Skip to content

Správa oprávnění a skupin zabezpečení

Tato stránka popisuje náš doporučený přístup ke správě oprávnění uživatelů v Business Central SaaS pomocí skupin zabezpečení a procesních sad oprávnění. Jedná se o nejdůležitější téma pro každého nového administrátora.

Přehled

V Business Central je co uživatel vidí a může dělat řízeno sadami oprávnění. Sady oprávnění jsou kolekce přístupových práv ke konkrétním datům a funkcím.

Místo přiřazování sad oprávnění každému uživateli jednotlivě důrazně doporučujeme používat skupiny zabezpečení z Microsoft Entra ID. Díky tomu:

  • Spravujete přístup centrálně v Entra ID
  • Když zaměstnanec změní roli, přesunete ho mezi skupinami zabezpečení — jeho oprávnění se automaticky aktualizují
  • Noví uživatelé získají správná oprávnění okamžitě na základě své role

Co je Microsoft Entra ID?

Microsoft Entra ID je cloudová služba Microsoftu pro správu identit a přístupů — přihlašování, oprávnění a zabezpečení k aplikacím a službám. Dříve byla známá jako Azure Active Directory (Azure AD).

Právě v Entra ID se vytvářejí skupiny zabezpečení, které pak Business Central používá pro řízení oprávnění.

Kde Entra ID spravovat:

Jak to celé funguje dohromady

Diagram ukazuje dvě pracovní pozice — Účetní a Vedoucí účtárny. Obě jsou definovány jako skupiny zabezpečení v Microsoft Entra ID (vlevo). Každé skupině jsou přiřazeny procesní sady oprávnění v Business Central (vpravo). Vedoucí účtárny má přístup ke všemu, co účetní, plus navíc ke schvalování a sestavám.

graph LR subgraph entra["Microsoft Entra ID"] G1["BC-Role-Ucetni<br/>(Účetní)"] G2["BC-Role-VedouciUctarny<br/>(Vedoucí účtárny)"] end subgraph bc["Business Central — Sady oprávnění"] P1["Zpracování faktur<br/>vytvoření a zaúčtování<br/>prodejní faktury"] P2["Práce s deníky<br/>účtování finančních<br/>deníků"] P3["Náhled na účetní data<br/>zobrazení věcných položek<br/>a účetní osnovy"] P4["Schvalování dokladů<br/>schvalování faktur<br/>a plateb"] P5["Finanční sestavy<br/>zobrazení a export<br/>finančních sestav"] end G1 -->|přiřazena| P1 G1 -->|přiřazena| P2 G1 -->|přiřazena| P3 G2 -->|přiřazena| P1 G2 -->|přiřazena| P2 G2 -->|přiřazena| P3 G2 -->|přiřazena| P4 G2 -->|přiřazena| P5

Klíčový princip

Skupiny zabezpečení představují kdo (pracovní pozice). Sady oprávnění představují co může dělat (konkrétní kousek procesu). Jednu sadu oprávnění můžete přiřadit více skupinám — např. „Zpracování faktur" potřebuje účetní i vedoucí.

Dva typy skupin zabezpečení

Business Central používá skupiny zabezpečení pro dva různé účely. Je důležité rozumět rozdílu:

Skupina pro přístup do prostředí Skupina podle pracovní pozice
Účel Řídí, kdo se může přihlásit do konkrétního prostředí Řídí, co uživatel může dělat po přihlášení
Kde se přiřazuje V Centru administrace → nastavení prostředí Uvnitř Business Central → stránka Skupiny zabezpečení
Kolik na prostředí Právě jedna na prostředí Kolik potřebujete (jedna na pracovní pozici)
Co řídí Funguje jako brána — pokud nejste ve skupině, BC vůbec neotevřete Určuje, které sady oprávnění se na uživatele vztahují
Příklad názvu BC-Produkce-Uzivatele BC-Role-Ucetni, BC-Role-Skladnik

Oba typy se vytváří stejným způsobem (jako skupiny zabezpečení v Entra ID), ale slouží k úplně jiným účelům a nastavují se na různých místech.

Jak spolu fungují

Uživatel musí být ve skupině pro přístup do prostředí, aby se mohl přihlásit. Po přihlášení jeho oprávnění vycházejí z skupin podle pracovních pozic, do kterých patří. Představte si to tak: skupina pro prostředí je klíč od vstupních dveří a skupiny podle rolí určují, do kterých místností můžete vstoupit.

Postup nastavení krok za krokem

Krok 1: Vytvořte skupinu zabezpečení pro přístup do prostředí

Vytvořte v Entra ID skupinu zabezpečení, která řídí, kdo se vůbec může přihlásit do prostředí Business Central.

