关于 Microsoft Dataverse for Teams 环境
Microsoft Dataverse for Teams 于 2020 年 9 月引入,是 Microsoft Teams 的一个内置的低代码数据平台,可让用户使用 Power Apps、Power Virtual Agents 和 Power Automate 在 Microsoft Teams 中生成自定义应用、机器人和流。 Dataverse for Teams 基于 Microsoft Dataverse 构建,提供关系数据存储、丰富的数据类型、企业级治理,以及将一键式解决方案部署到 Microsoft Teams 应用商店的功能。 详细信息:Dataverse for Teams 概述
当您第一次在 Microsoft Teams 中创建应用或机器人或第一次从应用目录安装使用 Power Apps 创建的应用时,将自动为所选团队创建 Dataverse for Teams 环境。 Dataverse for Teams 环境用于存储、管理和共享特定于团队的数据、应用和流。 每个团队可以有一个环境,团队内使用通过 Power Apps 创建的应用创建的所有数据、应用、机器人和流通过该团队的 Dataverse for Teams 数据库提供。
您可以使用环境列表中的类型列在 Power Platform 管理中心标识 Dataverse for Teams 环境。
许可和限制
请注意下面有关访问 Teams 中的 Microsoft Power Platform 应用的事项:
Dataverse for Teams 将作为精选 Microsoft 365 订阅的一部分随 Microsoft Power Platform 和 Microsoft Teams 功能一起提供,不包括 EDU A1 和 SUB SKU 的计划。
如果您有试用版或独立的 Power Apps 许可证,可在 Web 浏览器中在 Microsoft Teams 之外访问在 Microsoft Teams 中创建的使用 Dataverse for Teams 的应用。 但是,请注意以下事项:
- 在 Teams 中创建的应用不会显示在 make.powerapps.com 或 Power Apps 移动应用的应用列表中。 运行这些应用的唯一方法是在 Power Apps 移动应用中使用转到网站或在浏览器中打开从 Teams 在 Web 浏览器中启动它们。
- 在 Teams 之外运行时,Teams 集成对象的值将不可用。
对于任何独立的 Power Apps 或 Power Automate 使用(包括 Dataverse API 访问),Dataverse for Teams 环境都需要升级到 Dataverse。
Teams 可以邀请可以访问团队中 Dataverse for Teams 数据库中的应用、机器人、流和数据的访客。 但是,不允许他们安装、创建或编辑应用。 他们只能在其团队内发现和运行应用。
不会提供对 Dataverse for Teams 的直接 API 访问,只有嵌入在 Microsoft Teams 客户端中的应用、机器人和流能够访问 Dataverse for Teams 运行时。
详细信息:Dataverse for Teams 许可常见问题
环境生命周期
本节总结了 Dataverse for Teams 环境将允许的关键生命周期操作。
备注
Dataverse for Teams 环境名称与团队名称相同。 您可以在 Power Platform 管理中心筛选环境列表,以仅显示 Dataverse for Teams 环境。
| 操作 | 功能说明 | 通过 GA 提供 |
|---|---|---|
| 备份 | 可以执行自动化备份和带标记备份。 管理员可以在 Power Platform 管理中心查看它们。 备份最多保留 7 天。 | 是 |
| 恢复 | Teams 环境仅支持自还原。 只能以时间点方式还原到同一个环境。 注意:如果环境已升级,时间点还原将仅在升级之时开始可用。 | 是 |
| 副本 | 默认情况下对 Dataverse for Teams 环境不可用。 | 否 |
| 创建 | 仅通过 Microsoft Teams。 注意:这些 Dataverse for Teams 环境将被限制为与创建它所在的 Microsoft Teams 团队的 1:1 映射,并绑定到与团队关联的 Microsoft 365 组。 | 否 |
| 删除 | 团队负责人可以删除环境。 如果创建环境的团队也被删除,将自动删除该环境。 | 是 |
| 重置 | 默认情况下对 Dataverse for Teams 环境不可用。 | 否 |
| 升级 | 解锁适用于环境的所有 Dataverse 服务。 | 是 |
环境的生命周期将绑定到其创建团队。 如果您将环境升级到 Dataverse,无法保证 1:1 映射,因为环境可以被 Microsoft Teams 之外的应用程序使用。 升级后的环境受与 Power Apps 许可证和环境配置关联的生命周期规则的限制。
