Compartir a través de

Trabajar con equipos de grupo de Microsoft Entra ID

  • Artículo

Al igual que un equipo de propietarios, un equipo de grupo de Microsoft Entra ID puede tener registros y roles de seguridad asignados al equipo. Para leer más sobre los equipos de grupo Microsoft Entra ID, consulte Gestionar equipos de grupo.

Actualizaciones cuando es necesario

Las actualizaciones cuando es necesario significan que las acciones se toman en tiempo de ejecución para eliminar la necesidad de sincronizar datos de Microsoft Entra ID y Microsoft Dataverse. Estas acciones incluyen la creación de equipos de grupo de Microsoft Entra ID, agregar/eliminar miembros del grupo de Microsoft Entra ID de los equipos de grupo de Microsoft Entra ID y agregar usuarios a Dataverse.

  1. Si el equipo del grupo Microsoft Entra ID no existe y se asigna un rol de seguridad o se asigna un registro al grupo Microsoft Entra ID, el equipo del grupo Microsoft Entra ID se crea cuando es necesario.

  2. Cuando un miembro del grupo Microsoft Entra ID accede a Dataverse de forma interactiva o mediante un proceso no interactivo que realiza una llamada en nombre del usuario, el miembro del grupo se agrega al equipo del grupo Microsoft Entra ID en tiempo de ejecución. Del mismo modo, cuando un miembro que fue eliminado del grupo Microsoft Entra ID accede a Dataverse de forma interactiva o mediante una llamada de proceso no interactiva, el miembro del grupo se elimina del equipo del grupo Microsoft Entra ID.

  3. Cuando un miembro del grupo Microsoft Entra ID accede a Dataverse de forma interactiva o mediante un proceso no interactivo que realiza una llamada en nombre del usuario, y el usuario no existe en Dataverse, el usuario se agrega en Dataverse cuando es necesario.

Las siguientes secciones describen cómo trabajar con equipos de grupo de Microsoft Entra ID utilizando la API web.

Suplantar a otro usuario

Su servicio puede realizar llamadas en nombre de otro usuario del sistema al hacerse pasar por el usuario. Si el usuario del sistema pertenece a un grupo de seguridad de Microsoft Entra ID y el grupo de seguridad de Microsoft Entra ID es un equipo de grupo de Dataverse, ese usuario se agrega a Dataverse automáticamente (si el usuario aún no existe en Dataverse). El usuario también se agrega automáticamente al equipo del grupo de Dataverse después de agregarse a Dataverse o si el usuario ya existe en Dataverse.

Crear un equipo de grupo de Microsoft Entra ID

Se puede crear un equipo de grupo Microsoft Entra ID en Dataverse haciendo una llamada a la API (mediante programación) o cuando es necesario, al asignar un rol de seguridad al grupo Microsoft Entra ID, o cuando se asigna un registro al grupo Microsoft Entra ID.

Los desarrolladores civiles que deseen crear programáticamente un equipo del grupo Microsoft Entra ID de Microsoft Dataverse pueden hacerlo proporcionando el id. de objeto de un grupo Microsoft Entra ID existente, como se muestra en el siguiente comando.

Solicitud:

POST [Organization URI]/api/data/v9.0/teams
Accept: application/json

{
  "azureactivedirectoryobjectid":"<group object ID>",
  "membershiptype":0
}

Donde:

  • El tipo de pertenencia se define en la columna MembershipType de la tabla de equipo
  • El nombre del equipo es el nombre del grupo Microsoft Entra ID
  • El tipo de equipo se basa en el tipo de grupo de Microsoft Entra ID; por ejemplo, "Seguridad" o "Microsoft 365"

Asignar un rol de seguridad a un equipo de grupo Microsoft Entra ID

Un administrador puede asignar un rol de seguridad a un equipo de grupo Microsoft Entra ID después de que se crea el grupo Microsoft Entra ID en Microsoft Entra ID. El equipo del grupo Microsoft Entra ID se crea en Dataverse automáticamente si no existe en Dataverse.

Solicitud:

POST [Organization URI]/api/data/v9.0/teams(azureactivedirectoryobjectid=<group team ID>,membershiptype=0)/teamroles_association/$ref
Accept: application/json

{ 
  "@odata.id":"[Organization URI]/api/data/v9.0/roles(<role ID>)"
}

Asignar un rol de seguridad a un usuario

Un administrador puede asignar un rol de seguridad a un usuario del grupo Microsoft Entra ID. El usuario se agrega a Dataverse automáticamente si el usuario no existe en Dataverse y el rol se asigna directamente al usuario.

Solicitud:

POST [Organization URI]/api/data/v9.0/systemusers(azureactivedirectoryobjectid=<user object ID>)/systemuserroles_association/$ref
Accept: application/json

{ 
  "@odata.id":"[Organization URI]/api/data/v9.0/roles(<role ID>)"
}

Asignar un registro a un miembro del grupo Microsoft Entra ID

Un administrador puede asignar un registro a un grupo Microsoft Entra ID. El equipo del grupo Microsoft Entra ID se crea en Dataverse automáticamente si no existe en Dataverse.