  1. Přejděte do Centra pro správu Microsoft 365Týmy a skupinyAktivní týmy a skupiny
  2. Klikněte na Přidat skupinu zabezpečení
  3. Pojmenujte ji jasně, např. BC-Produkce-Uzivatele nebo BC-Sandbox-Uzivatele
  4. Přidejte všechny uživatele, kteří mají mít přístup do daného prostředí

Poté přiřaďte tuto skupinu k prostředí:

  1. Otevřete Centrum administrace Business Central
  2. Vyberte prostředí (např. Produkce)
  3. Přejděte na NastaveníSkupina zabezpečení
  4. Přiřaďte vytvořenou skupinu zabezpečení

Note

Pouze uživatelé v této skupině zabezpečení se budou moci přihlásit do daného prostředí. Toto je vaše první vrstva řízení přístupu.

Krok 2: Vytvořte skupiny zabezpečení podle pracovních pozic

Vytvořte v Entra ID další skupiny zabezpečení, které představují pracovní pozice ve vaší organizaci. Například:

Název skupiny zabezpečení Účel
BC-Role-Ucetni Finanční pracovníci — hlavní kniha, deníky, zákazníci, dodavatelé
BC-Role-Skladnik Skladové operace — zboží, vyskladnění, zaskladnění
BC-Role-Obchodnik Obchodní tým — objednávky, nabídky, zákazníci
BC-Role-Nakupci Nákup — nákupní objednávky, dodavatelé, požadavky
BC-Role-Manazer Vedoucí oddělení — sestavy, schvalování

Tip

Pokud již máte skupiny zabezpečení pro pracovní pozice ve svém Entra ID, použijte je. Nevytvářejte duplikáty jen pro Business Central.

Krok 3: Přidejte skupiny zabezpečení do Business Central

  1. V Business Central vyhledejte Skupiny zabezpečení
  2. Klikněte na Nový a vyberte skupinu zabezpečení z Entra ID ze seznamu
  3. Opakujte pro každou skupinu dle pracovní pozice

Skupiny zabezpečení se nyní zobrazí v Business Central a můžete k nim přiřadit sady oprávnění.

Krok 4: Vytvořte a přiřaďte sady oprávnění

Sady oprávnění definují, co každá role může dělat. K jejich vytvoření existují tři přístupy:

Přístup A: Začněte s existujícími (širšími) sadami a postupně omezujte

  1. Přiřaďte širokou existující sadu oprávnění (např. D365 BUS FULL ACCESS nebo D365 TEAM MEMBER)
  2. Zjistěte, ke kterým oblastem role nemá mít přístup
  3. Vytvořte vlastní sadu výjimek nebo odeberte nepotřebné sady

Vhodné pro: Rychlé počáteční nastavení, postupné zpřísňování později.

Přístup B: Začněte s úzkými sadami a přidávejte chybějící

  1. Přiřaďte nejspecifičtější existující sady oprávnění (např. D365 JOURNALS, POST)
  2. Nechte uživatele otestovat svůj denní pracovní postup
  3. Když narazí na chyby oprávnění, přidejte chybějící sady oprávnění

Vhodné pro: Maximální zabezpečení od začátku, ale větší počáteční úsilí.

Přístup C: Zaznamenejte oprávnění z procesu

  1. V Business Central vyhledejte stránku Sada oprávnění
  2. Použijte akci Zaznamenat oprávnění
  3. Proveďte kompletní obchodní proces (např. vytvořte prodejní objednávku, zaúčtujte ji, vytvořte fakturu)
  4. Zastavte záznam — Business Central vygeneruje sadu oprávnění pokrývající přesně to, co bylo použito
  5. Přiřaďte tuto zaznamenanou sadu příslušné skupině zabezpečení

Vhodné pro: Vytváření přesných, procesně specifických sad oprávnění.

Proč používat existující sady oprávnění, když je to možné?

Když Microsoft vydá aktualizaci Business Central, standardní sady oprávnění se automaticky aktualizují tak, aby pokryly nové objekty. Vlastní sady oprávnění ne — po aktualizaci možná budete muset ručně přidat nové tabulky a stránky.

Krok 5: Přiřaďte uživatele ke skupinám zabezpečení

Pro každého uživatele ho přiřaďte do příslušných skupin zabezpečení v Entra ID na základě jeho pracovní pozice:

  1. Přejděte do Centra pro správu Microsoft 365UživateléAktivní uživatelé
  2. Vyberte uživatele
  3. V sekci Skupiny jej přidejte do příslušných skupin zabezpečení (např. BC-Produkce-Uzivatele + BC-Role-Ucetni)

Uživatel získá kombinovaná oprávnění ze všech svých skupin zabezpečení.

