グループ チームの管理

  • [アーティクル]

グループ チームについて

Microsoft Entra グループ チーム。 所有者チームと同様に、Microsoft Entra グループ チームはレコードを所有でき、チームにセキュリティ ロールを割り当てられます。 グループ チームの種類はふたつあり、それらは Microsoft Entra グループの種類 - セキュリティと Microsoft 365 に直接対応しています。 グループ セキュリティ ロールはチーム専用、またはユーザー権限である メンバーの権限継承 を持つチーム メンバー用です。 チーム メンバーは、環境にアクセスすると、Microsoft Entra グループ メンバーシップに基づいて動的に派生 (追加または削除) します。

Microsoft Entra グループを使用したユーザーのアプリとデータ アクセスの管理

Microsoft Dataverse のアプリおよびデータ アクセスの管理が拡張され、管理者が組織の Microsoft Entra グループを使用して、ライセンスを付与された 顧客 エンゲージメント と Dataverse ユーザーのアクセス権を管理ができます。

セキュリティ と Microsoft 365 の両方のタイプの Microsoft Entra グループを使用して、ユーザーのアクセス権のセキュリティを保護することができます。 グループを使用して管理者を個々チームのメンバに対するアクセス権を提供する必要がある場合、グループのすべてのメンバーの特権は、のセキュリティ ロールを割り当てを行うことができます。

セキュリティと Microsoft 365 の両方のタイプの Microsoft Entra グループを使用して、割り当て済みダイナミック ユーザー いうメンバーシップ タイプを設定して、ユーザーのアクセス権を確保することができます。 メンバーシップ タイプ 動的デバイス には対応していません。 グループを使用して管理者を個々チームのメンバに対するアクセス権を提供する必要がある場合、グループのすべてのメンバーの特権は、のセキュリティ ロールを割り当てを行うことができます。

管理者は、それぞれの環境の Microsoft Entra グループに関連付けられた Microsoft Entra グループ チームを作成して、それらのグループ チームにセキュリティ ロールを割り当てることができます。 各 Microsoft Entra グループでは、管理者は Microsoft Entra グループ メンバー所有者、または ゲスト に基づいて、グループ チームを作成できます。 各 Microsoft Entra グループで、管理者は、所有者、メンバー、ゲストとメンバー、ゲストの個別のグループ チームを作成して、それらの各チームに個別のセキュリティ ロールを割り当てることができます。

それらのグループ チームのメンバーがそれらの環境にアクセスすると、グループ チームのセキュリティ ロールに基づいてアクセス権が自動的に付与されます。

ヒント

ビデオ記号 次のビデオをご確認ください: Dynamic Microsoft Entra グループ

ユーザーのプロビジョニングとプロビジョニング解除

環境でグループ チームとそのセキュリティ ロールを定義すると、環境へのユーザー アクセスは Microsoft Entra グループのユーザー メンバーシップに基づいて行われます。 テナントで新しいユーザーを作成する場合、管理者が行う必要があるのは、ユーザーを適切な Microsoft Entra グループに割り当てて、Dataverse のライセンスを付与することだけです。 ユーザーは、管理者がユーザーを環境に追加するか、セキュリティ ロールを割り当てるのを待つことなく、すぐに環境にアクセスできます。 ユーザーは、ルート ビジネス ユニットの下の環境に作成されます。

ユーザーが Microsoft Entra の ID で削除または無効化されたり、Microsoft Entra のグループから削除されると、そのユーザーはグループのメンバーシップを失い、サイン イン試行時に環境にアクセスできなくなります。

注意

削除または無効化されたグループ ユーザーは、ユーザーが環境にアクセスしなかった場合、Power Platform Dataverse 環境に残ります。

Dataverse グループ チームからユーザーを削除する方法。

  1. Power Platform 管理センターにサインインします。
  2. 環境を選択してから、設定>ユーザー + 権限>ユーザーの順に選択します。
  3. ユーザーを検索して選択します。
  4. ユーザー フォームで、... コマンドをクリックします。
  5. Dynamics 365 でユーザーを管理するオプションを選択します。
  6. ユーザー ページで、ユーザーを削除する Dataverse グループ チームを選択します。
  7. 削除 ボタンを選択します。

