Compartilhar via


Gerenciar equipes do grupo

Sobre as equipes do grupo

Uma Microsoft Entra equipe de grupo. Semelhante à equipe do proprietário, uma equipe do grupo do Microsoft Entra pode possuir registros e pode ter direitos de acesso atribuídos à equipe. Existem dois tipos de equipe do grupo e eles correspondem diretamente aos tipos de grupo do Microsoft Entra – Segurança e Microsoft 365. O direito de acesso de grupo pode ser somente para a equipe ou para um membro da equipe com privilégios de usuário de herança de privilégio do membro. Os membros da equipe são derivados dinamicamente (adicionados e removidos) quando acessam o ambiente com base em sua associação ao grupo do Microsoft Entra.

Usar grupos do Microsoft Entra para gerenciar o acesso a dados e a aplicativos de um usuário

A administração de acesso a dados e aplicativos do Microsoft Dataverse foi estendida para permitir que os administradores usem grupos do Microsoft Entra de suas organizações para gerenciar direitos de acesso para usuários licenciados do Dataverse.

Ambos os tipos de grupos do Microsoft Entra – Security e Microsoft 365 – podem ser usados para proteger os direitos de acesso do usuário. Usar grupos permite que administradores atribuam um direito de acesso com seus respectivos privilégios a todos os membros do grupo, em vez de ter que fornecer os direitos de acesso a um membro da equipe individual.

Ambos os tipos de grupos do Microsoft Entra – Security e Microsoft 365 – com um tipo de associação Atribuído e Usuário dinâmico podem ser usados para proteger os direitos de acesso do usuário. Não há suporte para o tipo de associação Usuário dinâmico. Usar grupos permite que administradores atribuam um direito de acesso com seus respectivos privilégios a todos os membros do grupo, em vez de ter que fornecer os direitos de acesso a um membro da equipe individual.

O administrador pode criar equipes de grupos do Microsoft Entra associadas aos grupos do Microsoft Entra em cada um dos ambientes e atribuir um direito de acesso a essas equipes de grupos. Para cada grupo do Microsoft Entra, o administrador pode criar equipes de grupo com base no grupo do Microsoft Entra Membros e/ou Proprietários ou Convidados. Para cada grupo do Microsoft Entra, um administrador poderá criar equipes de grupos separadas para proprietários, membros, convidados e membros e convidados e atribuir o respectivo direito de acesso a cada uma dessas equipes.

Quando os membros dessas equipes de grupo acessam esses ambientes, seus direitos de acesso são concedidos automaticamente com base na função de segurança da equipe de grupo.

Dica

Símbolo de vídeoConfira o seguinte Video: Grupos Microsoft Entra dinâmicos.

Provisionar e desprovisionar usuários

Depois que a equipe de grupo e seu direito de acesso são estabelecidos em um ambiente, o acesso do usuário ao ambiente é baseado na associação do usuário aos grupos do Microsoft Entra. Quando um novo usuário é criado no locatário, o administrador só precisa atribuir o usuário ao grupo apropriado do Microsoft Entra e atribuir licenças do Dataverse. O usuário pode acessar o ambiente imediatamente, sem a necessidade de esperar que o administrador adicione o usuário ao ambiente ou atribua um direito de acesso. O usuário é criado no ambiente da unidade de negócios raiz.

Quando os usuários são excluídos ou desabilitados no Microsoft Entra ID ou removidos dos grupos do Microsoft Entra, eles perdem a associação de grupo e não poderão acessar o ambiente quando tentarem entrar.

Observação

O usuário do grupo excluído ou desabilitado permanecerá no ambiente do Power Platform Dataverse, se o usuário não tiver acessado o ambiente.

Para remover o usuário da equipe do grupo do Dataverse:

  1. Entre no centro de administração do Power Platform.
  2. Selecione um ambiente e, depois, selecione Configurações>Usuários + permissões>Usuários.
  3. Pesquise e selecione o usuário.
  4. Clique no comando ..., no formulário Usuário.
  5. Selecione a opção Gerenciar usuário no Dynamics 365.
  6. Na página Usuário, selecione a equipe do grupo do Dataverse que você deseja remover o usuário.
  7. Selecione o botão Excluir.