Konkrétní příklady rolí

Účetní

Skupina zabezpečení: BC-Role-Ucetni

Potřebuje přístup k:

  • Hlavní kniha — účtování deníků, účetní osnova, věcné položky
  • Pohledávky — zákazníci, položky zákazníků, prodejní faktury
  • Závazky — dodavatelé, položky dodavatelů, nákupní faktury
  • Správa bankovních účtů — bankovní účty, odsouhlasení banky
  • DPH — položky DPH, přiznání k DPH
  • Finanční sestavy

Doporučené sady oprávnění pro začátek:

  • D365 JOURNALS, POST — účtování deníků
  • D365 VENDOR, EDIT — správa dodavatelů
  • D365 CUSTOMER, EDIT — správa zákazníků
  • D365 FA, JOURNAL — deníky dlouhodobého majetku (pokud je třeba)
  • Další sady specifické pro společnost dle potřeby

Skladník

Skupina zabezpečení: BC-Role-Skladnik

Potřebuje přístup k:

  • Zboží — karty zboží, položky zboží (pouze čtení nebo editace dle role)
  • Sklad — příjemky, dodávky, vyskladnění, zaskladnění
  • Zásoby — deníky zásob, fyzická inventura
  • Správa přihrádek — přihrádky, obsah přihrádek (pokud používáte řízené zaskladnění a vyskladnění)

Doporučené sady oprávnění pro začátek:

  • D365 WHSE, EDIT — skladové operace
  • D365 ITEM, EDIT nebo D365 ITEM, VIEW — správa zboží (editace vs. pouze čtení)
  • Další sady pro inventuru dle potřeby

Obchodník

Skupina zabezpečení: BC-Role-Obchodnik

Potřebuje přístup k:

  • Prodej — prodejní nabídky, prodejní objednávky, zaúčtované prodejní faktury (pouze čtení)
  • Zákazníci — karty zákazníků, položky zákazníků
  • Zboží — karty zboží, dostupnost zboží (pouze čtení)
  • Kontakty — karty kontaktů, aktivity
  • Sestavy — statistiky prodeje, přehled pipeline

Doporučené sady oprávnění pro začátek:

  • D365 SALES DOC, EDIT — vytváření a úprava prodejních dokladů
  • D365 CUSTOMER, EDIT — správa zákazníků
  • D365 ITEM, VIEW — zobrazení zboží (pouze čtení)
  • D365 CONTACT, EDIT — správa kontaktů (pokud používáte CRM funkce)

Kdy nastavit oprávnění během implementace

Fáze Co udělat
Začátek projektu Vytvořte skupiny zabezpečení pro přístup do prostředí. Přiřaďte je k prostředím.
Po definování pracovních pozic Vytvořte skupiny zabezpečení dle rolí v Entra ID. Přidejte je do Business Central.
Během implementace Vytvořte sady oprávnění a pojmenujte je. Dočasně přiřaďte široká práva (např. SUPER nebo D365 BUS FULL ACCESS), aby testování nebylo blokováno.
Před spuštěním Nahraďte široké sady oprávnění procesně specifickými. Otestujte s reálnými uživateli.
Po spuštění Monitorujte chyby oprávnění, dolaďte sady na základě zpětné vazby uživatelů.

Časté chyby a úskalí

Nenechávejte přiřazený SUPER

SUPER poskytuje plný přístup ke všemu včetně administrace systému. Nikdy ho nenechávejte přiřazený běžným uživatelům v produkci. Pouze určení administrátoři by měli mít SUPER.

Nepřiřazujte oprávnění přímo uživatelům

I když je technicky možné přiřadit sady oprávnění přímo jednotlivým uživatelům, s rostoucím počtem uživatelů se to stává nezvládnutelným. Vždy používejte skupiny zabezpečení.

Nezapomeňte na licenční oprávnění

Každý typ licence (Essential, Premium, Team Member) má vestavěná omezení oprávnění. Licence Team Member nemůže přistupovat ke všem oblastem, i když přiřadíte plné sady oprávnění. Viz Správa uživatelů pro detaily o licencích.

Testujte před spuštěním

Vždy otestujte sady oprávnění s reálnými uživateli, kteří provádějí své skutečné denní pracovní postupy, před ostrým spuštěním. Chyby oprávnění při spuštění způsobují frustraci a požadavky na podporu.

Další zdroje