Xestionar equipos do grupo
Acerca de equipos de grupo
Un Microsoft Entra equipo grupo. De xeito similar ao equipo propietario, un Microsoft Entra equipo de grupo pode posuír rexistros e asignarlle funcións de seguranza. Hai dous tipos de grupo e correspóndense directamente cos Microsoft Entra tipos de grupo: Seguridade e Microsoft 365. O rol de seguranza grupo pode ser só para o equipo ou para o membro do equipo con privilexios de usuario herdanza do privilexio do membro. Os membros do equipo derívanse (engádense e elimínanse) dinámicamente cando acceden ao ambiente en función da súa Microsoft Entra pertenza ao grupo.
Usar Microsoft Entra grupos para xestionar a aplicación e o acceso aos datos dun usuario
A administración do acceso a aplicacións e datos de Microsoft Dataverse ampliouse para permitir que os administradores utilicen os Microsoft Entra grupos da súa organización para xestionar os dereitos de acceso dos usuarios con licenza Dataverse .
Ambos tipos de Microsoft Entra grupos (Seguridade e Microsoft 365) pódense utilizar para protexer os dereitos de acceso dos usuarios. Usar grupos permite aos administradores asignar un rol de seguranza cos seus respectivos privilexios a todos os membros do grupo en lugar de ter que proporcionar os dereitos de acceso a un membro individual do equipo.
Ambos tipos de Microsoft Entra grupos — Seguridade e Microsoft 365 — cun tipo de pertenza Asignado e Dinámico O usuario pódese usar para protexer os dereitos de acceso dos usuarios. O tipo de pertenza Usuario dinámico non é compatible. Usar grupos permite aos administradores asignar un rol de seguranza cos seus respectivos privilexios a todos os membros do grupo en lugar de ter que proporcionar os dereitos de acceso a un membro individual do equipo.
O administrador pode crear Microsoft Entra equipos de grupo que estean asociados aos Microsoft Entra grupos de cada un dos ambientes e asignar un rol de seguranza a estes equipos de grupo. Para cada Microsoft Entra grupo, o administrador pode crear equipos de grupo baseados no Microsoft Entra grupo Membros e/ou Propietarios ou Convidados. Para cada Microsoft Entra grupo, un administrador pode crear equipos de grupo separados para propietarios, membros, convidados e membros e convidados, e asignar un rol de seguranza respectivo a cada un destes equipos.
Cando os membros destes equipos de grupos acceden a estes ambientes, os seus dereitos de acceso concédense automaticamente en función do rol de seguranza do equipo de grupo.
Suxestión
Consulta o seguinte vídeo: Dinámico Microsoft Entra Grupos.
Aprovisionamento e desaprovisionamento de usuarios
Unha vez que o equipo do grupo e o seu rol de seguranza están establecidos nun ambiente, o acceso dos usuarios ao contorno baséase na pertenza dos usuarios aos Microsoft Entra grupos. Cando se crea un usuario novo no inquilino, o único que ten que facer o administrador é asignarlle ao Microsoft Entra grupo adecuado e asignar Dataverse licencias. O usuario pode acceder inmediatamente ao ambiente sen necesidade de esperar a que o administrador engada o usuario ao ambiente ou lle asigne un rol de seguranza. O usuario créase no entorno baixo a unidade de negocio raíz.
Cando os usuarios se eliminan ou se desactivan no Microsoft Entra ID ou se eliminan dos Microsoft Entra grupos, perderán a súa pertenza ao grupo e non poderán acceder ao contorno cando intenten iniciar sesión.
Nota
O usuario do grupo eliminado ou desactivado permanece no Power Platform Dataverse entorno se o usuario non accedeu ao contorno.
Para eliminar o usuario do Dataverse equipo do grupo:
- Inicie sesión no Centro de administración de Power Platform.
- Seleccione un ambiente e, a continuación, seleccione Configuración>Usuarios + permisos>Usuarios.
- Busca e selecciona o usuario.
- No formulario Usuario, faga clic no comando ... .
- Seleccione a opción Xestionar usuario en Dynamics 365 .
- Na páxina Usuario , seleccione o Dataverse equipo do grupo do que quere eliminar o usuario.
- Seleccione o botón Eliminar .