Observe que se você excluiu acidentalmente um usuário do grupo ativo, o usuário do grupo será adicionado novamente à equipe do grupo do Dataverse na próxima vez que o usuário acessar o ambiente.

Remover acesso do usuário em tempo de execução

Quando um usuário é removido dos grupos do Microsoft Entra por um administrador, ele é removido da equipe de grupo e perde seus direitos de acesso na próxima vez que acessar o ambiente. As associações a grupos do Microsoft Entra e às equipes de grupo do Dataverse são sincronizadas e os direitos de acesso do usuário são derivados dinamicamente no tempo de execução.

Administrar direito de acesso do usuário

Os administradores não precisam mais esperar pelo usuário para sincronizar com o ambiente e, portanto, para atribuir um direito de acesso ao usuário individualmente usando equipes de grupo do Microsoft Entra. Uma vez que uma equipe de grupo é estabelecida e criada em um ambiente com um direito de acesso, qualquer usuário licenciado do Dataverse que foi adicionado ao grupo do Microsoft Entra pode acessar imediatamente o ambiente.

Bloquear o acesso do usuário aos ambientes

Os administradores podem continuar usando um grupo de segurança do Microsoft Entra para bloquear a lista de usuários sincronizada com um ambiente. Isso pode ser reforçado usando equipes de grupos do Microsoft Entra. Para bloquear o acesso a ambientes ou aplicativos para ambientes restritos, o administrador pode criar grupos separados do Microsoft Entra para cada ambiente e atribuir o direito de acesso apropriado a esses grupos. Apenas os membros da equipe do grupo do Microsoft Entra têm direitos de acesso ao ambiente.

Compartilhar o Power Apps com membros da equipe de um grupo do Microsoft Entra

Quando aplicativos controlados por modelos e de tela são compartilhados com uma equipe de um grupo do Microsoft Entra, os membros da equipe podem executar imediatamente os aplicativos.

Registros de propriedade do usuário e da equipe

Uma nova propriedade foi adicionada à definição de direito de acesso para fornecer privilégios de equipe especiais quando a função é atribuída a equipes de grupo. Esse tipo de direito de acesso permite aos membros da equipe receber privilégios no nível de usuário/básico como se o direito de acesso fosse atribuído diretamente a eles. Os membros da equipe podem criar e ser proprietários de registros sem a necessidade de ter um direito de acesso adicional atribuído.

Uma equipe de grupo pode ter um ou mais registros. Para tornar uma equipe a proprietária do registro, você deve atribuir o registro à equipe.

Embora as equipes forneçam acesso a um grupo de usuários, você ainda deve associar usuários individuais a direitos de acesso que concedem os privilégios de que eles precisam para criar, atualizar ou excluir registros de propriedade do usuário. Esses privilégios não podem ser aplicados atribuindo o direito de acesso herdado de privilégio de um não membro a uma equipe e adicionando o usuário a essa equipe. Se precisar fornecer aos membros de sua equipe os privilégios de equipe diretamente, sem o seu próprio direito de acesso, você poderá atribuir à equipe um direito de acesso que tenha herança de privilégios de membro.

Para obter mais informações, consulte Atribuir um registro a um usuário ou uma equipe.

Criar uma equipe do grupo

  1. Certifique-se de ter o direito de acesso ou permissões equivalentes de Administrador do Sistema, Gerente de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou Diretor Executivo – Gerente Comercial.

    Verifique seu direito de segurança:

    Pré-requisitos:

    1. Um Microsoft Entra Grupo é necessário para cada equipe de grupo.
    2. Obtenha a ObjectID do Grupo do Microsoft Entra no site https://portal.azure.com.
    3. Crie um direito de acesso personalizado que contenha privilégios de acordo com os requisitos de colaboração da sua equipe. Consulte a discussão dos privilégios herdados do membro se você precisar estender os privilégios dos membros da equipe diretamente a um usuário.
  2. Entre no centro de administração do Power Platform.

