Поділитися через

Керування доступом користувачів до середовищ: групи безпеки та ліцензії

  • Стаття

Якщо у вашій компанії є кілька середовищ, ви можете використовувати групи безпеки, щоб контролювати, які ліцензовані користувачі можуть бути членами певного середовища.

Нотатка

Відомості про принципи організації доступу користувачів у Microsoft Dataverse for Teams ви можете знайти тут: Доступ користувачів до середовищ Dataverse for Teams.

Розглянемо наступний сценарій.

Середовище Група безпеки Мета
Відділ збуту компанії Coho Winery (зразок) Sales_SG Надається доступ до середовища, що створює можливості для збуту, обробляє котирування та закриває угоди.
Відділ маркетингу Coho Winery Marketing_SG Надається доступ до середовища, що покращує результативність маркетингових заходів та реклами.
Служба підтримки Coho Winery Service_SG Надається доступ до середовища, що обробляє інциденти клієнтів.
Відділ розробки Coho Winery Developer_SG Надається доступ до ізольованого середовища, що слугує для розробки й тестування.

У цьому прикладі чотири групи безпеки забезпечують контрольований доступ до певного середовища.

Зверніть увагу на таку інформацію про групи безпеки:

  • Відомості про вкладені групи безпеки

    Учасники вкладеної групи безпеки у групі безпеки середовища не ініціалізуються попередньо і не додаються до середовища автоматично. Проте їх можна додати до середовища при створенні робочої групи Dataverse для вкладеної групи безпеки.

    Приклад такого сценарію: під час створення середовища ви призначили групу безпеки для середовища. Протягом життєвого циклу середовища потрібно додавати до середовища учасників, якими керують групи безпеки. Ви створюєте групу безпеки в Microsoft Entra ID (наприклад, менеджери) і призначаєте всім своїм керівникам групу. Потім цю групу безпеки ви додаєте як дочірній елемент до групи безпеки середовища, створюєте робочу групу Dataverse та призначаєте цій робочій групі роль безпеки. Після цього ваші керівники можуть негайно отримати доступ до Dataverse.

    Член вкладеної групи безпеки також додається до середовища під час виконання, коли учасник вперше звертається до середовища. Але учасник не зможе запускати будь-яку програму та отримувати доступ до будь-яких даних, доки не буде призначено роль безпеки.

  • Після додавання користувачів до групи безпеки, вони додаються до середовища.

  • Якщо користувачів видалити з групи, вони більше не матимуть доступу до середовища.

  • Якщо група безпеки зв’язана з наявним середовищем, до якої додано користувачів, усі користувачі в цьому середовищі, що не є членами групи, втратять до неї доступ.

  • Якщо середовище не має пов’язаної групи безпеки, усіх користувачів із Dataverse ліцензією (програми для взаємодії з клієнтами — Dynamics 365 Sales, Dynamics 365 служба підтримки клієнтів, Dynamics 365 Field Service, Dynamics 365 Marketing і Dynamics 365 Project Service Automation —Power Automate,, Power Apps тощо) буде створено як користувачів і ввімкнено в середовищі.

  • Якщо група безпеки пов'язана з середовищем, лише користувачі з ліцензіями Dataverse або планами на програму, які є членами групи безпеки середовища, будуть додані, як користувачі в середовище.

  • Якщо ви не вкажете групу безпеки, до нового середовища буде додано всіх користувачів, які мають Dataverse ліцензію (наприклад, Dynamics 365 Sales і Служба підтримки клієнтів) або за планом програми.

  • Нове: групи безпеки не можна призначати типам за замовчуванням і середовища для розробників. Якщо ви вже призначили групу безпеки для вашого середовища за замовчуванням або середовища розробника, ми рекомендуємо її видалити, тому що середовище за замовчуванням призначене для надання до нього спільного доступу всім користувачам клієнта, а середовище розробника призначене для використання лише власником середовища.

  • Середовища підтримують зв'язування таких типів груп: Безпека та Microsoft 365. Об’єднання інших типів груп не підтримується.

  • Вибираючи групу безпеки, обов’язково виберіть групу Microsoft Entra безпеки, а не ту, яку створено в локальній Windows Active Directory. Локальні групи безпеки Windows AD не підтримуються.

  • Якщо користувач не входить до призначеної для середовища групи безпеки, але має Power Platform роль адміністратора, він усе одно відображатиметься як активний користувач і зможе ввійти в систему.

  • Якщо користувачу призначено роль адміністратора служби Dynamics 365, то користувач має бути частиною групи безпеки, перш ніж їх буде ввімкнено в середовищі. Вони не матимуть доступу до середовища, доки їх не буде додано до групи безпеки та ввімкнено.

