環境へのユーザー アクセスのコントロール: セキュリティ グループおよびライセンス

複数の環境を持つ会社の場合、セキュリティ グループを使用して、どのライセンスを付与されたユーザーが特定の環境のメンバーになれるかコントロールできます。

Note

Microsoft Dataverse for Teams でのユーザー アクセスの仕組みについては、Dataverse for Teams 環境へのユーザー アクセス を参照してください。

次のようなシナリオの例を考慮します。

環境 セキュリティ グループ 目的
Coho のワイン醸造所の Sales Sales_SG 営業案件を作成し、見積もりを処理し、取引をクローズする環境へのアクセスを提供します。
Coho のワイン醸造所のマーケティング Marketing_SG マーケティング キャンペーンや広告によるがマーケティング活動を推進する環境へのアクセスを提供します。
Coho のワイン醸造所のサービス Service_SG 顧客のサポート案件を処理する環境へのアクセスを提供します。
コーホー ワイナリーの開発 Developer_SG 開発やテストに使用するサンドボックス環境へのアクセスが可能になります。

この例では、4 つのセキュリティ グループにより、特定の環境に対するアクセスがコントロールされます。

セキュリティ グループに関する以下に点に注意します。

  • 入れ子のセキュリティ グループについて

    環境セキュリティ グループ内の入れ子のセキュリティ グループのメンバーは、事前にプロビジョニングされたり、環境に自動的に追加されたりすることはありません。 ただし、入れ子のセキュリティ グループに Dataverse グループ チーム を作成すると、環境に追加できます。

    このシナリオの例: 環境が作成されたときに、環境にセキュリティ グループを割り当てました。 環境のライフサイクルの間に、セキュリティ グループで管理されるメンバーを環境に追加します。 たとえばマネージャーなどのセキュリティ グループを Azure Active Directory に作成し、すべてのマネージャーをグループに割り当てます。 次に、このセキュリティ グループを環境セキュリティ グループの子として追加し、Dataverse グループ チーム を作成して、セキュリティ ロールをグループ チームに割り当てます。 これで、マネージャーは Dataverse にすぐにアクセスできます。

    入れ子のセキュリティ グループのメンバーは、メンバーが初めて環境にアクセスするときにも、実行時に環境に追加されます。 ただし、メンバーはセキュリティ ロール が割り当てられるまで、アプリケーションを実行したり、データにアクセスしたりすることはできません。

  • ユーザーがセキュリティ グループに追加されると、そのユーザーは環境に追加されます。

  • ユーザーがグループから削除された場合、環境で無効になります。

  • セキュリティ グループがユーザーの既存の環境に関連付けられている場合は、グループのメンバーではない環境のすべてのユーザーが無効になります。

  • 環境にセキュリティ グループが関連付けられていない場合、Dataverse ライセンス (カスタマー エンゲージメント アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation)、Power Automate、Power Apps など)。 ユーザーとして作成され、環境で有効になります。

  • セキュリティ グループが環境と関係づけられている場合、環境セキュリティ グループのメンバーである Dataverse ライセンスを持つユーザーのみまたはアプリ プランによって、 環境のユーザーとして作成されます。

  • セキュリティ グループを指定しない場合、Dataverse ライセンス (Customer Engagement アプリ (Dynamics 365 Sales や Customer Service など)) を持つ、またはアプリプランごとのすべてのユーザーは新しい環境に追加されます。

  • 新着:既定の環境タイプと開発者環境タイプにセキュリティ グループを割り当てることはできません。 既定の環境や開発者環境にセキュリティ グループを割り当てている場合は、セキュリティ グループを削除することを推奨します。理由としては、既定の環境はテナント内のすべてのユーザーと共有することを目的としており、開発者環境は環境の所有者のみが使用することを目的としているためです。

  • 環境は、以下のグループ タイプの関連付けをサポートします: セキュリティと Microsoft 365。 その他のグループ タイプ への関連付けには対応していません。

  • セキュリティ グループを選択する際は、オンプレミスの Windows Active Directory で作成したセキュリティ グループではなく、必ず Azure AD セキュリティ グループを選択してください。 オンプレミスの Windows AD のセキュリティ グループには対応していません。

  • ユーザーが環境に割り当てられたセキュリティ グループの一部ではないものの、Azure テナント グローバル 管理者 ロールを持っている場合、そのユーザーは引き続きアクティブ ユーザーとして表示され、ログインできます。

