Uprawnienia – dlaczego niektórzy widzą w systemie więcej, a inni mniej

Często jest tak, że chcemy ograniczyć niektórym dostęp do danych w systemie. Nie każdy w naszej firmie musi widzieć informacje o kandydatach, którzy wysłali nam swoje CV, absolutnie nikt poza działem HR nie powinien widzieć, ile zarabiają inni w firmie. Dostęp do pełnej informacji o kliencie też nie zawsze jest wskazany. Nie chcemy udostępniać osobom nieupoważnionym danych finansowych naszych klientów. Pojawia się pytanie, jak zapewnić odpowiedni poziom dostępu naszym kolegom.

Dostosowywanie systemu Dynamics 365 do naszych potrzeb

Główną rolą mechanizmu kontroli dostępu do systemu jest zapewnienie użytkownikom dostępu do danych na odpowiednim poziomie tak, aby mogli skutecznie wypełniać swoje obowiązki zawodowe. Dostęp do systemu zbudowany jest na kilku płaszczyznach i polega na:

  • określeniu jednostek biznesowych,
  • opracowaniu ról zabezpieczeń,
  • wdrożeniu profili zabezpieczeń pól.

Jednostki biznesowe

Jednostki biznesowe to podstawa struktury dostępu i bezpieczeństwa w systemie. Każdy użytkownik systemu musi przynależeć do jednostki biznesowej. Załóżmy, że główną jednostką biznesową w systemie Dynamics 365 jest nasza organizacja – Grupa Kapitałowa Spinacz i Pinezka S.A . Jest to jednostka podstawowa – pojawia się w systemie w momencie instalacji.  Kolejne, podrzędne jednostki biznesowe tworzymy w zależności od naszych potrzeb. Jeśli więc istnieje potrzeba wydzielenia Spinacza i Pinezki, tworzymy dwie podrzędne jednostki biznesowe: Spinacz i Pinezka. Każda z nich może mieć wiele podrzędnych jednostek, np. Marketing, Dział Sprzedaży Krajowej i Dział Sprzedaży Zagranicznej w przypadku Spinacza oraz Marketing, Dział Sprzedaży Detalicznej i Dział Sprzedaży Hurtowej w przypadku Pinezki.

hierarchia

Możemy też stworzyć jednostki biznesowe Sprzedaż oraz Marketing bezpośrednio pod Grupą Kapitałową. Podział naszej spółki może odzwierciedlać strukturę wewnątrz firmy. Jednostki biznesowe powinny pozwolić nam na ograniczenie dostępu do danych jednocześnie wspierając sprawny przepływ informacji w zespołach.

hierarchia1

Role zabezpieczeń

Podstawowym narzędziem pozwalającym nam na przydzielenie dostępów do systemu jest konfiguracja ról zabezpieczeń. W najprostszy sposób ujmując, rola określa nam do czego użytkownik będzie miał dostęp w systemie. W standardowym systemie, bez dostosowań i zmian programistycznych, dostępny jest zbiór predefiniowanych ról, które można przypisać użytkownikom. W razie potrzeby możemy te role dostosowywać do naszych potrzeb.

Określające role zabezpieczeń możemy ustalić, czy użytkownik o określonej roli ma dostęp do wszystkich danych (np. wszystkich Kontaktów w bazie), do danych dostępnych dla wszystkich w tej samej jednostce biznesowej albo tylko do tych danych, do których użytkownik jest przypisany.

roleroleKlucz

Weźmy kilku naszych kolegów z pracy – pracowników działów Sprzedaży i Marketingu – za przykład.

pracownicy

Załóżmy, że mamy w systemie m.in. następujące role:

Rola Uprawnienia
Sprzedawca Widzę i edytuję dane swoich klientów, szanse sprzedaży, nad którymi pracuje oraz moje oferty i zamówienia. Nie widzę danych o klientach moich kolegów, spraw serwisowych ani informacji o kampaniach marketingowych.
Dyrektor Sprzedaży Przydzielam nowych klientów do odpowiednich sprzedawców. Widzę klientów moich podwładnych, ale nie mogę tych danych edytować. Nie widzę spraw serwisowych ani informacji o kampaniach marketingowych.
Marketingowiec Mogę tworzyć i edytować kampanie marketingowe, przygotowywać listy mailingowe. Nie mogę tworzyć ofert czy zamówień. Nie mam dostępu do spraw serwisowych.
Dyrektor Marketingu Jestem odpowiedzialny za planowanie budżetu na kampanie marketingowe, zlecam realizacje kampanii marketingowych moim podwładnym. Nie widzę spraw serwisowych klientów.
Pracownik DOK Widzę sprawy zgłoszone przez klientów. Mogę edytować sprawy przypisane do mnie. Mam dostęp do informacji o kliencie. Nie mogę tworzyć ofert, zamówień czy kampanii marketingowych.