默认情况下会锁定某些操作,如复制和重置操作。 对于需要此功能的场景,请使用具有 Dataverse 数据库的环境。 请参阅上表了解详细信息。
重要提示
在对环境执行升级操作之前,不允许 Dataverse for Teams 环境更改类型。 升级完成后,Dataverse for Teams 环境将具有 Dataverse 中可以找到的全部功能。
如果删除了团队,创建的 Dataverse for Teams 环境也将被删除。 Dataverse for Teams 环境本身可以由团队负责人从团队内删除。 允许删除之前,将提供警告,以确保不会意外删除。
用户对 Dataverse for Teams 环境的访问
在诸如 Dataverse for Teams 这样可以在应用、机器人和数据的开发和使用中进行协作的环境中,了解如何授予对服务中不同类型角色的访问权限非常重要。
本节总结了用户对 Dataverse for Teams 环境和资源的访问。
概念模型
Microsoft Teams 中的每个团队都 1:1 链接到 Microsoft 365 组。
Microsoft 365 组支持以下两种用户成员资格类型:负责人和成员。 成员可以是客户自己的租户或来宾租户中的用户。 在团队中进行的任何用户管理(添加、删除、用户类型更改)都将反映在 Microsoft 365 组中,反之亦然。
对 Dataverse for Teams 环境及其资源(应用、数据)的访问仅限于团队中的用户。 链接到团队的 Microsoft 365 组将自动与 Dataverse for Teams 环境关联,从而限制只有该组的用户才具有访问权限。 在环境升级到 Dataverse 之前,此 Microsoft 365 组与 Dataverse for Teams 环境的关联是不可编辑的。
将用户添加到具有 Dataverse 数据库的环境与将用户添加到 Dataverse for Teams 环境的模型有所不同。 下表介绍了这些不同。
| 特性 | Dataverse for Teams | Dataverse |
|---|---|---|
| 自动添加与环境关联的 Microsoft 365 组中的所有用户 | 否 | 是 |
| 在用户首次访问环境中的资源时实时添加用户 | 是 | 是 |
| 按需添加用户(参阅将用户添加到环境) | 是 | 是 |
角色分配
| 角色 | 描述 | 自动分配的安全角色 |
|---|---|---|
| 团队负责人 | 负责人可以管理团队中的团队成员身份和设置。 他们具有对 Dataverse for Teams 环境的应用、资源和数据的完全访问权限。 其可以通过 Power Platform 管理中心执行环境维护任务,如备份和还原。 | 系统管理员 |
| 团队成员 | 成员可以查看 Dataverse for Teams 环境的资源,运行所有应用和资源,以及创建或更新所有资源。 其拥有所有数据的全部访问权限。 | 团队成员 |
| Teams 来宾 | 来宾是团队负责人邀请的租户外人员,如合作伙伴和客户。 其可以查看和运行团队中的所有资源。 默认情况下,来宾拥有其创建的记录的所有访问权限,但是没有其他用户的记录的访问权限。 | Teams 来宾 |
| 全局管理员/Power Platform 管理员 | 他们是管理租户环境的运行状况和维护的租户级管理员。 他们不必是团队的负责人或成员,但是通过他们的租户级管理员权限,他们可以执行环境维护任务,如为所有 Dataverse for Teams 环境进行备份和还原。 与 Dataverse 相似,这些租户级管理员将具有系统管理员特权,具有对 Dataverse for Teams 环境的读写访问模式。 | 系统管理员 |
| Dynamics 365 管理员 | 这些管理员需要是团队的负责人或成员(因为每个团队都链接到一个 Microsoft 365 组,并且 Dataverse for Teams 环境将始终被限制为只有该 Microsoft 365 组才能访问)才能拥有系统管理员级权限来管理环境的运行状况和维护。 | 如果他们是团队的负责人,为系统管理员;如果他们是团队的成员,为系统管理员和 Teams 成员。 如果他们不是团队的负责人或成员,则没有访问权限。 |
| 具有访问权限的同事 | 具有访问权限的同事是指租户中不属于团队,但是受邀运行团队中的应用的人员。 默认情况下,具有访问权限的同事没有数据的访问权限。 可以基于其需要运行的应用或资源为其授予数据访问权限。 注意:当邀请具有访问权限的同事在团队中运行应用时,将自动删除 Microsoft 365 组与团队的 Dataverse for Teams 环境的关联,以允许具有访问权限的同事获得应用运行访问权限。 | 基本用户 |
备注
Dataverse for Teams 中不支持共享记录。 您不能与其他用户或团队共享记录。
Dataverse for Teams 环境设置和操作
若要更改 Dataverse for Teams 环境的设置,请转到环境> [选择 Dataverse for Teams 环境] >设置。