  3. Selecione um ambiente e, depois, selecione Configurações>Usuários + permissões>Equipes.

  4. Selecione + Criar equipe.

  5. Especifique os campos a seguir:

    • Nome da equipe: Certifique-se de que esse nome seja exclusivo dentro de uma unidade de negócios.
    • Descrição: Digite uma descrição da equipe.
    • Unidade de negócios: Select a unidade de negócios na lista suspensa.
    • Administrador: Pesquisar usuários na organização. Comece a inserir caracteres.
    • Tipo de equipe: Select o tipo de equipe na lista suspensa.

    Captura de tela de configurações de uma nova equipe do Dataverse.

    Observação

    Uma equipe pode ser de um dos seguintes tipos: Proprietária, Acesso, Grupo de segurança do Microsoft Entra ou Grupo de escritório do Microsoft Entra.

  6. Se o tipo de equipe for Grupo de segurança do Microsoft Entra ou Grupo do Office do Microsoft Entra, você também deverá preencher estes campos:

    Captura de tela de configurações de uma nova equipe do Microsoft Entra.

Após criar a equipe, adicione membros da equipe e selecione os direitos de acesso correspondentes. Esta etapa é opcional, porém recomendada.

Como os membros do grupo de segurança do Microsoft Entra correspondem aos membros da equipe do grupo do Dataverse

Como membros do Microsoft Entra correspondem a membros da equipe do grupo do Dataverse

Revise a tabela a seguir para saber como os membros em grupos do Microsoft Entra correspondem a membros da equipe do grupo do Dataverse.

Selecionar o tipo de associação da equipe do grupo do Dataverse (4) Associação resultante
Membros e convidados Selecione este tipo para incluir os tipos de usuário Membro e Convidado (3) da categoria de grupo Membros (1) do Microsoft Entra.
Membros Selecione este tipo para incluir somente o tipo de usuário Membro (3) da categoria de grupo Membros (1) do Microsoft Entra.
Proprietários Selecione este tipo para incluir somente o tipo de usuário Membro (3) da categoria de grupo Proprietários (2) do Microsoft Entra.
Convidados Selecione esse tipo para incluir somente o tipo de usuário Convidado (3) da categoria de grupo Membros (1) do Microsoft Entra.

Edite uma equipe de grupo

  1. Certifique-se de ter o direito de acesso ou permissões equivalentes de Administrador do Sistema, Gerente de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou Diretor Executivo – Gerente Comercial.

  2. Entre no centro de administração do Power Platform.

  3. Selecione um ambiente e, depois, selecione Configurações>Usuários + permissões>Equipes.

  4. Marque a caixa de seleção para um nome de equipe.

    Captura de tela da seleção de uma equipe.

  5. Selecione Editar equipe. Somente os campos Nome da equipe, Descrição e Administrador estão disponíveis para edição.

  6. Atualize os campos conforme necessário e selecione Atualizar.

    Captura de tela da edição de uma equipe.

