Dela via

Hierarkisäkerhet för att styra åtkomsten

Säkerhetsmodellen i hierarkin är ett tillägg till de befintliga säkerhetsmodeller som använder affärsenheter, säkerhetsroller, delning och team. Den kan användas med andra befintliga säkerhetsmodeller. Hierarkisäkerhet ger en bättre åtkomst till poster för en organisation och hjälper dig att hålla ned underhållskostnaderna.

I komplexa scenarier kan du till exempel börjar med att skapa flera affärsenheter och sedan lägga till hierarkisäkerhet. Denna extra säkerhet ger en bättre åtkomst till data med mycket mindre underhållskostnader än ett stort antal affärsenheter kan kräva.

Säkerhetsmodeller för chefshierarki och befattningshierarki

Två säkerhetsmodeller kan användas för hierarkier, chefshierarkin och befattningshierarkin. Med chefshierarkin måste en chef måste vara inom samma affärsenhet som rapporten, eller i den överordnade affärsenheten för rapportens affärsenhet, för att ha tillgång till informationen i rapporten. Befattningshierarkin ger tillgång till data över affärsenheter. Om du är ett finansiellt företag kanske du föredrar chefshierarkimodellen för att hindra att chefen får åtkomst till data utanför sin affärsenheter. Dock om du är en del av en kundtjänstorganisation och vill att chefer att komma åt serviceärenden som hanterats i olika affärsenheter kan befattningshierarkin fungera bättre för dig.

Kommentar

Även om hierarkisäkerhetsmodellen innehåller en viss nivå av åtkomst till data, kan ytterligare åtkomst erhållas med hjälp av andra former av säkerhet, till exempel säkerhetsroller.

Chefshierarki

Säkerhetsmodellen Chefshierarki baseras på chefskedjan eller en direkt rapporteringsstruktur, där chefens och rapportens relation upprättas med hjälp av fältet Chef på systemets användartabell. Med den här säkerhetsmodellen kan chefer komma åt data som deras rapporter har tillgång till. De kan utföra arbete för sina underställda eller komma åt information som kräver godkännande.

Kommentar

Med säkerhetsmodellen Chefshierarki har en chef tillgång till poster som ägs av användaren eller teamet som användaren är medlem i, och till de poster som delas direkt med användaren eller det team som användaren är medlem i. När en post delas av en användare som är utanför hanteringskedjan till en direktrapporterande användare med skrivskyddad åtkomst, har den direktrapporterandes chef endast skrivskyddad åtkomst till den delade posten.

När du har aktiverat alternativet Registrera ägarskap för olika affärsenheter, kan chefen ha direktrapporter från olika affärsenheter. Du kan använda följande miljödatabasinställningar för att ta bort affärsenhetsbegränsningen.

CheferMåsteVaraISammaEllerEnÖverordnadAffärsenhetSomRapporterna

standardvärde = sant

Du kan ange att den ska vara falsk och chefens affärsenhet behöver inte vara samma som affärsenheten för direktrapporten.

Förutom säkerhetsmodellen Chefshierarki måste en chef ha minst läsprivilegium på användarnivå för en tabell för att visa data i rapporter. Till exempel, om en chef inte har läsbehörighet för ärendetabellen, kommer chefen inte att kunna se de ärenden som deras anställda har tillgång till.

För en indirekt rapport i samma ledningskedja har en chef skrivskyddad åtkomst till den indirekta rapportens data. För en direktrapport har en chef åtkomsterna Läsa, Skriva, Lägga till och Tillägg till för data i rapporten. För att illustrera säkerhetsmodellen Chefshierarki ska vi ta en titt på diagrammet nedan. VD kan läsa eller uppdatera data för VP Sales och VP Service. VD kan emellertid endast läsa försäljningsansvarigs data och serviceansvarigs data, samt data för försäljning och support. Du kan ytterligare begränsa mängden data som kan nås av en chef med Djup. Djup används för att begränsa antalet nivåer där en chef har skrivskyddad åtkomst till data i sina medarbetares rapporter. Om djupet är 2 kan VD se data för VP Sales, VP Service och sälj- och serviceansvariga. VD kan emellertid inte visa försäljnings- eller supportdata.

Skärmbild som visar chefshierarkin. Den här hierarkin omfattar VD, försäljningsdirektör, vice VD, försäljningsansvariga, serviceansvariga, försäljning och support.

Det är viktigt att observera att om en direktrapport har djupare säkerhetsåtkomst till en tabell än deras chef så kan kanske inte chefen se alla poster som direktrapporten har åtkomst till. Följande exempel visar detta.

  • En enskild affärsenhet har tre användare: Användare 1, Användare 2 och Användare 3.

  • Användare 2 är en direktrapport till Användare 1.

  • Användare 1 och Användare 3 har användarnivå läsbehörighet till Kontotabellen. Den här åtkomstnivån ger användaren åtkomst till poster som de äger, poster som delas med användaren och poster som delas med teamet som användaren tillhör.