El siguiente ejemplo muestra la sintaxis para asignar un registro de cuenta.

Solicitud:

PATCH [Organization URI]/api/data/v9.0/accounts(<account ID>)
Accept: application/json

{ 
  "ownerid@odata.bind": "[Organization URI]/api/data/v9.0/teams(azureactivedirectoryobjectid=<group object ID>,membershiptype:0)"
}

Asignar un registro a un miembro del grupo Microsoft Entra ID

Un administrador puede asignar un registro a un miembro del grupo Microsoft Entra ID. El miembro del grupo Microsoft Entra ID se agrega a Dataverse automáticamente si el usuario no existe en Dataverse.

El siguiente ejemplo muestra la sintaxis para asignar un registro de cuenta.

Solicitud:

PATCH [Organization URI]/api/data/v9.0/accounts(<account ID>)
Accept: application/json

{ 
  "ownerid@odata.bind": "[Organization URI]/api/data/v9.0/systemusers(azureactivedirectoryobjectid=<user object ID>)"
}

Recuperar un usuario

Puede recuperar una fila de tabla de usuario del sistema mediante un identificador de objeto de usuario (id.) de Azure. Si el usuario del sistema no existe en Dataverse, el usuario se agrega a Dataverse automáticamente y se agrega al equipo de grupo de Dataverse si el usuario pertenece al grupo de Microsoft Entra ID que existe en Dataverse. Si el usuario existe en Dataverse, el usuario no se agrega al equipo del grupo Dataverse.

El siguiente ejemplo muestra la sintaxis para recuperar una fila de usuario.

Solicitud:

GET [Organization URI]/api/data/v9.0/SystemUser(azureactivedirectoryobjectid=<user object ID>)

Roles de seguridad y privilegios

Los miembros de un grupo Microsoft Entra ID pueden consultar todos los roles de seguridad que se les asignan directa e indirectamente mediante el siguiente comando.

Solicitud:

GET [Organization URI]/api/data/v9.0/RetrieveAadUserRoles(DirectoryObjectId=<user object ID)?$select=_parentrootroleid_value,name

Respuesta:

{
  "@odata.context": "https://contoso.crm2.dynamics.com/api/data/v9.0/$metadata#roles",
  "value": [
    {
      "@odata.etag": "W/\"1649865\"",
      "name": "System Administrator",
      "roleid": "ae0daa93-e566-eb11-bb2b-000d3ac4c3f6",
      "_parentrootroleid_value": "ae0daa93-e566-eb11-bb2b-000d3ac4c3f6",
      "t_x002e_azureactivedirectoryobjectid": "e1341054-98ed-489b-a522-15e9e277b737",
      "t_x002e_membershiptype": 0,
      "t_x002e_teamid": "26e477f8-3f6a-eb11-bb2b-000d3af6caae",
      "t_x002e_name": "testgroup"
    }
  ]
}

Los miembros de un grupo Microsoft Entra ID pueden comprobar sus privilegios de seguridad sin ser usuarios de Dataverse, usando el siguiente comando.

Solicitud:

GET [Organization URI]/api/data/v9.0/RetrieveAadUserPrivileges(DirectoryObjectId=<user object ID>)

Respuesta:

{
  "@odata.context": "https://contoso.crm2.dynamics.com/api/data/v9.0/$metadata#Microsoft.Dynamics.CRM.RetrieveAadUserPrivilegesResponse",
  "RolePrivileges": [
    {
      "Depth": "Global",
      "PrivilegeId": "0a620778-3e9f-46ec-9766-000624db57ba",
      "BusinessUnitId": "aa0daa93-e566-eb11-bb2b-000d3ac4c3f6",
      "PrivilegeName": "prvDeleteHierarchyRule"
    },
    …
   ]
}

Comprobación de los derechos de acceso del usuario o del equipo en un registro

Si tiene un proceso no interactivo en el que su servicio necesita comprobar si el usuario tiene derechos de acceso a un registro, puede hacer una llamada de función RetrievePrincipalAccess en nombre del usuario, especificando el CallerID.

Más información: Suplantar a otro usuario

Activar un evento cuando se agrega, edita o elimina un miembro del equipo del grupo

Los miembros del grupo se agregan o eliminan justo a tiempo en el equipo del grupo de Dataverse mediante las API de asociar y desasociar. Puede registrar un complemento en el evento desencadenado por estas adiciones o eliminaciones de miembros del equipo del grupo.

Consulte también

Administrar el acceso a aplicaciones y recursos usando grupos de Azure Active Directory

Nota

¿Puede indicarnos sus preferencias de idioma de documentación? Realice una breve encuesta. (tenga en cuenta que esta encuesta está en inglés)

La encuesta durará unos siete minutos. No se recopilan datos personales (declaración de privacidad).