Microsoft Dynamics 365 的安全概念

  • 项目

 

发布日期: 2017年2月

适用于: Dynamics 365 (online),Dynamics 365 (on-premises),Dynamics CRM 2016,Dynamics CRM Online

备注

此处提供的信息适用于低于 Dynamics 365(在线)版本 9.0 的 Dynamics 365 版本。 有关最新文档,请参阅安全概念

在 Microsoft Dynamics 365 中使用安全模型以保护 Microsoft Dynamics 365 组织中数据的完整性和私密性。 安全模型可以促进数据的高效访问和协作。 该模型的目标如下:

  • 为用户提供了多层次的许可模型。

  • 授权用户访问完成各自工作所需的仅相应级别的信息。

  • 按角色对用户和团队进行分类,并按这些安全角色限制访问权限。

  • 支持数据共享,以便用户可以访问他人的对象,从而能够共同开展协作。

  • 阻止用户访问他人的对象和不能共享的对象。

您将结合业务部门、基于角色的安全性、基于记录的安全性和基于字段的安全性来定义用户在您的 Microsoft Dynamics 365 组织中所具有的总体信息访问权限。

本主题内容

业务部门

基于角色的安全性

基于用户的访问和许可

团队

基于记录的安全性

层次结构安全性

基于字段的安全性

部署范围内管理级别的安全性(仅内部部署)

Microsoft Dynamics 365 安全建模

业务部门

业务部门基本上是一个用户组。 具有多个客户群的大型组织通常使用多个业务部门来控制数据访问和定义安全角色,以便用户只能访问他们自己的业务部门的记录。详细信息:创建或编业务单位

基于角色的安全性

可使用基于角色的安全性将一系列权限分组为“角色”,用于描述用户或团队可以执行的任务。Microsoft Dynamics 365 包含一组预定义的安全角色,其中每个角色都是一组能够简化安全性管理的用户权限集。 批量权限定义创建、读取‘写入、删除和共享特定实体类型的记录的能力。 每个权限还定义权限的适用范围:在用户级别、业务部门级别、整个业务部门层次结构或在整个组织中。

例如,如果您以分派了“销售员”角色的用户身份登录,那么将有权读取、写入和共享整个组织的帐户,但只能删除您负责的帐户记录。 此外,您无权执行系统管理任务,如安装产品更新,或者向系统中添加用户。

分派了销售副总裁角色的用户可以执行的与查看和个性数据和资源关联的任务集比分派有“销售员”角色的用户更加广泛(并且拥有更多权限)。 例如,分派有销售副总裁角色的角色可以读取任何帐户并将其分派给系统中的任何人,而分派有“销售员”角色的用户则不能。

拥有非常广泛的权限的角色有两个:系统管理员和系统定制员。 为了尽可能减少错误配置,应该仅限制贵组织的负责管理和自定义 Microsoft Dynamics 365 的少数人员使用这两个角色。 组织也可以自定义现有角色,并创建自己的角色以满足需求。 更多信息:安全角色和特权

基于用户的访问和许可

默认情况下,当您创建用户时,用户拥有对其有权访问的所有数据的读写权限。 此外,默认情况下,用户客户端访问许可证 (CAL) 被设置为 Professional。 您可以更改这些设置中的任一设置,以进一步限制数据和功能访问。

访问模式。 此设置决定了每个用户的访问级别。

  • 读写访问。 默认情况下,对于用户拥有适当权限(由安全角色设置)的数据,用户可以对其进行读写访问。

  • 管理访问。 允许访问用户拥有适当权限(由安全角色设置)的区域,但禁止用户查看或访问“销售”、“服务”和“营销”区域中的业务数据,例如客户、联系人、潜在顾客、商机、活动和案例 例如,管理访问可被用于创建有权执行各种管理任务,但无法查看或访问任何业务数据的 Dynamics 365 管理员,其中管理任务包括创建业务单元、创建用户、设置重复检测。 注意被分配此访问模式的用户不使用 CAL。

  • 读取访问。 允许访问用户拥有适当访问权限(由安全角色设置)的区域,但是拥有读取访问权限的用户仅能查看数据,并不能创建或更改现有数据。 例如,拥有系统管理员安全角色(拥有读取访问权限)的用户可以查看业务单元、用户和团队,但是无法创建或修改这些记录。

许可证类型。 它设置用户 CAL 并决定用户可以使用哪些功能和区域。 此功能和区域控制与用户的安全角色设置是分开的。 默认情况下,创建的拥有 Professional CAL 的用户可以使用其有权访问的大部分功能和区域。

团队

使用团队可以轻松地共享业务对象,并且可以跨业务部门与其他人员合作。 当团队属于某个业务部门时,则可能包含其他业务部门的用户。 可以将一个用户与多个团队相关联。详细信息:管理团队

基于记录的安全性

可以使用基于记录的安全性来控制用户和团队对单个记录执行操作的权限。 它适用于实体(记录)的各个实例,并通过访问权限来提供。 记录负责人可以向其他用户或团队共享记录,或者向其他用户或团队授权权限。 完成此操作后,必须选择要授予的权限。 例如,帐户记录负责人可以授权对该帐户信息的读取访问权限,但不授予写入访问权限。

访问权限仅在权限生效后适用。 例如,如果用户没有查看(读取)帐户记录的特权,则他们将无法查看任何帐户,即便另一个用户可能通过共享方式向其授予了访问特定帐户的访问权限时也是如此。

层次结构安全性

可以使用访问分层数据的安全模型。 有了附加的安全性,您可以获取对记录的更细粒度的访问权限,允许管理者访问他们的报表记录以供审批或以报表身份工作。 更多信息:层次结构安全性

基于字段的安全性

您可以使用字段级安全性,将对实体中有特定的高业务影响力的字段的访问权限限制到指定的用户或团队。 像基于记录的安全性一样,它在权限生效后适用。 例如,用户可能具有读取帐户的权限,但是查看所有帐户中特定字段的权限受到限制。 更多信息:字段级安全性

部署范围内管理级别的安全性(仅内部部署)

在安装期间,Microsoft Dynamics CRM 服务器安装程序会专门创建部署范围内的管理员角色,并将其附加到运行 Microsoft Dynamics CRM 服务器安装程序所用的用户帐户中。 部署管理员可以完全不受限制地访问 Dynamics 365(本地) 部署中 部署管理器 中的所有组织。部署管理员 角色不是安全角色,也不会出现在 Microsoft Dynamics 365 应用中。

部署管理员可创建新的组织或禁用部署中的任意现有组织。 相反,系统管理员角色 的成员仅在用户和安全角色所在的组织内部具有权限。

重要

部署管理员创建组织时,该管理员必须将组织的数据库的 db_owner 权限提供给其他部署管理员,以便他们也拥有对这些组织的完全访问权限。

有关 部署管理员 角色的详细信息,请参阅部署管理员

Microsoft Dynamics 365 安全建模

有关在 Microsoft Dynamics 365 中设计安全模型的详细信息和最佳实践,请阅读 Microsoft 下载中心 提供的 Microsoft Dynamics CRM 可扩展安全建模白皮书。

另请参阅

Microsoft Dynamics 365 的内部部署管理最佳实践
字段级安全性
层次结构安全性
安全角色和特权
创建或编辑安全角色
复制安全角色
管理用户
管理团队
将团队或用户添加到字段安全性配置文件
管理安全性、用户和团队

© 2017 Microsoft。 保留所有权利。 版权