Chia sẻ qua

Quản lý các tập hợp nhóm (group team)

  • Bài viết

Giới thiệu về nhóm

Một nhóm Microsoft Entra . Tương tự như nhóm chủ sở hữu , nhóm Microsoft Entra có thể sở hữu hồ sơ và có thể được chỉ định vai trò bảo mật cho nhóm. Có hai loại nhóm nhóm và chúng tương ứng trực tiếp với các loại nhóm Microsoft Entra – Bảo mật và Microsoft 365. Vai trò bảo mật nhóm có thể chỉ dành cho nhóm hoặc cho thành viên nhóm có đặc quyền Người dùng thừa kế đặc quyền của thành viên. Các thành viên trong nhóm được phân loại động (thêm và xóa) khi họ truy cập vào môi trường dựa trên tư cách thành viên nhóm của họ. Microsoft Entra

Sử dụng Microsoft Entra nhóm để quản lý ứng dụng và quyền truy cập dữ liệu của người dùng

Việc quản lý quyền truy cập ứng dụng và dữ liệu cho Microsoft Dataverse đã được mở rộng để cho phép người quản trị sử dụng Microsoft Entra nhóm của tổ chức mình để quản lý quyền truy cập cho Dataverse người dùng được cấp phép.

Cả hai loại nhóm Microsoft Entra —Bảo mật và Microsoft 365—đều có thể được sử dụng để bảo vệ quyền truy cập của người dùng. Việc sử dụng các nhóm cho phép quản trị viên gán vai trò bảo mật với các đặc quyền tương ứng cho tất cả các thành viên của nhóm, thay vì phải cung cấp quyền truy cập cho từng thành viên trong nhóm.

Cả hai loại nhóm Microsoft Entra — Bảo mật và Microsoft 365 — có loại Thành viên Được chỉ định Người dùng động đều có thể được sử dụng để bảo vệ quyền truy cập của người dùng. Loại tư cách thành viên Thiết bị Dynamic không được hỗ trợ. Việc sử dụng các nhóm cho phép quản trị viên gán vai trò bảo mật với các đặc quyền tương ứng cho tất cả các thành viên của nhóm, thay vì phải cung cấp quyền truy cập cho từng thành viên trong nhóm.

Người quản trị có thể tạo các nhóm Microsoft Entra liên kết với các nhóm Microsoft Entra trong mỗi môi trường và chỉ định vai trò bảo mật cho các nhóm này. Đối với mỗi Microsoft Entra nhóm, người quản trị có thể tạo nhóm dựa trên Microsoft Entra Thành viên nhóm và/hoặcChủ sở hữu hoặcKhách . Đối với mỗi Microsoft Entra nhóm, người quản trị có thể tạo các nhóm riêng cho chủ sở hữu, thành viên, khách và thành viên và khách, đồng thời chỉ định vai trò bảo mật tương ứng cho từng nhóm này.

Khi thành viên của các nhóm này truy nhập vào những môi trường này, quyền truy nhập của họ sẽ tự động được cấp dựa trên vai trò bảo mật của nhóm.

Tiền bo

Biểu tượng videoHãy xem video sau: Nhóm Microsoft Entra động.

Cung cấp và từ chối người dùng

Sau khi nhóm và vai trò bảo mật của nhóm được thiết lập trong một môi trường, quyền truy cập của người dùng vào môi trường đó sẽ dựa trên tư cách thành viên của nhóm. Microsoft Entra Khi một người dùng mới được tạo trong đối tượng thuê, tất cả những gì người quản trị cần làm là chỉ định người dùng vào Microsoft Entra nhóm thích hợp và chỉ định Dataverse giấy phép. Người dùng có thể truy cập ngay vào môi trường mà không cần phải đợi quản trị viên thêm người dùng vào môi trường hoặc gán vai trò bảo mật. Người dùng được tạo trong môi trường thuộc đơn vị kinh doanh gốc.

Khi người dùng bị xóa hoặc vô hiệu hóa trong Microsoft Entra ID hoặc bị xóa khỏi Microsoft Entra nhóm, họ sẽ mất tư cách thành viên nhóm và sẽ không thể truy cập vào môi trường khi họ cố gắng đăng nhập.

