创建用户
使用 Microsoft 365 管理中心为需要访问应用、流或聊天机器人的每个用户创建用户帐户。 用户帐户通过 Microsoft 联机服务环境注册用户。
创建用户帐户
在 Microsoft 365 管理中心创建用户帐户时,系统会为用户生成用户 ID 和临时密码。 您可以让服务将电子邮件以明文方式发送给用户。 虽然密码是临时的,但您可以考虑通过更安全的通道(例如以数字方式加密内容的电子邮件服务)来复制发送给用户的信息。
有关创建 Microsoft 联机服务用户帐户的分步说明,请参阅单个或批量添加用户。
备注
当您在 Microsoft 365 管理中心创建用户并分配许可证时,客户互动应用中也会创建该用户。 在 Microsoft 365 管理中心和客户互动应用之间的同步过程可能需要几分钟才能完成。
用户可以通过输入用户 ID 和密码来访问 Microsoft 365 管理中心,以查看有关服务的信息。 但是,只有在用户将安全角色直接或间接分配给组团队之后,用户才能访问客户互动应用。
小费
若要强制在 Microsoft 365 管理中心和客户互动应用之间立即同步,请执行以下操作:
- 注销客户互动应用和 Microsoft 365 管理中心。
- 关闭所有用于客户互动应用和 Microsoft 365 管理中心的已打开的浏览器。
- 重新登录客户互动应用和 Microsoft 365 管理中心。
用户类型
常规用户
这些是来自 Microsoft Entra ID 的常规同步用户。
应用程序用户
通过系统用户记录中是否存在 ApplicationId 属性来标识。 要检查 Microsoft Entra 应用程序 ID,请参阅查看或编辑应用程序用户的详细信息。
非交互用户
- 在这些用户被标记为非交互之后,许可特定的预配业务规则将不应用于这些用户。 注意:安全组特定规则仍会应用。
- 无法访问 Microsoft Dataverse Web 界面或管理门户。
- 只能通过 Dataverse SDK/API 调用访问。
- 每个实例有最多 7 个非交互用户的限制。
支持用户
请参阅系统和应用程序用户。
- 不与 Microsoft Entra ID 同步,由 Dataverse 创建,创建后立即可用。
- 所有内部 Microsoft 支持用户的占位符用户记录。
- 关键标识符:
- UPN(用户主体名称)值为 crmoln@microsoft.com。
- 访问模式值为 3。
- 所有 Microsoft 支持用户都将在运行时映射到此众所周知的记录。
委派管理员
请参阅以下文章:
对于合作伙伴:委派管理员
系统和应用程序用户
- 不与 Microsoft Entra ID 同步,由 Dataverse 创建,创建后立即可用。
- 作为委派管理员访问 Dataverse 的客户的所有委派管理员合作伙伴用户的占位符用户记录。
- 关键标识符:
- UPN 值为 crmoln2@microsoft.com。
- 访问模式值为 5。
- 所有委派管理员合作伙伴用户都将在运行时映射到此众所周知的记录。
用户配置文件信息
某些用户配置文件信息需要在 Microsoft 365 管理中心进行维护和管理。 在创建或更新用户后,这些用户的配置文件字段将在 Microsoft Power Platform 环境中自动更新和同步。
下表显示了在 Microsoft 365 管理中心的用户部分管理的字段。
客户互动应用用户窗体 | Dataverse SystemUser 对象 | Microsoft 365/Microsoft Entra 用户 |
---|---|---|
用户名 | DomainName | Username |
全名* | 全名 | 全名 |
职务 | JobTitle | 工作职务 |
名 | FirstName | 名 |
姓 | LastName | 姓 |
主要电子邮件** | InternalEmailAddress*** | 邮寄地址 |
主要电话 | Address1_Telephone1 | 办公电话 |
