Configurar equipos de grupos de Dataverse para seguridad

Completado

Un equipo de grupo de Microsoft Entra ID se parece a un equipo propietario en que puede ser propietario de registros y asignar roles de seguridad al equipo. Hay dos tipos de equipos de grupo y se corresponden directamente con los tipos de grupo de Microsoft Entra ID: Seguridad y Microsoft 365. El rol de seguridad de grupo puede ser solo para el equipo o para el miembro del equipo con herencia de privilegio de miembro de Privilegios de usuario. Los miembros del equipo se derivan dinámicamente (se agregan y eliminan) cuando obtienen acceso al entorno basado en su pertenencia a grupo de Microsoft Entra ID.

Usar grupos de Microsoft Entra ID para administrar el acceso a datos y aplicación de un usuario

Se ha ampliado la administración del acceso a aplicaciones y datos para Microsoft Dataverse para permitir que los administradores usen los grupos de Microsoft Entra ID de su organización para administrar los derechos de acceso para usuarios de Dataverse con licencia.

Ambos tipos de grupos de Microsoft Entra ID, Seguridad y Microsoft 365, se pueden usar para proteger los derechos de acceso de los usuarios.

Ambos tipos de grupos de Microsoft Entra ID, Seguridad y Microsoft 365, con un tipo de pertenencia Asignado y Usuario dinámico se pueden usar para proteger los derechos de acceso de los usuarios. No se admite el tipo de pertenencia Dispositivo dinámico.

El uso de grupos permite a los administradores asignar un rol de seguridad con sus respectivos privilegios a todos los miembros del grupo, en lugar de tener que proporcionar los derechos de acceso a un miembro individual del equipo.

El administrador puede crear equipos de grupo Microsoft Entra ID que estén asociados a los grupos de Microsoft Entra ID en cada uno de los entornos de Dataverse. Luego, puede asignar un rol de seguridad a estos equipos de grupo. En cada grupo de Microsoft Entra ID, el administrador puede crear equipos de grupo basándose en Miembros y/o Propietarios o Invitados del grupo de Microsoft Entra ID y asignar el rol de seguridad respectivo a cada uno de estos equipos.

Cuando los miembros de estos equipos de grupo obtienen acceso a estos entornos, sus derechos de acceso se conceden automáticamente según el rol de seguridad del equipo de grupo.

Aprovisionar y desaprovisionar usuarios

Una vez que el equipo del grupo y su rol de seguridad se establecen en un entorno, el acceso del usuario al entorno se basa en la pertenencia del usuario a los grupos de Microsoft Entra ID. Cuando se crea un nuevo usuario en el inquilino, todo lo que el administrador debe hacer es asignar el usuario al grupo de Microsoft Entra ID adecuado y asignar licencias de Dataverse. El usuario puede obtener acceso al entorno de inmediato, sin necesidad de esperar a que el administrador asigne un rol de seguridad.

Cuando los usuarios se eliminan o deshabilitan en Microsoft Entra ID o se les retira de los grupos Microsoft Entra ID, pierden su pertenencia al grupo. Estos usuarios no podrán acceder al entorno cuando intenten iniciar sesión.

Eliminar el acceso de usuario en tiempo de ejecución

Cuando un administrador elimina a un usuario de los grupos de Microsoft Entra ID, el usuario se elimina del equipo del grupo y pierde sus derechos de acceso la próxima vez que acceda al entorno. Las pertenencias a los grupos de Microsoft Entra ID del usuario y a los equipos del grupo de Dataverse se sincronizan y los derechos de acceso del usuario se derivan dinámicamente en tiempo de ejecución.

Administrar el rol de seguridad de usuario

Los administradores ya no tienen que esperar a que el usuario se sincronice con el entorno y luego asignar un rol de seguridad al usuario individualmente utilizando los equipos de grupo de Microsoft Entra ID. Una vez que se establece y crea un equipo de grupo en un entorno con un rol de seguridad, cualquier usuario con licencia de Dataverse que se añada al grupo de Microsoft Entra ID puede acceder inmediatamente al entorno.

Bloquear el acceso del usuario a los entornos

Los administradores pueden seguir usando un grupo de seguridad de Microsoft Entra ID para bloquear la lista de usuarios sincronizados con un entorno. Esto se puede reforzar aún más mediante equipos de grupos de Microsoft Entra ID. Para bloquear el acceso de aplicaciones o entornos para entornos restringidos, el administrador puede crear grupos de Microsoft Entra ID independientes para cada entorno y asignar el rol de seguridad adecuado para estos grupos. Solo los miembros del equipo de grupo de Microsoft Entra ID tienen los derechos de acceso para el entorno.

Compartir Power Apps con los miembros del equipo de un grupo de Microsoft Entra ID

Cuando las aplicaciones basadas en modelo y de lienzo se comparten en un equipo de grupo de Microsoft Entra ID, los miembros del equipo pueden ejecutar las aplicaciones de inmediato.

Registros propiedad del equipo o del usuario

Se ha añadido una nueva propiedad a la definición del rol de seguridad para proporcionar privilegios de equipo especiales cuando el rol se asigne a equipos de grupo. Este tipo de rol de seguridad permite que se concedan privilegios de nivel básico o de usuario a los miembros del equipo como si el rol de seguridad se les asignara directamente. Los miembros del equipo pueden crear y ser propietarios de registros sin la necesidad de tener asignado otro rol de seguridad.

Un equipo de grupo puede poseer uno o más registros. Para convertir un equipo en propietario del registro, debe asignar el registro al equipo.

Aunque los equipos proporcionan acceso a un grupo de usuarios, debe seguir asociando usuarios individuales con roles de seguridad que concedan los privilegios que necesitan para crear, actualizar o eliminar registros propiedad del usuario. Estos privilegios no se pueden aplicar asignando un rol de seguridad heredado del privilegio de un usuario no miembro a un equipo y luego agregando el usuario a ese equipo. Si necesita proporcionar a los miembros de su equipo los privilegios de equipo directamente, sin su propio rol de seguridad, puede asignar al equipo un rol de seguridad que tenga la herencia de privilegio de miembro.