アクティブなグループ ユーザーを誤って削除した場合、そのグループ ユーザーは、次回環境にアクセスしたときに Dataverse グループ チームに再度追加されることにご注意ください。

実行時にユーザー アクセスを削除する

ユーザーが管理者によって Microsoft Entra グループから削除すると、ユーザーは、グループ チームから削除され、次に環境にアクセスしたときにアクセス権を失います。 ユーザーの Microsoft Entra グループと Dataverse グループ チームのメンバーシップが同期され、ユーザーのアクセス権が実行時に動的に抽出されます。

ユーザー セキュリティ ロールを管理します。

管理者はユーザーが環境に同期するのを待つ必要がなく、 Microsoft Entra グループ チームを使用して個別にユーザーにセキュリティ ロールを割り当てる必要はありません。 セキュリティ ロールを持つ環境でグループ チームが確立され作成されると、Microsoft Entra グループに追加されたライセンスを取得した Dataverse ユーザーはすぐに環境にアクセスできます。

環境へのユーザー アクセスをロックダウンします。

管理者は引き続き環境に同期されたユーザーの一覧をロックダウンするために Microsoft Entra セキュリティ グループを使用できます。 これは、Microsoft Entra グループ チームを使用して、さらに強化することができます。 制限されている環境やアプリへのアクセスをロックするために、管理者は環境ごとに個別の Microsoft Entra グループを作成して、それらのグループに適切なセキュリティ ロールを割り当てることができます。 それらの Microsoft Entra グループ チームのメンバーのみが、環境へのアクセス権を持ちます。

Microsoft Entra グループのチーム メンバーでの Power Apps の共有

キャンバス アプリとモデル駆動型アプリが Microsoft Entra グループ チームと共有されている場合、チーム メンバーは、直ちにアプリケーションを実行できます。

ユーザー所有レコードとチーム所有レコード

新しいプロパティは、ロールがグループ チームに割り当てられると特別なチーム特権が与えられるため、セキュリティ ロールの定義に追加されました。 このタイプのセキュリティ ロールは、セキュリティ ロールが直接割り当てられているかのようにチーム メンバーにユーザー/基本レベルの特権を付与することができます。 チーム メンバーは、追加のセキュリティ ロールを割り当てる必要なく、レコードを作成して所有者になることができます。

グループ チームは、1 つ以上のレコードを所有できます。 チームをレコードの所有者にするには、レコードをチームに割り当てる必要があります。

チームはユーザー のグループへのアクセスを提供しますが、ユーザー所有のレコードを作成、更新、削除するには、必要な権限を付与するセキュリティ ロールを個々のユーザーに関連付ける必要があります。 これらの権限は、メンバー以外の権限を継承したセキュリティ ロールをチームに割り当てて、そのユーザーをチームに追加することでは適用できません。 自身のセキュリティ ロールを使用せずにチーム メンバーにチームの権限を直接提供する必要がある場合は、チームに メンバーの権限を継承 セキュリティ ロールを割り当てることができます。

詳細は ユーザーまたはチームへのレコードの割り当て を参照してください。

グループ チームの作成

  1. システム管理者、営業マネージャー、営業部長、マーケティング部長、最高経営責任者、のいずれかのセキュリティ ロール、または同等のアクセス許可を持っている必要があります。

    セキュリティ ロールの確認:

    • ユーザー プロファイルの表示」の手順を実行してください。
    • 適切なアクセス許可を持っていない場合は? システム管理者に問い合わせてください。

    前提条件:

    1. 各グループ チームには、Microsoft Entra グループが必要です。
    2. https://portal.azure.com サイトから Microsoft Entra グループの ObjectID を取得します。
    3. チームの共同作業要件にごとに権限を含むカスタム セキュリティ ロールを作成します。 チーム メンバーの特権を直接ユーザーに拡張する必要がある場合は、メンバーの継承された特権を参照してください。