移动电话 | MobilePhone | 移动电话 |
街道 | Address1_Line1 | 街道地址 |
市/县 | Address1_City | 市/县 |
州/省 | Address1_StateOrProvince | 省/市/自治区 |
邮政编码 | Address1_PostalCode | 邮政编码 |
国家/地区 | Address1_Country | 国家或地区 |
AzureActiveDirectoryObjectId**** | AzureActiveDirectoryObjectId | ObjectId |
*“全名”不自动更新且不与客户互动应用同步。 **为了防止数据丢失,PrimaryEmail 字段不会自动更新,也不会与 customer engagement 应用程序同步。 ***客户可以更新 InternalEmailAddress,此后,同步将不再更新此字段。 **** Microsoft Entra ID 中用户或服务主体的对象 ObjectID |
备注
自定义字段在 Microsoft 365、Microsoft Entra 和 Power Platform 之间从不同步。
所有字段都始终同步,但明确提到不会自动更新的字段除外(客户更新后的自定义字段、全名、主电子邮件和内部电子邮件地址)。
如果名字最初为空,系统会添加“#”作为名字。
下图显示 Microsoft 365 用户的联系人字段。
查看和编辑用户个人资料
要在 Power Platform 管理中心查看和编辑用户的个人资料:
- 选择一个环境,然后转到设置>用户 + 权限>用户。
- 在列表中选择一个用户。
在用户个人资料页面上,您可以查看和更改重要的用户个人资料信息,如安全角色、团队成员身份、业务部门、经理、职位等。 您还可以运行诊断来排查访问问题或刷新用户从 Microsoft Entra ID 重新同步。
向用户帐户添加许可证
您可以在创建用户帐户时向用户授予许可证,也可以在稍后授予用户许可证。 您必须向每个您希望其访问联机服务的用户帐户分派许可证。 请参阅分配许可证。
分配安全角色
安全角色通过一组访问级别和权限来控制用户对数据的访问。 包括在特定安全角色中的访问级别和权限的组合对用户查看数据以及与该数据交互设置了限制。 请参阅为用户分配安全角色。
启用或禁用用户帐户
用户启用和禁用仅适用于具有 Dataverse 数据库的环境。 若要启用具有 Dataverse 数据库的环境中的用户,请确保允许他们登录、向用户分配许可证,然后将该用户添加到与环境关联的安全组中。 这些条件与用于将用户添加到环境的条件相同。
若要启用用户,请向用户分配许可证并将该用户添加到与环境关联的安全组。 如果启用某个已禁用的用户帐户,则必须向该用户发送访问系统的新邀请。
若要禁用用户帐户,请删除用户的许可证或将该用户从与环境关联的安全组删除。 将用户从安全组中删除不会删除用户的许可证。 如果要使许可证能够供其他用户使用,则必须从已禁用用户帐户中删除许可证。
备注
您也可以去除用户的所有安全角色以阻止该用户登录和访问客户互动应用。 但是,此操作不会从用户中删除许可证,因此用户仍保留在已启用用户的列表中。 建议您不要使用此方法来删除用户的访问权限。
使用安全组管理对组织启用或禁用用户或设置访问权限时,所选安全组内的嵌套安全组不受支持,因此将被忽略。
可为已禁用用户帐户分配记录,还可以为其关联报表和客户。 这在将本地部署版本迁移到线上时非常有用。 如果需要将安全角色分派给状态为“已禁用”的用户,方法是启用 OrgDBOrgSettings 中的 allowRoleAssignmentOnDisabledUsers。
全局管理员、Power Platform 管理员或 Dynamics 365 管理员不需要在环境中启用许可证。 在全局管理员和 Power Platform 管理员可以不使用许可证进行管理中了解更多。 但是,由于他们没有许可证,因此将在管理访问模式下设置。
