Gérer les équipes de groupe

À propos des équipes de groupe

Une équipe de groupe Azure Active Directory (Azure AD). Comme pour l’équipe propriétaire, une équipe de groupe Azure AD peut posséder des enregistrements et avoir des rôles de sécurité attribués à l’équipe. Il existe deux types d’équipe de groupe, et ils correspondent directement aux types de groupe Azure AD – Sécurité et Microsoft 365. Le rôle de sécurité groupe peut être juste pour l’équipe ou pour le membre de l’équipe avec héritage du privilège du membre des privilèges utilisateur. Les membres de l’équipe sont dérivés (ajoutés et supprimés) dynamiquement lorsqu’ils accèdent à un environnement en fonction de leur appartenance à un groupe Azure AD.

Gérer l’accès d’un utilisateur aux applications et aux données à l’aide de groupes Azure Active Directory

L’administration de l’accès aux applications et aux données pour Microsoft Dataverse a été étendu pour permettre aux administrateurs d’utiliser les groupes Azure Active Directory (Azure AD) de leur organisation pour gérer les droits d’accès des utilisateurs Dataverse.

Les deux types de groupes Azure AD (Sécurité et Microsoft 365) permettent de sécuriser les droits d’accès des utilisateurs. L’utilisation de groupes permet aux administrateurs d’attribuer un rôle de sécurité avec ses privilèges respectifs à tous les membres du groupe, au lieu d’avoir à fournir les droits d’accès à un membre individuel de l’équipe.

Les deux types de groupes Azure AD, Sécurité et Microsoft 365, avec une appartenance de type Attribué et Utilisateur dynamique, peuvent être utilisés pour sécuriser des droits d’accès utilisateur. Le type d’appartenance Dispositif dynamique n’est pas pris en charge. L’utilisation de groupes permet aux administrateurs d’attribuer un rôle de sécurité avec ses privilèges respectifs à tous les membres du groupe, au lieu d’avoir à fournir les droits d’accès à un membre individuel de l’équipe.

L’administrateur peut créer des équipes de groupe Azure AD associées aux groupes Azure AD dans chacun des environnements et affecter un rôle de sécurité à ces équipes de groupe. Pour chaque groupe Azure AD, l’administrateur peut créer des équipes de groupe en fonction des types d’appartenance à un groupe Azure AD, Membres et/ou Propriétaire, ou Invités. Pour chaque groupe Azure AD, un administrateur peut créer des équipes de groupe distinctes pour les propriétaires, les membres, les invités et les membres, et les invités, et affecter un rôle de sécurité respectif à chacune de ces équipes.

Lorsque les membres de ces équipes de groupe accèdent à ces environnements, leurs droits d’accès sont accordés automatiquement en fonction du rôle de sécurité de l’équipe de groupe.

Conseil

Symbole vidéo Visionnez la vidéo suivante : Groupes Azure AD dynamiques.

Approvisionner et déprovisionner des utilisateurs

Une fois l'équipe de groupe et son rôle de sécurité établis dans un environnement, l'accès d'un utilisateur à l'environnement est basé sur son appartenance aux groupes Azure AD. Lorsqu’un utilisateur est créé dans l’abonné, il suffit à l’administrateur d’affecter l’utilisateur au groupe Azure AD approprié, puis des licences Dataverse. L’utilisateur peut accéder immédiatement à l’environnement sans avoir besoin d’attendre que l’administrateur affecte un rôle de sécurité.

Lorsque des utilisateurs sont supprimés ou désactivés dans Azure AD ou supprimés des groupes Azure AD, ils perdent leur appartenance à un groupe et ne pourront pas accéder à l’environnement lorsqu’ils essaieront de se connecter.

Supprimer l’accès utilisateur au moment de l’exécution

Lorsqu’un utilisateur est supprimé des groupes Azure AD par un administrateur, celui-ci est supprimé de l’équipe de groupe, puis il perd ses droits d’accès dès qu’ils accèdent à l’environnement. Les appartenances aux groupes Azure AD de l’utilisateur et aux équipes de groupe Dataverse sont synchronisées, et les droits d’accès de l’utilisateur sont dynamiquement dérivées au moment de l’exécution.