  2. Power Platform 管理センター にサインインします。

  3. 環境を選択してから、設定>ユーザー + 権限>チームの順に選択します。

  4. + チームの作成 を選択します。

  5. 次のフィールドを指定します。

    • チーム名: この名前は、事業単位内で一意である必要があります。
    • 説明: チームの説明を入力します。
    • 部署: ドロップダウン リストから部署を選択します。
    • 管理者: 組織内のユーザーを検索します。 文字の入力を開始します。
    • チームの種類: ドロップダウン リストからチームの種類を選択します。

    新しい Dataverse チームの設定のスクリーンショット。

    注意

    チームのタイプは次のいずれかです: 所有者、アクセス、Microsoft Entra セキュリティ グループ、または Microsoft Entra Office グループ。

  6. チーム タイプが Microsoft Entra セキュリティ グループまたは Microsoft Entra オフィス グループの場合は、次のフィールドも入力する必要があります。

    新しい Microsoft Entra チームの設定のスクリーンショット。

チームを作成した後、チーム メンバーを追加し、対応するセキュリティ ロールを選択できます。 この手順はオプションですが、お勧めする手順です。

Microsoft Entra セキュリティ グループのメンバーは Dataverse グループ チーム メンバーに一致させる方法 をご覧ください

Microsoft Entra メンバーが Dataverse グループ チーム メンバーに一致させる方法

次の表で、Microsoft Entra グループは Dataverse グループ チーム メンバーに一致します。

Dataverse グループ チーム メンバーシップ タイプ (4) の選択 結果として生じるメンバーシップ
メンバーとゲスト このタイプを選択して、メンバーとゲストの両方のユーザータイプ (3) を Microsoft Entra グループ カテゴリ メンバー (1) に含めます。
メンバー このタイプを選択して、Microsoft Entra グループ カテゴリ メンバー (1) からのユーザー タイプのメンバー (3) のみを含めます。
所有者 このタイプを選択して、Microsoft Entra グループ カテゴリ所有者 (2) からのユーザー タイプのメンバー (3) のみを含めます。
ゲスト このタイプを選択して、Microsoft Entra グループ カテゴリ メンバー (1) からのユーザー タイプがゲスト (3) のみを含めます。

グループ チームを編集する

  1. システム管理者、営業マネージャー、営業部長、マーケティング部長、最高経営責任者、のいずれかのセキュリティ ロール、または同等のアクセス許可を持っている必要があります。