您必须是相应管理员角色的成员才能执行这些任务。 详细信息:分配管理员角色
在环境中启用用户帐户
若要在具有 Dataverse 数据库的环境中启用用户,您可以为用户启用登录,向用户分配许可证,然后将用户添加到安全组中。
若要启用登录
- 登录 Microsoft 365 管理中心。
- 选择用户>活动用户,然后选择用户。
- 确保在用户的显示名称下能够看到允许登录。 如果看不到,请选择阻止此用户,然后取消阻止登录。
若要分配许可证
- 登录 Microsoft 365 管理中心。
- 选择用户>活动用户,然后选择用户。
- 选择许可证和应用选项卡,然后选择要分配的许可证。
- 选择保存更改。
若要将用户添加到安全组
- 登录 Microsoft 365 管理中心。
- 选择团队和组>活动团队和组。
- 选择与您的环境关联的安全组。
- 选择成员选项卡。
- 在成员下,选择查看全部和管理成员>添加成员。
- 从列表中选择用户或搜索用户,然后选择保存。
在环境中禁用用户帐户
要在具有 Dataverse 数据库的环境中禁用用户帐户,可以从安全组中删除该用户,也可以从用户中删除许可证。
若要从安全组中删除用户
- 登录 Microsoft 365 管理中心。
- 选择团队和组>活动团队和组。
- 选择与您的环境关联的安全组。
- 选择成员选项卡。
- 在成员下,选择查看全部和管理成员。
- 在列表中选择用户以将其删除,然后选择保存。
若要从用户中删除许可证
- 登录 Microsoft 365 管理中心。
- 选择用户>活动用户,然后选择用户。
- 选择许可证和应用选项卡,然后选择要删除的许可证。
- 选择保存更改。
从用户中删除许可证可能不会总是禁用用户帐户,但许可证将被释放以分配给其他用户。 在环境中禁用用户帐户的推荐方法是从与该环境关联的安全组中删除将其删除。
备注
您也可以在 Microsoft 365 管理中心中删除用户。 从订阅中移除用户时,分派给该用户的许可证将自动变得可分派给其他用户。 如果您希望该用户仍有权访问您通过 Microsoft 365 管理的其他应用程序—例如 Microsoft Exchange Online 或 SharePoint,请不要将他们作为用户删除。 而只是移除分派给他们的许可证。
注销 Microsoft 365 管理中心时不会注销客户互动应用。 必须单独注销。
小费
若要强制在 Microsoft 365 管理中心和客户互动应用之间立即同步,请执行以下操作:
- 注销客户互动应用和 Microsoft 365 管理中心。
- 关闭所有用于客户互动应用和 Microsoft 365 管理中心的已打开的浏览器。
- 重新登录客户互动应用和 Microsoft 365 管理中心。
将用户添加到 Dataverse
为了让用户能够访问环境中的应用程序和数据,Dataverse 中的 SystemUser 表至少必须具有对应于相应用户身份的记录。 在 Dataverse 中添加用户有不同的机制,可以自动添加,也可以按需添加:
小费
查看以下视频:将用户添加到 Dataverse。
系统后台进程定期运行,以根据预先确定的要求集同步 Microsoft Entra 中的更改,并更新 Dataverse 中的 SystemUser 记录。 将所有更改同步到 Dataverse 所需的时间取决于必须添加或更新的用户总数。 对于在 Microsoft Entra ID 中有数千个用户的大型组织,我们建议创建与每个环境关联的安全组,以仅将所需的用户子集添加到 Dataverse 中。
备注
并非所有添加到 Microsoft Entra ID 中的用户都会被自动同步流程选取。 本节详细介绍了在将用户从 Microsoft Entra ID 添加到 Dataverse 时系统后台进程应用的资格条件。
如果用户已存在于 Microsoft Entra ID 中,在首次尝试访问环境时,他们会被自动添加到 SystemUsers 表中。 如果用户已存在于 Dataverse 中,但处于禁用状态,尝试访问环境将会导致用户的状态更新为“已启用”(如果在访问时他们有权访问)。
