Управление на екипи на група
Групов Microsoft Entra екип. Подобно на екипа на собственика , груповият Microsoft Entra екип може да притежава записи и да има права за достъп, присвоени на екипа. Има два типа групови екипи, като те съответстват директно на груповите типове Microsoft Entra – Сигурност и Microsoft 365. Правата за достъп на група може да са само за екипа или за член на екипа с потребителски привилегии Наследяване на привилегии на член. Членовете на екипа се извличат динамично (добавят и премахват), когато имат достъп до средата въз основа на членството си Microsoft Entra в групата.
Администрирането на достъпа до приложения и данни за Microsoft Dataverse е разширено, за да позволи на администраторите да използват групите Microsoft Entra на своята организация, за да управляват правата за достъп за лицензирани Dataverse потребители.
И двата типа Microsoft Entra групи – защита и Microsoft 365 – могат да се използват за защита на правата за достъп на потребителите. Използването на групите позволява на администраторите да присвояват роля за защита със съответните привилегии на всички членове на групата, вместо да се налага да предоставят права за достъп на отделен член на екипа.
И двата типа Microsoft Entra групи – Сигурност и Microsoft 365 – с тип членство Присвоено и Динамичен потребител могат да се използват за защита на правата за достъп на потребителите. Типът членство Динамичен потребител не се поддържа. Използването на групите позволява на администраторите да присвояват роля за защита със съответните привилегии на всички членове на групата, вместо да се налага да предоставят права за достъп на отделен член на екипа.
Администраторът може да създаде Microsoft Entra групови екипи, които са свързани с групите Microsoft Entra във всяка от средите, и да присвои права за достъп на тези групови екипи. За всяка Microsoft Entra група администраторът може да създаде групови екипи въз основа на Microsoft Entra членовете на групатаи/или собствениците или гостите. За всяка Microsoft Entra група администраторът може да създаде отделни групови екипи за собственици, членове, гости и членове и гости и да присвои съответна права за достъп на всеки от тези екипи.
Когато членовете на тези екипи на група осъществяват достъп до тези среди, техните права за достъп автоматично се предоставят въз основа на правата на достъп на екипа на групата.
Съвет
Вижте следното видео: Динамични Microsoft Entra групи.
След като екипът на групата и неговата права за достъп са установени в среда, достъпът на потребителите до средата се основава на членството на потребителите в групите Microsoft Entra . Когато се създаде нов потребител в клиента, всичко, което администраторът трябва да направи, е да го присвои към съответната Microsoft Entra група и да присвои Dataverse лицензи. Потребителят може незабавно да получи достъп до средата, без да е необходимо да чака администраторът да добави потребителя в средата или да присвои права за достъп. Потребителят се създава в средата под основната бизнес единица.
Когато потребителите бъдат изтрити или деактивирани в Microsoft Entra ID или премахнати от Microsoft Entra групите, те губят членството си в групата и няма да имат достъп до средата, когато се опитат да влязат.
Бележка
Изтритият или деактивиран потребител на групата остава в средата Power Platform Dataverse , ако потребителят не е имал достъп до средата.
За да премахнете потребителя от екипа на Dataverse групата:
- Влезте в центъра за администриране на Power Platform.
- Изберете среда и след това изберете Настройки>Потребители + разрешения>Потребители.
- Потърсете и изберете потребителя.
- Във формуляра за потребител кликнете върху ... команда.
- Изберете опцията Управление на потребител в Dynamics 365 .
- На страницата Потребител изберете Dataverse екипа на групата, от който искате да премахнете потребителя.
- Изберете бутона Изтриване .
Имайте предвид, че ако случайно сте изтрили активен потребител на групата, потребителят на групата ще бъде добавен обратно към Dataverse екипа на групата следващия път, когато потребителят влезе в средата.
Когато потребител бъде премахнат от групите Microsoft Entra от администратор, потребителят се премахва от екипа на групата и той губи правата си за достъп следващия път, когато влезе в средата. Членствата за групите Microsoft Entra и Dataverse груповите екипи на потребителя се синхронизират, а правата за достъп на потребителя се извличат динамично по време на изпълнение.
Администраторите вече не трябва да чакат потребителят да се синхронизира със средата и след това да присвояват права за достъп на потребителя поотделно, като използват Microsoft Entra групови екипи. След като групов екип бъде създаден и създаден в среда с права за достъп, всички лицензирани Dataverse потребители, които са добавени Microsoft Entra към групата, могат незабавно да получат достъп до средата.
Администраторите могат да продължат да използват Microsoft Entra група за защита, за да заключат списъка с потребители, синхронизирани със среда. Това може да бъде допълнително подсилено чрез използване Microsoft Entra на групови екипи. За да заключи достъпа до среда или приложение към ограничени среди, администраторът може да създаде отделни Microsoft Entra групи за всяка среда и да присвои подходящата права за достъп за тези групи. Само тези Microsoft Entra членове на екипа на групата имат права за достъп до околната среда.