用户 + 权限
您可以在环境中指定用户,为他们提供对 Dataverse for Teams 环境应用、机器人和数据的访问权限。
在 Power Platform 管理中心,在左侧窗格中选择环境,然后选择一个 Dataverse for Teams 环境。
选择设置。
选择用户 + 权限,然后选择用户。
您将看到属于 Dataverse for Teams 环境的成员的启用和禁用用户的列表。 您可以从列表中选择一个用户来运行诊断和查看其访问权限详细信息和状态。
选择 + 添加用户将租户用户添加到所选的 Dataverse for Teams 环境中。
输入满足用户访问要求的用户的名称或电子邮件地址,将该用户添加到 Dataverse for Teams 环境中,然后选择添加。
选择刷新可在列表中查看添加的用户。
删除 Dataverse for Teams 环境
若要删除 Dataverse for Teams 环境,从环境列表中选择它,然后选择删除。
将 Dataverse for Teams 环境升级到生产
选择升级到生产。 详细信息:升级流程
容量限制
Dataverse for Teams 环境消耗的容量不会计入租户的容量限制。 我们将为 Dataverse for Teams 环境提供一个容量池,它将与租户的 Microsoft Power Platform Dataverse 容量池分开。 不能在这两个池之间转移容量。
Dataverse for Teams 环境中的每个环境限制:每个 Dataverse for Teams 环境提供 2 GB 的组合数据库和文件存储,其中一部分供系统使用。 若要查看租户中每个 Dataverse for Teams 环境的消耗量,转到 Power Platform 管理中心 (https://aka.ms/ppac),然后转到资源>容量>Microsoft Teams 容量。
Dataverse for Teams 环境中的租户范围限制:每个租户还将有下表中定义的与 Dataverse for Teams 环境有关的限制。
| 计价单位 | 服务限制 |
|---|---|
| Dataverse for Teams 个环境 | 5 个环境,每 20 个符合条件的 Microsoft 365 用户许可证都额外具有 1 个环境。 如果需要更多实例,请考虑删除未使用的环境或将环境升级到 Dataverse。 拥有超过 200,000 个符合条件的 Microsoft 365 席位的客户应联系其 Microsoft 代表。 |
| 每个租户的最大 Dataverse for Teams 环境存储 | Dataverse for Teams 环境 × 2 GB(最大 19.5 TB)。 无法进一步扩展 2 GB 存储空间上限。 如果需要更多存储,请考虑将环境升级到 Dataverse。 |
| 最大 Dataverse for Teams 环境 API 调用数 | Microsoft Power Platform 中的 API 请求由用户在各产品中执行的操作构成。 有关 API 调用和可用按用户限制的详细信息,请转到 Microsoft Power Platform 请求权利。 |
实施
当客户接近和超过环境级或租户范围的 Microsoft Teams 限制时,将执行以下操作。
环境级实施操作
当团队中的 Dataverse for Teams 环境接近或达到 2 GB 容量限制时,将执行以下操作:
- 在达到限制的 80% 时,Microsoft Teams 用户将在 Microsoft Teams 制作者体验中看到一条消息,通知他们即将达到容量限制。 在这种情况下,鼓励客户减少使用存储或联系管理员了解其他选项。
- 达到 100% 限制时,所有现有应用、聊天机器人和流将继续工作,现有应用可以更新。 但是,由于已达到容量限制,新应用、机器人、流和表无法创建或安装。
租户级实施
当租户接近或达到其租户范围的 Microsoft Teams 限制时,将执行以下操作:
- 在达到限制的 80% 时,将向租户管理员(Microsoft 365 全局管理员、Power Platform 管理员、Dynamics 365 管理员)发送一条容量将达到其限制的通知。 鼓励管理员考虑减少存储使用或升级某些 Dataverse for Teams 环境。
- 限制达到 100% 时,创建新 Dataverse for Teams 环境将被阻止。 由于达到了容量限制,任何尝试创建新 Dataverse for Teams 环境的用户都将被提示联系租户管理员。 而且,不允许在任何现有的 Dataverse for Teams 环境中创建或安装新应用、聊天机器人、流和表。
正如对环境级实施的说明,所有现有应用仍然可以正常运行。
升级流程
遵循升级 Dataverse for Teams 环境的高级流和业务规则。
租户管理员将被允许将 Dataverse for Teams 环境升级到 Dataverse 数据库环境。 下面是一个典型流:
在团队中,Microsoft Teams 用户选择使用 Microsoft Teams 中集成的使用 Power Apps 创建的新应用创建体验或通过安装现有的基于 Dataverse for Teams 环境的应用来创建应用。 此时,为团队提供了一个 Dataverse for Teams 环境。
随着时间的推移,存储在 Dataverse for Teams 环境中的数据将增长,最终将达到这些环境的容量限制 (2 GB)。 此时,现有应用将继续工作,但是不允许创建或安装新应用程序。 客户将被指示联系租户管理员,来将 Dataverse for Teams 环境升级到 Dataverse,获取更多容量。 或者,Microsoft Teams 用户可以因想要使用 Dataverse 中的某些功能请求管理员升级环境。
管理员将审核来自 Microsoft Teams 用户的请求,并决定将环境从 Microsoft Teams 升级到 Dataverse。 此时,管理员将转到 Power Platform 管理中心环境视图执行升级。
备注
若要成功执行升级,租户必须有至少与要升级的 Dataverse for Teams 环境大小相同的可用容量。 升级后,升级的 Dataverse for Teams 环境的已用容量将开始计入租户的容量。 如果在租户没有足够容量时尝试升级 Dataverse for Teams 环境,升级操作将被阻止,并显示一条错误消息。
管理员将收到包含升级含义的消息,并会被要求确认操作。
如果管理员确认,升级将继续。 随着升级的进行,当操作在各种状态之间转换时,将提供各种通知。
升级后,新升级的环境将出现以下情况:
- 若要查找和编辑应用和流,应用制作者需要转到 Power Apps 门户。
- 升级后的环境的生命周期将不再与该团队的生命周期关联。 如果团队被删除,升级后的环境会保留。
- 在该环境中运行的所有应用都需要 Microsoft Power Platform(Power Apps、Power Automate)许可证才能访问。
- 这些应用可以在 Microsoft Teams 内部和外部运行。
- 所有现有应用都将与升级后的环境 (Dataverse) 关联,并可以利用扩展的表集。
- 升级后的环境容量将开始计入租户的 Dataverse 容量。
- 将可以编辑 Microsoft 365 组关联。
- 将为团队负责分配其环境的系统管理员角色,并且他们可以使用 Power Platform 管理中心访问环境。
- 在以前的团队中添加新 Microsoft Teams 模板应用不会为团队创建新的 Dataverse for Teams 环境。
能够管理 Dataverse for Teams
默认情况下 Microsoft Teams 中启用使用新 Power Apps 和 Power Virtual Agents 应用创建应用或机器人的功能。 管理员可以使用 Microsoft Teams 中的 Microsoft Teams 应用权限策略为特定用户启用或禁用该功能。
在您的 Microsoft Teams管理中心,您可以使用 Microsoft 应用下提供的 Power Apps 和 Power Virtual Agents 应用程序为特定用户启用或禁用这些新功能。 详细信息:在 Microsoft Teams 中管理应用权限策略
除了使用 Power Apps 和 Power Virtual Agents 创建应用或机器人的新体验之外,用户还可以使用示例应用来实例化 Microsoft Teams 应用(以及关联的 Dataverse for Teams 环境)。 可用示例应用在此处列出。 您可以使用 Microsoft Teams 应用权限策略为特定用户启用或禁用这些应用。 例如,对于 Microsoft Teams 管理中心内 Microsoft 应用下的应用权限策略,您会找到员工观点、检查和问题报告示例应用。
请注意,禁用使用 Power Apps 创建的应用后,用户将无法访问您使用通过 Power Apps 创建的应用固定在其 Microsoft Teams 渠道中的任何独立应用。 要使用户即使在关闭 Power Apps maker 体验后仍能够在 Microsoft Teams 体验中继续使用独立应用,您可以使用新的由同事构建目录入口点将独立应用固定到 Microsoft Teams 渠道或用户的个人范围。 此操作只需要执行一次:它会更新团队所有成员的体验,允许他们使用已经有权访问的现有应用。 我们建议如果您选择为租户中的任何用户禁用 Power Apps,则建议他们可以使用由同事构建目录恢复他们以前在 Microsoft Teams 渠道中使用的独立应用。 有关此入口点和相应控件的详细信息,请转到在 Microsoft Teams 管理中心管理 Microsoft Power Platform 应用。
由同事构建目录有意筛掉了与每个人共享应用。 这些应用可以使用 Microsoft Teams 中的上载自定义应用功能添加到 Microsoft Teams 应用目录中。 详细信息:通过上载应用包发布自定义应用