Teña en conta que se eliminaches accidentalmente un usuario do grupo activo, o usuario do grupo engadirase de novo ao Dataverse equipo do grupo a próxima vez que o usuario acceda ao contorno.
Eliminar o acceso do usuario en tempo de execución
Cando un administrador elimina un usuario dos Microsoft Entra grupos, o usuario é eliminado do equipo do grupo e perde os seus dereitos de acceso a próxima vez que acceda ao contorno. As pertenzas dos Microsoft Entra grupos do usuario e dos Dataverse equipos do grupo están sincronizadas e os dereitos de acceso do usuario derívanse de forma dinámica no tempo de execución.
Administrar rol de seguranza de usuarios
Os administradores xa non teñen que esperar a que o usuario se sincronice co contorno e, a continuación, lle asignen un rol de seguranza ao usuario individualmente mediante o uso de Microsoft Entra equipos de grupo. Unha vez que se establece e crea un equipo de grupo nun ambiente cun rol de seguranza, calquera usuario con licenza Dataverse que se engade ao grupo Microsoft Entra pode acceder inmediatamente ao contorno.
Bloquear o acceso dos usuarios aos ambientes
Os administradores poden seguir utilizando un Microsoft Entra grupo de seguranza para bloquear a lista de usuarios sincronizados cun ambiente. Isto pódese reforzar aínda máis empregando Microsoft Entra equipos de grupo. Para bloquear o acceso á contorna ou ás aplicacións a contornos restrinxidos, o administrador pode crear Microsoft Entra grupos separados para cada ambiente e asignar o rol de seguranza adecuado para estes grupos. Só estes Microsoft Entra membros do equipo do grupo teñen os dereitos de acceso ao contorno.
Comparte Power Apps con membros do equipo dun Microsoft Entra grupo
Cando as aplicacións baseadas en lenzos e modelos se comparten cun Microsoft Entra equipo de grupo, os membros do equipo poden executar as aplicacións inmediatamente.
Rexistros de propiedade de usuarios e equipos
Engadiuse unha nova propiedade á definición do rol de seguranza para proporcionar privilexios de equipo especiais cando se atribúe o rol a equipos de grupos. Este tipo de rol de seguranza permítelle aos membros do equipo ter privilexios de nivel de usuario/básicos como se lle atribuísen o rol de seguranza directamente a eles. Os membros do equipo poden crear e ser propietarios de rexistros sen necesidade de atribuírlles un rol de seguranza adicional.
Un equipo de grupo pode ser propietario dun ou máis rexistros. Para facer que un equipo sexa propietario do rexistro, debe atribuír o rexistro ao equipo.
Mentres que os equipos fornecen acceso a un grupo de usuarios, aínda debe asociar usuarios individuais con roles de seguranza que conceden privilexios que precisan para crear, actualizar ou eliminar rexistros propiedade do usuario. Estes privilexios non se poden aplicar atribuíndo un rol de seguranza herdado cos privilexios dun usuario que non é membro a un equipo e logo engadindo o usuario a ese equipo. Se é necesario fornecer aos membros do equipo os privilexios de equipo directamente sen os seus propios roles de seguranza, pode atribuírlle ao equipo un rol de seguranza que teña a herdanza de privilexio do membro.
Para obter máis información, consulte Atribuír un rexistro a un usuario ou equipo.
Crear un equipo de grupo
Asegúrese de dispoñer do rol de seguranza ou permisos equivalentes aos dun administrador do sistema, dun xestor de vendas, dun vicepresidente de vendas, dun vicepresidente de marketing ou dun CEO-xestor empresarial.
Comprobar o rol de seguranza:
- Siga os pasos de Visualización do seu perfil de usuario.
- Non ten os permisos adecuados? Contacte co administrador do sistema.
Requisitos previos:
- É necesario un Microsoft Entra grupo para cada equipo de grupo.
- Obtén o Microsoft Entra o ObjectID do teu https://portal.azure.com sitio do grupo.
- Cree un rol de seguranza personalizado que conteña privilexios segundo o requisito de colaboración do seu equipo. Consulte o debate dos privilexios herdados do membro se precisa estender os privilexios de membros do equipo directamente a un usuario.
Inicie sesión no Centro de administración de Power Platform.
