Contrôle de l’accès des utilisateurs aux environnements : groupes de sécurité et licences

  • Article

Si votre société a plusieurs environnements, vous pouvez utiliser des groupes de sécurité pour contrôler quels utilisateurs ayant reçu une licence peuvent être membres d’un environnement précis.

Note

Pour obtenir plus d’informations sur le fonctionnement de l’accès utilisateur pour Microsoft Dataverse for Teams, voir Accès utilisateur aux environnements Dataverse for Teams.

Par exemple, prenez le scénario suivant :

Environment Groupe de sécurité Finalité
Ventes Coho Winery Sales_SG Permet d’accéder à l’environnement qui crée des opportunités commerciales, gère les devis, et clôture les transactions.
Marketing Coho Winery Marketing_SG Permet d’accéder à l’environnement qui gère les efforts marketing par des campagnes marketing et des publicités.
Service Coho Winery Service_SG Permet d’accéder à l’environnement qui traite des incidents avec des clients.
Développeur Coho Winery Developer_SG Autoriser l’accès à l’environnement de bac à sable utilisé pour le développement et le test.

Dans cet exemple, quatre groupes de sécurité offrent un accès contrôlé à un environnement spécifique.

Notez les informations suivantes sur les groupes de sécurité :

  • À propos des groupes de sécurité imbriqués

    Les membres d’un groupe de sécurité imbriqué dans un groupe de sécurité de l’environnement ne sont pas mis en service au préalable ni ajoutés automatiquement à l’environnement. Cependant, ils peuvent être ajoutés à l’environnement lorsque vous créez une équipe de groupe Dataverse pour le groupe de sécurité imbriqué.

    Un exemple de ce scénario : vous avez attribué un groupe de sécurité pour l’environnement lors de la création de l’environnement. Pendant le cycle de vie de l’environnement, vous souhaitez ajouter des membres à l’environnement qui sont gérés par des groupes de sécurité. Vous créez un groupe de sécurité dans Microsoft Entra ID, par exemple managers, et attribuez tous vos managers au groupe. Ensuite, vous ajoutez ce groupe de sécurité en tant qu’enfant du groupe de sécurité de l’environnement, créez une équipe de groupe Dataverse et attribuez un rôle de sécurité à l’équipe du groupe. Vos managers peuvent maintenant accéder à Dataverse immédiatement.

    Un membre d’un groupe de sécurité imbriqué est également ajouté à l’environnement au moment de l’exécution lorsque le membre accède à l’environnement pour la première fois. Mais le membre ne peut exécuter aucune application ni accéder à aucune donnée tant qu’un rôle de sécurité n’est pas attribué.

  • Lorsque les utilisateurs sont ajoutés au groupe de sécurité, ils sont ajoutés à l’environnement.

  • Lorsque des utilisateurs sont supprimés du groupe, ils sont désactivés dans l’environnement.

  • Lorsqu’un groupe de sécurité est associé à un environnement existant avec des utilisateurs, tous les utilisateurs de l’environnement qui ne sont pas membres du groupe seront désactivés.

  • Si un environnement n’a pas de groupe de sécurité associé, tous les utilisateurs avec une licence Dataverse (applications d’engagement client telles que Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation, Power Automate, Power Apps, etc.) sont créés en tant qu’utilisateurs et activés dans l’environnement.

  • Si un groupe de sécurité est associé à un environnement, seuls les utilisateurs disposant de licences Dataverse ou d’un plan par application qui sont membres du groupe de sécurité d’environnement seront créés comme utilisateurs dans l’environnement.

  • Si vous ne spécifiez pas de groupe de sécurité, tous les utilisateurs disposant d’une licence Dataverse (applications d’engagement client telles que Dynamics 365 Sales et Customer Service) ou d’un plan par application sont ajoutés au nouvel environnement.

  • Nouveau : les groupes de sécurité ne peuvent pas être affectés aux types d’environnement par défaut et de développeur. Si vous avez déjà attribué un groupe de sécurité à votre environnement par défaut ou à l’environnement de développement, nous vous recommandons de le supprimer, car l’environnement par défaut est destiné à être partagé avec tous les utilisateurs du client et l’environnement de développement est destiné à être utilisé uniquement par le propriétaire de l’environnement.

  • Les environnements prennent en charge l’association des types de groupe suivants : Sécurité et Microsoft 365. L’association d’autres types de groupes n’est pas pris en charge.

  • Lorsque vous sélectionnez un groupe de sécurité, veillez à sélectionner un groupe de sécurité Microsoft Entra et non un groupe créé dans Windows Active Directory sur site. Les groupes de sécurité Windows AD local ne sont pas pris en charge.

  • Si un utilisateur ne fait pas partie du groupe de sécurité affecté pour l’environnement, mais qu’il dispose du rôle Administrateur général du client Azure, il s’affiche toujours comme utilisateur actif et peut se connecter.

  • Si un utilisateur se voit attribuer le rôle d’administrateur du service Dynamics 365, l’utilisateur doit faire partie du groupe de sécurité avant d’être activé dans l’environnement. Il ne peut pas accéder à l’environnement tant qu’il n’est pas ajouté au groupe de sécurité et activé.

Note

Des rôles de sécurité doivent être attribués à tous les utilisateurs sous licence, qu’ils soient ou non membres des groupes de sécurité, pour pouvoir accéder aux données des environnements. Vous affectez les rôles de sécurité dans l’application Web. Si les utilisateurs n’ont pas de rôle de sécurité, ils obtiennent une erreur Accès aux données refusé lorsqu’ils essaient d’exécuter une application. Les utilisateurs ne peuvent pas accéder aux environnements tant qu’ils n’ont pas reçu au moins un rôle de sécurité pour cet environnement. Pour plus d’informations, voir Configurer la sécurité de l’environnement. L’affectation automatique d’utilisateurs à un environnement n’est pas prise en charge pour les environnements de test. Pour les environnements de test, les utilisateurs doivent être affectés manuellement.

Création d’un groupe de sécurité et ajout de membres à celui-ci

  1. Connectez-vous au centre d’administration Microsoft 365.

  2. Sélectionnez Équipes et groupes>Équipes et groupes actifs.

  3. Sélectionner Ajouter un groupe.

  4. Modifiez le type en Groupe de sécurité, ajoutez le Nom et la Description du groupe, puis sélectionnez Ajouter>Fermer.

  5. Sélectionnez le groupe que vous avez créé, puis en regard de Membres, sélectionnez Modifier.

  6. Sélectionnez Ajouter des membres. Sélectionnez les utilisateurs à ajouter au groupe de sécurité, puis sélectionnez Enregistrer>Fermer plusieurs fois pour revenir à la liste Groupes.

Pour supprimer un utilisateur du groupe de sécurité, sélectionnez le groupe de sécurité, puis en regard de Membres, sélectionnez Modifier. Sélectionnez - Supprimer les membres, puis sélectionnez X pour chaque membre à supprimer.

Note

Si les utilisateurs que vous souhaitez ajouter au groupe de sécurité ne sont pas créés, créez-les et attribuez-leur les licences Dataverse.

Pour ajouter plusieurs utilisateurs, consultez : Ajouter plusieurs utilisateurs à des groupes Office365.

Création d’un utilisateur et attribution d’une licence

  1. Dans le centre d’administration Microsoft 365, sélectionnez Utilisateurs>Utilisateurs actifs>+ Ajouter un utilisateur.

  2. Entrez les informations d’utilisateur, sélectionnez les licences, puis sélectionnez Ajouter.

    Plus d’informations : Ajouter des utilisateurs et attribuer des licences en même temps

Ou, acheter et attribuer des pass par application : À propos des plans Power Apps par application

Note

Si un environnement a un plan Power Apps par application alloué, tous les utilisateurs sont considérés comme ayant une licence lorsqu’ils tentent d’accéder à l’environnement, y compris les utilisateurs qui n’ont pas de licence individuelle attribuée. L’allocation de plan par application dans un environnement satisfait à l’exigence selon laquelle les utilisateurs doivent disposer d’une licence pour accéder à l’environnement.

Associer un groupe de sécurité avec un environnement

  1. Connectez-vous au centre d’administration Power Platform en tant qu’administrateur (administrateur Dynamics 365, administrateur général ou administrateur Microsoft Power Platform).

  2. Dans le volet de navigation de gauche, sélectionnez Environnements.

  3. Sélectionnez le nom de l’environnement.

  4. Cliquez sur Modifier.

    Sélectionnez Modifier.

  5. Dans le volet Modifier les détails, sélectionnez l’icône Modifier dans la zone Groupe de sécurité.

    Sélectionnez l’icône Modifier pour sélectionner un groupe de sécurité.

    Seuls les 200 premiers groupes de sécurité seront renvoyés. Utilisez Rechercher pour rechercher un groupe de sécurité spécifique.

  6. Sélectionnez un groupe de sécurité, sélectionnez Terminé, puis sélectionnez Enregistrer.

    Le groupe de sécurité est associé à l’environnement.

Note

Les utilisateurs qui exécutent des applications canevas lorsqu’un groupe de sécurité est associé à l’environnement de l’application doivent être membres du groupe de sécurité pour pouvoir exécuter l’application canevas, que l’application ait été partagée ou non avec eux. Sinon, les utilisateurs verront ce message d’erreur : « Vous ne pouvez pas ouvrir d’applications dans cet environnement. Vous n’êtes pas membre du groupe de sécurité de l’environnement. » Si votre administrateur Power Platform a défini les détails de gouvernance pour votre organisation, vous verrez un contact de gouvernance que vous pouvez contacter pour l’appartenance au groupe de sécurité.

Voir aussi

Créer des utilisateurs