Lưu ý

Người dùng nhóm đã xóa hoặc bị vô hiệu hóa vẫn ở trong môi trường nếu người dùng không truy cập vào môi trường. Power Platform Dataverse

Để xóa người dùng khỏi nhóm Dataverse :

  1. Đăng nhập vào Trung tâm quản trị Power Platform.
  2. Chọn một môi trường, sau đó chọn Cài đặt>Người dùng + quyền>Người dùng.
  3. Tìm kiếm và chọn người dùng.
  4. Trên biểu mẫu Người dùng, nhấp vào lệnh ... .
  5. Chọn tùy chọn Quản lý người dùng trong Dynamics 365 .
  6. Trên trang Người dùng , hãy chọn nhóm Dataverse mà bạn muốn xóa người dùng khỏi đó.
  7. Chọn nút Xóa .

Lưu ý rằng nếu bạn vô tình xóa một người dùng nhóm đang hoạt động, người dùng nhóm đó sẽ được thêm lại vào nhóm Dataverse vào lần tiếp theo người dùng truy cập vào môi trường.

Xóa quyền truy cập của người dùng trong thời gian chạy

Khi người dùng bị quản trị viên xóa khỏi Microsoft Entra nhóm, người dùng đó sẽ bị xóa khỏi nhóm và mất quyền truy cập vào lần tiếp theo họ truy cập vào môi trường. Quyền thành viên cho các nhóm Microsoft Entra và nhóm Dataverse của người dùng được đồng bộ hóa và quyền truy cập của người dùng được xác định động tại thời điểm chạy.

Vai trò bảo mật người dùng quản trị

Người quản trị không còn phải chờ người dùng đồng bộ hóa với môi trường rồi mới chỉ định vai trò bảo mật cho từng người dùng bằng cách sử dụng Microsoft Entra nhóm nhóm. Sau khi nhóm được thành lập và tạo ra trong môi trường có vai trò bảo mật, bất kỳ người dùng Dataverse được cấp phép nào được thêm vào Microsoft Entra nhóm đều có thể truy cập ngay vào môi trường đó.

Khóa người dùng truy cập vào môi trường

Người quản trị có thể tiếp tục sử dụng Microsoft Entra nhóm bảo mật để khóa danh sách người dùng được đồng bộ hóa với môi trường. Điều này có thể được củng cố hơn nữa bằng cách sử dụng các nhóm Microsoft Entra . Để khóa quyền truy cập của môi trường hoặc ứng dụng vào các môi trường bị hạn chế, quản trị viên có thể tạo các nhóm Microsoft Entra riêng cho từng môi trường và chỉ định vai trò bảo mật phù hợp cho các nhóm này. Chỉ những thành viên nhóm này mới có quyền truy cập vào môi trường. Microsoft Entra

Chia sẻ Power Apps cho các thành viên trong nhóm của Microsoft Entra một nhóm

Khi các ứng dụng dựa trên mô hình và canvas được chia sẻ cho một nhóm, các thành viên trong nhóm có thể chạy ứng dụng ngay lập tức. Microsoft Entra

Hồ sơ thuộc sở hữu của người dùng và nhóm

Một thuộc tính mới đã được thêm vào định nghĩa vai trò bảo mật để cung cấp các đặc quyền nhóm đặc biệt khi vai trò được gán cho các nhóm. Loại vai trò bảo mật này cho phép các thành viên trong nhóm được cấp đặc quyền cấp Người dùng/Cấp cơ bản như thể vai trò bảo mật được gán trực tiếp cho họ. Các thành viên trong nhóm có thể tạo và là chủ sở hữu của các bản ghi mà không cần phải có thêm vai trò bảo mật.

Một nhóm có thể sở hữu một hoặc nhiều hồ sơ. Để tạo một nhóm chủ sở hữu hồ sơ, bạn phải gán một hồ sơ cho nhóm.

