通过

控件用户对环境的访问权限:安全组和许可证

  • 项目

如果您是一家拥有多个环境的公司,则可使用安全组来控制哪些许可用户可以是特定环境的成员。

备注

有关如何在 Microsoft Dataverse for Teams 中使用用户访问权限的信息,请参阅 Dataverse for Teams 环境用户访问权限

请考虑以下示例情形:

Environment 安全组 目的
Coho 酿酒厂销售 Sales_SG 允许访问负责创造销售商机、处理报价单和结束交易的环境。
Coho 酿酒厂营销 Marketing_SG 允许访问通过市场营销活动和广告活动进行营销推广的环境。
Coho 酿酒厂服务 Service_SG 允许访问处理客户案例的环境。
Coho 酿酒厂开发 Developer_SG 允许访问用于开发和测试的沙盒环境。

在此示例中,四个安全组提供了对特定环境的可控访问权限。

请注意有关安全组的以下信息:

  • 关于嵌套安全组

    未预配环境安全组中嵌套安全组的成员,或者该安全组的成员未自动添加到环境。 但是,当为嵌套安全组创建 Dataverse 组团队时,可以将他们添加到环境中。

    此情形的一个示例:在创建环境时,为环境分配了一个安全组。 在环境生命周期中,您想要向由安全组管理的环境添加成员。 您可以在 Microsoft Entra ID 中创建一个安全组,如经理,并将所有经理分配给此组。 然后,将此安全组添加为环境安全组的子项,创建 Dataverse 组团队,将安全角色分配给安全团队。 您的经理现在可以立即访问 Dataverse。

    当成员首次访问环境时,嵌套安全组的成员也会在运行时添加到该环境中。 但直到分派安全角色之前,该成员都无法运行任何应用程序和访问任何数据。

  • 将用户添加到安全组时,会将其添加到环境。

  • 将用户从组中删除时,在环境中会将其禁用。

  • 当安全组与用户的现有环境关联时,将禁用环境中不属该组成员的所有用户。

  • 如果环境没有关联的安全组,所有具有 Dataverse 许可证(客户互动应用—Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation,以及 Power Automate、Power Apps 及其他应用)的用户都将在环境中作为用户创建并启用。

  • 如果安全组与环境关联,则只将有 Dataverse 许可证或每应用计划且属于环境安全组成员的用户创建为环境中的用户。

  • 如果不指定安全组,有 Dataverse 许可证的所有用户(客户互动应用,如 Dynamics 365 Sales 和 Customer Service)或每应用计划都将被添加到新环境中。

  • 新建:不能将安全组分配给默认和开发人员环境类型。 如果您已将安全组分配给默认或开发人员环境,我们建议删除该安全组,因为默认环境是要与租户中的所有用户共享,开发人员环境仅供环境的负责人使用 。

  • 环境支持关联以下组类型:安全和 Microsoft 365。 不支持关联其他组类型

  • 当您选择安全组时,请务必选择 Microsoft Entra 安全组,而不是在本地 Windows Active Directory 中创建的安全组。 不支持本地 Windows AD 安全组。

  • 如果用户不属于分配给环境的安全组,但具有 Azure 租户全局管理员角色,该用户仍将显示为活动用户,并且能够登录。

  • 如果为用户分配了 Dynamics 365 服务管理员角色,则该用户必须是安全组的成员,才能在环境中启用他们。 在将它们添加到安全组并启用之前,它们无法访问环境。

备注

所有许可用户,无论他们是否是安全组的成员,都必须分配安全角色才能访问环境中的数据。 您将分派 Web 应用程序中的安全角色。 如果用户没有安全角色,他们在尝试运行应用时会收到数据访问被拒绝错误。 用户将无法访问环境,直到向其分派至少一个针对该环境的安全角色。 有关详细信息,请参阅配置环境安全。 试用环境不支持自动将用户分配给环境。 对于试用环境,必须手动分配用户。

创建安全组并向安全组添加成员

  1. 登录 Microsoft 365 管理中心

  2. 选择团队和组>活动团队和组

  3. 选择 + 添加组

  4. 将类型更改为安全组,添加组名称说明,然后选择添加>关闭

  5. 选择要创建的组,然后选择成员旁边的编辑

  6. 选择 + 添加成员。 选择要添加到安全组的用户,然后多次选择保存>关闭,以返回列表。

若要移除安全组中的用户,请选择安全组,然后选择成员旁边的编辑。 选择 - 移除成员,然后在要移除的每一位成员旁边选择 X

备注

如果未创建要添加到安全组的用户,请创建这些用户,并向其分配 Dataverse 许可证。

若要添加多个用户,请参阅:批量添加用户到 Office365 组中

创建用户并分派许可证

  1. 在 Microsoft 365 管理中心中,选择用户>活动用户>+ 添加用户

  2. 输入用户信息,选择许可证,然后选择添加

    详细信息:同时添加用户和分配许可证

或者,购买和分配每应用通行证:关于 Power Apps 每应用计划

备注

如果环境分配了 Power Apps 每应用计划,所有用户在尝试访问该环境时都将被视为已获得许可,包括未分配个人许可证的用户。 环境上的每应用计划分配满足用户获得许可才能访问环境的要求。

将安全组和环境关联

  1. 以管理员身份(Dynamics 365 管理员、全局管理员或 Microsoft Power Platform 管理员)登录到 Power Platform 管理中心

  2. 在导航窗格中,选择环境

  3. 选择环境的名称。

  4. 选择编辑

    选择“编辑”。

  5. 编辑详细信息窗格中,选择安全组区域中的编辑图标。

    选择“编辑”图标来选择安全组。

    仅返回前 200 个安全组。 使用搜索可查找特定的安全组。

  6. 选择安全组,选择完成,然后选择保存

    安全组与环境关联。

备注

当安全组与应用的环境相关联时,运行画布应用的用户必须是安全组的成员才能运行画布应用,无论该应用是否已与他们共享。 否则,用户将看到以下错误消息:“您无法在此环境中打开应用。 您不是环境安全组的成员。”如果您的 Power Platform 管理员已为您的组织设置治理详细信息,您将看到治理联系人,您可以联系该联系人以获得安全组成员身份。

另请参见

创建用户