Udostępnij za pośrednictwem


Zarządzanie zespołami grup

Informacje o zespołach grup

Zespół grupy Microsoft Entra. Podobnie jak w przypadku zespołu właściciela, zespół grupy Microsoft Entra może być właścicielem rekordów i może mieć role zabezpieczeń przypisane do zespołu. Istnieją dwa typy zespołów grupa odpowiadające bezpośrednio typom grup Microsoft Entra — Security i Microsoft 365. Rola zabezpieczeń grupa może należeć do zespołu lub członka zespołu z uprawnieniami Użytkownika dziedziczenie uprawnień członków. Członkowie zespołu są tworzeni dynamicznie (dodawani lub usuwani) podczas dostępu do środowiska w oparciu o członkostwo w grupie Microsoft Entra.

Używanie grup Microsoft Entra do zarządzania aplikacją użytkownika i dostępem do danych

Administrowanie dostępem do aplikacji i danych dla Microsoft Dataverse zostało rozszerzone w celu umożliwienia administratorom korzystania z grup Microsoft Entra zdefiniowanych w organizacji w celu zarządzania prawami dostępu dla licencjonowanych użytkowników Dataverse.

Oba typy grup Microsoft Entra — Security i Microsoft 365 — mogą służyć do zabezpieczenia praw dostępu użytkowników. Korzystanie z grup umożliwia administratorom przypisywanie roli zabezpieczeń odpowiednimi uprawnieniami do wszystkich członków grupy, bez konieczności przyznawania praw dostępu indywidualnemu członkowi zespołu.

Oba typy grup Microsoft Entra — Microsoft 365 i Security — z Członkostwem typu Przypisane i Dynamiczny użytkownik mogą służyć do zabezpieczenia praw dostępu użytkowników. Typ członkostwa Użytkownik dynamiczny nie są obsługiwane. Korzystanie z grup umożliwia administratorom przypisywanie roli zabezpieczeń odpowiednimi uprawnieniami do wszystkich członków grupy, bez konieczności przyznawania praw dostępu indywidualnemu członkowi zespołu.

Administrator może utworzyć zespoły grup Microsoft Entra, które są skojarzone z grupami Microsoft Entra w każdym środowisku, a także przypisać rolę zabezpieczeń do tych zespołów grup. Dla każdej grupy Microsoft Entra administrator może utworzyć zespoły grupowe w oparciu o grupę Microsoft Entra Członkowie i/lub Właściciele lub Goście. Dla każdej grupy Microsoft Entra administrator może utworzyć oddzielne zespoły grupowe dla właścicieli, członków, gości i członków oraz gości, a także przypisać odpowiednią rolę bezpieczeństwa do każdego z tych zespołów.

Gdy członkowie tych zespołów grup uzyskują dostęp do tych środowisk, ich prawa dostępu są automatycznie przyznawane na podstawie roli zabezpieczeń zespołu grupy.

Napiwek

Symbol wideoSprawdź następujące wideo: Dynamiczne grupy Microsoft Entra.

Zapewnianie i usuwanie użytkowników

Po ustanowieniu zespołu grupy i jego roli zabezpieczeń w środowisku dostęp użytkownika do środowiska jest oparty na członkostwie użytkownika w grupach Microsoft Entra. Po utworzeniu nowego użytkownika w dzierżawie administrator musi tylko przypisać go do odpowiedniej grupy Microsoft Entra oraz przypisać licencje na usługę Dataverse. Użytkownik może natychmiast uzyskać dostęp do środowiska bez konieczności oczekiwania, aż administrator doda użytkownika do środowiska lub przypisze mu rolę zabezpieczeń. Użytkownik jest tworzony w środowisku należącym do głównej jednostki biznesowej.

Kiedy użytkownicy są usuwani/wyłączani w Microsoft Entra lub usuwani z grup Microsoft Entra, tracą członkowstwo w grupie i nie będą mieli dostępu do środowiska przy próbie zalogowania się.