Mặc dù nhóm cung cấp quyền truy cập vào một nhóm người dùng, bạn vẫn phải kết hợp người dùng cá nhân với các vai trò bảo mật cấp đặc quyền mà họ cần để tạo, cập nhật hoặc xóa bản ghi do người dùng sở hữu. Những đặc quyền này không thể áp dụng bằng cách gán vai trò bảo mật kế thừa đặc quyền của một người không phải là thành viên cho một nhóm rồi thêm người dùng vào nhóm đó. Nếu bạn cần cấp cho thành viên nhóm đặc quyền nhóm ngay, mà không cần vai trò bảo mật của riêng họ, thì bạn có thể gán cho nhóm một vai trò bảo mật có thừa kế đặc quyền của thành viên.

Để biết thêm thông tin, hãy xem Chỉ định một bản ghi cho người dùng hoặc nhóm.

Tạo một nhóm

  1. Đảm bảo rằng bạn có vai trò bảo mật Quản trị viên hệ thống, Người tùy chỉnh hệ thống, Người quản lý bán hàng, Phó chủ tịch phụ trách lĩnh vực bán hàng, Phó chủ tịch phụ trách lĩnh vực tiếp thị hoặc CEO-Người quản lý doanh nghiệp hoặc các quyền tương đương.

    Kiểm tra vai trò bảo mật của bạn:

    Điều kiện tiên quyết:

    1. Mỗi đội cần có một nhóm. Microsoft Entra
    2. Lấy ObjectID của Microsoft Entra Nhóm từ trang web của bạn. https://portal.azure.com
    3. Tạo một vai trò bảo mật tùy chỉnh chứa đặc quyền theo yêu cầu cộng tác của nhóm bạn. Xem phần thảo luận về đặc quyền thừa kế của thành viên nếu bạn cần mở rộng đặc quyền của thành viên nhóm trực tiếp cho người dùng.

  2. Đăng nhập vào Trung tâm quản trị Power Platform.

  3. Chọn một môi trường và sau đó chọn Cài đặt>Người dùng + quyền>Đội.

  4. Chọn +Tạo nhóm.

  5. Chỉ định các trường sau:

    • Tên nhóm: Đảm bảo tên này là duy nhất trong một đơn vị kinh doanh.
    • Mô tả: Nhập mô tả về nhóm.
    • Đơn vị kinh doanh: Chọn đơn vị kinh doanh từ danh sách thả xuống.
    • Người quản trị: Tìm kiếm người dùng trong tổ chức. Bắt đầu nhập ký tự.
    • Loại nhóm: Chọn loại nhóm từ danh sách thả xuống.

    Ảnh chụp màn hình cài đặt cho nhóm Dataverse mới.

    Lưu ý

    Một nhóm có thể là một trong các loại sau: Chủ sở hữu, Quyền truy cập, Microsoft Entra Nhóm bảo mật hoặc Microsoft Entra Nhóm văn phòng.

  6. Nếu loại nhóm là Microsoft Entra Nhóm bảo mật hoặc Microsoft Entra Nhóm văn phòng, bạn cũng phải nhập các trường sau:

    Ảnh chụp màn hình cài đặt cho nhóm Microsoft Entra mới.

Sau khi tạo nhóm, bạn có thể thêm các thành viên trong nhóm và chọn các vai trò bảo mật tương ứng. Bước này là tùy chọn, nhưng được đề xuất.

Làm thế nào để các thành viên nhóm bảo mật khớp với các thành viên nhóm Microsoft Entra Dataverse

Làm thế nào để các thành viên phù hợp với các thành viên nhóm? Microsoft Entra Dataverse

Xem lại bảng sau để biết các thành viên trong Microsoft Entra nhóm phù hợp với Dataverse các thành viên trong nhóm như thế nào.

Chọn loại thành viên nhóm Dataverse (4) Kết quả thành viên
Thành viên và khách Chọn loại này để bao gồm cả loại người dùng Thành viên và Khách (3) từ danh mục nhóm Thành viên (1). Microsoft Entra
Thành viên Chọn loại này để chỉ bao gồm loại người dùng Thành viên (3) từ danh mục nhóm Thành viên (1). Microsoft Entra
Chủ sở hữu Chọn loại này để chỉ bao gồm loại người dùng Thành viên (3) từ danh mục Microsoft Entra nhóm Chủ sở hữu (2).
Khách Chọn loại này để chỉ bao gồm loại người dùng Khách (3) từ danh mục nhóm Microsoft Entra Thành viên (1).

