Управление доступом пользователей к средам: группы безопасности и лицензии
Если у вашей компании несколько сред, вы можете использовать группы безопасности, чтобы управлять тем, кто из лицензированных пользователей может быть участником того той или иной среды.
Заметка
Для получения информации о том, как работает доступ пользователей для Microsoft Dataverse for Teams, см. раздел Доступ пользователей к средам Dataverse for Teams.
Рассмотрим следующий сценарий в качестве примера:
Environment | Группа безопасности | Цель |
---|---|---|
ВинПромТорг - продажи | Sales_SG | Предоставить доступ к среде, создающей возможные сделки, обрабатывающей предложения и совершающей сделки. |
ВинПромТорг - маркетинг | Marketing_SG | Предоставить доступ к среде, которая управляет маркетингом посредством маркетинговых кампаний и рекламы. |
ВинПромТорг - обслуживание | Service_SG | Предоставить доступ к среде, занимающейся обработкой обращений клиентов. |
ВинПромТорг - разработка | Developer_SG | Предоставить доступ к среде в песочнице, используемой для разработки и тестирования. |
В этом примере четыре группы безопасности обеспечивают контролируемый доступ к определенной среде.
О группах безопасности необходимо помнить следующую информацию:
О вложенных группах безопасности
Участники вложенной группы безопасности в группе безопасности среды не подготавливаются заранее и не добавляются автоматически в группу безопасности среды. Однако их можно добавить в среду, если вы создадите рабочую группу группы Dataverse для вложенной группы безопасности.
Пример этого сценария: вы назначили группу безопасности для среды при создании среды. В течение жизненного цикла среды вы хотите добавить участников в среду, которые управляются группами безопасности. Вы создаете группу безопасности в Microsoft Entra ID, например для менеджеров, и назначаете всех своих менеджеров в эту группу. Затем вы добавляете эту группу безопасности как дочернюю по отношению к группе безопасности среды, создаете рабочую группу группы Dataverse и назначаете этой рабочей группе группы роль безопасности. Теперь ваши менеджеры могут получить доступ к Dataverse немедленно.
Участник вложенной группы безопасности также добавляется в среду во время выполнения, когда участник обращается к среде в первый раз. Но участник не сможет запускать какое-либо приложение и получать доступ к каким-либо данным, пока не будет назначена роль безопасности.
При добавлении пользователей в группу безопасности они добавляются в среду.
При удалении пользователей из группы они отключаются в среде.
Когда группа безопасности связывается с существующей средой с пользователями, все пользователи в среде, которые не являются участниками этой группы, будут отключены.
Если среда не имеет связанной группы безопасности, все пользователи с лицензией Dataverse (приложения для взаимодействия с клиентами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation), Power Automate, Power Apps и другие) будут созданы как пользователи и активированы в среде.
Когда группа безопасности связывается со средой, только пользователи с лицензиями Dataverse или по плану приложения, которые являются участниками группы безопасности среды, будут созданы как пользователи в среде.
Если вы не укажете группу безопасности, все пользователи, у которых есть лицензия Dataverse (приложения Customer Engagement, такие как Dynamics 365 Sales и Customer Service) или на план приложения будут добавлены в новую среду.
Новое: Группы безопасности нельзя назначать типам по умолчанию и среда разработки. Если вы уже назначили группу безопасности своей среде по умолчанию или среде разработчика, мы рекомендуем удалить ее, поскольку среда по умолчанию предназначена для общего доступа всем пользователям в клиенте, а среда разработчика предназначена для использования только владельцем среды.
Среды поддерживают связывание следующих типов групп: безопасность и Microsoft 365. Связь других типов групп не поддерживается.
При выборе группы безопасности обязательно выберите группу безопасности Microsoft Entra, а не группу безопасности, созданную в локальной версии Windows Active Directory. Локальные группы безопасности Windows AD не поддерживаются.
Если пользователь не входит в назначенную для среды группу безопасности, но имеет роль Power Platform Администратор, он все равно будет отображаться как активный пользователь и сможет войти в систему.