Te role przypisane są następująco:

uprawnieniaPracownikow

Ponieważ zarówno Kasia jak i Gosia są Sprzedawcami, mają w systemie swoich klientów, dla których przygotowują oferty i realizowała zamówienia. Dodatkowo Gosia ma rolę Dyrektora Sprzedaży. To oznacza, że widzi, jacy klienci przypisani są do Kasi. Wie, na jakim etapie sprzedażowym jest oferta przygotowywana przez Kasię oraz jaki jest szacowany przychód ze sprzedaży. Kasia nie zobaczy, jaki przychód dla firmy generuje jej przełożona.

W przypadku działu marketingu sytuacja jest trochę inna. Marek ma przypisaną rolę Dyrektora Marketingu, ale nie ma uprawnień Marketingowca. To oznacza, że nie odpowiada za realizacje kampanii. Jego rolą jest planowanie strategii i taktyki marketingowej. Za działania operacyjne w zakresie marketingu odpowiada Paweł. To on tworzy treści newslettera, opracowuje listy marketingowe i organizuje wydarzenia promujące Spinacz i Agrafkę.

Jeśli chodzi o Karola, to jako jedyny z piątki ma wgląd w dane o sprawach serwisowych klienta. Dział sprzedaży i dział marketingu nie widzą w systemie części serwisowej. Nie maja takiej potrzeby i nie posiadają odpowiednich licencji  do aplikacji serwisowej. Analogicznie Karol nie ma licencji do Sprzedaży i Marketingu w systemie i nie ma dostępu do informacji sprzedażowych i marketingowych. W systemie widzi jedynie zgłoszenia od klienta i najczęściej zgłaszane problemy.

Profile zabezpieczeń pól

Każdy z piątki pracowników ma dostęp do kartoteki klientów (kont i kontaktów) – licencja na każdą aplikacje daje użytkownikowi prawo do wglądu w te dane (oczywiście to od naszej polityki wewnętrznej zależy, czy każdy pracownik będzie widział dane o klientach – wszystkich lub wybranych). Jeśli chcemy zadbać o bezpieczeństwo naszych danych, zwłaszcza danych wrażliwych, możemy ustalić profile zabezpieczeń pól.

Dzięki temu uniemożliwimy pracownikom marketingu wgląd w dane finansowe klienta nie tylko w systemie Dynamics 365. Podczas eksportu zabezpieczonych danych do pliku Word czy Excel, system sprawdza uprawnienia użytkownika – jeśli nie może on zobaczyć wartości w polu, w wyeksportowanym pliku nie będzie żadnej wartości.

fieldsecurity

Zespoły

Użytkownicy Dynamics CRM mogą być grupowani nie tylko zgodnie z rolami czy jednostkami biznesowymi, ale również w zespoły. Podział na zespoły jest niezależny od jednostki biznesowej. Zespoły służą nadawaniu dostępu użytkownikom do odpowiednich elementów w systemie. Od ról różnią się tym, że w łatwy sposób pozwalają na zarzadzanie osobami, które w danej chwili mają dostęp do konkretnych rekordów.

Jeśli Kasia jest sprzedawcą i ma dostęp do swoich klientów detalicznych, pracuje z nimi samodzielnie. Jeśli jednak pojawia się klient hurtowy, który organizuje przetarg i wymaga dostarczenia złożonej dokumentacji, rozbudowanej oferty i referencji od innych klientów, Kasia nie da rady sama tego przygotować. W takiej sytuacji powinniśmy umożliwić jej zbudowanie zespołu projektowego, do którego będą należeć zarówno Kasia, jak i Gosia, ale też Franciszek i Piotrek. Cała czwórka będzie miała dostęp do klienta hurtowego tak długo, jak będą należeć do zespołu. W chwili, w której Franciszek zakończy swoją pracę i dostarczy Kasi wszystkie potrzebne referencje od klientów, Kasia będzie mogła zdecydować o zmniejszeniu swojego zespołu.

Bezpieczeństwo naszych danych

Odpowiednie określenie ról i uprawnień w systemie pomoże nam lepiej chronić nasze dane. Zadbamy o zgodność systemu z polityką wewnętrzną firmy oraz z dokumentami legislacyjnymi, jak np. Rozporządzenie o Ochronie Danych Osobowych. Proces przydzielania uprawnień do systemu jest czasochłonny, ale konieczny – zwłaszcza w większych organizacjach o rozbudowanej hierarchii. Nie raz spotkamy się z problemem braku dostępu do części systemu jeśli nie zbudujemy odpowiedniej struktury w naszym systemie.