具有必要权限的用户可以根据需要使用 API 在 Dataverse 中添加或更新用户。
管理员可以利用 Power Platform 管理中心用户管理体验来在 Dataverse 中按需添加用户。
在 Dataverse 中不自动添加的用户类别
在某些情况下,上述系统后台进程不会自动将用户添加到 Dataverse 中。 在这些情况下,用户将在首次尝试访问环境时或由管理员使用 API 或 Power Platform 管理中心按需添加。 这些情况包括:
- 用户是 Dataverse for Teams 环境类型的一部分。
- 用户是具有 Dataverse 数据库的环境的一部分,从 Microsoft 365 许可证获得免费的 Dataverse 服务计划。
- 用户是具有 Dataverse 数据库和环境级应用通行证许可证类型的环境的一部分。
备注
如果环境没有 Dataverse 数据库,将无法自动或按需将用户添加到 SystemUser 表。
在 Dataverse 中成功添加用户的要求
必须满足以下条件才能在 Dataverse 表中成功添加用户:
用户必须在 Microsoft Entra ID 中启用且未删除或软删除。 用户必须在 Microsoft Entra 中启用才能在 Dataverse 数据库中启用。 如果将用户添加到 Dataverse,然后在 Microsoft Entra ID 中将其删除,Dataverse 表中的状态将更新为“已禁用”。
用户必须有有效的许可证,以下情况除外:
- 管理员用户不需要许可证。 未经许可的 Microsoft Entra 管理员在系统中作为“设置用户”启用,并且具有仅访问管理模式。
- 当环境有应用通行证容量时,个人用户不需要有许可证。 这仅适用于按需添加用户(首次尝试访问环境或通过 API/Power Platform 管理中心访问)。
- 当个人用户所属的租户有租户级市场营销许可证时,他们不需要有许可证。 这仅适用于按需添加用户(首次尝试访问环境或通过 API/Power Platform 管理中心访问)。
- 非交互用户不需要许可证。
- 当用户按需添加(首次尝试访问环境或通过 API/Power Platform 管理中心访问)时,Microsoft 365 许可证包含的免费 Dataverse 计划将起作用。
备注
来宾用户还应该有环境租户的许可证。 来宾用户租户的许可证不被视为有效许可证。
- 如果环境定义了安全组,用户必须是相应安全组的一部分,除非用户是租户或 Power Platform 管理员。 非管理员用户或 Dynamics 365 服务管理员必须在安全组中才能访问系统。 当安全组的负责人通过按需操作添加到 Dataverse 时,该用户将被视为安全组的有效成员,将会被成功添加到 Dataverse。
将用户添加到 Dataverse 具有不同的含义,具体取决于环境类型:
如果用户是试用环境的一部分,那么他们不需要电子邮件审批即可被添加到 Dataverse 中。 用户只会被按需添加到 Dataverse。 后台同步进程仍将运行以保持环境中的用户是最新的,但不会自动添加用户。
只有创建开发人员环境类型的初始用户会被添加到 Dataverse。
属于 Dataverse for Teams 环境一部分的用户只会在用户第一次尝试访问环境时被添加到 Dataverse 的 SystemUser 表中。
创建读写用户帐户
默认情况下,创建的所有许可用户的访问模式为读写。 该访问模式基于分派的安全权限为用户提供完全访问权限。
若要更新用户的访问模式
- 在 Power Platform 管理中心内,选择环境,转到设置>用户 + 权限>用户。
- 选择已启用的用户,然后从列表中打开一个用户。
- 在用户窗格命令栏上,选择...>在 Dynamics 365 中管理用户。
- 在用户窗体中,在管理下向下滚动到客户端访问许可证(CAL)信息部分。 在访问模式列表中,选择读写。
- 选择保存图标。
创建管理用户帐户