Observação

  • Para editar Unidade de negócio, consulte Alterar a unidade de negócios de uma equipe.
  • Você pode criar equipes de grupo do Dataverse – Membros, Proprietários, Convidados e Membros e convidados por ambiente com base no tipo de associação ao grupo do Microsoft Entra de cada grupo do Microsoft Entra. O ObjectId do Microsoft Entra ID da equipe de grupo não pode ser editado depois que a equipe de grupo é criada.
  • O tipo de associação do Dataverse não pode ser alterado após a criação da equipe do grupo. Se precisar atualizar este campo, você precisará excluir a equipe de grupo e criar uma nova.
  • Todas as equipes de grupo criadas antes do novo campo Tipo de Associação sendo adicionados são atualizadas automaticamente como Membros e Convidados. Não há perda de funcionalidade com essas equipes de grupo, pois a equipe padrão é mapeada para o tipo de associação Membros e convidados do Grupo do Microsoft Entra.
  • Se o seu ambiente tiver um grupo de segurança, você precisará adicionar o grupo Microsoft Entra da equipe como um membro desse grupo de segurança para que os usuários da equipe do grupo possam acessar o ambiente.
  • A lista de membros da equipe listados em cada equipe de grupo exibe apenas os membros do usuário que acessaram o ambiente. Essa lista não mostra todos os membros do grupo do Microsoft Entra. Quando um membro de um grupo do Microsoft Entra acessa o ambiente, o membro do grupo é adicionado à equipe do grupo. Os privilégios do membro da equipe são derivados dinamicamente no tempo de execução, herdando o direito de acesso da equipe do grupo. Como o direito de acesso é atribuído à equipe do grupo e o membro da equipe herda os privilégios, o direito de acesso não é atribuído diretamente ao membro da equipe do grupo. Como os privilégios do membro da equipe são derivados dinamicamente no tempo de execução, as associações a grupos do Microsoft Entra do membro da equipe são armazenadas em cache mediante logon do membro da equipe. Isso significa que a manutenção de qualquer associação ao grupo do Microsoft Entra ID feita no membro da equipe no Microsoft Entra não será refletida até a próxima vez em que o membro da equipe fizer logon ou quando o sistema atualizar o cache (após 8 horas de logon contínuo).
  • Microsoft Entra Os membros do grupo também são adicionados à equipe do grupo com chamadas de representação. Você pode usar a criação de membros do grupo na equipe de grupo em nome de outro usuário usando a representação.
  • Os membros da equipe são adicionados ou removidos da equipe do grupo em tempo de execução quando o membro do grupo entra no ambiente. Esses eventos de adição e remoção de membros do grupo podem ser usados ​​para acionar operações de plug-in.
  • Você não precisará atribuir aos membros da equipe um direito de acesso individual se o direito de acesso da equipe de grupo tiver uma herança de privilégio do membro e o direito de acesso contiver pelo menos um privilégio com permissão no nível do usuário.
  • O nome da equipe do grupo não é atualizado automaticamente quando o nome do grupo do Microsoft Entra é alterado. Não há impacto na operação do sistema com alterações no nome do grupo, mas recomendamos que você o atualize nas configurações do Teams do centro de administração do Power Platform.
  • Os membros do grupo AD são criados automaticamente no ambiente quando acessam o ambiente pela primeira vez. Os usuários são adicionados na unidade de negócios raiz. Você não precisa mover o usuário para uma unidade de negócios diferente se tiver ativado a opção Unidades de Negócios Modernizadas para gerenciar o acesso aos dados do seu usuário.

Gerenciar os direitos de acesso de uma equipe

  1. Marque a caixa de seleção para um nome de equipe.

    Captura de tela da seleção de uma equipe.

  2. Selecione Gerenciar direitos de acesso.

  3. Selecione as funções desejadas e, depois, Salvar.

    Captura de tela do gerenciamento de direitos de acesso.

Alterar a unidade de negócios de uma equipe

Consulte Alterar a unidade de negócios de uma equipe.

Adicione tipos de equipe de grupo à exibição de pesquisa padrão

Ao atribuir manualmente um registro ou compartilhar um registro usando o formulário integrado, a lista de opções padrão não seleciona alguns tipos de equipe de grupo, como Microsoft Entra ID. Você pode editar o filtro no exibição de pesquisa padrão da tabela de equipes para que inclua esses grupos.

  1. Entre no Power Apps.

  2. Selecione Dataverse>Tabelas>Equipe>Exibições>Exibição da Consulta de Equipes>Editar Filtros

  3. Defina Tipo de Equipe, É igual a para: Grupo do Office do AAD, Grupo de Segurança do AAD, Proprietário

Adicione o Grupo do Office do Microsoft Entra e o Grupo de Segurança do Microsoft Entra para o tipo de Equipe.

  1. Selecione OK>Salvar>Publicar.

Excluir membros da equipe e da equipe do grupo

Você pode excluir a equipe do grupo removendo primeiro todos os membros da equipe do grupo do Dataverse.

Excluir grupo do Microsoft Entra

Quando o grupo do Microsoft Entra é excluído do Azure.portal, todos os membros são removidos automaticamente da equipe de grupo do Dataverse no ambiente dentro de 24 horas. A equipe do grupo do Dataverse poderá ser excluída depois que todos os membros forem removidos.

Outras operações de equipe

Consulte:

Consulte também

Gerenciar equipes
Video: Microsoft Entra associação ao grupo
Crie um grupo básico e adicione membros usando Microsoft Entra ID
Início rápido: visualize os grupos e membros da sua organização no Microsoft Entra ID