複数の環境を持つ会社の場合、セキュリティ グループを使用して、どのライセンスを付与されたユーザーが特定の環境のメンバーになれるかコントロールできます。
注意
Teams のMicrosoft Dataverseに対するユーザー アクセスのしくみについては、「 Teams 環境の Dataverse へのユーザー アクセスを参照してください。
次のようなシナリオの例を考慮します。
| 環境 | セキュリティ グループ | 目的 |
|---|---|---|
| Coho ワイン醸造所の販売代理店 | Sales_SG | 営業案件を作成し、見積もりを処理し、取引をクローズする環境へのアクセスを提供します。 |
| Coho のワイン醸造所のマーケティング | Marketing_SG | マーケティングキャンペーンや広告を通じてマーケティング活動を推進する環境へのアクセスを提供します。 |
| Coho のワイン醸造所のサービス | Service_SG | 顧客のサポート案件を処理する環境へのアクセスを提供します。 |
| コーホー ワイナリーの開発 | Developer_SG | 開発やテストに使用するサンドボックス環境へのアクセスが可能になります。 |
この例では、4 つのセキュリティ グループにより、特定の環境に対するアクセスがコントロールされます。
セキュリティ グループに関する以下の情報に注意してください:
入れ子のセキュリティ グループについて
環境セキュリティ グループ内の入れ子のセキュリティ グループのメンバーは、事前にプロビジョニングされたり、 環境に自動的に追加されたりすることはありません。 ただし、入れ子のセキュリティ グループに Dataverse グループ チーム を作成すると、環境に追加できます。
このシナリオの例: 環境が作成されたときに、環境にセキュリティ グループを割り当てました。 環境のライフサイクルの間に、セキュリティ グループで管理されるメンバーを環境に追加します。 Microsoft Entra ID (マネージャーなど) でセキュリティ グループを作成し、すべてのマネージャーをグループに割り当てます。 次に、このセキュリティ グループを環境セキュリティ グループの子として追加し、Dataverse グループ チーム を作成して、セキュリティ ロールをグループ チームに割り当てます。 これで、マネージャーは Dataverse にすぐにアクセスできます。
入れ子のセキュリティ グループのメンバーは、メンバーが初めて環境にアクセスしたときに、実行時に環境にも追加されます。 しかし、セキュリティ ロールが割り当てられるまで、メンバーはモデル駆動型アプリケーションを実行したり、Dataverse データにアクセスしたりすることはできません。
ユーザーがセキュリティ グループに追加されると、そのユーザーは環境に追加されます。
ユーザーがグループから削除された場合、環境で無効になります。
セキュリティグ ループがユーザーと既存の環境に関連付けられている場合、グループのメンバーでない環境内のすべてのユーザーは無効になります。
環境にセキュリティ グループが関連付けられていない場合、Dataverse ライセンスを持つすべてのユーザー (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365などの顧客エンゲージメント アプリを含む)マーケティング、Dynamics 365 Project Service Automation、Power Automate、Power Appsなど、環境で追加および許可されます。
セキュリティ グループが環境と関係づけられている場合、環境セキュリティ グループのメンバーである Dataverse ライセンスを持つユーザーのみまたはアプリ プランによって、 環境のユーザーとして作成されます。
新着: 既定の環境タイプと開発者環境タイプにセキュリティ グループを割り当てることはできません。 既定の環境や開発者環境にセキュリティ グループを割り当てている場合は、セキュリティ グループを削除することを推奨します。理由としては、既定の環境はテナント内のすべてのユーザーと共有することを目的としており、開発者環境は環境の所有者のみが使用することを目的としているためです。
環境では、セキュリティとMicrosoft 365のグループの種類の関連付けをサポートしています。 その他のグループ タイプ への関連付けには対応していません。
セキュリティ グループを選択するときは、オンプレミスのWindows Active Directoryで作成されたセキュリティ グループではなく、Microsoft Entraセキュリティ グループを選択してください。 オンプレミスの Windows AD セキュリティ グループはサポートされていません。
ユーザーがその環境に割り当てられているセキュリティ グループに属していない場合でも、Power Platform の管理者ロールを持っていれば、そのユーザーはアクティブ ユーザーとして表示され、サインインできます。
