Controllare l'accesso utente agli ambienti: gruppi di sicurezza e licenze
Se la società dispone di più ambienti, è possibile utilizzare i gruppi di sicurezza per controllare quali utenti con licenza possono essere membri di un determinato ambiente.
Nota
Per informazioni su come funziona l'accesso utente per Microsoft Dataverse for Teams, vedi Accesso utente agli ambienti Dataverse for Teams.
Si consideri il seguente scenario di esempio:
| Environment | Gruppo di sicurezza | Ambito |
|---|---|---|
| Vendite Coho Winery | Sales_SG | Fornisce l'accesso all'ambiente che crea le opportunità di vendita, gestisce le offerte e chiude le trattative. |
| Marketing Coho Winery | Marketing_SG | Fornisce l'accesso all'ambiente che promuove le attività di marketing tramite le campagne di marketing e le pubblicità. |
| Servizio Coho Winery | Service_SG | Fornisce l'accesso all'ambiente che elabora i casi dei clienti. |
| Sviluppatore Coho Winery | Developer_SG | Consente l'accesso all'ambiente sandbox utilizzato per lo sviluppo e i test. |
In questo esempio, quattro gruppi di sicurezza forniscono accesso controllato a un ambiente specifico.
Notare quanto segue sui gruppi di protezione:
Gruppi di sicurezza annidati
I membri di un gruppo di sicurezza nidificato in un gruppo di sicurezza dell'ambiente non vengono sottoposti a provisioning anticipato o aggiunti automaticamente all'ambiente. Tuttavia, possono essere aggiunti all'ambiente quando crei un team di gruppo Dataverse per il gruppo di sicurezza annidato.
Un esempio di questo scenario: hai assegnato un gruppo di sicurezza per l'ambiente quando l'ambiente è stato creato. Durante il ciclo di vita dell'ambiente, vuoi aggiungere all'ambiente membri gestiti dai gruppi di sicurezza. Crei un gruppo di sicurezza in Microsoft Entra ID, ad esempio Responsabili, e assegni tutti i tuoi responsabili al gruppo. Quindi aggiungi questo gruppo di sicurezza come figlio del gruppo di sicurezza dell'ambiente, crei un team di gruppo Dataverse e assegni un ruolo di sicurezza al team del gruppo. I tuoi responsabili possono ora accedere a Dataverse da subito.
Un membro di un gruppo di sicurezza annidato viene inoltre aggiunto all'ambiente in fase di esecuzione quando il membro accede all'ambiente per la prima volta. Il membro non sarà tuttavia in grado di eseguire alcuna applicazione e accedere ai dati fino a quando non gli verrà assegnato un ruolo di sicurezza.
Quando gli utenti vengono aggiunti al gruppo di sicurezza, vengono aggiunti all'ambiente.
Quando gli utenti vengono rimossi dal gruppo, vengono disabilitati nell'ambiente.
Quando un gruppo di sicurezza viene associato a un ambiente esistente con gli utenti, tutti gli utenti nell'ambiente che non sono membri del gruppo verranno disabilitati.
Se a un ambiente non è associato un gruppo di sicurezza, tutti gli utenti con una licenza Dataverse (app di interazione con i clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, e Dynamics 365 Project Service Automation), Power Automate, Power Apps e altri) verranno creati come utenti e abilitati nell'ambiente.
Se un gruppo di sicurezza viene associato a un ambiente, solo gli utenti con licenze Dataverse o piano per app che sono membri del gruppo di sicurezza dell'ambiente verranno creati come utenti nell'ambiente.
Se non specifichi un gruppo di sicurezza, tutti gli utenti che dispongono di una licenza Dataverse (app di interazione dei clienti come Dynamics 365 Sales e Customer Service) o piano per app verranno aggiunti al nuovo ambiente.
Nuovo: i gruppi di sicurezza non possono essere assegnati ai tipi di ambiente predefiniti e di sviluppo. Se hai già assegnato un gruppo di sicurezza al tuo ambiente predefinito o di sviluppo, ti consigliamo di rimuoverlo poiché l'ambiente predefinito deve essere condiviso con tutti gli utenti nel tenant e l'ambiente di sviluppo è destinato solo all'uso da parte del proprietario dell'ambiente.
Gli ambienti supportano l'associazione dei seguenti tipi di gruppo: Sicurezza e Microsoft 365. L'associazione di altri tipi di gruppi non è supportata.
Quando selezioni un gruppo di sicurezza, assicurati di selezionare un gruppo di sicurezza Microsoft Entra e non uno creato in Windows Active Directory locale. I gruppi di sicurezza di Windows AD in locale non sono supportati.
