Sicherheitsmodellkonzepte

Sie verwenden das Sicherheitsmodell in Dynamics 365 Customer Engagement (on-premises), um den Datenschutz und die Datenintegrität in einer Customer Engagement (on-premises)-Organisation zu schützen. Das Sicherheitsmodell fördert außerdem effizienten Datenzugriff und Zusammenarbeit. Die Ziele des Modells lauten wie folgt:

  • Bereitstellen Sie eines Lizenzierungsmodells mit mehreren Ebenen für Benutzer.

  • Ermöglichung von Benutzerzugriff ausschließlich auf die Informationen, die Benutzer zum Ausführen ihrer Aufgaben benötigen

  • Sie können Benutzer und Teams nach Sicherheitsrollen kategorisieren und den Zugriff basierend auf diesen Rollen einschränken.

  • Unterstützung der Datenfreigabe, sodass Benutzern der Zugriff auf Objekte, die sie nicht besitzen, einmalig per Zusammenarbeitsfunktion gewährt werden kann

  • Vermeidung des Zugriffs auf Objekte, die ein Benutzer nicht besitzt oder freigibt

Geschäftsenheiten, rollenbasierte Sicherheit, Objektsicherheit und datensatzbasierte Sicherheit für benutzerdefinierte Felder werden kombiniert, um den Gesamtzugriff auf Informationen zu definieren, über der Benutzer in Ihrer Customer Engagement (on-premises)-Organisation verfügen.

Unternehmenseinheiten

Eine Unternehmenseinheit stellt grundsätzlich eine Gruppe von Benutzern dar. Große Organisationen mit mehreren Kundenstämmen verwenden häufig mehrere Unternehmenseinheiten, um den Datenzugriff zu steuern. Zudem definieren sie Sicherheitsrollen, damit die Benutzer auf Datensätze in ihrer Unternehmenseinheit zugreifen können. Weitere Informationen Erstellen von Unternehmenseinheiten

Rollenbasierte Sicherheit

Sie können rollenbasierte Sicherheit verwenden, um Sätze von Rechten in Rollen zusammenzugruppieren, die die Aufgaben beschreiben, die von einem Benutzer oder Team ausgeführt werden können. Customer Engagement (on-premises) umfasst einen Satz vordefinierter Sicherheitsrollen, von denen jede einen Satz von Rechten darstellt, die aggregiert werden, um die Verwaltung der Sicherheit zu vereinfachen. Der Großteil der Berechtigungen definiert die Fähigkeit zum Erstellen, Lesen, Schreiben, Löschen und Freigeben von Datensätzen eines bestimmten Entitätstyps. Jede Berechtigung definiert auch, wie umfassend die Berechtigung gilt: auf Benutzerebene, auf Ebene der Unternehmenseinheit, in der gesamten Hierarchie der Unternehmenseinheit oder in der gesamten Organisation.

Wenn Sie sich zum Beispiel als Benutzer anmelden, dem die Rolle "Vertriebsmitarbeiter" zugewiesen ist, haben Sie die Berechtigungen zum Lesen, Schreiben und freigeben für die gesamte Organisation, Sie können jedoch nur Accountdatensätze löschen, deren Besitzer Sie sind. Außerdem haben keine Berechtigung zur Systemverwaltung, wie etwa zum Installieren von Produktaktualisierungen, oder um Benutzer zum System hinzuzufügen.

Ein Benutzer, dem die Vice President of Sales-Rolle zugewiesen wurde, kann mehr Aufgaben ausführen (und besitzt eine größere Anzahl von Rechten) im Zusammenhang mit der Anzeige und Änderung von Daten und Ressourcen, als ein Benutzer mit der Rolle Vertriebsmitarbeiter. Ein Benutzer mit der Vice President of Sales-Rolle kann beispielsweise jedes Konto im System lesen und allen Benutzern zuweisen, während ein Vertriebsmitarbeiter dies nicht kann.

Es gibt zwei Rollen mit sehr weitreichenden Berechtigungen: Systemadministrator und Systemanpasser. Um Fehlkonfigurationen zu minimieren, sollte die Verwendung dieser beiden Rollen für bestimmte Personen in Ihrer Organisation eingeschränkt sein, die zum Verwalten und Anpassen von Customer Engagement (on-premises) zuständig sind. Organisationen können auch vorhandene Rollen anpassen und nach Bedarf eigene Rollen erstellen. Weitere Informationen zu Sicherheitsrollen

Benutzerbasierter Zugriff und Lizenzierung

Standardmäßig hat ein Benutzer beim Erstellen Lese- und Schreibzugriff auf alle Daten für die er über die entsprechende Berechtigung verfügt. Zudem wird die Clientzugriffslizenz (CAL) des Benutzers standardmäßig auf "Professional" festgelegt. Sie können die über die Einstellungen ändern und so den Zugriff auf Daten und Funktionen einschränken.

Zugriffsmodus Diese Einstellung legt für den Benutzer die Zugriffsebene fest.

  • Lese-Schreib-Zugriff. Standardmäßig haben die Benutzer Lese-Schreib-Zugriff und können auf Daten zugreifen, für die sie über die entsprechenden Sicherheitsrollen über Zugriffsrechte verfügen.