Administrer le rôle de sécurité de l’utilisateur

Les administrateurs n’ont plus besoin d’attendre que l’utilisateur se synchronise avec l’environnement puis à attribuer à celui-ci un rôle de sécurité de manière individuelle à l’aide des équipes de groupe Azure AD. Une fois qu’une équipe de groupe est établie et créée dans un environnement avec un rôle de sécurité, tous les utilisateurs Dataverse sous licence ajoutés au groupe Azure AD peuvent accéder immédiatement à l’environnement.

Verrouiller l’accès utilisateur aux environnements

Les administrateurs peuvent continuer à utiliser un groupe de sécurité Azure AD pour verrouiller la liste des utilisateurs synchronisées avec un environnement. Cette approche peut être renforcée à l’aide d’équipes de groupe Azure AD. Pour verrouiller l’accès utilisateur à des applications ou environnements restreint(e)s, l’administrateur peut créer des groupes Azure AD distincts pour chaque environnement et affecter le rôle de sécurité approprié à ces groupes. Seuls les membres de ces équipes de groupe Azure AD disposent des droits d’accès à l’environnement.

Partager Power Apps avec les membres d’équipe d’un groupe Azure AD

Lorsque les applications canevas et basées sur un modèle sont partagées avec une équipe de groupe Azure AD, les membres de l’équipe peuvent immédiatement exécuter les applications.

Enregistrements appartenant à un utilisateur et à une équipe

Une nouvelle propriété a été ajoutée à la définition du rôle de sécurité pour fournir des privilèges d’équipe spéciaux lorsque le rôle est attribué aux équipes de groupe. Ce type de rôle de sécurité accorde aux membres de l’équipe des privilèges Utilisateur/Niveau de base comme si le rôle de sécurité leur était directement attribué. Les membres de l’équipe peuvent créer et détenir des enregistrements sans avoir besoin de se voir affecter un rôle de sécurité supplémentaire.

Une équipe de groupe peut détenir un ou plusieurs enregistrements. Afin qu’une équipe soit propriétaire d’un enregistrement, vous devez l’affecter à l’équipe.

Bien que les équipes donnent accès à un groupe d’utilisateurs, vous devez malgré tout associer des utilisateurs individuels à des rôles de sécurité accordant les privilèges nécessaires pour créer, mettre à jour ou supprimer des enregistrements appartenant à un utilisateur. Ces privilèges ne peuvent pas être appliqués en affectant un rôle de sécurité hérité des privilèges d’un non-membre à une équipe, puis en ajoutant l’utilisateur à cette équipe. Si vous devez fournir aux membres de votre équipe des privilèges d’équipe directement sans leur propre rôle de sécurité, vous pouvez attribuer à l’équipe un rôle de sécurité doté de l’héritage du privilège du membre.

Pour plus d’informations, voir Attribuer un enregistrement à un utilisateur ou à une équipe.

Créer une équipe de groupe

  1. Assurez-vous de disposer du rôle de sécurité Administrateur système, Directeur commercial, Directeur de division, Vice-président du marketing ou Directeur général/Dirigeant d’entreprise, ou d’autorisations équivalentes.

    Vérifier votre rôle de sécurité :

    Conditions préalables :

    1. Un groupe Azure Active Directory (Azure AD) est nécessaire pour chaque équipe de groupe.
    2. Obtenez l’ObjectID du groupe Azure AD sur votre site https://portal.azure.com.
    3. Créez un rôle de sécurité personnalisé qui contient des privilèges selon le besoin en collaboration de votre équipe. Voir la discussion sur les privilèges hérités du membre si vous devez étendre les privilèges du membre de l’équipe directement à un utilisateur.
  2. Connectez-vous au centre d’administration Power Platform.

