跳转到主要内容

热门内容

今日:

  • 【数据治理】第一部分:利用联邦治理利用数据的潜力
  • 【人工智能】技术三明治和TRISM技术:构建人工智能集成的未来
  • 【GAN架构】GAN与transformer模型:比较架构和用途
  • 【开源合规】开源软件许可证101:GPL v3
  • 【同态加密】通过同态加密实现可搜索的加密:综合分析
  • 客户
  • 【数据架构】什么是实体关系图(ERD)?
  • 数字化运营
  • 云计算
  • 万物互联

总体:

  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【管理】热尔韦原理综述
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【开源许可】从开源到免费和开源,MinIO现在在GNU AGPLv3许可
  • 【SAP】如何开始使用Sap AFS和Sap FMS。
  • 【数据目录】OpenMetadata与DataHub:比较架构、功能、集成等
  • 【数据治理】开源数据治理-2023年需要考虑的7个最佳工具
  • 【开源合规】使用MySQL许可:开源许可与商业许可
  • 【微服务架构】微服务已死——迷你服务万岁
  • 【SAP GUI】什么是SAP GUI(图形用户界面)以及如何使用它

最近浏览:

  • 【数据治理】第一部分:利用联邦治理利用数据的潜力
  • 【人工智能】技术三明治和TRISM技术:构建人工智能集成的未来
  • 【数据架构】什么是实体关系图(ERD)?
  • 【GAN架构】GAN与transformer模型:比较架构和用途
  • 客户
  • 【开源合规】开源软件许可证101:GPL v3
  • 【同态加密】通过同态加密实现可搜索的加密:综合分析
  • 【Microsoft 365】Microsoft 365客户数据的存储位置
  • 数字化
  • 【容器云】K3d vs k3s vs Kind vs Microk8s vs Minikube

热门内容

今日:

  • 【GAN架构】GAN与transformer模型:比较架构和用途
  • 【Rust】用Rust构建微服务
  • 【大语言模型】大语言模型评估器(LLM-as-Judge)效能深度评测
  • 企业架构
  • 【LLM】基础大型语言模型(LLM)和工具环境
  • 客户
  • 【数据治理】第一部分:利用联邦治理利用数据的潜力
  • 【DeepSeek】如何为自定义数据集微调DeepSeek-R1(一步一步)
  • 【应用架构】决策支持系统
  • 【开源合规】开源软件许可证101:GPL v3

总体:

  • 语言和框架
  • 【容器架构】Minikube vs.kind vs.k3s-我应该用哪一个?
  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【技术选型】Keras、TensorFlow和PyTorch的区别
  • 【深度学习】45测试深度学习基础知识的数据科学家的问题(以及解决方案)
  • 【数据架构】什么是实体关系图(ERD)?
  • 【Rust架构】Rust web框架比较
  • 【知识】DIKW(数据,信息,知识,智慧)金字塔
  • 【技术选型】AMQP vs MQTT

最近浏览:

  • 【应用架构】决策支持系统
  • 【数据治理】第一部分:利用联邦治理利用数据的潜力
  • 【大语言模型】大语言模型评估器(LLM-as-Judge)效能深度评测
  • 【人工智能】技术三明治和TRISM技术:构建人工智能集成的未来
  • 【数据架构】什么是实体关系图(ERD)?
  • 【网络技术】TLS 1.2与1.3——握手、性能和其他改进
  • 【容器云】K3d vs k3s vs Kind vs Microk8s vs Minikube
  • 【GAN架构】GAN与transformer模型:比较架构和用途
  • 【Rust】用Rust构建微服务
  • 企业架构