Chỉnh sửa một nhóm

  1. Đảm bảo rằng bạn có vai trò bảo mật Quản trị viên hệ thống, Người tùy chỉnh hệ thống, Người quản lý bán hàng, Phó chủ tịch phụ trách lĩnh vực bán hàng, Phó chủ tịch phụ trách lĩnh vực tiếp thị hoặc CEO-Người quản lý doanh nghiệp hoặc các quyền tương đương.

  2. Đăng nhập vào Trung tâm quản trị Power Platform.

  3. Chọn một môi trường và sau đó chọn Cài đặt>Người dùng + quyền>Đội.

  4. Chọn hộp kiểm cho tên nhóm.

    Ảnh chụp màn hình khi chọn một đội.

  5. Chọn Chỉnh sửa nhóm. Chỉ Tên nhóm, Mô tảQuản trị viên đều có sẵn để chỉnh sửa.

  6. Cập nhật các trường theo yêu cầu, sau đó chọn Cập nhật.

    Ảnh chụp màn hình quá trình chỉnh sửa một nhóm.

Lưu ý

  • Để chỉnh sửa Đơn vị kinh doanh, hãy xem Thay đổi đơn vị kinh doanh cho một nhóm.
  • Bạn có thể tạo Dataverse nhóm nhóm - Thành viên, Chủ sở hữu, KháchThành viên và Khách cho mỗi môi trường dựa trên Microsoft Entra loại thành viên nhóm cho mỗi Microsoft Entra nhóm. Không thể chỉnh sửa ObjectId của nhóm sau khi nhóm đã được tạo. Microsoft Entra
  • Không thể thay đổi loại thành viên Dataverse sau khi tạo nhóm. Nếu bạn cần cập nhật trường này, bạn sẽ cần phải xóa đội ngũ nhóm và tạo một đội ngũ nhóm mới.
  • Tất cả các đội ngũ nhóm hiện có được tạo trước khi trường Loại thành viên được thêm vào được cập nhật tự động thành Thành viên và khách. Không có sự mất mát về chức năng với các nhóm này vì nhóm nhóm mặc định được ánh xạ tới loại thành viên Microsoft Entra Nhóm Thành viên và khách .
  • Nếu môi trường của bạn có nhóm bảo mật, bạn sẽ cần thêm nhóm của nhóm Microsoft Entra làm thành viên của nhóm bảo mật đó để người dùng của nhóm đó có thể truy cập vào môi trường.
  • Danh sách thành viên nhóm được liệt kê trong từng nhóm chỉ hiển thị thành viên của người dùng đã truy cập vào môi trường. Danh sách này không hiển thị tất cả các thành viên của nhóm Microsoft Entra . Khi một thành viên nhóm truy cập vào môi trường, thành viên nhóm đó sẽ được thêm vào nhóm. Microsoft Entra Đặc quyền của thành viên nhóm được trích xuất tự động ở thời gian chạy bằng cách thừa kế vai trò bảo mật của nhóm. Vì vai trò bảo mật được chỉ định cho nhóm và thành viên trong nhóm kế thừa các đặc quyền, nên vai trò bảo mật không được chỉ định trực tiếp cho thành viên nhóm. Do quyền của thành viên nhóm được cấp theo động khi chạy nên tư cách thành viên nhóm của thành viên nhóm sẽ được lưu vào bộ nhớ đệm khi thành viên nhóm đăng nhập. Microsoft Entra Điều này có nghĩa là bất kỳ Microsoft Entra hoạt động bảo trì tư cách thành viên nhóm nào được thực hiện trên thành viên nhóm trong Microsoft Entra ID sẽ không được phản ánh cho đến lần tiếp theo thành viên nhóm đăng nhập hoặc khi hệ thống làm mới bộ nhớ đệm (sau 8 giờ đăng nhập liên tục).
  • Microsoft Entra các thành viên trong nhóm cũng được thêm vào nhóm bằng cuộc gọi mạo danh. Bạn có thể sử dụng tính năng tạo thành viên nhóm trong tập hợp nhóm thay mặt cho người dùng khác bằng cách sử dụng tính năng mạo danh.
  • Các thành viên trong nhóm được thêm hoặc xóa khỏi nhóm tại thời điểm chạy khi thành viên nhóm đăng nhập vào môi trường. Những sự kiện thêm và xóa thành viên nhóm này có thể được sử dụng để kích hoạt hoạt động của plugin.
  • Bạn không cần gán vai trò bảo mật riêng cho các thành viên nhóm nếu vai trò bảo mật của nhóm bạn có thừa kế đặc quyền của thành viên và vai trò bảo mật chứa ít nhất một đặc quyền có quyền cấp Người dùng.
  • Tên nhóm không được tự động cập nhật khi tên nhóm thay đổi. Microsoft Entra Việc thay đổi tên nhóm sẽ không ảnh hưởng đến hoạt động của hệ thống, nhưng chúng tôi khuyên bạn nên cập nhật tên nhóm trong phần cài đặt Teams của trung tâm quản trị. Power Platform
  • Các thành viên nhóm AD sẽ được tự động tạo trong môi trường khi họ lần đầu tiên truy cập vào môi trường. Người dùng được thêm vào đơn vị kinh doanh gốc. Bạn không cần phải chuyển người dùng sang một đơn vị kinh doanh khác nếu bạn đã bật Đơn vị kinh doanh hiện đại hóa để quản lý quyền truy cập dữ liệu của người dùng.

