如果您的公司擁有多個環境,可以使用安全性群組控制哪些授權的使用者可以是特定環境的成員。
注意
如需使用者如何存取 Microsoft Dataverse for Teams 的資訊,請參閱使用者存取 Dataverse for Teams 環境。
請考慮下列範例情況:
| Environment | 安全性群組 | 目標 |
|---|---|---|
| 果好商號銷售 | Sales_SG | 提供對建立銷售商機、處理報價和完成交易之環境的存取。 |
| 果好商號行銷 | Marketing_SG | 提供對透過行銷活動和廣告等方式推動行銷活動之環境的存取。 |
| 果好商號服務 | Service_SG | 提供對處理客戶案例之環境的存取。 |
| 果好商號開發 | Developer_SG | 提供開發與測試所用沙箱環境的存取權。 |
在此範例中,這四個安全性群組都提供對特定環境的控制存取。
請注意下列有關安全性群組的資訊:
關於巢狀安全性群組
環境安全性群組中巢狀安全性群組的成員不會預先佈建或自動新增到環境中。 但是,當您建立巢狀安全性群組的 Dataverse 群組團隊時,可以將他們新增至環境中。
此案例的範例:在建立環境時,為該環境指派安全性群組。 在環境的生命週期中,您想將成員新增到由安全性群組管理的環境中。 在 Microsoft Entra ID 中建立安全性群組 (例如管理員),並將所有管理員指派到該群組。 然後,將此安全性群組新增為環境安全性群組的下層,建立 Dataverse 群組團隊,並將資訊安全角色指派給該群組團隊。 您的管理員現在可以立即存取 Dataverse。
當成員第一次存取環境時,也會在執行階段將巢狀安全性群組的成員新增至環境中。 但是,在分配安全角色之前,成員無法運行模型驅動應用或訪問 Dataverse 數據。
將使用者新增至安全性群組後,他們就會加入環境。
當使用者從群組中刪除時,他們在環境中被停用。
當安全組與具有使用者的現有環境相關聯時,環境中不是該組成員的所有使用者都將被禁用。
如果環境沒有關聯的安全組,則在環境中添加並允許所有具有許可證的使用者 Dataverse (包括 Dynamics 365 Sales、Dynamics 365 Customer Service、 Dynamics 365 Field ServiceDynamics 365 Marketing Dynamics 365 Project Service Automation Power Automate Power Apps 等 Customer Engagement 應用)以及
如果安全組與環境相關聯,則只有具有許可證的使用者 Dataverse 或作為環境安全組成員的每個應用計劃的使用者才會創建為環境中的使用者。
新增內容:無法將安全性群組指派給預設環境類型和開發人員環境類型。 如果您已將安全性群組指派給預設或開發人員環境,我們建議將其移除,因為預設環境是要與用戶中的所有使用者共用,而開發人員環境僅供環境的負責人使用。
環境支援關聯以下群組類型:安全性和 Microsoft 365。 不支援關聯其他群組類型。
選取安全性群組時,務必選取 Microsoft Entra 安全性群組,而不是在內部部署 Windows Active Directory 中建立的安全性群組。 不支援內部部署 Windows AD 安全性群組。
如果使用者不屬於分配給環境的安全組,但具有 Power Platform 管理員角色,則該用戶顯示為活動使用者並可以登錄。
如果將使用者分配給 Dynamics 365 服務管理員角色,則該用戶必須是安全組的一部分,然後才能在環境中啟用該使用者。 在將其新增至安全性群組並啟用之前,他們無法存取環境。
您的所有應用程式使用者都可以在使用安全性群組保護的任何環境中執行,而無需成為安全性群組的成員。
注意
所有獲得授權的使用者,無論是否是安全性群組的成員,都必須被指派資訊安全角色才能存取環境中的資料。 您可以在 Web 應用程式中指派資訊安全角色。 如果用戶沒有安全角色,則在嘗試運行應用時會收到數據訪問被拒絕錯誤。 使用者必須至少有一個針對環境指派的資訊安全角色,才能存取該環境。 如需詳細資訊,請參閱設定環境安全性。 試用環境不支援自動將使用者指派到環境。 對於試用環境,必須手動指派使用者。
建立安全性群組並將成員新增至安全性群組
選取Teams 與群組>使用中團隊和群組。
選取 + 新增群組。
將類型變更為安全性群組,新增群組名稱和描述,然後選取新增>關閉。
選取您要建立的群組,然後在成員旁邊選取編輯。
選取 + 新增成員。 選取要新增至安全性群組的使用者,然後選取儲存>關閉數次,以返回群組清單。
若要從安全性群組中移除使用者,請選取安全性群組,然後選取成員旁邊的編輯。 選取 - 移除成員,然後選取每一個要移除的成員的 X。
建立使用者並指派授權
再 Microsoft 365 系統管理中心中,選取使用者>使用中使用者>+ 新增使用者。
輸入使用者資訊,選取授權,然後選取新增。
其他資訊:同時新增使用者和指派授權
或者,針對每個應用程式的購買和指派:關於 Power Apps 每個應用程式方案
注意
如果環境分配了 Power Apps 每應用計劃,則所有用戶在嘗試訪問環境時都被視為已獲得許可,包括未分配單個許可證的使用者。 環境中的每個應用程式方案分配滿足使用者獲得授權才能存取環境的要求。
將安全性群組與環境相關聯
以管理員 (Dynamics 365 管理員或 Power Platform 管理員) 身份登錄到 管理中心 Microsoft Power Platform 。
在導覽窗格中,選擇管理。
在“管理” 窗格中,選擇 “環境”,然後選擇要與安全組關聯的環境。
選取編輯。
在編輯詳細資料窗格中,選取安全性群組區域中的編輯圖示。
![選取 [編輯] 圖示以選取安全性群組。](media/edit-security-groups-new-tab.png)
僅返回前 200 個安全組。 使用搜尋以尋找特定的安全性群組。
選取一個安全性群組,選取完成,然後選取儲存。
安全性群組會與環境產生關聯。
![選取 [編輯] 圖示以選取安全性群組。](media/edit-security-groups.png)
注意
當安全性群組與應用程式的環境關聯時,執行畫布應用程式的使用者必須是安全性群組的成員,才能執行畫布應用程式,不論應用程式是否已與其共用。 否則,使用者會看到以下錯誤消息:「您無法在此環境中打開應用程式。 你不是環境安全組的成員。如果管理員 Power Platform 已為組織設置了治理詳細資訊 ,則 會看到一個治理聯繫人,你可以聯繫該聯繫人以獲取安全組成員身份。