ユーザーが Dynamics 365 サービス管理者ロールに割り当てられている場合、そのユーザーは、環境内で有効にする前にセキュリティ グループの一部である必要があります。 セキュリティ グループに追加されて有効にされるまでは、環境にアクセスできません。
すべてのアプリケーション ユーザーは、セキュリティ グループのメンバーでなくても、セキュリティ グループ でセキュリティ保護されている任意の環境で実行できます。
注意
セキュリティ グループのメンバーであるかどうかに関係なく、すべてのライセンス ユーザーには、環境内のデータにアクセスするためのセキュリティ ロールを割り当てる必要があります。 Web アプリケーションでセキュリティ ロールを割り当てます。 ユーザーがセキュリティ ロールを持っていない場合、アプリを実行しようとすると、データ アクセス拒否エラーが発生します。 ユーザーは、その環境に対して少なくとも 1 つのセキュリティ ロールが割り当てられるまで、環境にアクセスできません。 詳細については、環境セキュリティの構成 を参照してください。 試用環境では、環境への自動ユーザー割り当てはサポートされていません。 試用環境では、ユーザーを手動で割り当てる必要があります。
セキュリティ グループを作成し、セキュリティ グループにメンバーを追加する
Microsoft 365管理センターにサインインします。
チームとグループ>アクティブなチームとグループ を順に選択します。
+ グループを追加 を選択します。
種類を セキュリティ グループ に変更し、グループの 名前 および 説明 を追加して、追加>閉じる を選択します。
作成したグループを選択し、メンバーの隣の編集を選択します。
[ + メンバーの追加] を選択します。 セキュリティ グループに追加するユーザーを選択し、保存>閉じるを数回選択してグループのリストに戻ります。
セキュリティ グループからユーザーを削除するには、セキュリティ グループを選択して、メンバー の隣の 編集 を選択します。 - メンバーの削除を選択し、削除するメンバーの X を選択します。
注意
セキュリティ グループに追加するユーザーが作成されていない場合、ユーザーを作成して Dataverse のライセンスを割り当てます。
複数のユーザーを追加するには、「ユーザーを Office365 グループに一括で追加する」を参照してください。
ユーザーの作成およびライセンスの割り当て
Microsoft 365管理センターで、Users>Active users>+ Add a user を選択します。
ユーザー情報を入力し、ライセンスを選択して追加を選択します。
詳細情報: ユーザーの追加とライセンスの割り当てを同時に行う
または、アプリごとのパスを購入して割り当てます:アプリプランごとのPower Appsについて
注意
環境にアプリごとのPower Appsプランが割り当てられている場合、個々のライセンスが割り当てられないユーザーを含め、すべてのユーザーが環境にアクセスしようとしたときにライセンスが付与されたと見なされます。 環境でのアプリごとのプランの割り当ては、ユーザーが環境にアクセスするためのライセンス取得の要件を満たしています。
セキュリティ グループを環境に関連付ける
Power Platform 管理センターに管理者 (Dynamics 365 管理者または Microsoft Power Platform 管理者) としてサインインしてください。
ナビゲーション ウィンドウで、[管理] を選択 します。
[ 管理 ] ウィンドウで [ 環境] を選択し、セキュリティ グループを関連付ける環境を選択します。
[編集] を選択します。
[詳細の編集] ウィンドウで、[セキュリティ グループ] 領域の [編集] アイコンを選択します。
![[編集] アイコンを選択して、セキュリティ グループを選択します。](media/edit-security-groups-new-tab.png)
最初の 200 個のセキュリティ グループのみが返されます。 検索を使用して特定のセキュリティ グループを検索します。
セキュリティ グループを選択し、[ 完了] を選択して、[ 保存] を選択します。
セキュリティ グループは、その環境に関連付けられます。
注意
セキュリティ グループがアプリの環境に関連付けられているときにキャンバス アプリを実行するユーザーは、アプリが共有されているかどうかに関係なく、キャンバス アプリを実行できるセキュリティ グループのメンバーである必要があります。 そうしないと、ユーザーに次のエラー メッセージが表示されます: "この環境ではアプリを開くことができません。 環境のセキュリティ グループのメンバーではありません。Power Platform 管理者が組織のガバナンスの詳細を設定している場合、セキュリティ グループのメンバーシップについて連絡できるガバナンスに関する問い合わせ先が表示されます。