Pointtaken logo

Säkerhetsroller – de 3 faserna

[[”värde”:”

Security Roles den minst roliga delen med Power Platform – Dataverse / Dynamics 365. Jag skulle hellre använda timmar på att hitta rätt ICON för varje enskild anpassad enhet😂. Ändå råkar säkerhetsroller vara grundpelaren till varför vår plattform är så mycket kraftfullare än andra tekniska plattformar.

Jag tycker att min inställning till säkerhetsroller nästan alltid slutar på samma sätt när jag levererar nya lösningar. Därför tänkte jag dela med mig av lite av vad som går genom mitt huvud i de olika stadierna:)

1. Skapa rollen

Det finns många bloggar om att skapa roller, och nyligen fick vi till och med ett nytt modernt sätt att ändra säkerhetsroller. Jag tänker inte gå in på hur det går till, men du kan hämta några tips från följande bloggar:

Bloggar om de nya sätten att skapa roller:
https://learn.microsoft.com/en-us/power-platform/admin/security-roles-privileges
https://malindonosomartnes.com/2023/06/29/new-security-roles-admin/
https://nishantrana.me/2023/05/01/manage-security-roles-using-the-new-modern-ui-preview-power-platform-admin-center/

Det jag vill dela med mig av är min personliga åsikt om var man ska börja. Som ni vet arbetar jag mest med Dynamics 365 och inte rena Power Platform-miljöer. Om jag levererar en säljlösning börjar jag nästan alltid med att kopiera säljarens säkerhetsroll.

Börja aldrig en säkerhetsroll från början. Det är helt enkelt inte värt tiden.

Så för Dynamics-försäljning skulle jag vanligtvis bara kopiera säljaren som en början

Och för Power Platform skulle jag kanske börja med Basic User som en början.

Ett typiskt fel jag gör är att hoppas att jag kan sluta med en enda säkerhetsroll för att göra saker enkla. Att trycka in alla användare i samma roll för varför inte. Jag är för mer tillgång till användarna och är beroende av att lära människor att hantera data med respekt. Under de första veckorna inser man snart att man förmodligen behöver en admin-roll för administrativa uppgifter.

PS: En sak jag alltid gör är naturligtvis att begränsa alla raderingsåtgärder för ALLA användare de första veckorna så att de inte skyller på systemet för GHOST-radering av objekt. Ja, det har hänt! 🤷‍♂️

2. Tilldelning av roll

Efter att i timmar ha stångat huvudet i väggen och försökt lista ut vilka säkerhetsbehörigheter som saknas för att applikationen ska fungera som förväntat, kommer du fram till nästa uppgift: att tilldela säkerhetsrollerna till användarna.

Nästa fel som jag har gjort mer än en gång är att tro att vi kan hantera säkerhetsrollerna direkt på användaren. Till att börja med använder jag ett verktyg som XrmToolBox för att distribuera roller till flera användare samtidigt, men några veckor / månader ner i linjen kommer människor som anställs / avskedas / re-org att behöva göra dessa ändringar ofta kommer att ta alldeles för mycket tid. Att behöva fakturera för dessa förändringar kommer också att rynkas på eftersom det är ”bara en enkel uppgift”.

Traditionellt sett har detta varit mycket enkelt för användare inom försäljning och kundservice, men på senare tid har det blivit en allt större utmaning. I takt med att nya funktioner lanseras kommer du snart att förstå att det är nästan omöjligt att hålla koll på säkerhetsrollerna. Med nya lösningar från Microsoft som installeras automatiskt kan du också se några säkerhetsroller som följer med. Exempel på detta skulle kunna vara Forecasting-funktionaliteten för försäljning.

Normalt skulle man tänka ”Låt oss bara lägga till dessa i den huvudsakliga säkerhetsrollen för alla användare” MEN det finns tillfällen då det faktiska säkerhetsrollens ID / namn är det som öppnar funktionaliteten.

Dynamics 365-appen för Outlook-användare är en av dessa appar tror jag. För att faktiskt kvalificera dig för appdistributionen behöver du den här säkerhetsrollen.

Så min första första tanke att en användare kunde ha ”Säljare” som en enda roll med all funktionalitet förvandlas nu till en mardröm som hanterar pr-användare. Jag måste nu hantera massor av användare / ändringar etc samtidigt som jag försöker behålla de korrekta rollerna som ges.
Bilden nedan är bara ett exempel

3. Strukturering av säkerhetsrollerna med team

Detta leder oss till den sista fasen av säkerhetsroller för mig, där jag inser att jag borde ha gjort saker rätt från början. Använda den extra tiden tidigt så att jag sparar tid när projektet är live😤.

Precis som marknadsförare är besatta av personas, måste vi fundera på vilka typer av användare vi förväntar oss att se i Dynamics/Power Platform. I en enkel lösning skulle du lätt kunna ha följande personas.

  1. Försäljning Användare
  2. Försäljningsadministratör
  3. Marknadsföring av användare

Dynamics-användare är väl medvetna om att team kan ansluta säkerhetsroller, men Power Platform-användare är inte alltid medvetna om detta.

Skapa ett team, lägg till användare och lägg sedan till säkerhetsrollerna. Det här är ett mycket enklare sätt att hantera ändringar i säkerhetsroller eftersom ändringarna bara behöver ske på ett ställe.

⛔Hållupp⛔

Problemet med denna lösning är att Dynamics / Power Platform-konsulten eller någon som är bekant med Dynamics / Power Platform måste göra dessa ändringar. I värsta fall skulle ett företag behöva låta IT skapa en användare och tilldela en licens. DÄREFTER måste de kontakta andra konsulter för att lägga till säkerhetsroller eller lägga till någon i teamet för korrekt åtkomst. Den här metoden är bristfällig och kommer förr eller senare att bli ett problem. Microsoft har lyckligtvis gett oss en bra lösning för detta.

✅Solution✅– AAD säkerhetsgrupper / Entra Identity Security Group

Jag kommer inte att täcka hur man skapar en säkerhetsgrupp i AD och senare lägger till den i Dynamics / Dataverse. Ta en titt på följande inlägg för dessa uppgifter:

https://learn.microsoft.com/en-us/power-platform/admin/manage-group-teams#create-a-group-team
https://forwardforever.com/how-groups-teams-work-in-power-apps-dataverse/

Det som jag tycker är så viktigt med Security Group är att det tar bort bördan av åtkomst från Dynamics / Power Platform-konsulten och lägger den i händerna på IT som hanterar allmän åtkomst till alla system i AD. Detta är så mycket mer logiskt, eftersom dessa personer normalt gör on/off-boarding för alla tekniska aspekter. Allt du behöver oroa dig för är att säkerhetsrollerna ges till rätt team.

Inom Dynamics / Dataverse finns det ingen skillnad i hur man tilldelar säkerhetsroller MEN det finns en stor skillnad i att ha medlemmarna automatiskt ifyllda baserat på AD-säkerhetsgrupper.

Moral i berättelsen

Använd säkerhetsgrupper om du inte har en mycket god anledning att inte göra det 😘.

Upptäck mer från CRM Keeper

Prenumerera för att få de senaste inläggen skickade till din e-post.

”]]

Relaterte artikler

september 5, 2023
Tillgångsstrategi som räcker precis
JULIAN RASMUSSEN
Point Taken
Rulla till toppen
GDPR-Cookie-samtycke med Real Cookie Banner