管理用户是有权访问“设置”和“管理”功能,但无权访问任何功能的用户。 使用此帐户分配管理用户来执行日常维护功能(例如创建用户帐户、管理安全角色等)。 由于管理用户无权访问客户数据、应用程序或任何功能,因此用户不需要许可证(在安装后)。
您需要具有系统管理员安全角色或同等权限,才能创建管理用户。 首先,您将在 Microsoft 365 中创建一个用户帐户,然后在客户互动应用中,选择帐户的管理访问模式。
备注
只要没有分配用户许可证,任何具有全局管理员、Power Platform 管理员或 Dynamics 365 服务管理员角色的管理员用户都将具有管理访问模式。 不论在租户级别启用应用通行证还是以即用即付方式使用,这都是正确的。
请参阅创建管理用户和阻止安全角色权限的提升获取如何使用管理用户帐户的示例。
在 Microsoft 365 管理中心中创建用户帐户。
确保为客户分配许可证。 在您分配了管理访问模式后,您将在后面的步骤中删除此许可证。
在可选设置窗体中,展开角色。
向下滚动窗体,然后选择按类别显示所有链接。
选择 Power Platform 管理员或 Dynamics 365 管理员复选框。
等待用户同步到环境。
在 Power Platform 管理中心内,选择环境,转到设置>用户 + 权限>用户。
从列表中选择用户。
在用户窗格命令栏上,选择...>在 Dynamics 365 中管理用户。
在用户窗体中,在管理下向下滚动到客户端访问许可证(CAL)信息部分。 在访问模式列表中,选择管理。
现在,您需要从帐户中删除许可证。
转到 Microsoft 365 管理中心。
选择用户>活动用户。
选择管理用户帐户,然后选择许可证和应用选项卡。
清除许可证框,然后选择保存更改。
创建非交互用户帐户
非交互式用户不是通常意义上的“用户”它不代表某个人,而是使用用户帐户创建的一个访问模式。 它从应用程序之间的客户互动应用以编程方式访问。 非交互式用户帐户使这些应用程序或工具(如从客户互动应用到 ERP 的连接器)可以验证和访问客户互动应用,无需许可证。 对于每个环境,您可以创建至多七个非交互用户帐户。
您需要具有系统管理员安全角色或同等权限,才能创建非交互用户。 首先,您将在 Microsoft 365 中创建一个用户帐户。 然后,在客户互动应用中,选择客户的非交互式访问模式。
在 Microsoft 365 管理中心中创建用户帐户。
确保为客户分配许可证。
在 Power Platform 管理中心内,选择环境,转到设置>用户 + 权限>用户。
选择已启用的用户,然后从列表中打开一个用户。
在用户窗格命令栏上,选择...>在 Dynamics 365 中管理用户。
在用户窗体中,在管理下向下滚动到客户端访问许可证(CAL)信息部分。 在访问模式列表中,选择非交互式。
然后您需要从客户删除许可证。
转到 Microsoft 365 管理中心。
选择用户>活动用户。
在许可证和应用选项卡上,选择非交互用户帐户。
清除许可证框,然后选择保存更改。
返回至客户互动应用并确认非交互用户帐户访问模式仍被设置为非交互式。
创建应用程序用户
您可以使用服务器到服务器 (S2S) 身份验证,在 Dataverse 与您的 Web 应用程序与服务之间进行安全、无缝地通信。 S2S 身份验证是 Microsoft AppSource 中注册的应用经常用于访问其订户的 Dataverse 数据的方法。 您的应用程序或服务使用 S2S 执行的所有操作将作为您提供的应用程序用户执行,而不是作为访问您的应用程序的用户执行。
所有应用程序用户创建时均有非交互用户帐户,但他们不会计入七个非交互用户帐户限制。 此外,没有对您可以在环境中创建的应用程序用户个数的限制。
注意
系统会添加一个“#”作为您创建的应用程序用户的名字。 这是有意这样设计的。
有关创建应用程序用户的分步信息,请参阅创建应用程序用户。
启用或禁用应用程序用户
在创建应用程序用户后,会自动启用这些用户。 默认应用程序用户窗体在窗体页脚中显示状态;不能更新状态字段。
