Administrar equips de grups

Quant a equips de grup

Un equip de Microsoft Entra grup . De manera similar a l'equip propietari , un Microsoft Entra equip de grup pot tenir registres i pot assignar funcions de seguretat a l'equip. Hi ha dos tipus d'equips de grup , i es corresponen directament amb els tipus de Microsoft Entra grup: Seguretat i Microsoft 365. La funció de seguretat grup pot ser només per a l'equip o per al membre de l'equip amb privilegis d'usuari Herència de privilegis del membre. Els membres de l'equip es deriven dinàmicament (s'afegeixen i se suprimeixen) quan accedeixen a l'entorn en funció de la seva Microsoft Entra pertinença al grup.

Ús de Microsoft Entra grups per gestionar l'aplicació i l'accés a dades d'un usuari

L'administració de l'aplicació i l'accés a les dades s'ha Microsoft Dataverse ampliat per permetre als administradors utilitzar els Microsoft Entra grups de la seva organització per gestionar els drets d'accés dels usuaris amb Dataverse llicència.

Tots dos tipus de grups, Security i Microsoft Entra —es poden utilitzar per garantir els drets d'accés Microsoft 365dels usuaris. L’ús de grups permet als administradors assignar una funció de seguretat amb els seus respectius privilegis a tots els membres del grup, en lloc d’haver de proporcionar els drets d’accés a un membre de l’equip individual.

Tots dos tipus de grups (Seguretat i Microsoft Entra ) amb un tipus Microsoft 365 de pertinença assignada i Usuari dinàmic es poden utilitzar per garantir els drets d'accés dels usuaris. El tipus de pertinença Dispositiu dinàmic no està admès. L’ús de grups permet als administradors assignar una funció de seguretat amb els seus respectius privilegis a tots els membres del grup, en lloc d’haver de proporcionar els drets d’accés a un membre de l’equip individual.

L'administrador pot crear Microsoft Entra equips de grup associats als Microsoft Entra grups de cadascun dels entorns i assignar un funció de seguretat a aquests equips de grup. Per a cada Microsoft Entra grup, l'administrador pot crear equips de grup basats en els membres Microsoft Entra del grupi/o propietaris o convidats. Per a cada Microsoft Entra grup, un administrador pot crear equips de grup independents per a propietaris, membres, convidats, membres i convidats, i assignar un funció de seguretat respectiu a cadascun d'aquests equips.

Quan els membres d’aquests equips de grups accedeixen a aquests entorns, els seus drets d’accés s’atorguen automàticament en funció de la funció de seguretat de l’equip del grup.

Propina

Mireu el següent vídeo: Grups dinàmics Microsoft Entra .

Provisió i desprovisió d'usuaris

Un cop l'equip del grup i els seus funció de seguretat s'estableixen en un entorn, l'accés de l'usuari a l'entorn es basa en la pertinença de l'usuari als Microsoft Entra grups. Quan es crea un nou usuari a l'inquilí, tot el que ha de fer l'administrador és assignar l'usuari al grup adequat Microsoft Entra i assignar Dataverse llicències. L'usuari pot accedir immediatament a l'entorn sense necessitat d'esperar que l'administrador afegeixi l'usuari a l'entorn o li assigni un funció de seguretat. L'usuari es crea a l'entorn sota la unitat de negoci arrel.

Quan els usuaris se suprimeixen o inhabiliten a Microsoft Entra ID Microsoft Entra o se suprimeixen dels grups, perden la pertinença al grup i no podran accedir a l'entorn quan intentin iniciar la sessió.

Nota

L'usuari del grup suprimit o inhabilitat roman a l'entorn Power Platform Dataverse si l'usuari no ha accedit a l'entorn.

Per suprimir l'usuari de l'equip del Dataverse grup:

1. Inicieu la sessió al Centre d'administració del Power Platform.
2. Seleccioneu un entorn i, a continuació, seleccioneu Configuració>Usuaris + permisos Usuaris>.
3. Cerqueu i seleccioneu l'usuari.
4. Al formulari d'usuari, feu clic a la ... manar.
5. Seleccioneu l'opció Administra l'usuari al Dynamics 365 .
6. A la User Page (pàgina d'usuari ), seleccioneu l'equip Dataverse de grup del qual voleu suprimir l'usuari.
7. Seleccioneu el botó Suprimeix .