Если пользователю назначена роль администратора службы Dynamics 365, пользователь должен быть включен в группу безопасности, прежде чем его можно будет включить в среде. Он не сможет получить доступ к среде, пока он не будет добавлен в группу безопасности и включен.
Если группа безопасности, связанная со средой, изменяется (т. е. старая группа безопасности удаляется и со средой связывается новая), инициируется очистка существующих пользователей в среде, а затем выполняется добавление новых пользователей в среду. В большинстве случаев этот процесс выполняется за считаные минуты, но в зависимости от количества пользователей в старой и новой группах безопасности это может занять несколько часов.
Заметка
Всем лицензированным пользователям, являются они участниками группы безопасности или нет, должны быть назначены роли безопасности для доступа к данным в средах. Роли безопасности назначаются в веб-приложении. Если у пользователей нет роли безопасности, они получат ошибку отказа в доступе к данным при попытке запустить приложение. Пользователи не могут получать доступ к средам, пока им не будет назначена хотя бы одна роль безопасности для этой среды. Дополнительные сведения см. в разделе Настройка безопасности среды. Автоматическое назначение пользователей среде не поддерживается для пробных сред. Для пробных сред пользователей необходимо назначать вручную.
Создание группы безопасности и добавление участников в группу безопасности
Войдите в центр администрирования Microsoft 365.
Выберите Рабочие группы и группы>Активные рабочие группы и группы.
Выберите + Добавить группу.
Измените тип на Группа безопасности, добавьте Имя и Описание группы, а затем выберите Добавить>Закрыть.
Выберите созданную группу, затем рядом с Участники, выберите Изменить.
Выберите + Добавить участников. Выберите пользователи для добавления в группу безопасности, затем выберите Сохранить>Закрыть, чтобы вернуться в список Группы.
Чтобы удалить пользователя из группы безопасности, выберите группу безопасности и рядом с пунктом Участники выберите Изменить. Выберите - Удалить участников, затем выберите X для каждого участника, которого требуется удалить.
Заметка
Если пользователи, которых нужно добавить в группу безопасности, не созданы, создайте пользователей и назначьте им лицензии Dataverse.
Для добавления нескольких пользователей см. статью массовое добавление пользователей в группы Office365.
Создание пользователя и назначение лицензии
В центр администрирования Microsoft 365 выберите Пользователи>Активные пользователи>+ Добавить пользователя.
Введите сведения о пользователе, выберите лицензии, затем выберите Добавить.
Дополнительные сведения: Одновременное добавление пользователей и назначение лицензий
Или приобретите и назначьте пропуски приложения: Сведения о планах Power Apps по приложению
Заметка
Если в среде имеется Power Apps для каждого выделенного плана приложения, все пользователи будут считаться лицензированными при попытке доступа к среде, включая пользователей, которым не назначены отдельные лицензии. Выделение плана для каждого приложения в среде удовлетворяет требованию о наличии у пользователей лицензии для доступа к среде.
Связывание группы безопасности со средой
Войдите в Power Platform центр администрирования как администратор (администратор Dynamics 365 или Microsoft Power Platform администратор).
В области переходов выберите Среды.
Выберите имя среды.
Выберите Изменить.
В области Изменить сведения выберите значок Изменить в области Группа безопасности.
Только первые 200 групп безопасности будут возвращены. Используйте Поиск для поиска определенной группы безопасности.
Выберите группу безопасности, выберите Готово, а затем выберите Сохранить.
Группа безопасности связана со средой.
Заметка
Пользователи, запускающие приложения на основе холста, когда группа безопасности связана со средой приложения, должны быть участниками группы безопасности, чтобы иметь возможность запускать приложение на основе холста, независимо от того, был ли им предоставлен общий доступ к приложению. В противном случае пользователи увидят следующее сообщение об ошибке: «Вы не можете открывать приложения в этой среде. Вы не являетесь участником группы безопасности среды». Если ваш администратор Power Platform настроил сведения управления для вашей организации, вы увидите контактное лицо по управлению, с которым вы можете связаться, чтобы стать участником группы безопасности.