Se un utente non fa parte del gruppo di sicurezza assegnato all'ambiente ma ha il ruolo di amministratore globale del tenant di Azure, l'utente verrà comunque visualizzato come utente attivo e potrà accedere.
Se a un utente viene assegnato il ruolo di amministratore del servizio Dynamics 365, l'utente deve far parte del gruppo di sicurezza prima di essere abilitato nell'ambiente. Non possono accedere all'ambiente finché non vengono aggiunti al gruppo di sicurezza e abilitati.
Nota
A tutti gli utenti con licenza, indipendentemente dal fatto che siano o meno membri dei gruppi di protezione, devono essere assegnati ruoli di sicurezza per accedere ai dati negli ambienti. I ruoli di sicurezza vengono assegnati nell'applicazione Web. Se gli utenti non hanno un ruolo di sicurezza, verrà visualizzato un errore di accesso ai dati negato quando provano a eseguire un'app. Gli utenti non possono accedere agli ambienti finché non viene assegnato loro almeno un ruolo di sicurezza per tale ambiente. Per ulteriori informazioni, vedere Configurare la sicurezza dell'ambiente. L'assegnazione automatica degli utenti a un ambiente non è supportata per gli ambienti di prova. Per gli ambienti di prova, gli utenti devono essere assegnati manualmente.
Creare un gruppo di sicurezza e aggiungere i membri al gruppo di sicurezza
Accedi all'interfaccia di amministrazione di Microsoft 365.
Seleziona Team e gruppi>Team e gruppi attivi.
Seleziona + Aggiungi un gruppo.
Modifica il tipo su Gruppo di sicurezza, aggiungi il gruppo Nome e Descrizione, quindi seleziona Aggiungi>Chiudi.
Fai clic sul gruppo creato e accanto a Membri, fai clic su Modifica.
Selezionare + Aggiungi membri. Seleziona gli utenti da aggiungere al gruppo di sicurezza e quindi fai clic su Salva>Chiudi più volte per tornare all'elenco Gruppi.
Per rimuovere un utente dal gruppo di sicurezza, seleziona il gruppo di sicurezza quindi, accanto a Membri, seleziona Modifica. Fai clic su - Rimuovi membri e quindi su X per ogni membro che desideri rimuovere.
Nota
Se gli utenti che si desidera aggiungere al gruppo di sicurezza non vengono creati, creare gli utenti e assegnare loro le licenze di Dataverse.
Per aggiungere più utenti, vedi: aggiungi utenti in blocco ai gruppi Office365.
Creare un utente e assegnare una licenza
Nell'interfaccia di amministrazione di Microsoft 365, seleziona Utenti>Utenti attivi>+ Aggiungi un utente.
Immetti le informazioni utente, seleziona le licenze e quindi scegli Aggiungi.
Ulteriori informazioni: Aggiungere utenti e assegnare licenze nello stesso tempo
In alternativa, acquista e assegna i pass per app: Informazioni sui piani Power Apps per app
Nota
Se un ambiente ha un piano Power Apps per app allocato, tutti gli utenti verranno considerati con licenza quando tentano di accedere all'ambiente, inclusi gli utenti a cui non sono assegnate licenze individuali. L'allocazione del piano per app in un ambiente soddisfa il requisito degli utenti di ottenere la licenza per accedere all'ambiente.
Associare un gruppo di sicurezza a un ambiente
Accedi all'interfaccia di amministrazione di Power Platform come amministratore (amministratore di Dynamics 365, amministratore globale o amministratore di Microsoft Power Platform).
Nel riquadro di spostamento sinistro seleziona Ambienti.
Seleziona il nome dell'ambiente.
Selezionare Modifica.
Nel riquadro Modifica dettagli, seleziona l'icona Modifica nell'area Gruppo di sicurezza.
Solo i primi 200 gruppi di sicurezza saranno restituiti. Usa Cerca per cercare un gruppo di sicurezza specifico.
Selezionare un gruppo di sicurezza, selezionare Fine e quindi selezionare Salva.
Il gruppo di sicurezza viene associata all'ambiente.
Nota
Gli utenti che eseguono app canvas quando un gruppo di sicurezza è associato all'ambiente dell'app devono essere membri del gruppo di sicurezza per poter eseguire l'app canvas, indipendentemente dal fatto che l'app sia stata condivisa con loro. In altre parole, gli utenti vedranno invece questo messaggio di errore: "Non puoi aprire app in questo ambiente. Non sei un membro del gruppo di sicurezza dell'ambiente". Se il tuo amministratore Power Platform ha impostato i dettagli di governance per la tua organizzazione, vedrai un contatto di governance che puoi contattare per l'appartenenza al gruppo di sicurezza.