Концепции модели безопасности
Используйте модель безопасности в Dynamics 365 Customer Engagement (on-premises) для защиты целостности и конфиденциальности данных в организации Customer Engagement (on-premises). Модель безопасности также обеспечивает эффективный доступ к данным и совместную работу. Цели модели перечислены ниже.
Предоставление пользователям многоуровневой модели лицензирования.
Предоставление пользователям доступа только к информации соответствующего уровня, необходимого для выполнения работы.
Категоризация пользователей и групп по ролям безопасности, ограничение доступа на основе этих ролей.
Поддержка обмена данными, чтобы пользователям можно было предоставить доступ к объектам, которыми они не владеют, для одноразового взаимодействия.
Предотвращение доступа к объектам, которыми пользователь не владеет и которые не находятся в общем доступе.
Объединение подразделений, безопасности ролей, безопасности на базе записей и безопасности на базе полей с целью определения общего доступа к информации для пользователей в организации Customer Engagement (on-premises).
Подразделения
Подразделение по сути представляет собой группу пользователей. В крупных организациях с несколькими клиентскими базами часто используются подразделения, позволяющие контролировать доступ к данным, и роли безопасности, гарантирующие доступ пользователей только к записям в соответствующем подразделении. Дополнительные сведения: Создание подразделений
Ролевая безопасность
Можно использовать безопасность на основе ролей для группирования наборов привилегий в роли, которые описываются задачи, которые могут выполняться пользователем или группой. Customer Engagement (on-premises) предоставляет набор предопределенных ролей безопасности, каждая из которых представляет собой сводный набор привилегий для упрощения управления безопасностью. В основном привилегии определяют способность создавать, читать, записывать, удалять и предоставлять в общий доступ записи определенного типа сущностей. Каждая привилегия также определяет широту применения привилегии: на уровне пользователя, подразделения, всей иерархии подразделений или на уровне всей организации.
Например, если выполнить вход от лица пользователя, которому назначена роль "Продавец", у вас будут привилегии на чтение, запись и совместный доступ к учетным записям для всей организации, однако удалять можно только записи учетных записей, которые вам принадлежат. Также у вас нет привилегий на выполнение задач системного администратора, например установку обновлений продуктов или добавление пользователей в систему.
Пользователь, которому назначена роль "Вице-президент" или "Продажи", может выполнять более широкий набор задач (и имеет расширенное число привилегий), связанных с просмотром и изменением данных и ресурсов по сравнению с пользователем, которому назначена роль "Продавец". Пользователь, которому назначена роль "Вице-президент" или "Продажи", к примеру, может читать и назначать любую учетную запись любому пользователю системы, в отличие от пользователя, которому назначена роль "Продавец".
Существует две роли с очень широкими привилегиями: системный администратор и настройщик. Чтобы свести к минимуму вероятность неправильной настройки, использование этих двух ролей должно быть ограничено несколькими сотрудниками организации, ответственными за администрирование и настройку Customer Engagement (on-premises). Также можно настроить существующие роли и создать собственные роли для удовлетворения их потребностей в организациях. Дополнительные сведения: Роли безопасности
Доступ и лицензирование на основе пользователей
По умолчанию при создании пользователя у него есть доступ на чтение и запись любых данных, для которых пользователю предоставлено разрешение. Также по умолчанию клиентская лицензия доступа пользователя является профессиональной. Любой из этих параметров можно изменить, чтобы ограничить доступ к данным и функциям.
Режим доступа. Этот параметр определяет уровень доступа для каждого пользователя.
Доступ на чтение и запись. По умолчанию у пользователей есть доступ на чтение и запись, позволяющий получить доступ к данным, на которые у них есть разрешение, заданное ролями безопасности.
Административный доступ. Позволяет получить доступ к областям, для которых у пользователя есть соответствующее разрешение, заданное ролями безопасности, но не позволяет пользователю получить доступ или просматривать бизнес-данные, обычно расположенные в областях продаж, маркетинга и сервиса, такие как организации, контакты, интересы, возможные сделки, кампании и обращения. Например, с помощью административного доступа можно создавать администраторов Customer Engagement (on-premises), имеющих права на выполнение различных административных задач, таких как создание подразделений, пользователей, поиск повторяющихся данных, однако не имеющих прав доступа или просмотра бизнес-данных. Обратите внимание, что пользователи, которым назначен этот режим доступа, не учитываются при подсчете количества клиентских лицензий.
Доступ на чтение. Предоставляет доступ к областям, к которым у пользователя есть соответствующий доступ, заданный ролью безопасности, но пользователь с доступом на чтение может только просматривать данные и не может создавать новые или изменять существующие данные. Например, пользователь с ролью безопасности "системный администратор" с доступом на чтение может просматривать подразделения, пользователей и группы, но не может создавать или изменять эти записи.
Тип лицензии. Устанавливает клиентскую лицензию пользователя и определяет, какие функции и области доступны пользователю. Этот элемент управления функциями и областью отделен от настройки роли безопасности пользователя. По умолчанию пользователи создаются с профессиональной клиентской лицензией для наиболее полного доступа к функциям и областям, на которые у них есть разрешение.
Рабочие группы
Рабочие группы — это простой способ предоставить общий доступ к бизнес-объектам и наладить взаимодействие с другими сотрудниками подразделения. Хотя рабочая группа относится к одному подразделению, в нее могут входить пользователи из других подразделений. Можно связать пользователя с несколькими командами. Подробнее: Управление рабочими группами
Безопасность на уровне записей
Безопасность на уровне записей можно использовать для контроля прав пользователей и групп на выполнение действий с индивидуальными записями. Это применяется к экземплярам сущностей (записей) и предоставляется правами доступа. Владелец записи может предоставлять доступ к записи другому пользователю или группе либо предоставлять запись в общий доступ. При этом необходимо указать, какие права предоставляются. Например, владелец записи учетной записи может предоставить доступ к информации об учетной записи с правом на чтение, но не запись.
Права доступа применяются только после вступления в силу привилегий. Например, если у пользователя нет привилегий на просмотр (чтение) записей учетной записи, они не смогут просмотреть учетную запись независимо от прав доступа, которые им может предоставить другой пользователь к конкретной учетной записи в рамках общего доступа.
Иерархическая безопасность
Модель иерархической безопасности можно использовать для доступа к иерархическим данным. С помощью этой дополнительной безопасности можно обеспечить более структурированный доступ к записям, предоставляя руководителям доступ к записям отчетов для утверждения или выполнения работы от имени отчетов. Дополнительные сведения: Иерархическая безопасность
Безопасность на уровне полей
Безопасность на уровне полей можно использовать, чтобы ограничить доступ к важным бизнес-полям в сущности только определенным пользователям или рабочим группам. Как и в случае с безопасностью на уровне записей, это применимо после того как привилегии вступят в силу. Например, пользователь может иметь привилегии на чтение учетной записи, но иметь ограничения на просмотр определенных полей во всех учетных записях. Дополнительные сведения см. в разделе Безопасность на уровне полей.
Моделирование безопасности с помощью Customer Engagement (on-premises)
Подробные сведения и рекомендации по разработке модели безопасности в приложениях Customer Engagement (on-premises), см. в информационном документе Моделирование масштабируемой безопасности с Microsoft Dynamics CRM, доступном в центре загрузки Microsoft.
См. также
Безопасность на уровне полей
Иерархическая безопасность
Контроль доступа к данным
Создание или изменение роли безопасности
Копирование роли безопасности
Управление пользователями
Управление группами
Добавление групп или пользователей в профиль безопасности для полей
Управление безопасностью, пользователями и группами