  3. Sélectionnez un environnement, puis sélectionnez Paramètres > Utilisateurs + autorisations > Équipes.

  4. Sélectionnez + Créer une équipe.

  5. Spécifiez les champs suivants :

    • Nom de l’équipe : assurez-vous que ce nom est unique au sein d’un centre de profit.
    • Description : saisissez une description de l’équipe.
    • Division : sélectionnez la division dans la liste déroulante.
    • Administrateur : recherchez des utilisateurs dans l’organisation. Commencez à saisir des caractères.
    • Type d’équipe : sélectionnez le type d’équipe dans la liste déroulante.

    Capture d’écran des paramètres d’une nouvelle équipe Dataverse.

    Notes

    Une équipe peut être de l’un des types suivants : Propriétaire, Accès, Groupe de sécurité Azure AD, ou Groupe Office Azure AD.

  6. Si le type d’équipe est Groupe de sécurité Azure AD ou Groupe Office Azure AD, vous devez également renseigner ces champs :

    Capture d’écran des paramètres d’une nouvelle équipe Azure AD.

Une fois l’équipe créée, vous pouvez ajouter des membres à l’équipe et sélectionner les rôles de sécurité correspondants. Cette étape est facultative, mais recommandée.

Comment les membres du groupe de sécurité Azure AD correspondent aux membres de l’équipe du groupe Dataverse

Comment les membres du groupe de sécurité Azure AD correspondent aux membres de l’équipe du groupe Dataverse

Consultez le tableau suivant pour savoir comment les membres des groupes Azure AD correspondent aux membres de l’équipe du groupe Dataverse.

Sélectionnez le type d’appartenance à l’équipe du groupe Dataverse (4) Appartenance obtenue
Membres et invités Sélectionnez ce type pour inclure à la fois les types d’utilisateurs Membre et Invité (3) à partir des membres de la catégorie de groupe Azure AD (1).
Membres Sélectionnez ce type pour inclure uniquement le type d’utilisateur Membre (3) à partir des membres de la catégorie de groupe Azure AD (1).
Propriétaires Sélectionnez ce type pour inclure uniquement le type d’utilisateur Membre (3) à partir des propriétaires de la catégorie de groupe Azure AD (2).
Invités Sélectionnez ce type pour inclure uniquement le type d’utilisateur Invité (3) à partir des membres de la catégorie de groupe Azure AD (1).

Modifier une équipe de groupe

  1. Assurez-vous de disposer du rôle de sécurité Administrateur système, Directeur commercial, Directeur de division, Vice-président du marketing ou Directeur général/Dirigeant d’entreprise, ou d’autorisations équivalentes.

  2. Connectez-vous au centre d’administration Power Platform.

  3. Sélectionnez un environnement, puis sélectionnez Paramètres > Utilisateurs + autorisations > Équipes.

  4. Cochez la case pour un nom d’équipe.

    Capture d’écran sélectionnant une équipe.

  5. Sélectionnez Modifier l’équipe. Seuls le Nom de l’équipe, la Description et l’Administrateur peuvent être modifiés.

  6. Mettez à jour les champs obligatoires et sélectionnez Mettre à jour.

    Capture d’écran de la modification d’une équipe.