Tingueu en compte que si heu suprimit accidentalment un usuari de grup actiu, l'usuari del grup es tornarà a afegir a l'equip del Dataverse grup la propera vegada que l'usuari accedeixi a l'entorn.

Eliminar l'accés de l'usuari en el temps d'execució

Quan un administrador elimina un usuari dels grups, l'usuari se suprimeix de l'equip del grup i perd els seus drets d'accés Microsoft Entra la propera vegada que accedeixi a l'entorn. Les pertinences Microsoft Entra als grups i Dataverse equips de grup de l'usuari se sincronitzen, i els drets d'accés de l'usuari es deriven dinàmicament en temps d'execució.

Administrar la funció de seguretat de l'usuari

Els administradors ja no han d'esperar que l'usuari se sincronitzi amb l'entorn i, a continuació, assignar un funció de seguretat a l'usuari individualment mitjançant Microsoft Entra equips de grup. Un cop establert i creat un equip de grup en un entorn amb un funció de seguretat, qualsevol usuari amb Dataverse llicència que s'afegeixi Microsoft Entra al grup pot accedir immediatament a l'entorn.

Blocar l'accés a l'usuari per accedir a entorns

Els administradors poden continuar utilitzant un Microsoft Entra grup de seguretat per bloquejar la llista d'usuaris sincronitzats amb un entorn. Això es pot reforçar encara més mitjançant l'ús d'equips Microsoft Entra de grup. Per bloquejar l'accés de l'entorn o de l'aplicació a entorns restringits, l'administrador pot crear grups diferents Microsoft Entra per a cada entorn i assignar les funció de seguretat adequades per a aquests grups. Només aquests Microsoft Entra membres de l'equip del grup tenen els drets d'accés al medi ambient.

Compartir Power Apps amb els membres de l'equip d'un Microsoft Entra grup

Quan es comparteixen aplicacions de llenç i basades en models amb un Microsoft Entra equip de grup, els membres de l'equip poden executar immediatament les aplicacions.

Registres propietat de l’usuari i de l’equip

S'ha afegit una propietat nova a la definició de la funció de seguretat per proporcionar privilegis d'equip especials quan s'assigna la funció als equips de grup. Aquest tipus de funció de seguretat permet que als membres de l'equip se'ls concedeixin privilegis de nivell d'usuari o bàsic com si la funció de seguretat se'ls assignés directament. Els membres de l’equip poden crear i ser propietaris de registres sense necessitat d’assignar una funció de seguretat addicional.

Un equip de grup pot tenir un o més registres. Per fer que un equip sigui un propietari del registre, heu d'assignar el registre a l'equip.

Tot i que els equips proporcionen accés a un grup d'usuaris, heu de continuar associant els usuaris individuals amb funcions de seguretat que concedeixin els privilegis que necessiten per crear, actualitzar o suprimir registres que són propietat dels usuaris. Aquests privilegis no es poden aplicar assignant una funció de seguretat heretada per un privilegi d'un no membre a un equip i després afegint l’usuari a l’equip. Si heu de proporcionar als membres del vostre equip els privilegis de l’equip directament sense la seva funció de seguretat, podeu assignar a l’equip una funció de seguretat que tingui l’herència de privilegis del membre.

Per obtenir més informació, vegeu Assignar un registre a un usuari o un equip.

Crear un equip de grup

1. Assegureu-vos que teniu la funció de seguretat d'administrador del sistema, administrador de vendes, vicepresident de vendes, vicepresident de màrqueting o director general, o permisos equivalents.

   Comproveu la vostra funció de seguretat:

   • Seguiu els passos de Visualitzar el vostre perfil d’usuari.
   • No teniu els permisos correctes? Poseu-vos en contacte amb l’administrador del sistema.

   Requisits previs:

   1. Es requereix un Microsoft Entra grup per a cada equip del grup.
   2. Obteniu l'ObjectID Microsoft Entra del Grup del vostre https://portal.azure.com lloc.
   3. Creeu una funció de seguretat personalitzada que contingui privilegis segons els requisits de col·laboració del vostre equip. Consulteu la discussió sobre els privilegis heretats dels membres si necessiteu ampliar els privilegis del membre de l’equip directament a un usuari.

