安全性模型概念

使用 Dynamics 365 Customer Engagement (on-premises) 安全性模型,可保護 Customer Engagement (on-premises) 組織的資料完整性和隱私。 安全性模型也可以提升有效率的資料存取和共同作業。 此模型的目標如下:

  • 為使用者提供多層的授權模型。

  • 僅授與使用者執行其工作所需的資訊層級存取權。

  • 根據資訊安全角色來分類使用者和團隊,並根據這些角色來限制存取。

  • 支援資料共用,授與使用者可進行一次性共同作業的物件存取權 (使用者並未擁有這些物件)。

  • 防止使用者存取未擁有或共用的物件。

您將結合業務單位、以角色為基礎的安全性、以記錄為基礎的安全性和以欄位為基礎的安全性,來定義 Customer Engagement (on-premises) 組織中的使用者所擁有的整體資訊存取權限。

業務單位

業務單位基本上是一個使用者群組。 具有許多客戶的大型組織,通常會使用多個業務單位來控制資料的存取及定義資訊安全角色,讓使用者只能存取自己業務單位內的記錄。 其他資訊:建立業務單位

角色安全性

您可以使用角色型安全性將多組權限設為群組放入角色中,描述使用者或團隊可以執行的工作。 Customer Engagement (on-premises) 內含一組預先定義的資訊安全角色,每個角色都是一組彙總的權利,讓您更容易管理安全性。 大部分權限定義建立、讀取、寫入和共用特定實體型別記錄的功能。 每個權限也定義該權限的應用範圍:使用者層級、業務單位層級、整個業務單位階層或整個組織。

例如,如果您以指派為銷售人員角色的使用者身份登入,您就擁有整個組織的帳戶的讀取、寫入和共用權限,但您只能刪除您所擁有的帳戶記錄。 此外,您沒有執行系統管理工作 (例如安裝產品更新或將使用者新增至系統) 的權限。

指派為銷售副總裁角色的使用者可以執行較多與檢視和修改資料和資源相關的工作 (而且有較多的權限),其權限比指派給銷售人員角色的使用者大。 例如,指派為銷售副總裁角色的使用者可以讀取和指派任何帳戶給系統中的任何人,而指派為銷售人員角色的使用者則不可以。

有兩種角色擁有非常廣泛的權限:系統管理員和自訂員。 若要讓設定錯誤降至最低,這兩個角色的使用應該僅限於組織中負責管理和自訂 Customer Engagement (on-premises) 的某些人員。 組織也可以自訂現有的角色和根據需求自行建立角色。 其他資訊:資訊安全角色

根據使用者的存取與授權

根據預設,當您建立使用者時,使用者擁有讀取和寫入他們有權限使用之任何資料的存取權。 此外,也預設將使用者用戶端存取授權 (CAL) 設定為 Professional。 您可以變更其中一個設定,進一步限制資料及功能存取權。

存取模式。 這個設定決定每個使用者的存取層級。

  • 讀寫存取權。 根據預設,使用者擁有讀寫存取權,允許使用者存取他們有資訊安全角色所設定之適當權限的資料。

  • 系統管理存取權。 允許存取使用者有資訊安全角色所設定之適當權限的區域,但不允許使用者檢視或存取通常在 Sales、Service 和 Marketing 區域中找到的商務資料 (例如客戶、連絡人、潛在客戶、商機、行銷活動和案例)。 例如,系統管理存取權可以用來建立 Customer Engagement (on-premises) 系統管理員,有權限可執行完整類型的管理工作 (例如,建立業務單位、建立使用者、設定重複資料偵測),但是無法檢視或存取任何商務資料。 請注意,獲指派此存取模式的使用者不會耗用 CAL。

  • 讀取存取權。 允許存取使用者有資訊安全角色所設定之適當權限的區域,但是具有讀取存取權的使用者只能檢視資料,無法建立或變更現有資料。 例如,擁有讀取存取權限且具備系統管理員資訊安全角色的使用者,可以檢視業務單位、使用者和團隊,但無法建立或修改這些記錄。

授權類型。 這會設定使用者 CAL,並決定使用者可使用的功能及區域。 此功能及區域控制權與使用者的資訊安全角色設定不同。 根據預設,會透過 Professional CAL,針對使用者獲授與權限的大部分功能或區域存取權來建立使用者。

團隊

團隊提供簡易的方法可共用商務物件,而且可讓您跨業務單位與其他人共同作業。 儘管團隊只屬於一個業務單位,仍然可以包含其他業務單位的使用者。 您可以為一個使用者和一個以上的團隊建立關聯性。 其他資訊:管理團隊

以記錄為基礎的安全性

您可以使用以記錄為基礎的安全性控制對個別記錄執行動作的使用者和團隊權限。 這是用於實體執行個體 (記錄),而且由存取權限提供。 記錄的擁有者可以和另一個使用者或團隊共用或授與記錄存取權限。 完成時,他們必須選擇要授與的權限。 例如,帳戶記錄的擁有者可以授與該帳戶資訊的讀取存取權限,但不能授與寫入存取權限。

權限生效後才可套用存取權限。 例如,如果使用者不具備檢視 (讀取) 帳戶記錄的權限,則他們將無法檢視任何帳戶,即使另一個使用者可以透過共用方式授與他們特定帳戶的存取權限。

階層安全性

您可以使用階層安全模型以存取階層式資料。 透過此額外的安全性,可取得更細微的記錄存取權,讓經理存取其下屬記錄以供核准或代表下屬作業。 其他資訊:階層安全性

以欄位為基礎的安全性

您可以使用欄位層級安全性,限制只有指定使用者或團隊能夠存取特定具有高業務影響的欄位。 如同以記錄為基礎的安全性,權限生效後才能套用這個存取權限。 例如,使用者可以擁有帳戶讀取權限,但可能受限於檢視所有帳戶中的特定欄位。 其他資訊:欄位層級安全性

Customer Engagement (on-premises) 的安全性模型

如需有關設計 Customer Engagement (on-premises) 中安全性模型的詳細資訊和最佳做法,請閱讀 Microsoft 下載中心提供的使用 Microsoft Dynamics CRM 建立可調整的安全性模型技術白皮書。

另請參閱

欄位層級安全性
階層安全性
控制資料存取
建立或編輯資訊安全角色
複製資訊安全角色
管理使用者
管理團隊
將團隊或使用者新增至欄位安全性設定檔
管理安全性、使用者和團隊