首页
x

Main navigation

  • 主页
  • 数字化 +
    • 数字业务自动化
    • 数字化方案
    • 数字化转型战略
    • 数字化转型治理
    • 数字化运营
    • 数字化客户
      • 客户
    • 数字化研发
      • 研发
    • 数字化制造
    • 数字化生产
    • 数字化供应链
    • 数字化销售
    • 数字化服务
    • 数字化营销
      • 营销
    • 数字化财务
    • 人力资源
    • 数字化法务
  • 企业架构 +
    • 企业安全架构
    • 企业架构框架
    • 方案架构
  • 企业业务架构
  • 企业技术架构
  • 企业应用架构
  • 企业数据架构
  • 数据应用架构 +
    • 主数据架构
    • 大数据架构
    • 数据仓库架构
    • 数据保护
    • 数据库架构
    • 数据建模
    • 数据枢纽架构
    • 数据湖架构
    • 数据编制架构
    • 数据网格架构
    • 数据虚拟化架构
  • 集成架构 +
  • 架构质量 +
  • 软件架构 +
  • 大数据架构 +
    • Hadoop 生态
    • Saprk生态
    • 大数据战略
  • 数据和分析 +
    • 机器学习
    • 数据分析
    • 数据可视化
    • 数据工程
    • 数据战略
    • 数据挖掘
    • 数据科学
    • 商务智能
  • 数据库架构 +
    • MySql架构
    • PostgreSql架构
    • 云数据库
    • 内存数据库
    • 列式数据库
    • 图形数据库
    • 搜索引擎
    • 文档数据库
  • 数据治理
  • 数据管理 +
    • 数据仓库
    • 数据湖
  • 企业合规管理
  • 企业治理 +
  • 企业风险管理
  • 隐私保护
  • 智能转型 +
  • 云计算 +
    • AWS 平台
    • SaaS云
    • Salesforce
    • 云原生
    • 云架构
    • 云治理
    • 云转型战略
    • 容器云
    • 微软云
    • 私有云
  • 人工智能 +
  • 生成式人工智能 +
    • 多模态模型
    • 大视觉模型
    • 大语言模型
    • 大音频模型
  • 万物互联 +
    • 工业控制系统
    • 工业物联网
    • 物联网(IoT)安全
    • 物联网(IoT)架构
    • 物联网战略
    • 边缘计算
  • 元宇宙
  • 区块链 +
  • 安全 +
    • 云安全
    • 安全工具
    • 安全战略
    • 安全运营
    • 应用安全
    • 数据安全
    • 终端安全
    • 网络安全
    • 隐私保护
  • 基础设施 +
  • 软件开发 +
    • 开发管理
    • 需求分析
    • 低代码开发
  • 软件测试 +
  • 软件设计
  • DevOps +
  • 敏捷
  • 项目 +
  • 平台和工具 +
    • DevOps工具
    • 云计算平台
    • 企业事件枢纽
    • 其他工具
    • 分布式平台
    • 大数据平台
    • 应用中间件
    • 开发工具
    • 数据工具
    • 集成平台
  • 语言和框架 +
    • Go语言
    • Javascript开发
    • Java开发
    • Python开发
    • Rust语言
    • TypeScript开发
    • 前端技术和框架
    • 算法和数据结构
  • 硬件和设备 +
  • 产品 +
    • 产品管理
    • 产品设计
  • 技术 +
    • 技术趋势
    • 技术选型
  • 用户体验 +
  • IT管理 +
  • 商业 +
    • 商业模型
    • 商业管理
    • 商业结构
    • 商业计划
    • 商务沟通
    • 创业
      • 创业管理
    • 国际商务
    • 经济
  • 战略 +
  • 管理 +
  • 解决方案
  • 关注
  • 社区
  • 职业
  • 职业和职位 +
  • 咨询服务
  • 微软专栏

【Dynamics 365】Dynamics 365:安全的客户参与应用程序

  1. 首页 ⟶
  2. 【Dynamics 365】Dynamics 365:安全的客户参与应用程序
Chinese, Simplified
SEO Title
Dynamics 365 : Secure customer engagement apps

category

  • 安全技术

客户参与应用程序使用Microsoft Dataverse提供了一个丰富的安全模型,可以适应许多业务场景。本节为您提供了应考虑的安全措施的特定于产品的指导。

Dataverse安全模型有以下目标:

  • 只允许用户访问他们工作所需的信息。
  • 按角色对用户进行分组,并根据这些角色限制访问权限。
  • 支持数据共享,以便用户和团队可以访问他们不拥有的记录以进行特定的协作。
  • 阻止用户访问他们不拥有或共享的记录。
     

了解有关Microsoft Dataverse安全性的更多信息。

安全功能


我们使用三类主要的安全功能来提供适当的用户访问:基本安全控制、其他安全控制和手动共享。您应该使用基本安全控制来满足大多数安全要求。使用其他选项来管理异常和边缘场景。

类别 描述 好处 局限性
基本安全控制 其中包括记录所有权、业务单元层次结构、安全角色以及用户和团队。它们定义了用户和记录的基本访问级别和权限。 它们易于设置和管理。它们提供了一个清晰一致的安全模型。 它们无法处理复杂或动态的场景。
其他安全控制 其中包括字段级安全性、层次结构安全性、访问团队和表关系。它们为安全模型增加了更多的粒度和灵活性。 他们可以处理特定或特殊情况。它们可以适应不同的组织结构和数据访问需求。 它们会增加安全模型的复杂性和维护性。
手动共享 这允许用户与另一个用户或团队共享记录。用户必须对记录具有共享权限。 这是授予对记录访问权限的一种简单快捷的方法。它可以处理计划外或临时情况。 它不能自动化或按比例缩放。如果广泛使用,可能会导致性能问题。


 

记录所有权


Dataverse支持两种类型的记录所有权:

  • 组织所有:当记录属于该组织时,环境中的每个人都可以访问该记录。
  • 用户或团队所有:如果组织不拥有该记录,则由用户、团队或业务部门拥有。当记录由用户或团队拥有时,只有所有者和具有相应安全角色的用户才能访问该记录。

有些现成的表是这两种类型的例外。例如,业务部门拥有系统用户记录。

业务部门


业务单元是一个安全构建块,可帮助您管理用户及其可以访问的数据。术语“业务单元”不一定与组织的运营业务单元有关。在Dataverse中,业务单元提供了一个框架来定义用户、团队和记录的组织结构。业务单元按组织层次结构对用户和团队进行分组,并可以使用安全角色授予或限制对数据的访问。

业务部门具有等级性质。您可以允许用户访问其业务部门中的记录,也可以访问其业务单元及其单元下的业务单元中的记录。例如,您可以使用业务单元的分层性质来限制对站点、地区、地区和公司级别的记录的访问。业务单元可用于将数据分割到所有权容器中以进行访问控制。

在您的实现中,最大限度地减少业务单元的数量是一种最佳做法。基于访问控制需求,而不是将组织结构图映射到业务单元。

安全角色


特权是指在Dynamics 365中执行操作的权限。安全角色是一组权限,用于定义用户可以执行的一组操作。某些权限通常适用,例如使用导出到Microsoft Excel功能。其他应用于特定的表,例如读取所有帐户的能力。

您必须将一个或多个预定义或自定义的安全角色直接或从用户所属的团队继承给用户,以允许他们访问Dynamics 365。您可以为一个用户分配多个安全角色。用户的有效安全角色是分配给他们的所有安全角色的所有权限的总和。例如,如果一个安全角色允许用户读取帐户,而另一个安全任务允许用户读取联系人,则用户可以读取帐户和联系人。

客户参与应用程序具有几个开箱即用的安全角色。如果您需要更多或不同的安全角色,请从复制现有的安全角色开始。

最佳做法是在根业务单元级别创建安全角色,因为这些角色会自动复制到所有子业务单元,并且可以包含在解决方案中。

以下是使用特权帐户和服务帐户的一些最佳做法:

  • 限制并定期审查提升的用户和服务帐户列表。
  • 考虑一种即时访问方法来授予提升的权限。
  • 请考虑使用管理用户帐户授予对设置和管理功能的访问权限,但不授予对功能的访问权。了解有关Power Platform中特权身份管理和管理用户的更多信息。
  • 使用应用程序帐户进行集成和部署。了解有关应用程序用户和非交互式用户帐户的更多信息。
  • 使用服务器到服务器(S2S)身份验证,允许应用程序和服务之间进行安全无缝的通信。

笔记

Azure Active Directory现在是Microsoft Entra ID。了解更多信息

团队


团队提供了一种直接的方式来共享记录、跨业务部门与其他人协作以及分配安全角色。尽管一个团队属于一个业务单元,但它也可以包括来自其他业务单元的用户。您可以将一个用户与多个团队相关联,这是向跨业务部门的用户授予权限的一种方便方式。

Dataverse有三种类型的团队:

  • 所有者团队:您可以使所有者团队成为记录的所有者,这是将记录链接到特定业务单元的有用方法。所有者团队还可以共享记录并具有安全角色。
  • Microsoft Entra安全团队和办公室团队:这些是特殊类型的所有者团队。您无法在Dynamics 365中管理他们的成员资格。相反,它们链接到Microsoft Entra安全组或Microsoft 365组。拥有适当许可证并添加到Microsoft Entra组的用户将在系统中自动启用,并在连接到环境时添加到团队中。使用Microsoft Entra ID非常有用,因为组和权限也扩展到Dynamics 365之外的启用Microsoft Entra的应用程序。
  • 访问团队:这些团队是唯一的,因为他们不能拥有记录,也不能有安全角色关联。然而,就像所有者团队一样,访问团队可以与他们共享记录。当您在表级别启用访问团队时,他们可以将特定的记录级别权限授予记录访问团队的成员。这是与用户或团队手动共享记录的替代方案。

在以下情况下使用所有者团队:

  • 您需要团队级别的记录所有权,而不是用户。
  • 您需要通过团队为用户分配安全角色。
  • 你需要报告团队的进展情况。
     

当团队成员对单个记录需要不同的权限而不是对记录类型需要相同的权限时,请使用访问团队。例如,您可以使用访问团队将对特定帐户记录的读取权限授予对所有帐户都没有读取权限的用户。

字段级安全


您可以使用字段级安全性来限制对特定用户或团队具有高业务影响的字段的访问。例如,您可以只允许某些用户读取或更新业务客户的信用评分。

字段级安全性可用于大多数现成表上的默认字段、自定义字段和自定义表上的自定义字段。字段级安全性由安全配置文件管理。现场级安全的范围是整个组织范围的,适用于所有数据访问请求。

共享


记录共享允许用户将表记录的访问权限授予其他用户或团队。用户必须对记录具有共享权限才能共享该记录。共享应被视为用户手动管理默认安全模型异常的一种方式。

请记住以下建议做法:

  • 只与尽可能少的用户或团队共享必要的记录。广泛的共享可能会导致大规模的性能问题。
  • 授予用户执行工作所需的最低访问权限。
  • 不要自动共享。
  • 尽可能关闭安全角色中的共享权限。


层次结构安全性


您可以使用层次结构安全模型从用户或职位层次结构的角度访问数据。有了这种额外的安全性,您可以让经理访问其报告所拥有的记录,以供批准或代表他们执行任务。

访问控制功能概述
下表总结了Dataverse中可用的访问控制功能。

Type Benefits
组织 允许对环境中的所有记录进行打开访问。绕过了安全检查的需要,从而提高了性能。
业务部门 非常适合大型用户组访问的大量数据。允许进行最佳访问检查。减少维护开销。可用于管理和监督访问,在较低级别具有更细粒度的访问。
用户所有权 非常适合大体积的整体。数据,但对数据的较小子集进行单独的细粒度访问。优化的访问检查将内存缓存和记录数据直接结合在一起。启用组合业务单元访问。
团队所有权 非常适合大容量的整体数据,但对较小的数据子集进行分组细粒度访问。优化的访问检查将内存缓存和记录数据直接结合在一起。随着用户参与度的变化,减少级联影响。将用户与记录业务单元结构隔离开来,实现具有数据影响的用户移动。
共享 与使用其他功能的标准模型相比,非常适合对异常进行建模。为每条记录提供特定的唯一权限,但要付出代价--检查大量规则会增加性能、存储和维护开销。与团队共享可以降低成本。
继承 建立在所有权和共享模式之上。用于支持链中高于个人细粒度访问的直属经理。不打算取代更高级或更广泛级别的业务部门访问权限。

环境安全组


您可以将Microsoft Entra安全组与Dataverse环境相关联,以控制用户访问。除非Microsoft Entra ID中的用户具有特定的、具有高度特权的Microsoft 365管理员角色,否则即使分配了有效的身份验证和安全角色,他们也无法访问Dynamics 365中的任何信息,除非他们也是Dynamics 365中正确环境安全组的成员。
将安全组与环境相关联是一种最佳做法。这将阻止所有符合Microsoft Entra条件并获得适当许可的用户在Dynamics 365环境中显示为活动用户。


审计


审核可帮助您遵守内部政策、政府法规和消费者对更好地控制机密数据的要求。组织对其业务系统的各个方面进行审计,以验证系统和数据访问控制是否有效运行,并识别可疑或不合规的活动。


Dataverse审计


审核日志可帮助您确保系统的数据完整性,并满足某些安全性和法规遵从性要求。审核功能记录用户和管理员对记录和用户访问权限所做的更改,以便您以后可以查看活动。
可以在表级别、字段级别和用户访问级别启用审核。您可以通过三种方式查看数据审核:
 

  • 上下文方面,在记录级别,在表单上
  • 在全球范围内,从审计摘要视图
  • 来自API


不要对所有表和列启用审核。进行尽职调查,以确定需要审计哪些表和字段。过多的审核可能会影响性能并消耗大量日志存储。


Microsoft 365审核日志


活动日志记录Microsoft 365和Dynamics 365应用程序中的用户和管理活动。数据存储在Microsoft 365统一审计日志中,与以前的Dataverse审计功能相比,该日志对系统资源的占用更小。
Microsoft 365审核日志还有其他几个好处:

  • Microsoft 365管理员可以管理Microsoft 365安全和法规遵从性门户中所有环境的设置和访问活动报告。Dataverse审核是在每个Dynamics365环境中单独设置和存储的。
  • 系统中的所有数据都会被记录下来,包括读取操作、插件操作、表操作、批量操作、用户登录和注销,甚至Microsoft支持操作。


-您可以设置系统,根据可配置的设置将某些事件通知管理员或合规官员。

  • 管理员可以使用预定义或自定义的筛选器轻松地搜索审核日志。
  • 管理员可以使用安全信息和事件管理(SIEM) 功能近乎实时,以分析和获取系统内可能的可疑行为的警报,并提供解决措施。
  • Dynamics 365提供与多个SIEM供应商的开箱即用集成,如ArcLight、Microsoft OMS、Okta、SumoLogic、BetterCloud,以及许多其他供应商的标准CEF格式集成。微软还发布了一个连接器,将活动日志集成到Azure Sentinel中。


默认情况下,活动日志记录数据会根据Microsoft 365许可证类型保留90天或一年。如果您需要更长时间地保留数据,我们建议您更改保留策略或将这些日志移动到外部存储。
 

用于Microsoft Power Platform的密码箱


通过适用于Microsoft Power Platform的Lockbox,您可以向Microsoft工程师提供对环境的临时、及时访问,以帮助解决关键的支持请求。
Lockbox具有以下核心功能:
 

  • 管理员可以选择哪些Microsoft Dataverse数据库需要使用lockbox进行保护。
  • 在极少数情况下,Microsoft需要临时访问受锁箱保护的数据库中的数据以解决关键问题,系统会通知管理员,管理员可以访问Power Platform管理中心批准或拒绝该请求。
  • 一旦授予Microsoft访问权限,在临时访问期间在受锁箱保护的数据库中发生的任何操作都会被记录下来,并作为SQL审核日志提供给您的组织。您可以将这些日志导出到Azure数据湖中进行进一步分析。


客户管理的密钥


默认情况下,Microsoft管理所有Dynamics 365环境的加密密钥。您可以选择自己管理加密密钥,但应注意潜在风险。了解有关客户管理的加密密钥的更多信息。


接下来的步骤


  • Learn about security features in Power Pages
  • Learn about security features in finance and operations apps
  • Learn how to make security a priority from day one
  • Use the Success by Design security checklist to help identify and prioritize key requirements and implementation activities in the areas of privacy and compliance, identity and access, and application security
 
 

本文地址
https://architect.pub
  • 登录 发表评论
  • 23 次浏览
发布日期
星期四, 四月 25, 2024 - 22:31
最后修改
星期五, 七月 26, 2024 - 13:20

Tags

  • Dynamics 365
  • 安全
  • 安全模型
Article
Read more

最新内容

  • 【DeepSeek】如何为自定义数据集微调DeepSeek-R1(一步一步)
    4 days 2 hours ago
  • 【UI开发】为AI应用程序构建UI的3个最佳Python框架
    1 week 5 days ago
  • 【前端开发】🚀🔥 改变编码方式的10个前端开发AI助手
    1 week 6 days ago
  • 【前端开发】生成式AI革新前端开发:传统开发模式的颠覆
    1 week 6 days ago
  • 【CNN架构】解释不同类型的CNN架构:示例
    1 week 6 days ago
  • 【信息设计】设计模式指南:学习指南
    1 week 6 days ago
  • 【设计思维】什么是设计思维?
    1 week 6 days ago
  • 【Gen UI】生成式用户界面与结果导向设计的范式革命​
    1 month ago
  • 测试Bolt.new:开发者亲测AI应用构建工具​
    1 month ago
  • 生成式用户界面(Gen UI)是什么?它重要吗?
    1 month ago

网站备案号:京ICP备2022026098号-2

友情链接

  • CPO宝典
  • 全球IT瞭望
  • 开发者开聊
  • 智能化转型智库
  • 架构师研究会

知识星球

知识星球:首席架构师圈

 

抖音直播

抖音:cea_cio(超级架构师)
干货直播,干货分享

 

微信小号

超级架构师
超级架构师小号:加群,私聊

 

微信公众号

超级架构师公众号

 

QQ群:超级架构师

QQ Group

Tags

Tags

  • Dynamics 365
  • 安全
  • 安全模型
© 2025 架构师研究会, All rights reserved.
↑