環境へのユーザー アクセスのコントロール: セキュリティ グループおよびライセンス

  • [アーティクル]

複数の環境を持つ会社の場合、セキュリティ グループを使用して、どのライセンスを付与されたユーザーが特定の環境のメンバーになれるかコントロールできます。

注意

Microsoft Dataverse for Teams でのユーザー アクセスの仕組みについては、Dataverse for Teams 環境へのユーザー アクセス を参照してください。

次のようなシナリオの例を考慮します。

Environment セキュリティ グループ パーパス
Coho のワイン醸造所の Sales Sales_SG 営業案件を作成し、見積もりを処理し、取引をクローズする環境へのアクセスを提供します。
Coho のワイン醸造所のマーケティング Marketing_SG マーケティング キャンペーンや広告によるがマーケティング活動を推進する環境へのアクセスを提供します。
Coho のワイン醸造所のサービス Service_SG 顧客のサポート案件を処理する環境へのアクセスを提供します。
コーホー ワイナリーの開発 Developer_SG 開発やテストに使用するサンドボックス環境へのアクセスが可能になります。

この例では、4 つのセキュリティ グループにより、特定の環境に対するアクセスがコントロールされます。

セキュリティ グループに関する以下の情報に注意してください:

  • 入れ子のセキュリティ グループについて

    環境セキュリティ グループ内の入れ子のセキュリティ グループのメンバーは、事前にプロビジョニングされたり、環境に自動的に追加されたりすることはありません。 ただし、入れ子のセキュリティ グループに Dataverse グループ チーム を作成すると、環境に追加できます。

    このシナリオの例: 環境が作成されたときに、環境にセキュリティ グループを割り当てました。 環境のライフサイクルの間に、セキュリティ グループで管理されるメンバーを環境に追加します。 たとえばセキュリティ グループを Microsoft Entra ID マネージャーに作成し、すべてのマネージャー全員をそのグループに割り当てます。 次に、このセキュリティ グループを環境セキュリティ グループの子として追加し、Dataverse グループ チーム を作成して、セキュリティ ロールをグループ チームに割り当てます。 これで、マネージャーは Dataverse にすぐにアクセスできます。

    入れ子のセキュリティ グループのメンバーは、メンバーが初めて環境にアクセスしたときに、実行時に環境にも追加されます。 ただし、メンバーはセキュリティ ロール が割り当てられるまで、アプリケーションを実行したり、データにアクセスしたりすることはできません。

  • ユーザーがセキュリティ グループに追加されると、そのユーザーは環境に追加されます。

  • ユーザーがグループから削除された場合、環境で無効になります。

  • セキュリティ グループがユーザーの既存の環境に関連付けられている場合は、グループのメンバーではない環境のすべてのユーザーが無効になります。

  • 環境にセキュリティ グループが関連付けられていない場合、Dataverse ライセンス (カスタマー エンゲージメント アプリ—Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation—Power Automate、Power Apps など) を持つすべてのユーザーが、ユーザーとして作成され、環境で有効になります。

  • セキュリティ グループが環境と関係づけられている場合、環境セキュリティ グループのメンバーである Dataverse ライセンスを持つユーザーのみまたはアプリ プランによって、 環境のユーザーとして作成されます。

  • セキュリティ グループを指定しない場合、Dataverse ライセンス (Dynamics 365 Sales や Customer Service などの Customer Engagement アプリ)、またはアプリごとのプランを持つ、すべてのユーザーは新しい環境に追加されます。

  • 新着: 既定の環境タイプと開発者環境タイプにセキュリティ グループを割り当てることはできません。 既定の環境や開発者環境にセキュリティ グループを割り当てている場合は、セキュリティ グループを削除することを推奨します。理由としては、既定の環境はテナント内のすべてのユーザーと共有することを目的としており、開発者環境は環境の所有者のみが使用することを目的としているためです。

  • 環境は、以下のグループ タイプの関連付けをサポートします: セキュリティと Microsoft 365。 その他のグループ タイプ への関連付けには対応していません。

  • セキュリティ グループを選択する際は、オンプレミスの Windows Active Directory で作成したセキュリティ グループではなく、必ず Microsoft Entra セキュリティ グループを選択してください。 オンプレミスの Windows AD のセキュリティ グループには対応していません。