Seleccione un ambiente e logo seleccione Configuración>Usuarios + permisos>Equipos.
Seleccione + Crear un equipo.
Especifique os campos seguintes:
- Nome do equipo: asegúrese de que este nome é único dentro dunha unidade de negocio.
- Descrición: escriba unha descrición do equipo.
- Unidade de negocio: seleccione a unidade de negocio da lista despregable.
- Administrador: busque usuarios na organización. Comece a introducir caracteres.
- Tipo de equipo: seleccione o tipo de equipo da lista despregable.
Nota
Un equipo pode ser dun dos seguintes tipos: propietario, acceso, Microsoft Entra grupo de seguridade ou Microsoft Entra grupo de oficina.
Se o tipo de equipo é Microsoft Entra Grupo de seguridade ou Microsoft Entra Grupo de oficina, tamén debes introducir estes campos:
- Nome do grupo: Comeza a introducir texto para seleccionar un Microsoft Entra nome de grupo existente. Estes grupos creáronse previamente en Microsoft Entra ID.
- Tipo de subscrición: seleccione o tipo de subscrición da lista despregable. Consulta Como Microsoft Entra se coinciden os membros do grupo de seguridade cos Dataverse membros do equipo do grupo.
Despois de crear o equipo, pode engadir membros do equipo e seleccionar os roles de seguridade correspondentes. Este paso é opcional, pero recomendable.
Como se coinciden Microsoft Entra os membros do grupo de seguridade cos Dataverse membros do equipo do grupo
Consulta a seguinte táboa para ver como os membros dos Microsoft Entra grupos coinciden cos Dataverse membros do equipo do grupo.
| Seleccione o tipo de pertenza ao equipo do grupo Dataverse (4) | Subscrición resultante |
|---|---|
| Membros e convidados | Seleccione este tipo para incluír os tipos de usuario Membro e Invitado (3) da Microsoft Entra categoría de grupo Membros (1). |
| Membros | Seleccione este tipo para incluír só o tipo de usuario Membro (3) da Microsoft Entra categoría de grupo Membros (1). |
| Propietarios | Seleccione este tipo para incluír só o tipo de usuario Membro (3) da categoría de grupo Microsoft Entra Propietarios (2). |
| Convidados | Seleccione este tipo para incluír só o tipo de usuario Invitado (3) da categoría Microsoft Entra grupo Membros (1). |
Editar un equipo de grupo
Asegúrese de dispoñer do rol de seguranza ou permisos equivalentes aos dun administrador do sistema, dun xestor de vendas, dun vicepresidente de vendas, dun vicepresidente de marketing ou dun CEO-xestor empresarial.
Inicie sesión no Centro de administración de Power Platform.
Seleccione un ambiente e logo seleccione Configuración>Usuarios + permisos>Equipos.
Seleccione a caixa de verificación dun nome de equipo.
Seleccione Editar equipo. Só o Nome do equipo, a Descrición e o Administrador están dispoñibles para editar.
Actualice os campos segundo sexa necesario e seleccione Actualización.
Nota
- Para editar a unidade de negocio, consulte Cambiar a unidade de negocio dun equipo.
- Podes crear Dataverse equipos de grupo: Membros, Propietarios, Convidados e Membros e convidados por ambiente en función do Microsoft Entra tipo de pertenza ao grupo de cada Microsoft Entra grupo. O Microsoft Entra ID ObjectId do equipo do grupo non se pode editar unha vez creado o equipo do grupo.
- O tipo de subscrición a Dataverse non se pode cambiar despois de crear o equipo do grupo. Se precisa actualizar este campo, terá que eliminar o equipo do grupo e crear un novo.
- Todos os equipos de grupo existentes creados antes do novo campo Tipo de pertenza que se engaden actualízanse automaticamente como Membros e convidados. Non hai perda de funcionalidade con estes equipos de grupo xa que o equipo de grupo predeterminado está asignado ao tipo de pertenza Microsoft Entra Grupo Membros e convidados .
- Se o teu ambiente ten un grupo de seguranza, terás que engadir o Microsoft Entra grupo do equipo do grupo como membro dese grupo de seguranza para que os usuarios do equipo do grupo poidan acceder ao ambiente.