2. Inicieu la sessió al Centre d'administració del Power Platform.

3. Seleccioneu un entorn i, a continuació, seleccioneu Configuració>Usuaris + permisos>Equips.

4. Seleccioneu + Crea un equip.

5. Especifiqueu els camps següents:

   • Nom de l'equip: assegureu-vos que aquest nom sigui únic dins d'una unitat de negoci.
   • Descripció: especifiqueu una descripció de l'equip.
   • Unitat de negoci: seleccioneu la unitat de negoci de la llista desplegable.
   • Administrador:cerqueu els usuaris a l'organització. Comenceu a introduir caràcters.
   • Tipus d'equip: seleccioneu el tipus d'equip de la llista desplegable.

   

   Nota

   Un equip pot ser un dels tipus següents: propietari, accés Microsoft Entra , grup de seguretat o Microsoft Entra grup d'oficines.

6. Si el tipus d'equip és Microsoft Entra Grup de seguretat o Microsoft Entra Grup d'oficines, també heu d'introduir aquests camps:

   • Nom del grup: Comenceu a introduir text per seleccionar un nom de grup existent Microsoft Entra . Aquests grups estan precreats en Microsoft Entra ID.
   • Tipus de pertinença: seleccioneu el tipus de pertinença a la llista desplegable. Consulta Com Microsoft Entra coincideixen els membres del grup de seguretat amb els membres Dataverse de l'equip delgrup.

   

Un cop hàgiu creat l'equip, podeu afegir-hi membres de i seleccionar les funcions de seguretat corresponents. Aquest pas és opcional, però es recomana.

Com Microsoft Entra coincideixen els membres del grup amb els membres de l'equip de Dataverse seguretat

Reviseu la taula següent per saber com coincideixen els membres dels Microsoft Entra grups amb els membres de Dataverse l'equip del grup.

Seleccioneu el tipus de pertinença de l'equip del grup del Dataverse (4)	Pertinença resultant
Membres i convidats	Seleccioneu aquest tipus per incloure els tipus d'usuari Membre i Convidat (3) de la Microsoft Entra categoria de grup Membres (1).
Membres	Seleccioneu aquest tipus per incloure només el tipus d'usuari Membre (3) de la Microsoft Entra categoria de grup Membres (1).
Propietaris	Seleccioneu aquest tipus per incloure només el tipus d'usuari Membre (3) de la Microsoft Entra categoria de grup Propietaris (2).
Convidats	Seleccioneu aquest tipus per incloure només el tipus d'usuari Convidat (3) de la Microsoft Entra categoria de grup Membres (1).

Editar un equip de grup

1. Assegureu-vos que teniu la funció de seguretat d'administrador del sistema, administrador de vendes, vicepresident de vendes, vicepresident de màrqueting o director general, o permisos equivalents.

2. Inicieu la sessió al Centre d'administració del Power Platform.

3. Seleccioneu un entorn i, a continuació, seleccioneu Configuració>Usuaris + permisos>Equips.

4. Activeu la casella de selecció per a un nom d'equip.

   

5. Seleccioneu Edita l'equip. Només es poden editar el nom de l'equip, la descripció i l'administrador.

6. Actualitzeu els camps segons calgui i seleccioneu Actualitza.

   