  • Användare 2 har läsbehörighet för affärsenhet på tabellen Konto. Detta tillåter Användare 2 att visa alla konton för affärsenheten, inklusive alla konton som ägs av Användare 1 och Användare 3.

  • Användare 1, som närmaste chef till Användare 2, har åtkomst till konton som ägs av eller delas med Användare 2 och alla konton som delas med eller ägs av ett team där Användare 2 är medlem i. Men Användare 1 har inte åtkomst till konton för Användare 3, även om hans eller hennes direktrapport har åtkomst till Användaren 3:s konton.

Befattningshierarki

Befattningshierarkin baseras inte på direkt rapporteringsstruktur som chefshierarkin. En användare behöver inte vara en faktisk chef för en annan användare för att komma åt användarens data. Som administratör kan du definiera olika befattningar i organisationen och ordna dem i befattningshierarkin. Sedan lägger du till användare till en viss befattning eller, som vi också säger, tagga en användare med en viss befattning. En användare kan bara vara märkt med en befattning i en viss hierarki, men en befattning kan användas för flera användare. Användare på högre positioner i hierarkin har tillgång till data för användarna på de lägre positionerna, i den direkt överordnade hierarkiska vägen. Direkt högre positioner har åtkomst för att läsa, skriva, lägga till och lägg till i för de lägre positionernas data i den direkta föregångarvägen. Icke-direkt högre befattningar har skrivskyddad åtkomst till de lägre befattningarnas data i den direkt överordnade sökvägen.

För att illustrera begreppet direkt förfädersväg ska vi titta på diagrammet nedan. Försäljningschefbefattningen har åtkomst till data för försäljning, men har inte tillgång till supportdata som finns i en annan överordnad sökväg. Detsamma gäller för befattningen serviceansvarig. Den har inte tillgång till försäljningsdata, som finns i försäljningsvägen. Precis som i chefshierarkin kan du begränsa mängden data som är tillgänglig för högre befattningar med depth. Djupet begränsar hur många nivåer uppåt i hierarkin en högre befattning har skrivskyddad åtkomst till data från lägre nivåer i den direkta överordnande sökvägen. Om djupet är 3 kan VD-befattningen till exempel se data ända ned från befattningarna VP Sales och VP Service till befattningarna Försäljning och Support.

Skärmbild som visar befattningshierarkin. Den här hierarkin omfattar VD, försäljningsdirektör, vice VD, försäljningsansvariga, serviceansvariga, försäljning och support.

Kommentar

Med säkerhetsmodellen för befattningshierarki har en användare på en högre befattning tillgång till poster som ägs av en användare med lägre befattning eller det team användaren är medlem i, och till de poster som delas direkt med användaren eller det team användaren är medlem i.

Förutom säkerhetsmodellen för hierarki av befattningar måste användare på en högre nivå ha åtminstone användarnivåns läsprivilegium för en tabell för att kunna se de poster som användare på lägre nivåer har tillgång till. Till exempel om en användare på en högre nivå inte har läsprivilegium för tabellen Ärende, kommer den användaren inte att kunna se de ärenden som användarna på lägre befattningar har tillgång till.

Konfigurera hierarkisäkerhet

För att ställa in hierarkisäkerhet, se till att du har behörigheter för systemadministratör för att uppdatera inställningen.

Hierarkisäkerhet är inaktiverad som standard. För att aktivera hierarkisäkerhet, slutför följande steg.

  1. Logga in på administrationscentret för Power Platform som administratör (Dynamics 365 administratör eller Microsoft Power Platform administratör).

  2. I navigeringsfönstret väljer du Hantera.

  3. I fönstret Hantera väljer du Miljöer och sedan en miljö i listan.

  4. Gå till Inställningar>Användare + Behörigheter>Hierarki säkerhet.

  5. Under Hierarkimodell, välj antingen Aktivera modellen hierarki för hanterare eller Aktivera modellen hierarki för befattning beroende på dina krav.

    Viktigt!

    Om du vill göra ändringar i hierarkisäkerhet måste du ha behörigheten Ändra hierarkisäkerhetsinställningar .

    I området Hantering av hierarkitabeller alla systemtabeller är aktiverade för hierarkisäkerhet som standard, men du kan utesluta selektiva tabeller från hierarkin. För att utesluta specifika tabeller från hierarkimodellen, avmarkera kryssrutorna för de tabeller som du vill exkludera och spara dina ändringar.

    Skärmbild på sidan Hierarkisäkerhet i Inställningar för miljöer.

  6. Ange ett önskat värde för Djup för att begränsa i hur många nivåer en chef har skrivskyddad åtkomst till data i sina rapporter.

    Exempelvis, om djupet är lika med 2, kan en chef bara komma åt sina egna konton och de konton som tillhör deras rapporter på två nivåers djup. I vårt exempel, om du loggar in i appar för kundengagemang som en försäljningsdirektör som inte är administratör, ser du bara de aktiva kontona för de användare som visas:

    Skärmbild som visar läsåtkomst för försäljningsdirektör och andra poster.

