello di accesso esteso

Esteso. Questo livello di accesso consente a un utente di accedere ai record della Business Unit dell'utente e in tutte le Business Unit a essa subordinate.

Gli utenti con livello di accesso esteso possiedono automaticamente l'accesso locale e di base.

Poiché questo livello di accesso consente di accedere a informazioni nella Business Unit e nelle Business Unit correlate, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili che dispongono di autorità sulle Business Unit.

L'applicazione fa riferimento a questo livello di accesso come Business Unit padre-figlio.

Livello di accesso locale

Locale. Questo livello di accesso consente a un utente di accedere ai record della Business Unit dell'utente.

Gli utenti con livello di accesso locale possiedono automaticamente anche l'accesso di base.

Poiché questo livello di accesso consente di accedere a informazioni nella Business Unit, dovrebbe essere ristretto affinché corrisponda al piano di sicurezza dei dati dell'organizzazione. Questo livello di accesso è generalmente riservato ai responsabili con dispongono di autorità sulla Business Unit.

L'applicazione fa riferimento a questo livello di accesso come Business Unit.

Livello di accesso base

Di base.

Questo livello di accesso consente a un utente di accedere ai record di sua proprietà, a oggetti condivisi con l'utente e a quelli condivisi con un team di cui l'utente è membro.

Questo è il livello di accesso tipico per i rappresentanti di vendita e del servizio.

L'applicazione fa riferimento a questo livello di accesso come Utente.

Livello di accesso non specificato

Nessuno. Non è consentito alcun accesso.

  • Se un utente dispone del privilegio Deep Read Account, potrà leggere tutti gli account nella Business Unit e tutti gli account di qualsiasi Business Unit figlio della Business Unit.

  • Se un utente dispone dei privilegi di Local Read Account, potrà leggere tutti gli account della Business Unit locale.

  • Se a un utente è assegnato il privilegio Basic Read Account, potrà solo leggere gli account di cui è proprietario o gli account che con lui sono condivisi.

  • Un rappresentante del servizio clienti che dispone del privilegio Basic Read Account può visualizzare gli account di cui è proprietario e qualsiasi account che un altro utente condivide con lui. Ciò consente al rappresentante di leggere i dati dell'account significativi per una richiesta di servizio, ma non di apportare modifiche ai dati.

  • Un analista di dati con il privilegio Local Read Account è in grado di visualizzare ed eseguire i report correlati agli account di tutti gli account della propria Business Unit.

  • Un funzionario finanziario per l'azienda con il privilegio Deep Read Account è in grado di visualizzare i dati dell'account ed eseguire i report correlati agli account per tutti gli account della Business Unit e gli account delle Business Unit figlio.

Elenco di ruoli di sicurezza predefiniti

Nella seguente tabella sono elencati i set di ruoli predefiniti inclusi in Microsoft Dynamics 365 SDK.

Ruolo

Descrizione

Responsabile aziendale

Utente che gestisce l'organizzazione a livello di azienda.

Responsabile CSR

Utente che gestisce gli impegni del servizio clienti a livello locale o di team.

Rappresentante del servizio clienti (CRS)

Rappresentante del servizio clienti a qualsiasi livello.

Delegato

Un utente a cui è consentito agire per conto di un altro utente.

Responsabile Marketing

Utente che gestisce impegni di marketing a livello locale o di team.

Esperto Marketing

Utente impegnato in impegni di marketing a qualsiasi livello.

Direttore commerciale

Utente che gestisce impegni di vendita a livello locale o di team.

Venditore

Venditore a qualsiasi livello.

Responsabile pianificazione

Utente che pianifica appuntamenti per i servizi.

Addetto pianificazione

Utente che gestisce servizi, risorse necessarie e ore lavorative.

Utente di supporto

Un utente che ricopre un ruolo di tecnico del servizio clienti.

Amministratore di sistema

Utente che definisce e implementa il processo a qualsiasi livello.

Addetto personalizzazione sistema

Utente che personalizza le entità, gli attributi, le relazioni e i moduli di Microsoft Dynamics 365.

Vicepresidente Marketing

Utente che gestisce impegni di marketing a livello di Business Unit.

Vicepresidente Vendite

Utente che gestisce l'organizzazione delle vendite a livello di Business Unit.

Vedere anche

Modello di sicurezza di Microsoft Dynamics 365
Entità di privilegi e di ruoli
Security role and privilege reference
Come utilizzare la sicurezza basata su record per controllare l'accesso ai record in Microsoft Dynamics 365
Modalità di utilizzo della sicurezza dei campi per controllare l'accesso ai valori dei campi in Microsoft Dynamics 365

Microsoft Dynamics 365

© 2017 Microsoft. Tutti i diritti sono riservati. Copyright