Элегантный обходной путь для SharePoint Порог безопасности

Привет!
В настоящее время мы разрабатываем решение для клиента, в котором будет много документов со сломанным наследством в SharePoint, синхронизированных с Dynamics CRM. 
Как известно, в SharePoint 50.000 элементов могут иметь сломанное наследование в библиотеке. 
Наш клиент достигнет этого предела через пару лет.
Какова лучшая практика работы с этим SharePoint пороговым значением области разрешения? Использование папок для хранения документов и установки уникальных прав доступа к папке или создание дополнительных библиотек? Существует ли автоматическое решение? 

Спасибо,  
Andy

Этот запрос с одной из страниц сообщества Microsoft резонирует со многими SharePoint администраторами. Независимо от того, насколько большой объем безопасности в SP может быть, он является исчерпывающим. Для больших организаций это вопрос двух-трех лет для SharePoint до тех пор, пока лимит не будет исчерпан. Очевидно, что необходимо некоторое комплексное планирование. В этой статье мы проанализируем этот порог и возможные обходные пути для обеспечения последовательной безопасности документов в паре Dynamics CRM-SharePoint.

С годами синхронизированная пара Dynamics CRM и SharePoint стала неотъемлемой частью управления клиентами. Это продуманная комбинация, которая добавляет большие функциональные возможности CRM.  

Если вы используете SharePoint Online с Dynamics 365, у вас есть следующие преимущества: 

• Гораздо больше функциональности в управлении документами, относящимися к клиентам 
• Возможность обмена документами с пользователями, не являющимися CRM, или внешними (например, при внесении изменений в контракты). 
• Большее и более дешевое хранилище данных (хранилище SharePoint: Стандарт 10 ГБ ($0,20 на ГБ дополнительно) по сравнению с хранилищем Dynamics CRM: 5 ГБ стандарт ($10 за ГБ дополнительно)) 
• Добавление специальных опций SharePoint (проверка документов и истории версий; интерфейс для поддержки интеграции OneNote с CRM; синхронизация с Desktop Library и Outlook; интеграция с Microsoft Delve для расширенной функциональности поиска через библиотеку документов и документов). 

В целом, эта комбинация позволяет компаниям более эффективно охотиться за возможностями и расширять бизнес. Но у нее есть некоторые ограничения.

Компаниям, работающим с Dynamics CRM, синхронизированным с SharePoint, необходимо помнить о двух вещах.  

Во-первых, эта пара пропускает автоматическую синхронизацию прав и привилегий. Поэтому, если вы не установите разрешения вручную, такие конфиденциальные данные, как стоимость контракта, подписи, перспективы могут ускользнуть к неавторизованным лицам в SharePoint. 

И, во-вторых, вышеперечисленные ограничения уникальных разрешительных диапазонов SharePoint.  

Для СП 2013, 2016 и 2019порог составляет 50 000 разрешений на каждую библиотеку документов. По достижении данной отметки разрешения больше не могут быть назначены. Для больших организаций это предложение обычно исчерпывается в течение пары лет. Однако если вы будете следовать рекомендациям Microsoft, это произойдет еще быстрее. "Для большинства ферм мы рекомендуем вам подумать о снижении этого лимита до 5000 уникальных диапазонов". (...) Когда количество уникальных диапазонов безопасности для списка превышает значение порога просмотра списка (установленного по умолчанию на 5000 элементов списка), при просмотре списка происходят дополнительные циклы SQL Server, что может отрицательно сказаться на производительности просмотра списка", - сообщает он.  

Вероятно, эта функция вызвала решение разрешить только 5 000 уникальные масштабы для SharePoint онлайн. 

А поскольку защита конфиденциальных данных имеет решающее значение для любой организации, надлежащее планирование должно происходить на ранней стадии реализации. 

Первая проблема - отсутствие автоматической синхронизации между разрешениями в Dynamics CRM и SharePoint - может быть решена путем Репликатор разрешений CB. Этот продукт от Connecting Software является единственным в мире готовым решением, которое автоматически покрывает эту недостающую синхронизацию. Он приобрел довольно много популярность и доверие за последние несколько лет как среди частных, так и среди государственных организаций. 

Второй вопрос - порог для уникальных разрешений SharePoint - немного сложнее. 

