Configurazione dei team di gruppo Dataverse per la sicurezza
Un team di gruppo Microsoft Entra ID, simile a un team proprietario, può essere proprietario dei record e disporre di ruoli di sicurezza assegnati. Vi sono due tipi di team di gruppo che corrispondono direttamente ai tipi di gruppo Microsoft Entra ID: sicurezza e Microsoft 365. Il ruolo di sicurezza del gruppo può essere assegnato solo al team o a un membro del team con privilegi utente che includono l'ereditarietà dei privilegi del membro. I membri del team vengono derivati dinamicamente (aggiunti e rimossi) quando accedono all'ambiente in base alla loro appartenenza al gruppo Microsoft Entra ID.
Uso dei gruppi Microsoft Entra ID per gestire l'accesso alle app e ai dati di un utente
L'amministrazione dell'accesso alle app e ai dati in Microsoft Dataverse è stata estesa per consentire agli amministratori di usare i gruppi Microsoft Entra ID dell'organizzazione per gestire i diritti di accesso degli utenti Dataverse dotati di licenza.
È possibile usare entrambi i tipi di gruppi Microsoft Entra ID (Sicurezza e Microsoft 365) per proteggere i diritti di accesso degli utenti.
È possibile usare entrambi i tipi di gruppi Microsoft Entra ID (Sicurezza e Microsoft 365), con tipo di appartenenza Assegnato e Utente dinamico, per proteggere i diritti di accesso degli utenti. Il tipo di appartenenza Dispositivo dinamico non è supportato.
L'uso dei gruppi consente agli amministratori di assegnare un ruolo di sicurezza con i rispettivi privilegi a tutti i membri del gruppo, invece di dover fornire i diritti di accesso a un singolo membro del team.
L'amministratore può creare team di gruppo Microsoft Entra ID associati ai gruppi di Microsoft Entra ID in ciascuno degli ambienti Dataverse. Questi possono a loro volta assegnare un ruolo di sicurezza a tali team di gruppo. Per ogni gruppo Microsoft Entra ID, l'amministratore può creare team di gruppo basati sui Membri e/o i Proprietari o i Guest di Microsoft Entra ID e assegnare il rispettivo ruolo di sicurezza a ciascuno di questi team.
Quando i membri di questi team di gruppo accedono agli ambienti, i loro diritti di accesso vengono concessi automaticamente in base al ruolo di sicurezza del team di gruppo.
Provisioning e deprovisioning degli utenti
Una volta che il team di gruppo e il relativo ruolo di sicurezza sono stati definiti in un ambiente, l'accesso dell'utente all'ambiente si basa sulla sua appartenenza ai gruppi Microsoft Entra ID. Quando viene creato un nuovo utente nel tenant, tutto ciò che l'amministratore deve fare è assegnare l'utente al gruppo Microsoft Entra ID appropriato e assegnare le licenze Dataverse. L'utente può accedere immediatamente all'ambiente senza dover attendere che l'amministratore gli assegni un ruolo di sicurezza.
Quando gli utenti vengono eliminati o disabilitati in Microsoft Entra ID oppure rimossi dai gruppi Microsoft Entra ID, perdono l'appartenenza al gruppo. Ogni tentativo di accesso all'ambiente da parte di questi utenti verrà bloccato.
Rimozione dell'accesso dell'utente in fase di esecuzione
Quando un amministratore rimuove un utente dai gruppi Microsoft Entra ID, l'utente viene rimosso dal team di gruppo e perde i propri diritti di accesso la volta successiva che accede all'ambiente. Le appartenenze dell'utente ai gruppi Microsoft Entra ID e ai team di gruppo Dataverse sono sincronizzate e i suoi diritti di accesso vengono derivati in modo dinamico in fase di esecuzione.
Amministrazione del ruolo di sicurezza dell'utente
Gli amministratori non devono più attendere che l'utente si sincronizzi con l'ambiente e quindi assegnargli un ruolo di sicurezza individualmente usando i team di gruppo Microsoft Entra ID. Una volta stabilito e creato un team di gruppo in un ambiente con un ruolo di sicurezza, tutti gli utenti di Dataverse in possesso di licenza che vengono aggiunti al gruppo Microsoft Entra ID possono accedere immediatamente all'ambiente.
Protezione dell'accesso degli utenti agli ambienti
Gli amministratori possono continuare a usare un gruppo di sicurezza Microsoft Entra ID per proteggere l'elenco degli utenti sincronizzati con un ambiente. Questa misura può essere ulteriormente rafforzata tramite l'uso dei team di gruppo Microsoft Entra ID. Per proteggere l'accesso a livello di ambiente o di app ad ambienti con restrizioni, l'amministratore può creare gruppi di Microsoft Entra ID separati per ogni ambiente e assegnare il ruolo di sicurezza appropriato a questi gruppi. Solo questi membri del team di gruppo Microsoft Entra ID dispongono dei diritti di accesso all'ambiente.
Condivisione di Power Apps con i membri del team di un gruppo Microsoft Entra ID
Quando le app canvas e basate su modello vengono condivise con un team di gruppo Microsoft Entra ID, i membri del team possono eseguire immediatamente le app.
Record di proprietà dell'utente e di proprietà del team
Una nuova proprietà è stata aggiunta alla definizione del ruolo di sicurezza per fornire privilegi di team speciali quando il ruolo viene assegnato ai team di gruppo. Questo tipo di ruolo di sicurezza consente ai membri del team di ottenere privilegi di livello utente/di base come se il ruolo di sicurezza fosse loro assegnato direttamente. I membri del team possono creare ed essere proprietari di record senza che sia necessario assegnare loro un altro ruolo di sicurezza.
Un team di gruppo può essere proprietario di uno o più record. Per rendere un team proprietario del record, è necessario assegnare il record al team.
Sebbene i team forniscano l'accesso a un gruppo di utenti, è comunque necessario associare i singoli utenti ai ruoli di sicurezza che concedono i privilegi richiesti per creare, aggiornare o eliminare record di proprietà dell'utente. Questi privilegi non possono essere applicati assegnando un ruolo di sicurezza ereditato dal privilegio di un non membro a un team e quindi aggiungendo l'utente a quel team. Se è necessario fornire ai membri del team i privilegi di team in modo diretto, senza il proprio ruolo di sicurezza, è possibile assegnare al team un ruolo di sicurezza che include l'ereditarietà dei privilegi del membro.