您可以自定义默认的应用程序用户窗体,来允许更新状态字段,以便您可以根据需要启用或禁用应用程序用户。 有关自定义默认应用程序用户窗体的分步信息,请参阅启用或禁用应用程序用户。
注意
禁用应用程序用户将破坏使用该应用程序用户的所有集成方案。
在 Power Platform 管理中心中管理应用程序用户
我们正在从旧 Web 客户端移动应用程序用户管理,如启用或禁用应用程序用户中所述。 有关从 Power Platform 管理中心管理应用程序用户的信息,请参阅以下主题:在 Power Platform 管理中心中管理应用程序用户。
如何创建存根用户
存根用户是创建为占位符的用户记录。 例如,引用该用户的记录已导入,但用户在客户互动应用中不存在。 此用户无法登录,无法被启用,并且无法同步到 Microsoft 365。 此类用户只能通过数据导入创建。
注意
为防止创建具有相同 UPN 的重复用户记录或在数据导入工作流期间引发错误,请确保用户存在于 Entra ID 中,并且拥有足够的预配置许可。 预配置不支持 Office 许可证,但预配置支持所有 Power Apps Premium 或 Dynamics 365 许可证。 用户满足这些要求后,他们就会与 Dataverse 环境同步。
如果必须将存根用户的记录重新分派给另一名用户,请使用 Add-BulkRecordsToUsers。
将自动为这些导入的用户分配缺省安全角色。 在环境中分配销售员安全角色,在 Power Apps 环境中分配基本用户安全角色。
备注
默认情况下,安全角色只能分派给状态为“已启用”的用户。 如果需要将安全角色分派给状态为“已禁用”的用户,方法是启用 allowRoleAssignmentOnDisabledUsers OrgDBOrgSettings。
更新用户记录,反映在 Microsoft Entra ID 中所做的更改
当您在 Dynamics 365 Customer Engagement (on-premises) 中创建新用户或更新现有用户时,用从 Active Directory Domain Services (AD DS) 获取的信息填充在用户记录中的一些字段,例如姓名和电话号码。 创建用户记录后,Microsoft Entra 用户帐户和客户互动应用用户记录不再进一步同步。 如果您更改了 Microsoft Entra 用户帐户,则必须手动编辑用户记录以反映更改。
在 Power Platform 管理中心内,选择环境,转到设置>用户 + 权限>用户。
在列表中,选择要更新的用户记录,然后选择编辑。
下表显示了在用户窗体(用户记录)里填充的 Microsoft Entra 用户帐户的字段。
用户窗体 |
Active Directory 用户 |
活动目录对象选项卡 |
---|---|---|
用户名 |
用户登录名 |
客户 |
名 |
名 |
常规 |
姓 |
姓 |
常规 |
主要电话 |
电话号码 |
常规 |
主要电子邮件 |
电子邮件 |
常规 |
地址* |
市/县 |
地址 |
地址* |
省/市/自治区 |
地址 |
住宅电话 |
住宅 |
电话 |
* 地址字段由 Microsoft Entra ID 中的省/市/自治区字段的值组成。 |
常见问题
如果添加到 Dataverse SystemUser 表的用户在 Microsoft Entra ID 中被禁用或未获得许可,在 Dataverse 中会有什么表现?
用户记录不会被删除,但它在 Dataverse 中的状态将被更新为“已禁用”。
是否 Microsoft Entra 中的所有用户都将被添加到 Dataverse?
Microsoft Entra 中的用户仅在满足条件时才会被添加到 Dataverse。 如果现有用户不符合条件,他们的状态将更新为“已禁用”。
管理员如何提高在 Dataverse 中添加用户的性能?
为环境分配 Microsoft Entra 安全组通常是最佳实践。 将安全组中的用户添加到 Dataverse 中时,还可以提高性能。