Uwaga

Usunięty lub wyłączony użytkownik grupy pozostaje w środowisku Power Platform Dataverse, jeśli nie ma dostępu do tego środowiska.

Usuwanie użytkownika z zespołu grupy Dataverse:

  1. Zaloguj się w Centrum administracyjnym Power Platform.
  2. Wybierz środowisko, a następnie wybierz Ustawienia>Użytkownicy + uprawnienia>Użytkownicy.
  3. Wyszukaj i wybierz użytkownika.
  4. W formularzu Użytkownik kliknij przycisk polecenia ....
  5. Wybierz opcję Zarządzaj użytkownikiem usługi Dynamics 365.
  6. Na stronie Użytkownik wybierz zespół grupy Dataverse, z którego chcesz usunąć użytkownika.
  7. Wybierz przycisk Usuń.

Należy pamiętać, że jeśli zostanie przypadkowo usunięty użytkownik grupy aktywnej, zostanie on dodany z powrotem do zespołu grupy Dataverse przy następnym uruchomieniu przez niego dostępu do tego środowiska.

Usuwanie dostępu użytkownika w czasie wykonywania

Kiedy użytkownik jest usuwany z grup Microsoft Entra przez administratora, użytkownik jest usuwany z zespołu grup i traci prawa dostępu podczas następnego dostępu do środowiska. Członkostwo w grupach Microsoft Entra użytkownika i w zespołach grup usługi Dataverse jest zsynchronizowane, a prawa dostępu użytkowników są tworzone w sposób dynamiczny w czasie wykonywania.

Administrowanie rolą zabezpieczeń użytkownika

Administratorzy nie muszą już czekać, aż użytkownik przeprowadzi synchronizację ze środowiskiem, aby przypisać do niego rolę zabezpieczeń korzystając z zespołów grup Microsoft Entra. Po ustanowieniu i utworzeniu zespołu grup w środowisku z rolą zabezpieczeń wszyscy licencjonowani użytkownicy Dataverse, którzy są dodawani do grupy Microsoft Entra, mogą mieć natychmiastowy dostęp do środowiska.

Zablokuj dostęp użytkowników do środowisk

Administratorzy mogą nadal korzystać z grupy zabezpieczeń Microsoft Entra, aby zablokować listę użytkowników zsynchronizowanych ze środowiskiem. Można to dokładniej wzmacniać dzięki zespołom grup Microsoft Entra. Aby zablokować dostęp do środowiska lub aplikacji do środowisk z ograniczeniami, administrator może utworzyć oddzielne grupy Microsoft Entra dla każdego środowiska i przypisać odpowiednią rolę zabezpieczeń dla tych grup. Tylko członkowie zespołów grup Microsoft Entra mają prawa dostępu do środowiska.

Udostępnianie aplikacji Power Apps członkom zespołu w grupie Microsoft Entra

Gdy aplikacje oparte na kanwie i modelu są udostępniane zespołowi grupy Microsoft Entra, członkowie zespołu mogą natychmiast uruchamiać aplikacje.

Rekordy należące do użytkownika i do zespołu

Nowa właściwość została dodana do definicji roli zabezpieczeń w celu udostępnienia specjalnych uprawnień zespołu, gdy rola jest przypisana do zespołów grup. Ten typ roli zabezpieczeń umożliwia członkom zespołu otrzymywanie uprawnień na poziomie użytkownika/uprawnień podstawowych, tak jakby rola zabezpieczeń była przypisywana bezpośrednio do nich. Członkowie zespołu mogą tworzyć i pełnić rolę właścicieli rekordów bez konieczności przypisywania dodatkowej roli zabezpieczeń.

Zespół grupy może posiadać jeden lub więcej rekordów. Aby zespół stał się właścicielem rekordu, należy przypisać rekord do zespołu.