  • Administrativer Zugriff. Ermöglicht Zugriff auf Bereiche, für die der Benutzer die entsprechenden Zugriffsrechte über Sicherheitsrollen hat. Erlaubt dem Benutzer nicht die Anzeige oder den Zugriff auf geschäftliche Daten aus den Bereichen Sales, Service und Marketing (beispielsweise Firmen, Kontakte, Leads, Verkaufschancen, Anfragen und Kampagnen). Beispielsweise kann der Administratorer-Zugriff dazu verwendet werden, um Customer Engagement (on-premises)-Administratoren zu erstellen, die eine Vielzahl von Verwaltungsaufgaben ausführen dürfen (z. B. Unternehmenseinheiten erstellen, Benutzer erstellen, Duplikaterkennung einrichten). Er kann jedoch nicht zur Anzeige oder zum Zugriff auf geschäftliche Daten genutzt werden. Beachten Sie, dass Benutzer, denen dieser Zugriffsmodus zugewiesen wurden, keine Clientzugriffslizenz nutzen.

  • Lesezugriff. Ermöglicht den Zugriff auf Bereiche, für die der Benutzer Zugriff durch entsprechende Sicherheitsrolle hat. Benutzer mit Lesezugriff können Daten nur anzeigen und keine Daten erstellen oder vorhandene Daten bearbeiten. Ein Benutzer mit Sicherheitsrolle "Systemadministrator" und Lesezugriff kann beispielsweise geschäftliche Einheiten, Nutzer und Teams anzeigen. Er kann jedoch keine Erstellen oder bearbeiten.

Lizenztyp. Legt die Benutzer-Clientzugriffslizenz fest und definiert, welche Funktionen und Bereiche für den Benutzer verfügbar sind. Diese Kontrolle der Funktionen und Bereiche findet getrennt von den Einstellung der Sicherheitsrolle des Benutzers statt. Standardmäßig werden für Benutzer mit einer Professional-CAL erstellt. Sie haben auf die meisten Funktionen und Bereiche für die ihnen Berechtigungen gewährt wurden Zugriff.

Teams

Teams bieten eine einfache Möglichkeit, um Geschäftsobjekte freizugeben, und mit anderen Personen in anderen Unternehmenseinheiten zusammenzuarbeiten. Während ein Team zu einem Konzernmandanten gehört, kann es Benutzer aus anderen Konzernmandanten umfassen. Sie können einen Benutzer mehr als einem Team zuordnen. Weitere Informationen: Verwalten von Teams

Datensatzbasierte Sicherheit

Sie können die Datensatzbasierte Sicherheit verwenden, um Benutzer- und Teamrechte zu steuern, um Aktionen zu einzelnen Datensätzen durchzuführen. Dies gilt für Instanzen von Entitäten (Datensätzen) und wird durch Zugriffsrechte ermöglicht. Der Besitzer eines Datensatzes kann diesen freigeben oder einem anderen Benutzer oder Team den Zugriff darauf gewähren. Dabei muss er auswählen, welche Rechte er vergibt. Beispielsweise kann der Besitzer eines Kontodatensatzes Lesezugriff auf diese Kontoinformationen gewähren, jedoch keinen Schreibzugriff.

Zugriffsrechte gelten erst, nachdem die Berechtigungen wirksam wurden. Wenn Benutzer beispielsweise nicht über die Berechtigung zum Anzeigen (Lesen) von Kontodatensätzen verfügen, dann können sie gar kein Konto lesen, und zwar unabhängig von den Benutzerrechten, die ein anderer Benutzer ihnen mittels Freigabe für einen bestimmten Firmendatensatz gewährt.

Hierarchiesicherheit

Sie können das Hierarchiensicherheitsmodell für den Zugriff auf hierarchische Daten verwenden. Mit dieser zusätzlichen Sicherheit erhalten sie präziseren Zugriff auf Datensätze , sodass Manager auf die Datensätze ihrer Berichte zwecks Genehmigung oder Arbeit an den Datensätzen zugreifen können. Weitere Informationen: Hierarchiesicherheit

Feldbasierte Sicherheit

Sie können Sicherheit auf Feldebene verwenden, um den Zugriff auf bestimmte Felder mit hohen Auswirkungen auf das Unternehmen in einer Entität auf bestimmte Benutzer oder Teams zu beschränken. Dies gilt ebenso wie die auf Datensätzen basierende Sicherheit, nachdem Rechte wirksam geworden sind. Beispielsweise kann ein Benutzer die Berechtigung zum Lesen eines Kontos haben, nicht aber die Möglichkeit, bestimmte Felder in allen Konten anzuzeigen. Weitere Informationen: Sicherheit auf Feldebene

Sicherheitsmodellierung mit Customer Engagement (on-premises)

Ausführliche Informationen und bewährte Methoden zum Entwerfen des Sicherheitsmodells in Customer Engagement (on-premises) finden Sie im Skalierbare Sicherheitsmodellierung mit Microsoft Dynamics CRM-Whitepaper, das im Microsoft Download Center verfügbar ist.

Siehe auch

Sicherheit auf Feldebene
Hierarchiesicherheit
Steuern des Datenzugriffs
Erstellen oder Bearbeiten einer Sicherheitsrolle
Eine Sicherheitsrolle kopieren
Benutzer verwalten
Verwalten von Teams
Hinzufügen von Benutzern oder Teams zu einem Feldsicherheitsprofil
Verwalten von Sicherheit, Benutzern und Teams