Notes

  • Pour modifier la division, voir Modifier la division pour une équipe.
  • Créez des équipes de groupe Dataverse - Membres, Propriétaires, Invités et Membres et invités par environnement en fonction du type d’appartenance à un groupe Azure AD pour chaque groupe Azure AD. Il est impossible de modifier l’ObjectId Azure AD de l’équipe de groupe une fois que l’équipe de groupe est créée.
  • Le type d’appartenance Dataverse ne peut pas être modifié une fois l’équipe de groupe créée. Pour mettre à jour ce champ, vous devez supprimer l’équipe de groupe et en créer une nouvelle.
  • Toutes les équipes de groupe existantes créées avant l’ajout du nouveau champ Type d’appartenance sont automatiquement mises à jour en tant que Membres et invités. Il n’y a aucune perte de fonctionnalité avec ces équipes de groupe, car l’équipe de groupe par défaut est associée au type d’appartenance Membres et invités du groupe Azure AD.
  • Si votre environnement a un groupe de sécurité, vous devrez ajouter le groupe Azure AD de l’équipe de groupe en tant que membre de ce groupe de sécurité afin que les utilisateurs de l’équipe du groupe puissent accéder à l’environnement.
  • La liste des membres de l’équipe figurant dans chaque équipe de groupe affiche uniquement les membres utilisateurs qui ont accès à l’environnement. Cette liste n’affiche pas tous les membres de groupe du groupe Azure AD. Quand un membre du groupe Azure AD accède à l’environnement, le membre du groupe est ajouté à l’équipe du groupe. Les privilèges du membre de l’équipe sont dérivés dynamiquement au moment de l’exécution en héritant du rôle de sécurité de l’équipe du groupe. Étant donné que le rôle de sécurité est attribué à l’équipe du groupe et que le membre de l’équipe du groupe hérite des privilèges, le rôle de sécurité n’est pas attribué directement au membre de l’équipe du groupe. Comme les privilèges du membre de l’équipe sont dérivés dynamiquement au moment de l’exécution, les appartenances au groupe Azure AD du membre de l’équipe sont mises en cache au moment de la connexion du membre de l’équipe. Cela signifie que toute maintenance de l’appartenance à un groupe Azure AD effectuée sur le membre de l’équipe dans Azure AD ne sera reflétée jusqu’à la prochaine fois que le membre de l’équipe se connecte ou que le système actualise le cache (après 8 heures de connexion continue).
  • Les membres du groupe Azure AD sont également ajoutés à l’équipe du groupe avec appels d’usurpation d’identité. Vous pouvez utiliser créer des membres de groupe dans l’équipe du groupe au nom d’un autre utilisateur en utilisant l’emprunt d’identité.
  • Les membres de l’équipe sont maintenus dans chaque équipe de groupe au moment de l’exécution et l’opération se fait au niveau de la base de données ; par conséquent, la mise à jour de l’événement d’équipe de groupe n’est pas disponible pour le plug-in.
  • Vous n’avez pas besoin d’attribuer des membres de l’équipe avec un rôle de sécurité individuel si le rôle de sécurité de votre équipe de groupe a hérité du privilège d’un membre et que le rôle de sécurité contient au moins un privilège qui a une autorisation de niveau utilisateur.

Gérer les rôles de sécurité d’une équipe

  1. Cochez la case pour un nom d’équipe.

    Capture d’écran sélectionnant une équipe.

  2. Sélectionnez Gérer les rôles de sécurité.

  3. Sélectionnez le ou les rôles de votre choix, puis sélectionnez Enregistrer.

    Capture d’écran de la gestion des rôles de sécurité.

Changer de division pour une équipe

Voir Changer de division pour une équipe.

Ajouter des types d’équipe de groupe à la vue de recherche par défaut

Lors de l’attribution manuelle d’un enregistrement ou du partage d’un enregistrement à l’aide du formulaire intégré, la liste d’options par défaut ne prend pas en compte certains types d’équipe de groupe tels que Azure AD. Vous pouvez modifier le filtre sur la Vue de recherche par défaut du tableau des équipes afin qu’il inclue ces groupes.

  1. Connectez-vous à Power Apps.

  2. Sélectionnez Dataverse > Tables > Équipe > Vues > Vue de recherche des équipes > Modifier les filtres

  3. Définissez les champs Type d’équipe, Équivaut à sur : Groupe de bureaux AAD, Groupe de sécurité AAD, Propriétaire

Ajoutez le groupe de bureau AAD et le groupe de sécurité AAD au type d’équipe.

  1. Sélectionnez OK > Enregistrer > Publier.

Autres opérations d’équipe

Voir :

Voir aussi

Gérer les équipes
Vidéo : appartenance à un groupe Azure Active Directory
Créer un groupe de base et ajouter des membres à l’aide d’Azure Active Directory
Démarrage rapide : afficher les groupes et les membres de votre organisation dans Azure Active Directory

Notes

Pouvez-vous nous indiquer vos préférences de langue pour la documentation ? Répondez à un court questionnaire. (veuillez noter que ce questionnaire est en anglais)

Le questionnaire vous prendra environ sept minutes. Aucune donnée personnelle n’est collectée (déclaration de confidentialité).