Podczas gdy zespoły zapewniają dostęp do grupy użytkowników, musisz kojarzyć indywidualnych użytkowników z rolami zabezpieczeń, które przyznają uprawnienia potrzebne im do tworzenia, aktualizowania lub usuwania należących do nich rekordów. Te uprawnienia nie mogą być stosowane przez przypisywanie roli zabezpieczeń uprawnienia dziedziczonego przez użytkownika nie będącego członkiem dla zespołu a następnie dodawanie użytkownika do tego zespołu. Jeśli musisz zapewnić członkom zespołu uprawnienia zespołu bezpośrednio bez ich własnych ról zabezpieczeń, możesz przypisać do zespołu rolę posiadającą dziedziczenie uprawnienia członków.

Aby uzyskać więcej informacji, zobacz Przypisywanie rekordu do użytkownika lub zespołu.

Tworzenie zespołu grupy

  1. Upewnij się, że przypisano Cię do roli zabezpieczeń Administrator systemu, Dyrektor ds. Sprzedaży, Wiceprezes ds. Sprzedaży, Wiceprezes ds. Marketingu lub Prezes Zarządu bądź dysponujesz równoważnymi uprawnieniami.

    Sprawdź swoją rolę zabezpieczeń:

    Wymagania wstępne:

    1. Grupa Microsoft Entra jest wymagana dla każdego zespołu grupy.
    2. Uzyskaj dla grup Microsoft Entra ObjectID z witryny https://portal.azure.com.
    3. Utwórz niestandardową rolę zabezpieczeń zawierającą uprawnienia zgodne z zapotrzebowaniem współpracy zespołu. Zapoznaj się z omówieniem uprawnień dziedziczonych członka jeśli musisz rozszerzyć uprawnienia członka bezpośrednio na użytkownika.
  2. Zaloguj się w Centrum administracyjnym Power Platform.

  3. Wybierz środowisko, a następnie wybierz Ustawienia>użytkownicy + uprawnienia>Zespoły.

  4. Wybierz + Utwórz zespół.

  5. Określ wymienione poniżej pola:

    • Nazwa zespołu: Upewnij się, że ta nazwa jest unikatowa w jednostce biznesowej.
    • Opis: Wprowadź opis zespołu.
    • Jednostka biznesowa: Wybierz jednostkę biznesową z listy rozwijanej.
    • Administrator: wyszukaj użytkowników w organizacji. Zacznij wpisywać znaki.
    • Typ zespołu: z listy rozwijanej wybierz typ zespołu.

    Zrzut ekranu przedstawiający ustawienia nowego zespołu Dataverse.

    Uwaga

    Zespół może być jednym z następujących typów: Właściciel, Dostęp, Grupa zabezpieczeń Microsoft Entra lub Grupa Pakietu Office Microsoft Entra.

  6. Jeśli typ zespołu to Grupa zabezpieczeń Microsoft Entra lub Grupa pakietu Office Microsoft Entra, należy także wprowadzić następujące pola:

    Zrzut ekranu przedstawiający ustawienia nowego zespołu Microsoft Entra.

Po utworzeniu zespołu można dodawać członków zespołu i wybierać odpowiednie role zabezpieczeń. Ten krok jest opcjonalny, ale zalecany.

Zobacz Jak członkowie grupy bezpieczeństwa Microsoft Entra dopasowują się do członków zespołu grupy Dataverse

Jak członkowie grupy bezpieczeństwa Microsoft Entra dopasowują się do członków zespołu grupy Dataverse

Sprawdź w poniższej tabeli, jak członkowie grup Microsoft Entra dopasowują się do członków zespołów grupy Dataverse.