- A lista de membros do Equipo que aparece en cada equipo de grupo só mostra os membros do usuario que tiveron acceso ao ambiente. Esta lista non mostra todos os membros do grupo Microsoft Entra . Cando un Microsoft Entra membro do grupo accede ao contorno, o membro do grupo engádese ao equipo do grupo. Os privilexios do membro do equipo derívanse dinamicamente en tempo de execución herdando o rol de seguranza do equipo do grupo. Dado que o rol de seguranza está asignado ao equipo do grupo e o membro do equipo do grupo herda os privilexios, o rol de seguranza non se lle asigna directamente ao membro do equipo do grupo. Debido a que os privilexios do membro do equipo se derivan de forma dinámica no tempo de execución, as pertenzas do membro do equipo Microsoft Entra grupo almacénanse na memoria caché ao iniciar sesión o membro do equipo. Isto significa que calquera Microsoft Entra mantemento da pertenza ao grupo feito no membro do equipo en Microsoft Entra ID non se reflectirá ata a próxima vez que o membro do equipo inicie sesión ou cando o sistema actualice a caché (despois de 8 horas de inicio de sesión continuo).
- Microsoft Entra Os membros do grupo tamén se engaden ao equipo do grupo con chamadas de suplantación. Pode usar a opción de crear membros do grupo no equipo do grupo en nome doutro usuario usando a suplantación de identidade.
- Os membros do equipo engádense ou elimínanse do equipo do grupo en tempo de execución cando o membro do grupo inicia sesión no ambiente. Estes eventos de membros do grupo de adición e eliminación pódense usar para activar operacións de complementos.
- Non é preciso asignar aos membros do equipo un rol de seguranza individual se o rol de seguranza do seu equipo de grupo ten unha herdanza do privilexio do membro e o rol de seguranza contén polo menos un privilexio que ten permiso a nivel de usuario.
- O nome do equipo do grupo non se actualiza automaticamente cando se cambia o Microsoft Entra nome do grupo. Non hai ningún impacto no funcionamento do sistema cos cambios de nome do grupo, pero recomendámosche que o actualices na configuración de equipos do Power Platform centro de administración.
- Os membros do grupo AD créanse automaticamente no ambiente cando acceden por primeira vez ao ambiente. Os usuarios engádense baixo a unidade de negocio raíz. Non necesitas mover o usuario a unha unidade de negocio diferente se activaches as Unidades de negocio modernizadas para xestionar o acceso aos datos do teu usuario.
Xestionar os roles de seguranza dun equipo
Seleccione a caixa de verificación dun nome de equipo.
Seleccione Xestionar roles de seguranza.
Seleccione o rol ou roles que desexa e logo seleccione Gardar.
Modificar a unidade empresarial para un equipo
Consulte Modificar a unidade empresarial para un equipo.
Engadir tipos de equipos de grupo á visualización da busca predeterminada
Ao asignar manualmente un rexistro ou compartir un rexistro mediante o formulario integrado, a lista de opcións predeterminada non recolle algúns tipos de equipos de grupo, como o Microsoft Entra ID. Pode editar o filtro na vista de busca predeterminada da táboa de equipos para que inclúa estes grupos.
Inicie sesión en Power Apps.
Seleccione Dataverse>Táboas>Equipo>Vistas>Vista de busca de equipos>Editar filtros
Axuste Tipo de equipo, Igual a: AAD Office Group, AAD Security Group, Propietario
- Seleccione Aceptar>Gardar>Publicar.
Eliminar membros do equipo e equipo do grupo
Podes eliminar o equipo do grupo eliminando primeiro todos os membros do equipo do Dataverse equipo do grupo.
Eliminar Microsoft Entra grupo
Cando se elimina o Microsoft Entra grupo de Azure.portal, todos os membros elimínanse automaticamente do Dataverse equipo do grupo no contorno nun prazo de 24 horas. O Dataverse equipo do grupo pódese eliminar despois de eliminar todos os membros.
Outras operacións do equipo
Consulte:
Consulte tamén
Xestionar equipos
Vídeo: Microsoft Entra pertenza a un grupo
Crea un grupo básico e engade membros usando Microsoft Entra ID
Inicio rápido: consulta os grupos e membros da túa organización en Microsoft Entra ID
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios