Power Platform : 控制访问的层次结构安全性 |

语言 Chinese, Simplified

SEO Title

Power Platform : Hierarchy security to control access

经理层次结构和职位层次结构安全模型

层次结构可以使用两种安全模型，即经理层次结构和职位层次结构。对于经理层次结构，经理必须与报告者位于同一业务单元内，或者位于报告者业务单元的父业务单元内才能访问报告者的数据。职位层次结构允许跨业务部门访问数据。如果你是一个金融组织，你可能更喜欢经理层次结构模型，以防止经理访问其业务部门之外的数据。然而，如果你是客户服务组织的一部分，并且希望经理能够访问在不同业务部门处理的服务案例，那么职位层次结构可能更适合你。

笔记
虽然层次结构安全模型提供了对数据的一定级别的访问，但可以通过使用其他形式的安全性（如安全角色）来获得额外的访问权限。

管理器层次结构

经理层次结构安全模型基于管理链或直接报告结构，其中经理和报告的关系是通过使用系统用户表上的经理字段来建立的。有了这个安全模型，经理们就可以访问他们的报告者可以访问的数据。他们可以代表直接下属执行工作或访问需要批准的信息。

笔记
使用管理者层次结构安全模型，管理者可以访问用户或用户所属团队拥有的记录，以及直接与用户或用户所在团队共享的记录。当管理链之外的用户将记录共享给具有只读访问权限的直接下属用户时，直接下属的经理对共享记录只有只读访问权限。
启用“记录跨业务部门的所有权”选项后，经理可以拥有来自不同业务部门的直接下属。您可以使用以下环境数据库设置来删除业务部门限制。
经理必须了解姓名或母公司业务单元作为报告
默认值=true
您可以将其设置为false，经理的业务部门不需要与直接下属的业务部门相同。
除了管理器层次结构安全模型之外，管理器必须至少对表具有用户级别的读取权限，才能查看报表的数据。例如，如果经理没有对案例表的读取权限，那么经理就看不到其报告可以访问的案例。

对于管理器的同一管理链中的非直接报告，管理器对非直接报告的数据具有只读访问权限。对于直接下属，经理具有对报告数据的读取、写入、追加和追加访问权限。为了说明管理器层次结构安全模型，让我们看一下下图。CEO可以读取或更新销售副总裁数据和服务副总裁数据。但是，CEO只能读取销售经理数据和服务经理数据，以及销售和支持数据。您可以通过深度进一步限制管理器可访问的数据量。Depth用于限制管理者对其报告数据的只读访问权限的级别。例如，如果深度设置为2，CEO可以查看销售副总裁、服务副总裁以及销售和服务经理的数据。但是，CEO没有看到销售数据或支持数据。

需要注意的是，如果直接下属对表的安全访问权限比其经理更深，则经理可能无法查看直接下属可以访问的所有记录。以下示例说明了这一点。

单个业务单元有三个用户：用户1、用户2和用户3。
用户2是用户1的直接下属。
用户1和用户3对Account表具有用户级读取访问权限。此访问级别允许用户访问自己拥有的记录、与用户共享的记录以及与用户所属团队共享的记录。
用户2具有对Account表的业务单元读取访问权限。此访问允许用户2查看业务部门的所有帐户，包括用户1和用户3拥有的所有帐户。
用户1作为用户2的直接管理者，可以访问用户2拥有或共享的帐户，包括与其他用户2团队共享或拥有的帐户。但是，用户1无法访问用户3的帐户，即使他们的直接下属可能可以访问用户3帐户。

职位层次结构

职位层次结构不像经理层次结构那样基于直接报告结构。一个用户不必是另一个用户的实际管理者就可以访问用户的数据。作为管理员，您可以定义组织中的各种职位，并将其排列在职位层次结构中。然后，您将用户添加到任何给定的位置，或者，正如我们所说，用特定的位置标记用户。在给定的层次结构中，一个用户只能使用一个位置进行标记，但是，一个位置可以用于多个用户。层次结构中较高位置的用户可以访问直接祖先路径中较低位置的用户的数据。直接上级位置可以对直接上级路径中的下级位置的数据进行读取、写入、追加和追加访问。非直接上级职位对直接上级路径中下级职位的数据具有只读访问权限。

为了说明直接祖先路径的概念，让我们看下图。销售经理职位可以访问销售数据，但不能访问支持数据，支持数据位于不同的祖先路径中。服务经理职位也是如此。它无法访问销售路径中的销售数据。就像在经理层次结构中一样，您可以通过深度限制更高职位可访问的数据量。深度限制了较高位置对直接祖先路径中较低位置的数据具有只读访问权限的深度。例如，如果深度设置为3，CEO职位可以看到从销售副总裁和服务副总裁职位到销售和支持职位的所有数据。