Когато приложенията, управлявани от платно и модел, се споделят с групов Microsoft Entra екип, членовете на екипа могат незабавно да стартират приложенията.
В дефиницията на ролята на защита е добавено ново свойство, за да се осигурят специални привилегии за екип, когато ролята е присвоена на екипи на групи. Този тип роля на защита позволява на членовете на екипа да получават привилегии на ниво Потребител/Основно все едно ролята на защита им е присвоена директно. Членовете на екипа могат да създават и да бъдат собственици на записи, без да е необходимо да имат присвоена допълнителна роля на защита.
Екипът на група може да притежава един или повече записи. За да направите един екип собственик на записа, трябва да присвоите записа към екипа.
Въпреки че екипите предоставят достъп до група потребители, все пак трябва да свържете отделните потребители с роли на защита, които им дават привилегиите, от които се нуждаят, за създаване, актуализиране или изтриване на записи, притежавани от потребителя. Тези привилегии не могат да се прилагат чрез присвояване на права за достъп към екип с наследена привилегия на потребител, който не е член, и след това добавяне на потребителя към този екип. Ако е необходимо да осигурите на членовете на екипа привилегии на екипа директно без собствените им права за достъп, можете да присвоите на екипа права за достъп, които имат наследство на привилегия на член.
За повече информация вижте Присвояване на запис към потребител или екип.
Уверете се, че имате права за достъп на системен администратор, мениджър по продажби, вицепрезидент по продажби, вицепрезидент по маркетинг, главен изпълнителен директор или еквивалентни разрешения.
Проверка на ролята ви на защита:
- Следвайте стъпките в Преглед на потребителския ви профил.
- Нямате правилните разрешения? Свържете се със своя системен администратор.
Предварителни изисквания:
- За Microsoft Entra всеки отбор на групата е необходима група.
- Получете Microsoft Entra ObjectID на групата от вашия https://portal.azure.com сайт.
- Създайте потребителски права за достъп, които съдържат привилегии според изискването за сътрудничество на екипа ви. Вижте дискусията за наследени привилегии на член, ако трябва да разширите привилегиите на член на екипа директно към потребител.
Изберете среда и след това изберете Настройки>Потребители + разрешения>Екипи.
Изберете + Създаване на екип.
Укажете следните полета:
- Име на екипа: Уверете се, че това име е уникално в рамките на бизнес единица.
- Описание: Въведете описание на екипа.
- Бизнес единица: Изберете бизнес единицата от падащия списък.
- Администратор: Търсене на потребители в организацията. Започнете да въвеждате знаци.
- Тип екип: Изберете типа на екипа от падащия списък.
Бележка
Екипът може да бъде един от следните типове: Собственик, Достъп, Microsoft Entra Група за защита или Microsoft Entra Група на Office.
Ако типът на екипа е Microsoft Entra група за защита или Microsoft Entra група на Office, трябва също да въведете тези полета:
- Име на група: Започнете да въвеждате текст, за да изберете съществуващо Microsoft Entra име на група. Тези групи са предварително създадени в Microsoft Entra ID.
- Тип членство: Изберете типа членство от падащия списък. Вижте Как Microsoft Entra членовете на групата за защита съвпадат с Dataverse членовете на екипа на групата.
След като създадете екипа, можете да добавите членове на екипа и да изберете съответните роли за сигурност. Тази стъпка не е задължителна, но се препоръчва.
Как Microsoft Entra членовете на групата за защита съвпадат с Dataverse членовете на екипа на групата
Прегледайте таблицата по-долу за това как членовете в Microsoft Entra групите съвпадат с Dataverse членовете на екипа на групата.
Изберете Dataverse групов тип членство в екип (4) | Резултиращо членство |
---|---|
Членове и гости | Изберете този тип, за да включите потребителски типове Член и Гост (3) от категорията Microsoft Entra на групата Членове (1). |
Членове | Изберете този тип, за да включите само потребителски тип Член (3) от категорията Microsoft Entra на групата Членове (1). |
Собственици | Изберете този тип, за да включите само потребителски тип Член (3) от категорията Microsoft Entra на групата Собственици (2). |
Гости | Изберете този тип, за да включите само потребителски тип Гост (3) от категорията Microsoft Entra на групата Членове (1). |
Уверете се, че имате права за достъп на системен администратор, мениджър по продажби, вицепрезидент по продажби, вицепрезидент по маркетинг, главен изпълнителен директор или еквивалентни разрешения.
Изберете среда и след това изберете Настройки>Потребители + разрешения>Екипи.
Поставете отметка в квадратчето за име на екип.
Изберете Редактиране на екип. Налични са само име на екип, описание и администратор за редактиране.