  • ユーザーが環境に割り当てられたセキュリティ グループに属していないものの、Azure テナントのグローバル管理者ロールを持っている場合、そのユーザーは引き続きアクティブ ユーザーとして表示され、サインインできます。

  • ユーザーに Dynamics 365 サービス管理者のロールが割り当てられている場合、そのユーザーは、環境で有効になる前にセキュリティ グループの一部である必要があります。 セキュリティ グループに追加されて有効になるまで、環境にアクセスできません。

注意

セキュリティ グループのメンバーであるかどうかに関係なく、すべてのライセンス ユーザーには、環境内のデータにアクセスするためのセキュリティ ロールを割り当てる必要があります。 Web アプリケーションでセキュリティ ロールを割り当てます。 ユーザーがセキュリティ ロールを持っていない場合、アプリを実行しようとすると、データ アクセス拒否エラーが発生します。 ユーザーは、その環境に対して少なくとも 1 つのセキュリティ ロールが割り当てられるまで、環境にアクセスできません。 詳細については、環境セキュリティの構成 を参照してください。 環境への自動ユーザー割り当ては、試用環境ではサポートされていません。 試用環境では、ユーザーを手動で割り当てる必要があります。

セキュリティ グループを作成し、セキュリティ グループにメンバーを追加する

  1. Microsoft 365 管理センターにサインインします。

  2. チームとグループ>アクティブなチームとグループ を順に選択します。

  3. + グループを追加 を選択します。

  4. 種類を セキュリティ グループ に変更し、グループの 名前 および 説明 を追加して、追加>閉じる を選択します。

  5. 作成したグループを選択し、メンバーの隣の編集を選択します。

  6. + メンバーを追加を選択します。 セキュリティ グループに追加するユーザーを選択し、保存>閉じるを数回選択してグループのリストに戻ります。

セキュリティ グループからユーザーを削除するには、セキュリティ グループを選択して、メンバー の隣の 編集 を選択します。 - メンバーの削除を選択し、削除するメンバーの X を選択します。

Note

セキュリティ グループに追加するユーザーが作成されていない場合、ユーザーを作成して Dataverse のライセンスを割り当てます。

複数のユーザーを追加するには、「ユーザーを Office365 グループに一括で追加する」を参照してください。

ユーザーの作成およびライセンスの割り当て

  1. Microsoft 365 管理センターにサインインし、ユーザー>アクティブ ユーザー>+ ユーザーの追加 を選択します。

  2. ユーザー情報を入力し、ライセンスを選択して追加を選択します。

    詳細情報: ユーザーの追加とライセンスの割り当てを同時に行う

または、アプリごとのパスを購入して割り当てます: アプリごとの Power Apps プランについて

注意

環境にアプリごとの Power Apps プランが割り当てられている場合、個々のライセンスが割り当てられていないユーザーを含め、すべてのユーザーが環境にアクセスしようとしたときに、ライセンスが付与されていると見なされます。 環境でのアプリごとのプランの割り当ては、ユーザーが環境にアクセスするためのライセンス取得の要件を満たしています。

セキュリティ グループを環境に関連付ける

  1. 管理者として Power Platform 管理センター にサインインします (Dynamics 365 管理者、グローバル管理者、または Microsoft Power Platform 管理者)。

  2. ナビゲーション ペインで、環境 を選択します。

  3. 環境の名前を選択します。

  4. 編集 を選択します。

    編集を選択します。

  5. 詳細の編集 ペインで、セキュリティ グループ エリアの 編集 アイコンを選択します。

    [編集] アイコンを選択して、セキュリティ グループを選択します。

    最初の 200 のセキュリティ グループのみが返されます。 検索 を使用して、特定のセキュリティ グループを探します。

  6. セキュリティ グループを選択し、完了を選択してから保存を選択します。

    セキュリティ グループは、その環境に関連付けられます。

注意

セキュリティ グループがアプリの環境に関連付けられているときにキャンバス アプリを実行するユーザーは、アプリが共有されているかどうかに関係なく、キャンバス アプリを実行できるセキュリティ グループのメンバーである必要があります。 代わりに、ユーザーには次のエラーメッセージが表示されます: 「この環境ではアプリを開くことができません。 環境のセキュリティ グループのメンバーではありません。」 Power Platform 管理者が組織の ガバナンスの詳細を設定 している場合は、セキュリティ グループのメンバーシップについて問い合わせることができる、ガバナンスの連絡先が表示されます。

参照

ユーザーの作成