Wybierz typ członkostwa w zespole grupy Dataverse (4) Wynikające z tego członkostwo
Członkowie i goście Wybierz ten typ, aby uwzględnić zarówno typy użytkowników Member, jak i Guest (3) z kategorii grup Microsoft Entra (1).
Członkowie Wybierz ten typ, aby uwzględnić tylko użytkowników typu Member (3) z kategorii grup Microsoft Entra Members (1).
Właściciele Wybierz ten typ, aby uwzględnić tylko użytkowników typu Member (3) z kategorii grup Microsoft Entra Owners (2).
Goście Wybierz ten typ, aby uwzględnić tylko użytkowników typu Guest (3) z kategorii grup Microsoft Entra Members (1).

Edytuj zespół grupy

  1. Upewnij się, że przypisano Cię do roli zabezpieczeń Administrator systemu, Dyrektor ds. Sprzedaży, Wiceprezes ds. Sprzedaży, Wiceprezes ds. Marketingu lub Prezes Zarządu bądź dysponujesz równoważnymi uprawnieniami.

  2. Zaloguj się w Centrum administracyjnym Power Platform.

  3. Wybierz środowisko, a następnie wybierz Ustawienia>użytkownicy + uprawnienia>Zespoły.

  4. Zaznacz pole wyboru dla nazwy zespołu.

    Wybieranie zespołu za pomocą zrzutów ekranu.

  5. Zaznacz Edytuj zespół. Tylko Nazwa zespołu, Opis i Administrator mogą być edytowane.

  6. Zaktualizuj pola zgodnie z wymaganiami, a następnie wybierz opcję Aktualizuj.

    Zrzut ekranu przedstawiający edycję zespołu.

Uwaga

  • Aby edytować Jednostkę biznesową, zobacz temat Zmienianie jednostki biznesowej zespołu.
  • Można tworzyć zespoły grup Dataverse — Członkowie, Właściciele, Goście i Członkowie oraz Goście pogrupowane według środowiska na podstawie typu członkostwa w grupie Microsoft Entra dla każdej grupy Microsoft Entra. Identyfikator ObjectId Microsoft Entra ID zespołu grupy nie może być edytowany po utworzeniu zespołu grupy.
  • Po utworzeniu zespołu grupy Dataverse nie można zmienić typu członkostwa. Jeśli jest konieczne zaktualizowanie tego pola, należy usunąć zespół grupy i utworzyć nowy zespół.
  • Wszystkie istniejące zespoły grupowe utworzone przed dodaniem nowego Typ członkostwa są automatycznie aktualizowane jako Członkowie i goście. Nie ma utraty funkcjonalności z tymi zespołami grupowymi, ponieważ domyślny zespół grupy jest mapowany na grupę Microsoft Entra Członkowie i goście typ członkostwa.
  • Jeśli Twoje środowisko ma grupę zabezpieczeń, musisz dodać grupę Microsoft Entra zespołu grupy jako członka tej grupy zabezpieczeń, aby użytkownicy zespołu mogli uzyskiwać dostęp do środowiska.
  • Lista członków zespołu wymienionych w każdym zespole grupy ukazuje tylko członków użytkownika, którzy mają dostęp do środowiska. Ta lista nie pokazuje wszystkich członków grupy dla grupy Microsoft Entra. Gdy członek grupy Microsoft Entra uzyskuje dostęp do środowiska, jest on dodawany do zespołu grupy. Uprawnienia członków zespołu są obliczane dynamicznie w czasie wykonywania przez dziedziczenie roli zabezpieczeń zespołu grupy. Ponieważ rola zabezpieczeń jest przypisana do zespołu grupy, a członek zespołu grupy dziedziczy uprawnienia, rola zabezpieczeń nie jest przypisywana bezpośrednio do członka zespołu grupy. Ze względu na to, że uprawnienia członków zespołu są uzyskiwane dynamicznie w czasie wykonywania, członkostwa w grupie Microsoft Entra członków zespołu są przechowywane w pamięci podręcznej po zalogowaniu członka zespołu. Oznacza to, że jakakolwiek konserwacja członkostwa w grupie Microsoft Entra wykonana na członku zespołu w Microsoft Entra ID nie zostanie odzwierciedlona do czasu następnego zalogowania się członka zespołu lub gdy system odświeży pamięć podręczną (po 8 godzinach ciągłego logowania).
  • Członkowie grupy Microsoft Entra są również dodawani do zespołu grup z wywołaniami personifikacji. Możesz użyć funkcji tworzenia członków grupy w zespole grupy w imieniu innego użytkownika przy użyciu personifikacji.
  • Członkowie zespołu są dodawana lub usuwani z zespołu grupy w czasie wykonywania, gdy rejestrują się w środowisku. Te zdarzenia dodawania i usuwania członków grupy mogą być używane do wyzwalania operacji dodatków plug-in.
  • Nie musisz przypisywać członkom zespołu żadnych ról zabezpieczeń, jeśli rola zabezpieczeń zespołu grupa ma dziedziczenie uprawnień członków, a rola zabezpieczeń zawiera co najmniej jedno uprawnienie, które ma uprawnienie na poziomie Użytkownik.
  • Nazwa zespołu grupy nie jest automatycznie aktualizowana po zmianie nazwy grupy usługi Microsoft Entra. Zmiana nazwy grupy nie ma wpływu na działanie systemu, ale zaleca się jej zaktualizowanie w ustawieniach Teams centrum administracyjnego Power Platform.
  • Członkowie grupy AD są automatycznie tworzeni w środowisku przy pierwszym uzyskiwaniu dostępu do środowiska. Użytkownicy są dodawani w ramach głównej jednostki biznesowej. Nie trzeba przenosić użytkownika do innej jednostki biznesowej, aby zarządzać dostępem użytkowników do danych, jeśli włączono funkcję Zmodernizowanych jednostek biznesowych.