Nota

• Per editar la unitat de negoci, vegeu Canviar la unitat de negoci d'un equip.
• Podeu crear Dataverse equips de grup: membres, propietaris, convidats i membres i convidats per entorn en funció del tipus de Microsoft Entra pertinença al grup per a cada Microsoft Entra grup. L'ID Microsoft Entra ObjectId de l'equip del grup no es pot editar un cop creat l'equip del grup.
• El Tipus de pertinença del Dataverse no es pot canviar un cop creat l'equip de grup. Si heu d'actualitzar aquest camp, haureu de suprimir l'equip del grup i crear-ne un de nou.
• Tots els equips del grup existents que s'han creat abans d'afegir el nou camp Tipus de membres s'actualitzen automàticament com a Membres i convidats. No hi ha cap pèrdua de funcionalitat amb aquests equips de grup, ja que l'equip de grup per defecte s'assigna Microsoft Entra al tipus de membre del grup i dels convidats .
• Si el vostre entorn té un grup de seguretat, haureu d'afegir el grup de l'equip de grup com a membre d'aquest Microsoft Entra grup de seguretat per tal que els usuaris de l'equip de grup puguin accedir a l'entorn.
• La llista de membres de l’equip enumerats a cada equip de grup només mostra els membres dels usuaris que han accedit a l'entorn. Aquesta llista no mostra tots els membres del grup del Microsoft Entra grup. Quan un Microsoft Entra membre del grup accedeix a l'entorn, el membre del grup s'afegeix a l'equip del grup. Els privilegis del membre de l’equip es deriven de forma dinàmica en el temps d'execució heretant la funció de seguretat de l'equip de grup. Des que el funció de seguretat s'assigna a l'equip del grup i el membre de l'equip del grup hereta els privilegis, la funció de seguretat no s'assigna directament al membre de l'equip del grup. Com que els privilegis del membre de l'equip es deriven dinàmicament en temps d'execució, les pertinences Microsoft Entra al grup del membre de l'equip es desen a la memòria cau després de l'inici de sessió del membre de l'equip. Això significa que qualsevol Microsoft Entra manteniment de la pertinença al grup fet al membre de l'equip a ID no es reflectirà fins a Microsoft Entra la propera vegada que el membre de l'equip iniciï sessió o quan el sistema actualitzi la memòria cau (després de 8 hores d'inici de sessió continu).
• Microsoft Entra Els membres del grup també s'afegeixen a l'equip del grup amb trucades de suplantació d'identitat. Podeu crear membres de grup a l'equip de grup en nom d'un altre usuari mitjançant la infiltració.
• Els membres de l'equip s'afegeixen o suprimeixen de l'equip del grup en temps d'execució quan el membre del grup inicia la sessió a l'entorn. Aquests esdeveniments de membres del grup d'addició i eliminació es poden utilitzar per activar operacions de connectors.
• No cal que assigneu els membres de l'equip amb una funció de seguretat individual si la funció de seguretat de l'equip del grup té l'herència de privilegis dels membres i la funció de seguretat conté com a mínim un privilegi que té permisos de nivell d'usuari.
• El nom de l'equip de grup no s'actualitza automàticament quan es canvia el nom del Microsoft Entra grup. No hi ha cap impacte en el funcionament del sistema amb els canvis de nom de grup, però us recomanem que l'actualitzeu a la configuració del Teams del centre d'administració Power Platform .
• Els membres del grup d'AD es creen automàticament a l'entorn quan accedeixen per primera vegada a l'entorn. Els usuaris s'afegeixen a la unitat de negoci arrel. No cal que mogueu l'usuari a una unitat de negoci diferent si heu habilitat les unitats de negoci modernitzades per gestionar l'accés a les dades de l'usuari.

Administreu les funcions de seguretat de l'equip

1. Activeu la casella de selecció per a un nom d'equip.

   

2. Seleccioneu Administra les funcions de seguretat.

3. Seleccioneu la funció o les funcions que voleu i, a continuació, seleccioneu Desa.

   

Canviar la unitat de negoci d'un equip

Vegeu Canviar la unitat de negoci d'un equip.

Afegir tipus d'equips de grup a la visualització de cerca per defecte

Quan assigneu manualment un registre o compartiu un registre mitjançant el formulari integrat, la llista d'opcions per defecte no recull alguns tipus d'equip de grup, com ara Microsoft Entra l'identificador. Podeu editar el filtre a la visualització de cerca per defecte de la taula d'equips per tal que inclogui aquests grups.

1. Inicieu la sessió a Power Apps.

2. Seleccioneu Dataverse>Taules>Equip>Visualitzacions>Visualitzacions de cerca dels equips>Edita els filtres

3. Definiu Tipus d'equip, És igual a: Grup de l'Office de l'AAD, Grup de seguretat de l'AAD, Propietari

4. Seleccioneu D'acord>Desa>Publica.

Suprimir membres de l'equip i equip del grup

Podeu suprimir l'equip del grup eliminant primer tots els membres de l'equip de l'equip Dataverse del grup.

Suprimeix el Microsoft Entra grup

Quan se suprimeix el Microsoft Entra grup de l'Azure.portal, tots els membres se suprimeixen automàticament de l'equip Dataverse del grup a l'entorn en un termini de 24 hores. L'equip Dataverse del grup es pot suprimir després d'eliminar tots els membres.

Altres operacions de l'equip

Vegeu:

• Administra els membres de l’equip
• Suprimeix un equip
• Canviar la unitat de negoci d'un equip

Consulteu també

Administrar equips
Vídeo: Microsoft Entra pertinença al grup
Creeu un grup bàsic i afegiu-hi membres mitjançant Microsoft Entra l'identificador
Inici ràpid: visualitzeu els grups i els membres de l'organització a ID Microsoft Entra