笔记
通过职位层次结构安全性，处于较高职位的用户可以访问较低职位用户或用户所属团队拥有的记录，以及直接共享给用户或用户所在团队的记录。
除了职位层次结构安全模型之外，更高级别的用户必须至少对表具有用户级别的读取权限，才能查看较低级别的用户有权访问的记录。例如，如果更高级别用户没有对Case表的读取访问权限，则该用户将无法查看较低位置的用户有权限访问的案例。

设置层次结构安全性

若要设置层次结构安全性，请确保您具有系统管理员权限来更新该设置。

按照查看用户配置文件中的步骤进行操作。
没有正确的权限？请与系统管理员联系。

默认情况下，层次结构安全性处于禁用状态。要启用层次结构安全性，请完成以下步骤。

选择一个环境，然后转到“设置”>“用户+权限”>“层次结构安全性”。

在层次结构模型下，根据您的要求选择启用经理层次结构模型或启用职位层次结构模型。

重要的
若要对层次结构安全性进行任何更改，您必须具有“更改层次结构安全设置”权限。

在“层次结构表管理”区域中，默认情况下，所有系统表都启用了层次结构安全性，但您可以从层次结构中排除选择性表。要从层次结构模型中排除特定的表，请清除要排除的表的复选框，然后保存更改。

将“深度”设置为所需的值，以限制管理者对其报告的数据具有只读访问权限的深度。
例如，如果深度等于2，则经理只能访问自己的帐户和两级深度的报告的帐户。在我们的示例中，如果您以非管理员销售副总裁的身份登录客户参与应用程序，则只能看到用户的活动帐户，如图所示：

笔记

虽然层次结构安全性授予销售副总裁访问红色矩形中记录的权限，但可以根据销售副总裁的安全角色提供其他访问权限。

在“层次结构表管理”部分中，默认情况下，所有系统表都启用了层次结构安全性。要从层次结构模型中排除特定的表，请清除表名称旁边的复选标记，然后保存更改。

重要的
这是一个预览功能。
预览功能不适合生产使用，并且可能具有受限的功能。这些功能在正式发布之前就可以使用，这样客户就可以尽早访问并提供反馈。

设置经理和职位层次结构

通过使用系统用户记录上的管理者关系，可以很容易地创建管理者层次结构。使用管理器（ParentsystemuserID）查找字段可以指定用户的管理器。如果创建了职位层次结构，也可以在职位层次结构中为用户标记特定的职位。在以下示例中，销售人员向经理层次结构中的销售经理报告，并且在职位层次结构中也有销售职位：

要将用户添加到位置层次结构中的特定位置，请在用户记录的窗体上使用名为“位置”的查找字段。
重要的
要将用户添加到某个职位或更改用户的职位，您必须具有“为用户分配职位”权限。

要更改用户记录表单上的位置，请在导航栏上选择“更多”（…），然后选择其他位置。

要创建职位层次结构，请执行以下操作：
选择一个环境，然后转到“设置”>“用户+权限”>“位置”。
对于每个职位，提供职位的名称、职位的父级和描述。使用名为“在此职位中的用户”的查找字段将用户添加到此职位。下图是具有活动位置的位置层次结构的示例。

启用的用户及其相应位置的示例如下图所示。

包括或排除具有禁用用户状态的直接下属拥有的记录

经理可以查看2024年1月31日之后启用层次结构安全性的环境的禁用状态直接报告记录。对于其他环境，经理的视图中不包括禁用状态直接报告的记录。

要包括禁用状态直接报告的记录：

安装OrganizationSettingsEditor工具。
将AuthorizationEnableHSMForDisabledUsers设置更新为true。
禁用层次建模。
重新启用它。

要排除禁用状态直接下属的记录，请执行以下操作：

安装OrganizationSettingsEditor工具。
将AuthorizationEnableHSMForDisabledUsers设置更新为false。
禁用层次建模。
重新启用它。

笔记
当禁用并重新启用层次结构建模时，更新可能需要时间，因为系统需要重新计算管理器记录访问权限。
如果您看到超时，请减少“层次结构表管理”列表下的表数，使其仅包括需要由管理器查看的表。如果超时持续存在，请提交支持票证以请求帮助。
如果将禁用状态的直接下属的记录与另一个活动的直接下属共享，则会包括这些记录。您可以通过删除共享来排除这些记录。

性能注意事项

为了提高性能，我们建议：

将有效的层次结构安全性保持在经理或职位下的50个用户或更少。您的层次结构在一个经理或职位下可能有50多个用户，但您可以使用“深度”设置来减少只读访问的级别数，并通过此设置将经理或职位的有效用户数限制为50个或更少。
将层次结构安全模型与其他现有安全模型一起用于更复杂的场景。避免创建大量的业务单元，而是创建更少的业务单元并添加层次结构安全性。