Quản lý các vai trò bảo mật trong nhóm

  1. Chọn hộp kiểm cho tên nhóm.

    Ảnh chụp màn hình khi chọn một đội.

  2. Chọn Quản lý vai trò bảo mật.

  3. Chọn một hoặc nhiều vai trò bạn muốn, rồi chọn Lưu.

    Ảnh chụp màn hình quản lý vai trò bảo mật.

Thay đổi đơn vị kinh doanh cho nhóm

Xem Thay đổi đơn vị kinh doanh cho nhóm.

Thêm các loại nhóm nhóm vào dạng xem tra cứu mặc định

Khi chỉ định thủ công một bản ghi hoặc chia sẻ bản ghi bằng biểu mẫu tích hợp, danh sách tùy chọn mặc định không chọn một số loại nhóm như Microsoft Entra ID. Bạn có thể chỉnh sửa bộ lọc trên dạng xem tra cứu mặc định của bảng nhóm để bộ lọc bao gồm các nhóm này.

  1. Đăng nhập vào Power Apps.

  2. Chọn Dataverse>Bảng>Nhóm>Dạng xem>Nhóm dạng xem tra cứu>Chỉnh sửa bộ lọc

  3. Đặt Loại nhóm, Bằng thành: Nhóm Office AAD, Nhóm bảo mật AAD, Chủ sở hữu

Thêm Microsoft Entra Nhóm văn phòng và Microsoft Entra Nhóm bảo mật vào loại Nhóm.

  1. Chọn OK>Lưu>Phát hành.

Xóa thành viên nhóm và nhóm nhóm

Bạn có thể xóa nhóm bằng cách trước tiên xóa tất cả thành viên nhóm khỏi nhóm Dataverse .

Xóa nhóm Microsoft Entra

Khi nhóm bị xóa khỏi Azure.portal, tất cả thành viên sẽ tự động bị xóa khỏi nhóm trong môi trường trong vòng 24 giờ. Microsoft Entra Dataverse Sau khi tất cả thành viên đã bị xóa, nhóm Dataverse có thể bị xóa.

Hoạt động khác của nhóm

Xem:

Xem thêm

Quản lý nhóm
Video: Microsoft Entra thành viên nhóm
Tạo một nhóm cơ bản và thêm thành viên bằng cách sử dụng Microsoft Entra ID
Bắt đầu nhanh: Xem các nhóm và thành viên của tổ chức bạn trong Microsoft Entra ID