Dynamics 365:安全的客户参与应用程序
发布网友
发布时间:2024-10-22 07:20
共1个回答
热心网友
时间:2024-11-29 06:41
Dataverse安全模型的主要目标是提供适当的用户访问控制。这通过三种主要的安全功能实现:基本安全控制、其他安全控制和手动共享。基本安全控制通常满足大多数安全要求。其他安全控制则用于处理异常和边缘场景。
Dataverse支持两种类型的记录所有权,包括预设的特殊表例外。业务部门作为安全构建块,有助于管理用户及其可访问的数据。尽管“业务部门”一词不一定与组织的运营部门直接相关,但在Dataverse中,它提供了一个框架来定义用户、团队和数据的组织结构。业务部门层级结构允许用户访问其业务部门内的记录,以及其业务部门下的业务部门内的记录。以此为基础,可以*对站点、地区、地区和公司级别的记录的访问,并将数据分割到所有权容器中以进行访问控制。
在实施中,尽量减少业务部门的数量是最佳做法。根据访问控制需求,而非将组织结构图映射到业务部门。
特权是指在Dynamics 365中执行操作的权限。安全角色定义了用户可以执行的操作集。这些角色可以是预定义的或自定义的,用户必须被分配一个或多个安全角色,以允许他们访问Dynamics 365。用户的有效安全角色是他们所有安全角色的权限总和。若需更多或不同的安全角色,可以从复制现有角色开始,并在根业务部门级别创建以自动复制到所有子业务部门,并且可以包含在解决方案中。
最佳实践包括使用特权帐户和服务帐户,以及团队共享,用于直接共享记录、跨业务部门协作并分配安全角色。团队可以包括来自不同业务部门的用户,并允许用户与多个团队关联以方便跨业务部门的权限分配。
字段级安全允许*特定用户或团队对具有高业务影响的字段的访问。通过安全配置文件管理,可应用于大多数现成表、自定义字段和自定义表的字段。层次结构安全性提供从用户或职位层次结构访问数据的额外安全性,允许经理访问其报告所拥有的记录以供批准或代表他们执行任务。
记录共享允许用户将表记录的访问权限授予其他用户或团队。共享被视为管理默认安全模型异常的一种方式。同时,环境安全组与Dataverse环境关联,控制用户访问,除非用户具有高度特权的Microsoft 365管理员角色,否则即使分配了身份验证和安全角色,也无法访问Dynamics 365信息,除非他们也是Dynamics 365中正确环境安全组的成员。
审计功能有助于确保系统数据完整性和满足安全性和合规性要求。审核日志记录用户和管理员的更改,以便日后查看活动。在表级别、字段级别和用户访问级别启用审核。避免对所有表和列启用审核,进行尽职调查以确定需要审计的表和字段。过多的审核可能影响性能并消耗大量日志存储。
Microsoft 365审核日志记录用户和管理活动,并存储在Microsoft 365统一审计日志中,与Dataverse审计相比占用系统资源更少。该日志还允许根据配置设置将某些事件通知管理员或合规*。活动日志根据Microsoft 365许可证类型默认保留90天或一年,需要更长时间保留数据时,建议更改保留策略或移动这些日志至外部存储。
适用于Microsoft Power Platform的Lockbox提供了向Microsoft工程师提供临时访问以解决关键支持请求的机制。通过客户管理的密钥,用户可以选择自行管理加密密钥,但需注意潜在风险。
总结而言,通过Microsoft Dataverse的安全模型,客户参与应用程序提供了全面的访问控制和管理策略,确保了数据安全性和合规性。实施时遵循最佳实践,如最小化业务部门数量、使用安全角色和团队共享,以及适当启用审计和记录共享功能,将有助于增强系统的安全性。