  2. Power Platform 管理センター にサインインします。

  3. 環境を選択してから、設定>ユーザー + 権限>チームの順に選択します。

  4. チーム名のチェック ボックスを選択します。

    チームの選択のスクリーンショット。

  5. チームの編集 を選択します。 編集できるのは、チーム名説明、および 管理者 のみです。

  6. 必要に応じてフィールドを更新し 更新 を選択します。

    チームの編集のスクリーンショット。

注意

  • 部署を編集するには、チームに対する部署の変更 を参照してください。
  • 各 Microsoft Entra グループの Microsoft Entra グループ メンバーシップの種類に基づいて、環境ごとに Dataverse グループ チーム - メンバー所有者ゲスト、および メンバーとゲスト を作成できます。 グループ チームの Microsoft Entra ID ObjectId は、グループ チームの作成後は編集することはできません。
  • グループ チームの作成後に Dataverse メンバーシップ タイプを変更することはできません。 このフィールドを更新する必要がある場合は、グループ チームを削除して、新しいチームを作成する必要があります。
  • 新しいメンバーシップ タイプ フィールドが追加される前に作成されたすべての既存のグループ チームは、メンバーとゲストとして自動的に更新されます。 既定のグループ チームが、Microsoft Entra グループのメンバーとゲストのメンバーシップ タイプにマップされているため、これらのグループ チームの機能が失われることはありません。
  • 環境にセキュリティ グループがある場合は、グループ チームのユーザーが環境にアクセスできるようにするために、グループ チームの Microsoft Entra グループをセキュリティ グループのメンバーとして追加する必要があります。
  • 各グループ チームに列挙されたチーム メンバーの一覧には、環境にアクセスしたユーザー メンバーのみが表示されます。 この一覧は Microsoft Entra グループのすべてのグループ メンバーを表示するものではありません。 Microsoft Entra グループ メンバーが環境にアクセスすると、グループ メンバーがグループ チームに追加されます。 チーム メンバーの特権は、グループ チームのセキュリティ ロールを継承することにより実行時に動的に派生します。 セキュリティ ロールはグループ チームに割り当てられ、グループ チーム メンバーは特権を継承するため、セキュリティ ロールはグループ チーム メンバーに直接割り当てられません。 チーム メンバーの特権が実行時に動的に派生するため、チーム メンバーの Microsoft Entra グループ メンバーシップはチーム メンバー ログインにキャッシュされます。 この問題は次にチーム メンバーが ログインするまで、またはシステムがキャッシュを更新するまで (連続ログイン8時間以降)、Microsoft Entra ID でチーム メンバーに対して行われた Microsoft Entra のグループ メンバーシップのメンテナンスに反映されないことを意味します。
  • Microsoft Entra グループ メンバーも偽装呼び出しでグループ チームに追加されます。 偽装を使用して、別のユーザーに代わってグループ チームにグループ メンバーを作成することができます。
  • チーム メンバーは、グループ メンバーが環境にサインインする実行時にグループ チームに追加または削除されます。 これらのグループ メンバーの追加イベントと削除イベントは、プラグイン操作をトリガーするために使用できます。
  • グループ チームのセキュリティ ロールに メンバーの権限継承 があり、セキュリティ ロールにユーザー レベルの権限を持つ少なくとも 1 つの権限が含まれている場合は、チーム メンバーに個別のセキュリティ ロールを割り当てる必要はありません。
  • Microsoft Entra グループ名が変更されても、グループのチーム名は自動的に更新されません。 グループ名の変更によるシステム動作への影響はありませんが、Power Platform 管理センターのTeams設定で更新することをお勧めします。
  • AD グループのメンバーは、最初に環境にアクセスしたときに環境内に自動的に作成されます。 ユーザーが、 ルート ビジネス ユニットに追加されています。 最新のビジネス ユニット を有効にしてユーザーのデータ アクセスを管理できるようにした場合は、ユーザーを別のビジネス ユニットに移動する必要はありません。

チームのセキュリティ ロールの管理

  1. チーム名のチェック ボックスを選択します。

    チームの選択のスクリーンショット。

  2. セキュリティ ロールの管理 を選択します。

  3. 必要なロール (複数可) を選択して、保存 を選択します。

    セキュリティ ロールの管理のスクリーンショット。

チームに対する部署の変更

チームに対する部署の変更 を参照してください。

規定のルック アップビューにグループ チームの種類を追加する

手動でレコードを割り当てる場合、または組み込みフォームを使用してレコードを共有する場合、デフォルトのオプション リストでは、Microsoft Entra ID などの一部のグループ チーム タイプが選択されません。 チームテーブルの規定のルックアップ ビューのフィルターを編集して、これらのグループを含めることができます。

  1. Power Apps にサインインします。

  2. Dataverse>テーブル>チーム>ビュー>Teams 検索ダイアログ ビュー>フィルターの編集を選択します

  3. チームタイプAAD オフィス グループAAD セキュリティ グループオーナー等しいに設定します

チームの種類に Microsoft Entra Office グループと Microsoft Entra セキュリティ グループを追加します。

  1. OK>保存>公開を選択します。

チーム メンバーとグループ チームを削除する

まず、すべてのチーム メンバーを Dataverse グループ チームから削除することでグループ チームを削除できます

Microsoft Entra グループを削除する

Microsoft Entra グループが Azure.portal から削除されると、24 時間以内に、環境の Dataverse グループ チームからすべてのメンバーが自動的に削除されます。 すべてのメンバーが削除された後に、Dataverse グループ チームを削除できます

その他のチームの操作

次を参照してください:

参照

チームの管理
ビデオ: Microsoft Entra グループ メンバーシップ
Microsoft Entra ID を使用して基本グループを作成してメンバーを追加する
クイック スタート: Microsoft Entra ID で組織のグループとメンバーを表示する