Поділитися через

Керування доступом користувачів до середовищ: групи безпеки та ліцензії

  • Стаття

Якщо у вашій компанії є кілька середовищ, ви можете використовувати групи безпеки, щоб контролювати, які ліцензовані користувачі можуть бути учасниками певного середовища.

Нотатка

Відомості про принципи організації доступу користувачів у Microsoft Dataverse for Teams ви можете знайти тут: Доступ користувачів до середовищ Dataverse for Teams.

Розглянемо наступний сценарій.

Середовище Група безпеки Мета
Відділ збуту компанії Coho Winery (зразок) Sales_SG Надається доступ до середовища, що створює можливості для збуту, обробляє котирування та закриває угоди.
Відділ маркетингу Coho Winery Marketing_SG Надається доступ до середовища, що покращує результативність маркетингових заходів та реклами.
Служба підтримки Coho Winery Service_SG Надається доступ до середовища, що обробляє інциденти клієнтів.
Відділ розробки Coho Winery Developer_SG Надається доступ до ізольованого середовища, що слугує для розробки й тестування.

У цьому прикладі чотири групи безпеки забезпечують контрольований доступ до певного середовища.

Зверніть увагу на такі відомості про групи безпеки:

  • Відомості про вкладені групи безпеки

    Учасники вкладеної групи безпеки у групі безпеки середовища не ініціалізуються попередньо і не додаються до середовища автоматично. Проте їх можна додати до середовища при створенні робочої групи Dataverse для вкладеної групи безпеки.

    Приклад такого сценарію: під час створення середовища ви призначили групу безпеки для середовища. Протягом життєвого циклу середовища потрібно додавати до середовища учасників, якими керують групи безпеки. Ви створюєте групу безпеки в Microsoft Entra ID (наприклад, менеджери) і призначаєте всім своїм менеджерам групу. Потім цю групу безпеки ви додаєте як дочірній елемент до групи безпеки середовища, створюєте робочу групу Dataverse та призначаєте цій робочій групі роль безпеки. Після цього ваші керівники можуть негайно отримати доступ до Dataverse.

    Член вкладеної групи безпеки також додається до середовища під час виконання, коли учасник звертається до середовища вперше. Але учасник не зможе запускати будь-яку програму та отримувати доступ до будь-яких даних, доки не буде присвоєно роль безпеки.

  • Після додавання користувачів до групи безпеки, вони додаються до середовища.

  • Якщо користувачів видалити з групи, вони більше не матимуть доступу до середовища.

  • Якщо група безпеки зв’язана з наявним середовищем, до якої додано користувачів, усі користувачі в цьому середовищі, що не є членами групи, втратять до неї доступ.

  • Якщо середовище не має пов’язаної групи безпеки, усі користувачі з ліцензією Dataverse (програми customer engagement — Dynamics 365 Sales, Dynamics 365 служба підтримки клієнтів,, Dynamics 365 Marketing і Dynamics 365 Field Service— Dynamics 365 Project Service Automation,Power Automate, Power Apps та інші) будуть створені як користувачі та ввімкнені в середовищі.

  • Якщо група безпеки пов'язана з середовищем, лише користувачі з ліцензіями Dataverse або планами на програму, які є членами групи безпеки середовища, будуть додані, як користувачі в середовище.

  • Якщо ви не вкажете групу безпеки, усі користувачі, які мають Dataverse ліцензію (програми customer engagement, такі як Dynamics 365 Sales і служба підтримки клієнтів) або план програми, будуть додані до нового середовища.

  • Нове: групи безпеки не можна призначити типам середовищ за замовчуванням і середовищам розробника. Якщо ви вже призначили групу безпеки для вашого середовища за замовчуванням або середовища розробника, ми рекомендуємо її видалити, тому що середовище за замовчуванням призначене для надання до нього спільного доступу всім користувачам клієнта, а середовище розробника призначене для використання лише власником середовища.

  • Середовища підтримують зв'язування таких типів груп: Безпека та Microsoft 365. Асоціювання інших типів груп не підтримується.

  • Вибираючи групу безпеки, обов’язково виберіть групу безпеки, а не групу, створену Microsoft Entra в локальний Windows Active Directory. локальний Групи безпеки Windows AD не підтримуються.

  • Якщо користувач не входить до групи безпеки, призначеної середовищу, але має роль клієнт Azure Глобальний адміністратор, він усе одно відображатиметься як активний користувач і зможе ввійти в систему.