备注
在 Teams 中禁用 Power Apps 和 Power Virtual Agent 应用可以阻止用户创建新的应用和机器人,但不会阻止创建 Dataverse for Teams 环境。 如果您将这些应用之一添加到团队中,将有其他应用(检查、员工观点和问题报告)会创建 Dataverse for Teams 环境。 若要阻止使用这些应用创建 Dataverse for Teams 环境,需要阻止这些应用。
与其他环境类型相同,Microsoft Power Platform 数据治理策略(如数据丢失防护和租户隔离)适用于 Microsoft Teams 和 Dataverse for Teams 环境。
向所有 Dataverse for Teams 环境应用数据丢失防护策略
Microsoft 提供了一种解决方案,可将数据丢失防护策略 (DLP) 应用于租户内的所有 Teams 环境,让您能够更好地控制组织的数据,而不会限制您在 Teams 中创建低代码和无代码解决方案的能力。
请按照以下步骤应用 DLP 策略:
选择或创建要应用到 Teams 环境的策略。 该策略必须标记为应用到特定环境,可按照以下方式执行:
- 在 PowerShell 中,确保其 environmentType 为“OnlyEnvironments”,或者
- 在 Web 应用中,确保将范围设置为多个环境。
您将需要添加至少一个环境来保存策略。 现在添加的任何环境都将由下面的 PowerShell 函数替代,它会自动将 Teams 环境添加到策略。
使用此命令导入必要模块:
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell -Force运行 UpdatePolicyEnvironmentsForTeams 函数(DLP SDK 中提供)。 这将在租户中标识 Teams 环境并将其添加到给定策略。
- 同时需要策略的名称和显示名称。 如果策略名称和显示名称不匹配,将不会更新策略。
- OnlyEnvironmentsPolicyName – 策略的名称 (guid)
- OnlyEnvironmentsPolicyDisplayName – 策略的显示名称
- (可选)此外,还可以从其他策略中排除这些 Teams 环境。 必须为策略划分范围,以适用于“排除特定环境”。
- ExceptEnvironmentsPolicyDisplayName – 策略的显示名称
- ExceptEnvironmentsPolicyName – 策略的名称 (guid)
- ExceptionEnvironmentIds - 除了 Teams 环境之外,此 ExceptEnvironments 策略中还应包含的环境 ID 的列表。 建议从文本文件生成此列表。
可以不使用这些参数中的任何一个,或一起使用 b.i. 和 b.iii., 或一起使用 b.i.、b.ii. 和 b.iii. 。
例如,可以使用 b.i. 和 b.ii. 参数为除 Teams 环境外的所有环境指定一个默认策略。 这会将默认策略的排除列表中的所有环境替换为所有 Teams 环境。 除 Teams 环境外,如果还要从此默认策略中排除其他环境,可以使用 b.iii. 参数。 如果环境已添加到此默认策略的排除列表中(通过 UI 或其他 PowerShell 脚本),但未包含在“environmentIds”文本文件中,则下次运行该脚本时将移除该环境。
- 同时需要策略的名称和显示名称。 如果策略名称和显示名称不匹配,将不会更新策略。
备注
此函数每次运行时,都将把每个给定策略中的现有环境列表替换为新的环境列表。 因为该函数将立即更新策略,因此它要求策略名称和策略显示名称作为参数以确保您定向正确的策略。 如果显示名称与给定策略名称不匹配,将不会修改该策略。
建议按计划运行此脚本,以确保 DLP 策略始终应用到 Teams 环境的最新列表。 如果在运行此脚本后创建 Teams 环境,该环境将不受策略的影响,除非通过重新运行脚本或手动将新环境添加到策略来更新策略的环境。 如果将非 Teams 环境添加到“OnlyEnvironments”策略,则下次运行该脚本时将移除该环境。
已知问题
- 面向未分配 Microsoft Entra 管理员角色(例如全局管理员或 Power Platform 管理员)的团队负责人、成员和来宾的 Power Platform 管理中心中的运行诊断功能将显示警报,提示没有直接向其分配安全角色。 系统会自动为 Microsoft Teams 人员分配安全角色,因此可以忽略此警报。
另请参见
自动删除停用的 Microsoft Dataverse for Teams 环境(预览)
Power Apps 和 Teams
Power Automate 和 Teams
Power Virtual Agents 和 Teams
在 Microsoft Teams 管理中心管理应用
Microsoft Dataverse for Teams 入门