    Kommentar

    Även om hierarkisäkerheten ger försäljningschefen åtkomst till posterna i den röda rektangeln, kan ytterligare åtkomst vara tillgänglig baserat på den säkerhetsroll som försäljningschefen har.

Konfigurera chefs- och befattningshierarkier

Chefshierarkin skapas enkelt med hjälp av chefsrelationen i systemets användarpost. Du använder uppslagsfältet Manager (ParentsystemuserID) för att ange användarens chef. Om du redan har skapat befattningshierarkin kan du också märka användare med en viss befattning i befattningshierarkin. I följande exempel rapporterar försäljaren till försäljningschefen i chefshierarkin, och har även befattningen Försäljning i befattningshierarkin:

Skärmbild som visar en försäljningspersons användaruppgift.

Om du vill lägga till en användare till en viss befattning i befattningshierarkin använder du uppslagsfältet Befattning i användarpostens formulär enligt nedan.

Viktigt!

Om du vill lägga till en användare i en position eller ändra användarens position måste du ha behörigheten Tilldela position för en användare .

Skärmbild som visar hur du lägger till en användare till en befattning i hierarkisäkerhet

För att ändra befattningen på användarpostens formulär, välj Mer (…) i navigeringsfältet och välj en annan befattning.

Ändra position i hierarkisk säkerhet

Att skapa en befattningshierarki:

  1. Välj en miljö och gå till Inställningar>Användare + behörigheter>Positioner.

    Ange namnet på befattningen, överordnad befattning och beskrivning för varje befattning. Lägg till användare i den här positionen med hjälp av uppslagsfältet med namnet Användare i den här positionen. Följande bild är ett exempel på positionshierarki med de aktiva positionerna.

    Aktiva positioner i säkerhetshierarkin

    Exempel på aktiverade användare med deras motsvarande befattningar visas på följande bild.

    Skärmbild som visar aktiverade användare med tilldelade befattningar.

Redigera och uppdatera flera nivåer av poster för direktrapporter

Som standard kan chefer uppdatera poster för sina direkt underställda och poster för personer som rapporterar till sina underställda. I huvudsak kan du uppdatera poster som är tre nivåer djupa. Du kan ändra standardinställningen genom att utföra följande steg.

  1. Installera OrganizationSettingsEditor verktyget.
  2. Redigera inställningen HierarchyLevelForHierarchyFeature .
  3. Ange antalet direkta nivådjup. Ange till exempel 5.
  4. Välj Uppdatera.

Ta med eller uteslut poster som ägs av medarbetare med inaktiverad användarstatus

Chefer kan se poster för direktrapporter vars status är inaktiverad i miljöer där hierarkisäkerhet är aktiverad, efter den 31 januari 2024. För andra systemmiljöer inkluderas inte inaktiverade statusar för direktrapporter i chefens vy.

Så här tar du med poster för inaktiverad status direktrapport:

  1. Installera OrganizationSettingsEditor verktyget.
  2. Uppdatera inställningen AuthorizationEnableHSMForDisabledUsers till true.
  3. Inaktivera hierarkimodell.
  4. Aktivera den igen.

För att exkludera poster med direktrapporters inaktiverade status:

  1. Installera OrganizationSettingsEditor verktyget.
  2. Uppdatera inställningen AuthorizationEnableHSMForDisabledUsers till falsk.
  3. Inaktivera hierarkimodell.
  4. Aktivera den igen.

Kommentar

  • När du inaktiverar och återaktiverar hierarkimodelleringen kan uppdateringen ta tid eftersom systemet måste beräkna om åtkomsten till chefens poster.
  • Om en tidsgräns visas kan du minska antalet tabeller under listan Hantering av hierarkitabeller och endast ta med tabeller som behöver visas av chef. Om tidsgränsen kvarstår, skickar du ett supportärende för att be om hjälp.
  • Register för direktrapporter med inaktiverad status inkluderas om dessa register delas med en annan direktrapport som är aktiv. Du kan utesluta dessa poster genom att ta bort dela.

Prestandaöverväganden

Om du vill öka prestanda rekommenderar vi:

  • Hålla den effektiva hierarkisäkerheten till 50 användare eller färre under en chef eller befattning. Hierarkin kan ha mer än 50 användare under en chef/befattning, men du kan använda Djup-inställningen för att minska antalet nivåer för skrivskyddad åtkomst och på så sätt begränsa det effektiva antalet användare under en chef/befattning till 50 användare eller mindre.

  • Använd hierarkisäkerhetsmodeller med andra, befintliga säkerhetsmodeller för mer komplexa scenarier. Undvik att skapa ett stort antal affärsenheter. Skapa i stället färre affärsenheter och lägg till hierarkisäkerhet.

  • Behåll HierarchyLevelForHierarchyFeature-numret på den lägsta direkta nivådjup som dina affärskrav tillåter för att chefer ska kunna uppdatera sina underordnades poster.

Se även

Säkerhet i Microsoft Dataverse
Fråga efter och visualisera hierarkiska data

  • Last updated on