確定要使用的資料結構之後,下一步是考慮如何保護資料。 您應該考慮哪些資料將由誰存取,並參考您在規劃階段列出的任務、業務流程和角色。 本文為不熟悉一般安全性概念的人說明一般安全性概念。 如需有關安全性技術層面的更多資訊,請參閱安全性角色和權限。
安全層
設定安全性時,您可以在應用程式中設定四個不同的安全性層。
應用程式層級安全性
應用程式層級安全性會限制對應用程式的存取。
應用程式層級安全性不會保護您的資料儲存位置。 資料的保護方式會因資料來源的功能而異。 共用應用程式時,請確定使用者也擁有基礎資料的適當存取權。
表單層級安全性
對於模型導向應用程式,表單層級安全性可讓您僅允許特定安全性群組存取特定表單。 如果您想要限制人員按其工作角色輸入或檢視資料的方式,這非常有用。
例如,核准流程應用程式可能有一個表單供員工建立和提交核准請求,以及一個單獨的表單供核准者檢閱提交的內容。 表單層級安全性非常適合此案例。 其他資訊: 控制對模型導向應用程式表單的存取。
記錄級安全性
記錄層級安全性是一種安全性類型,您可以在其中指派特定記錄的存取權。 假設您目前在 Excel 活頁簿中有一個工作表。 記錄層級安全性可讓您為每個個別列設定安全性。
您可以設定四種不同類型的存取,稱為 CRUD (建立、讀取、更新和刪除),以取得記錄層級安全性:
創造 允許使用者建立新資料 (例如在 Excel 中新增資料列)。
讀 允許使用者檢視資料。
更新 允許使用者變更已存在的資料。 這與創建不同,因為創建就是添加 新 數據。
刪除 允許使用者刪除資料 (例如移除 Excel 中的資料列)。
對於 Microsoft Dataverse,還有四種類型的存取:追加、附加到、指派和共用。 其他資訊:資訊安全角色和權限
欄位層級安全性
欄位層級安全性是單一記錄中更細微的安全性。 這就像在 Excel 中為單列設定安全性一樣。 這通常有類似於記錄層級安全性的存取等級,但是在欄位等級。
不同層級的安全性彼此之間有何關聯
上述的安全性等級與層級類似。 應用程式的設計應該考慮其中一或多個安全性層級,以符合您的需求。 下表顯示每個安全性層級在應用程式行為中控制的內容。
| 安全等級 | Example |
|---|---|
| 應用程式層級安全性 | 存取「銷售應用程式」 |
| 表單層級安全性 | 存取「客戶卡」 |
| 記錄級安全性 | 存取「Contoso Ltd.」。 |
| 欄位層級安全性 | 存取「營業額」 |
設計安全性的五個步驟
不同的安全級別可能看起來相當複雜和令人難以承受,但您可以將其分解為以下五個步驟:
第 1 步:確定誰或哪些人員組(例如部門、部門或團隊)將有權存取應用程式本身。 這應該是您在規劃階段識別的同一組人員。
第 2 步:在您在第 1 步中確定的用戶中,將他們分成將(或不會)訪問受限類型信息的組。
步驟 3:確定誰可以查看記錄的要求。
步驟 4:如果您使用 Dataverse 以外的資料來源,或沒有 Office 365 或 Microsoft Entra 驗證的服務,您應該考慮如何允許存取這些系統。 如果您不負責這些系統,請向這些服務管理員尋求建議。
第 5 步:根據上述步驟,您應該考慮如何管理這些不同的群組。 建議您使用安全群組。
範例:費用報表解決方案安全性
在費用核准案例中,所有員工都可以提交費用報表,因此他們都需要有權存取費用報表建立應用程式。 此外,核准者需要存取核准應用程式。
我們需要一個 [所有員工] 安全性群組,以存取費用報告應用程式及其使用的資料。 我們需要一個核准者安全性群組,以存取核准應用程式。
會計部門可能需要存取更敏感的資料,例如員工的銀行帳戶以進行報銷。
我們需要一個會計團隊安全組,這是唯一可以訪問員工銀行路由信息的安全組。
我們很可能不希望員工能夠看到彼此的費用報告,因此我們需要設定記錄層級安全性,以允許員工僅存取自己的記錄。 不過,我們也需要確保核准者可以看到他們獲得核准的報告。 我們需要審計師團隊能夠查看所有費用報告(但不能更改它們)。
我們需要一個審計員安全小組。 我們需要授予它和核准者安全組對所有記錄的訪問權限,並且我們需要僅授予所有員工組對“我創建的記錄”的訪問權限。
其他資訊: Dataverse 中的安全性