Актуализирайте полетата според изискванията и след това изберете Актуализиране.
Бележка
- За да редактирате бизнес единицата, вижте Промяна на бизнес единицата за екип.
- Можете да създадете Dataverse групови екипи - Членове,Собственици,Гости и Членове и Гости за среда въз основа на Microsoft Entra типа членство в групата за всяка Microsoft Entra група. Microsoft Entra ИД ObjectId на груповия екип не може да бъде редактиран, след като екипът на групата е създаден.
- Типът членство на Dataverse не може да бъде променен след създаването на груповия екип. Ако трябва да актуализирате това поле, ще трябва да изтриете екипа на групата и да създадете нов.
- Всички съществуващи групови екипи, създадени преди новото поле Тип членство се актуализира автоматично като Членове и гости. Няма загуба на функционалност с тези групови екипи, тъй като груповият екип по подразбиране е съпоставен с Microsoft Entra типа членство в групата и гостите .
- Ако вашата среда има група за защита, ще трябва да добавите групата на Microsoft Entra екипа на групата като член на тази група за защита, за да могат потребителите на екипа на групата да имат достъп до средата.
- Списъкът на членовете на екипа, изброени във всеки екип на група, показва само членовете на потребителя, които имат достъп до средата. Този списък не показва всички членове на Microsoft Entra групата. Когато Microsoft Entra член на групата осъществи достъп до средата, той се добавя към екипа на групата. Привилегиите на членовете на екипа се извличат динамично по време на изпълнение чрез наследяване на ролята на защита на екип на група. Тъй като права за достъп е присвоен на екипа на групата и членът на екипа на групата наследява привилегиите, права за достъп не се присвоява директно на члена на екипа на групата. Тъй като привилегиите на члена на екипа се извличат динамично по време на изпълнение, членството в групата на Microsoft Entra члена на екипа се кешира при влизане на члена на екипа. Това означава, че всяка Microsoft Entra поддръжка на членството в групата, извършена на члена на екипа в Microsoft Entra идентификатор, няма да бъде отразена до следващия път, когато членът на екипа влезе или когато системата обнови кеша (след 8 часа непрекъснато влизане).
- Microsoft Entra Членовете на групата също се добавят към екипа на групата с обаждания за представяне под чужда самоличност. Можете да използвате създаване на членове на групата в екипа на групата от името на друг потребител с помощта на въплъщаване.
- Членовете на екипа се добавят или премахват от екипа на групата по време на изпълнение, когато членът на групата влезе в средата. Тези събития за добавяне и премахване на членове на групата могат да се използват за задействане на операции с плъгини.
- Не е необходимо да присвоявате на членове на екипа индивидуални права за достъп, ако правата за достъп на екипа на групата включват наследяване на привилегии на член и правата за достъп съдържат поне една привилегия, която има разрешение на ниво потребител.
- Името на екипа на групата не се актуализира автоматично, когато името на Microsoft Entra групата се промени. Няма влияние върху работата на системата с промени в имената на групата, но ви препоръчваме да я актуализирате в настройките на Power Platform Teams на центъра за администриране.
- Членовете на AD групата се създават автоматично в средата при първия им достъп до средата. Потребителите се добавят под основната бизнес единица. Не е необходимо да премествате потребителя в друга бизнес единица, ако сте разрешили на модернизираните бизнес единици да управляват достъпа на потребителя до данни.
Поставете отметка в квадратчето за име на екип.
Изберете Управление на роли на защита.
Изберете желаната роля или роли и след това изберете Записване.
Вижте Промяна на бизнес единицата за даден екип.
Когато ръчно присвоявате запис или споделяте запис с помощта на вградения формуляр, списъкът с опции по подразбиране не взема някои типове групови екипи, като например Microsoft Entra ИД. Можете да редактирате филтъра по подразбиране изглед на справка на таблицата с екипи, така че да включва тези групи.
Влезте в Power Apps.
Изберете Dataverse>Таблици>Екип>Изгледи>Екипи изглед на справка>Редактиране на филтри
Задайте Тип екип, Равно на на: AAD Office Group, AAD Security Group, Собственик
- Изберете OK>Записване>Публикуване.
Можете да изтриете екипа на групата, като първо премахнете всички членове на екипа на групата Dataverse .
Когато Microsoft Entra групата бъде изтрита от Azure.portal, всички членове се премахват автоматично от екипа на Dataverse групата в средата в рамките на 24 часа. След Dataverse това екипът на групата може да бъде изтрит , след като всички членове бъдат премахнати.
Вижте:
Управление на екипи
Видео: Microsoft Entra групово членство
Създаване на основна група и добавяне на членове с помощта Microsoft Entra на ИД
Бърз старт: Преглед на групите и членовете на вашата организация в Microsoft Entra ID