Note

セキュリティ グループのメンバーであるかどうかに関係なく、すべてのライセンス ユーザーには、環境内のデータにアクセスするためのセキュリティ ロールを割り当てる必要があります。 Web アプリケーションでセキュリティ ロールを割り当てます。 ユーザーがセキュリティ ロールを持っていない場合、アプリを実行しようとすると、データ アクセス拒否エラーが発生します。 ユーザーは、その環境に対して少なくとも 1 つのセキュリティ ロールが割り当てられるまで、環境にアクセスできません。 詳細については、環境セキュリティの構成 を参照してください。 環境への自動ユーザー割り当ては、試用環境ではサポートされていません。 試用環境では、ユーザーを手動で割り当てる必要があります。

セキュリティ グループを作成し、セキュリティ グループにメンバーを追加する

  1. Microsoft 365 管理センターにサインインします。

  2. Teams & グループ>アクティブなチーム&グループ を順に選択します。

  3. + グループを追加 を選択します。

  4. 種類を セキュリティ グループ に変更し、グループの 名前 および 説明 を追加します。 追加>閉じるを選択します。

  5. 作成したグループを選択し、メンバーの隣の編集を選択します。

  6. + メンバーを追加を選択します。 セキュリティ グループに追加するユーザーを選択し、保存>閉じるを数回選択してグループのリストに戻ります。

  7. セキュリティ グループからユーザーを削除するには、セキュリティ グループを選択してメンバーの隣の編集を選択します。 - メンバーの削除を選択し、削除するメンバーの X を選択します。

Note

セキュリティ グループに追加するユーザーが作成されていない場合、ユーザーを作成して Dataverse のライセンスを割り当てます。

複数のユーザーを追加するには、「ユーザーを Office365 グループに一括で追加する」を参照してください。

ユーザーの作成およびライセンスの割り当て

  1. Microsoft 365 管理センターにサインインし、ユーザー>アクティブ ユーザー>+ ユーザーの追加 を選択します。 ユーザー情報を入力し、ライセンスを選択して追加を選択します。

    詳細情報: ユーザーの追加とライセンスの割り当てを同時に行う

または、アプリ パスごとに購入して割り当てます: Power Appsアプリ プランごとについて

Note

環境にアプリプランごとに Power Apps が割り当てられている場合、個々のライセンスが割り当てられていないユーザーを含め、すべてのユーザーが環境にアクセスしようとしたときにライセンスが付与されていると見なされます。 環境でのアプリごとのプランの割り当ては、環境にアクセスするためにユーザーがライセンスを取得するための要件を満たしています。

セキュリティ グループを環境に関連付ける

  1. 管理者として Power Platform 管理センター にサインインします (Dynamics 365 管理者、グローバル管理者、または Microsoft Power Platform 管理者)。

  2. ナビゲーション ウィンドウで、環境を選択し、環境を選択してから編集選択します。

    編集を選択します。

  3. 詳細の編集ページで、編集 (編集します。) を選択します。

    セキュリティ グループを編集します。

    最初の 200 のセキュリティ グループのみが返され、デフォルトで選択可能になります。 追加のセキュリティグループを選択するには、検索 を使って、特定のセキュリティ グループを探します。

  4. セキュリティ グループを選択し、完了を選択してから保存を選択します。

    セキュリティ グループを選択します。

セキュリティ グループは、その環境に関連付けられます。

追加されたセキュリティ グループ。

Note

セキュリティ グループがアプリの環境と関連付けられている場合、キャンバス アプリを実行するエンド ユーザーは、アプリが共有されているかどうかにかかわらず、セキュリティ グループのメンバーでなければ、キャンバス アプリを実行できません。 代わりに、ユーザーには次のエラーメッセージが表示されます: 「この環境ではアプリを開くことができません。 環境のセキュリティ グループのメンバーではありません。」

セキュリティ グループと環境の関連付けを解除する

  1. 管理者 (Dynamics 365 管理者、Microsoft 365 グローバル管理者、または Microsoft Power Platform 管理者) として Power Platform 管理センター にサインインします。

  2. ナビゲーション ウィンドウで、環境を選択し、環境を選択してから編集選択します。

    環境を編集します。

  3. 設定 ページにて、削除 (削除します。) を選択します。

    削除を選択します。

  4. 削除を確認し、削除を選択します。続いて保存を選択します。

環境に関連付けられているセキュリティ グループが削除され、環境のアクセスがそのグループのメンバーであるユーザーのみに制限されなくなります。

参照

ユーザーの作成