  • Якщо користувачеві призначено роль адміністратора служби Dynamics 365, він має бути частиною групи безпеки, перш ніж його буде ввімкнено в середовищі. Вони не матимуть доступу до середовища, доки їх не буде додано до групи безпеки та ввімкнено.

Нотатка

Всім ліцензованим користувачам, незалежно від того, належать вони до групи безпеки чи ні, для доступу до даних у середовищах необхідно призначити ролі безпеки. Призначення ролей безпеки виконується у веб-програмі. Якщо користувачі не мають роль безпеки, під час спроби запустити програму з’явиться повідомлення про відмову в доступі до даних. Користувачі не можуть отримати доступ до середовищ, поки їм не призначено бодай одну роль безпеки для потрібного середовища. Для отримання додаткових відомостей див. розділ Настроювання безпеки середовища. Автоматичне призначення користувача середовищу не підтримується для ознайомлювальних середовищ. Для ознайомлювальних середовищ користувачі мають бути призначені вручну.

Створення групи безпеки і додавання учасників до групи безпеки

  1. Увійдіть у Центр адміністрування Microsoft 365.

  2. Виберіть Команди та групи Активні команди та групи>.

  3. Виберіть елемент + Додати групу.

  4. Змініть тип на Група безпеки, додайте ім’я та опис групи, а потім натисніть кнопку Додати>закриття.

  5. Виберіть створену вами групу, а тоді біля пункту Учасники натисніть кнопку Редагувати.

  6. Виберіть елемент + Додати учасників. Виберіть користувачів, щоб додати їх до групи безпеки, а тоді натисніть кнопку Зберегти>Закрити кілька разів, щоб повернутися до списку Групи.

Щоб видалити користувача з групи безпеки, виберіть групу безпеки, а потім поруч із пунктом Учасники натисніть кнопку Змінити. Виберіть елемент Видалити учасників, а тоді натисніть кнопку Х для кожного учасника, якого потрібно видалити.

Нотатка

Якщо користувачів, яких потрібно додати до групи безпеки, не створено, створіть користувачів і призначте Dataverse їм ліцензії.

Щоб додати кілька користувачів, див. групове додавання користувачів до груп Office365.

Створення користувачів і призначення ліцензій

  1. У центрі адміністрування Microsoft 365 послідовно виберіть Користувачі>Активні користувачі>+ Додати користувача.

  2. Введіть відомості про користувача, виберіть ліцензії, а потім натисніть кнопку Додати.

    Додаткова інформація: Одночасно додайте користувачів і призначте ліцензії

Або придбайте та призначте абонементи для кожного додатка: Про Power Apps плани для кожного додатка

Нотатка

Якщо для середовища виділено план для Power Apps кожної програми, усі користувачі вважатимуться ліцензованими, коли намагатимуться отримати доступ до середовища, включно з користувачами, яким не призначено окремі ліцензії. Розподіл плану для кожної програми в середовищі задовольняє вимогу до користувачів отримати ліцензію для доступу до середовища.

Зв’язування групи безпеки з середовищем

  1. Виконайте вхід до центру адміністрування Power Platform як адміністратор (адміністратор Dynamics 365, глобальний адміністратор або адміністратор Microsoft Power Platform).

  2. В області переходів виберіть Середовища.

  3. Виберіть ім’я середовища.

  4. Виберіть Редагування.

    Виберіть Редагувати.

  5. В області відомостей про редагування виберіть піктограму Редагувати в області групи безпеки.

    Натисніть значок Редагувати, щоб вибрати групу безпеки.

    Повернуть лише перші 200 груп безпеки. Скористайтеся пошуком , щоб знайти певну групу безпеки.

  6. Виберіть групу безпеки, натисніть кнопку Готово, а потім натисніть кнопку Зберегти.

    Групу безпеки пов’язано із середовищем.

Нотатка

Користувачі, які запускають програми на полотні, коли група безпеки пов’язана з середовищем програми, мають бути учасниками групи безпеки, щоб мати змогу запускати програму на полотні, незалежно від того, чи надано їм доступ до програми. В іншому разі користувачі побачать таке повідомлення про помилку: «Не вдається відкрити програми в цьому середовищі. Ви не є членом групи з охорони навколишнього середовища». Якщо адміністратор Power Platform установив відомості про керування для вашої організації, ви побачите контактну особу, з якою можна зв’язатися, щоб отримати членство в групі безпеки.

Див. також

Створення облікових записів