Например, Microsoft не предоставляет никакого простого решения этой проблемы. Рекомендации идут в русле  

• либо минимизировать использование уникальных разрешений, либо  
• установка разрешений на полный список или папку, а не на отдельные элементы или  
• переосмысление дизайна библиотеки.  

Конечно, такая организация возможна, но она требует настройки и кодирования.  

Кроме того, разрешения SharePoint недостаточно гранулированы. Если сотруднику необходимо нарушить права доступа к определенным документам, ему требуются права Add/Edit на всю библиотеку документов в рамках интеграции Dynamics CRM и SharePoint. Это означает, что человек может получить несанкционированный доступ к некоторым документам.  

Благодаря предыдущей работе над CB Dynamics CRM - SharePoint Permission Replicator, мы изучили обе системы как внутри, так и снаружи. И поняли, что ограниченные уникальные области применения разрешений в SharePoint создают серьезную проблему для многих системных администраторов.  

SharePoint Structure Creator - это наш ответ на эту проблему. Он автоматически создает или выбирает библиотеки документов в SharePoint на основе определенных правил, чтобы избежать достижения уникальных ограничений области разрешений. 

На самом деле это довольно умно. SP Structure Creator помещает документы в распределенные библиотеки документов, которые создаются в соответствии с определенными вами правилами: 

• На основании даты (Ежегодно, Ежеквартально, Ежемесячно, Еженедельно, Ежедневно или по обычному правилу).  
• На основании стартового символа(ов) имени записи  
• На основании стартового символа(ов) идентификатора записи
• Библиотека документов по записям.  

Таким образом, вам не нужно группировать документы с нарушенными правами доступа в специальные папки или полностью воссоздавать структуру SharePoint. Вам только нужно выбрать правило и убедиться, что его будет достаточно, чтобы не превысить лимит 5k /50k.  

Крупная компания планирует иметь около 1 миллиона записей (5 различных организаций) в 1ТП21Т с документами, хранящимися в 1ТП24Т. Не сразу, но они полагают, что эта цифра будет достигнута в течение полутора-двух лет.  

Теперь кое-какие технические детали. Компания работает под плоской конструкцией. Кроме того, администрируемая система полностью заблокировала SharePoint: доступ к ней имеют только пользователи Dynamics 365, и только те документы, на которые у них есть права. Защитная часть обрабатывается CB Replicator.  

Что может сделать администратор в этом случае, чтобы избежать попадания в 50k уникальные диапазоны разрешений? 

Они применяют функцию SharePoint Structure Creator. Она автоматически создает папки и действительные местоположения документов в SharePoint, как только пользователь нажимает кнопку "Документы" в D365. Администратор решил строить библиотеки документов на основе недели входа. Каждую неделю создается новая библиотека. Таким образом, они гарантируют, что порог никогда не будет достигнут. И для пользователя это одинаково. 

Функция представляет собой CRM-плагин, взаимодействующий с SharePoint через REST. Плагин заменяет оригинальную реализацию и ведет себя аналогичным образом. Он полностью прозрачен для конечного пользователя - это означает, что опыт остается прежним. Таким образом, когда пользователь нажимает на вкладку 'Документы' в Dynamics CRM, через несколько секунд появляется сетка с документами.  

Папка SharePoint создается под a привилегированный пользователь, поэтому вызывающему пользователю не нужно иметь никаких прав в SharePoint. После создания объекта SharePoint он нарушает наследование прав и предоставляет доступ вызывающему пользователю - таким образом, он может немедленно начать загрузку документа.   

Поддерживаемые системы:  

• CRM 2011, CRM 2013, CRM 2015, CRM 2016, Dynamics 365, Dynamics 365 Online  
• SharePoint 2013, SharePoint 2016, SharePoint 2019, SharePoint Online  

Этот плагин действительно является умным решением для ограничения SharePoint. А лучше всего то, что он автоматический - протестирован, доказал свою работоспособность и защищает от человеческого фактора.  

Читайте другие статьи о Dynamics CRM и интеграции SharePoint:

Тиражируйте модель безопасности Dynamics CRM на SharePoint: обновлена.

Ликвидация разрыва в безопасности между Dynamics 365 Привилегиями и SharePoint Разрешениями