Zarządzaj rolami zabezpieczeń zespołu

  1. Zaznacz pole wyboru dla nazwy zespołu.

    Wybieranie zespołu za pomocą zrzutów ekranu.

  2. Wybierz Zarządzaj rolami zabezpieczeń.

  3. Wybierz odpowiednią rolę lub role, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający zarządzanie rolami zabezpieczeń.

Zmienianie jednostki biznesowej dla zespołu

Zobacz: Zmienianie jednostki biznesowej dla zespołu.

Dodanie typów zespołów grupowych do domyślnego widoku lookupu

W przypadku ręcznego przypisywania rekordu lub udostępniania rekordu za pomocą wbudowanego formularza domyślna lista opcji nie wybiera niektórych typów zespołu grup, takich jak Microsoft Entra ID. Możesz edytować filtr w domyślnym widoku przeglądania tabeli drużyn, tak aby uwzględniał on te grupy.

  1. Zaloguj się w Power Apps.

  2. Wybierz Dataverse>Tabele>Zespół>Widoki>Widok przeglądania zespołów>Edytuj filtry

  3. Ustaw Typ zespołu, równoznaczny z: Grupa Biurowa AAD, Grupa Bezpieczeństwa AAD, Właściciel

Dodaj grupę Microsoft Entra Office i Microsoft Entra Security Group do typu zespół.

  1. Wybierz OK>Zapisz>Opublikuj.

Usuwanie członków zespołu i zespołu grupy

Można usunąć zespół grupy, usuwając w pierwszej kolejności wszystkich członków zespołu z zespołu grupy Dataverse.

Usuwanie grupy Microsoft Entra

Po usunięciu grupy Microsoft Entra z witryny Azure Portal wszyscy członkowie są automatycznie usuwani z zespołu grupy Dataverse w środowisku w ciągu 24 godzin. Zespół grupy Dataverse można następnie usunąć po usunięciu wszystkich członków.

Inne operacje zespołu

Zobacz:

Zobacz też

Zarządzanie zespołami
Film: Członkostwo w grupie Microsoft Entra
Utwórz grupę podstawową i dodaj członków za pomocą Microsoft Entra ID
Szybki start: Wyświetlanie grup i członków organizacji w Microsoft Entra ID