  • Якщо змінюється група безпеки, пов’язана з оточенням (тобто стара група безпеки видаляється, а нова асоціюється з оточенням), ініціюється очищення існуючих користувачів у середовищі, а потім відбувається додавання нових користувачів до середовища. У більшості випадків цей процес виконується за лічені хвилини, але в залежності від кількості користувачів у старій та новій групах безпеки це може зайняти кілька годин.

Нотатка

Всім ліцензованим користувачам, незалежно від того, належать вони до групи безпеки чи ні, для доступу до даних у середовищах необхідно призначити ролі безпеки. Ви призначаєте ролі безпеки у веб-застосунку. Якщо користувачі не мають ролі безпеки, під час спроби запустити програму вони отримуватимуть помилку "Відмовлено в доступі до даних". Користувачі не можуть отримати доступ до середовищ, поки їм не призначено бодай одну роль безпеки для потрібного середовища. Для отримання додаткових відомостей див. розділ Настроювання безпеки середовища. Автоматичне призначення користувача середовищу не підтримується для ознайомлювальних середовищ. Для ознайомлювальних середовищ користувачі мають бути призначені вручну.

Створення групи безпеки і додавання учасників до групи безпеки

  1. Увійдіть у Центр адміністрування Microsoft 365.

  2. Виберіть Команди та групи>Активні команди та групи.

  3. Виберіть елемент + Додати групу.

  4. Змініть тип на Група безпеки, додайте ім’я та опис групи, а потім виберіть Додати>закриття.

  5. Виберіть створену вами групу, а тоді біля пункту Учасники натисніть кнопку Редагувати.

  6. Виберіть елемент + Додати учасників. Виберіть користувачів, щоб додати їх до групи безпеки, а тоді натисніть кнопку Зберегти>Закрити кілька разів, щоб повернутися до списку Групи.

Щоб видалити користувача з групи безпеки, виберіть групу безпеки, а потім поруч із пунктом Учасники натисніть кнопку Редагувати. Виберіть елемент Видалити учасників, а тоді натисніть кнопку Х для кожного учасника, якого потрібно видалити.

Нотатка

Якщо користувачів, яких потрібно додати до групи безпеки, не створено, створіть цих користувачів і призначте Dataverse їм ліцензії.

Щоб додати кілька користувачів, див. групове додавання користувачів до груп Office365.

Створення користувачів і призначення ліцензій

  1. У центрі адміністрування Microsoft 365 послідовно виберіть Користувачі>Активні користувачі>+ Додати користувача.

  2. Введіть відомості про користувача, виберіть ліцензії, а потім натисніть кнопку Додати.

    Додаткова інформація: Одночасно додайте користувачів і призначте ліцензії

Або придбайте та призначте абонементи для кожного додатка: Про Power Apps плани на додаток

Нотатка

Якщо для середовища Power Apps виділено план для кожної програми, усі користувачі вважатимуться ліцензованими, коли вони намагатимуться отримати доступ до середовища, включно з користувачами, яким не призначено окремі ліцензії. Розподіл планів для кожного додатка в середовищі задовольняє вимогу до користувачів отримати ліцензію для доступу до середовища.

Зв’язування групи безпеки з середовищем

  1. увійдіть до Power Platform Центру адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).

  2. В області переходів виберіть Середовища.

  3. Виберіть ім’я середовища.

  4. Виберіть Редагування.

    Виберіть Редагувати.

  5. В області відомостей про редагування виберіть піктограму Редагувати в області групи безпеки.

    Натисніть значок Редагувати, щоб вибрати групу безпеки.

    Повернуться лише перші 200 груп безпеки. За допомогою пошуку можна знайти певну групу безпеки.

  6. Виберіть групу безпеки, натисніть кнопку Готово, а потім натисніть кнопку Зберегти.

    Групу безпеки пов’язано із середовищем.

Нотатка

Користувачі, які використовують програми canvas, коли група безпеки пов’язана з середовищем програми, мають бути членами групи безпеки, щоб мати змогу запускати програму canvas, незалежно від того, чи було їм надано доступ до програми. В іншому разі користувачі побачать таке повідомлення про помилку: «Не вдається відкрити програми в цьому середовищі. Ви не є членом групи з охорони навколишнього середовища». Якщо адміністратор Power Platform установив відомості про керування для вашої організації, ви побачите контакт для управління, до якого можна звернутися для отримання членства в групі безпеки.

Див. також

Створюйте користувачів