Dataverse-Gruppenteams für die Sicherheit konfigurieren
Ein Microsoft Entra ID-Gruppenteam ist mit einem Besitzerteam insofern vergleichbar, dass es Datensätze besitzen und dem Team Sicherheitsrollen zuweisen kann. Es gibt zwei Gruppenteamtypen, und sie entsprechen direkt den Microsoft Entra ID-Gruppentypen – Sicherheit und Microsoft 365. Die Gruppensicherheitsrolle kann nur für das Team oder für ein Teammitglied mit Benutzerberechtigungen gelten, das die Berechtigungsvererbung des Mitglieds hat. Teammitglieder werden dynamisch abgeleitet (hinzugefügt und entfernt), wenn sie auf die Umgebung basierend auf ihrer Microsoft Entra ID-Gruppenmitgliedschaft zugreifen.
Microsoft Entra ID-Gruppen zum Verwalten der App und des Datenzugriffs eines Benutzers verwenden
Die Verwaltung von App und Datenzugriff für Microsoft Dataverse wurde erweitert, um Administratoren die Verwendung der Microsoft Entra ID-Gruppen zur Verwaltung der Zugriffsrechte für lizenzierte Dataverse-Benutzer.
Beide Arten von Microsoft Entra ID-Gruppen, Sicherheit und Microsoft 365 können verwendet werden, um Benutzerzugriffsrechte zu sichern.
Beide Arten von Microsoft Entra ID-Gruppen, Sicherheit und Microsoft 365 mit dem Mitgliedschaftstyp Zugewiesen und Dynamischer Benutzer können verwendet werden, um Benutzerzugriffsrechte zu sichern. Der Mitgliedschaftstyp Dynamisches Gerät wird nicht unterstützt.
Durch die Verwendung von Gruppen können Administratoren allen Mitgliedern der Gruppe eine Sicherheitsrolle mit den entsprechenden Berechtigungen zuweisen, anstatt die Zugriffsrechte einem einzelnen Teammitglied erteilen zu müssen.
Der Administrator kann Microsoft Entra ID-Gruppenteams erstellen, die den Microsoft Entra ID-Gruppen in jeder Dataverse-Umgebungen zugeordnet sind. Dann kann er diesen Gruppenteams eine Sicherheitsrolle zuweisen. Für jede Microsoft Entra ID-Gruppe kann der Administrator Gruppenteams basierend auf der Microsoft Entra ID-Gruppe Mitglieder, und/oder Besitze oder Gäste erstellen und jedem dieser Teams eine entsprechende Sicherheitsrolle zuweisen.
Wenn Mitglieder dieser Gruppenteams auf diese Umgebungen zugreifen, werden ihre Zugriffsrechte automatisch basierend auf der Sicherheitsrolle des Gruppenteams gewährt.
Benutzer bereitstellen und ihre Bereitstellung aufheben
Sobald das Gruppenteam und seine Sicherheitsrolle in einer Umgebung eingerichtet sind, basiert der Benutzerzugriff auf die Umgebung auf der Benutzermitgliedschaft der Microsoft Entra ID-Gruppen. Wenn ein neuer Benutzer im Mandanten erstellt wird, muss der Administrator den Benutzer nur noch der entsprechenden Microsoft Entra ID-Gruppe zuweisen und Dataverse-Lizenzen zuordnen. Der Benutzer kann sofort auf die Umgebung zugreifen, ohne auf die Zuweisung einer Sicherheitsrolle durch den Administrator warten zu müssen.
Wenn Benutzer in Microsoft Entra ID gelöscht, deaktiviert oder aus den Microsoft Entra ID-Gruppen entfernt werden, verlieren sie ihre Gruppenzugehörigkeit. Diese Benutzer können nicht auf die Umgebung zugreifen, wenn sie versuchen, sich anzumelden.
Den Benutzerzugriff zur Laufzeit entfernen
Wenn ein Administrator einen Benutzer aus den Microsoft Entra ID-Gruppen entfernt, wird der Benutzer aus dem Gruppenteam entfernt und verliert seine Zugriffsrechte, wenn er das nächste Mal auf die Umgebung zugreift. Die Mitgliedschaften für die Microsoft Entra ID-Gruppen und Dataverse-Gruppenteams des Benutzers werden synchronisiert, und die Zugriffsrechte des Benutzers werden zur Laufzeit dynamisch abgeleitet.
Benutzersicherheitsrolle verwalten
Administratoren müssen nicht mehr warten, bis der Benutzer mit der Umgebung synchronisiert ist, und ihm dann mit Microsoft Entra ID-Gruppenteams individuell eine Sicherheitsrolle zuweisen. Sobald ein Gruppenteam eingerichtet und in einer Umgebung mit einer Sicherheitsrolle erstellt wurde, können alle lizenzierten Dataverse-Benutzer, die der Microsoft Entra ID-Gruppe hinzugefügt werden, unverzüglich auf die Umgebung zugreifen.
Benutzerzugriff auf Umgebungen sperren
Administratoren können weiterhin eine Microsoft Entra ID-Sicherheitsgruppe verwenden, um die Liste der mit einer Umgebung synchronisierten Benutzer zu sperren. Dies kann durch die Verwendung von Microsoft Entra ID-Gruppenteams noch verstärkt werden. Um den Umgebungs‑ oder App-Zugriff auf eingeschränkte Umgebungen zu sperren, kann der Administrator separate Microsoft Entra ID-Gruppen für jede Umgebung erstellen und diesen Gruppen die entsprechende Sicherheitsrolle zuweisen. Nur diese Microsoft Entra ID-Gruppenteammitglieder haben die Zugriffsrechte auf die Umgebung.
Power Apps für Teammitglieder einer Microsoft Entra ID-Gruppe teilen
Wenn Canvas‑ und modellgesteuerte Apps für ein Microsoft Entra ID-Gruppenteam freigegeben werden, können Teammitglieder die Apps sofort ausführen.
Benutzer‑ und teameigene Datensätze
Der Definition der Sicherheitsrolle wurde eine neue Eigenschaft hinzugefügt, um spezielle Teamberechtigungen bereitzustellen, wenn die Rolle Gruppenteams zugewiesen wird. Diese Art der Sicherheitsrolle ermöglicht Teammitgliedern Berechtigungen auf Benutzer‑ oder einfacher Ebene zu gewähren, so als ob ihnen die Sicherheitsrolle direkt zugewiesen worden wäre. Teammitglieder können Datensätze erstellen und Besitzer von Datensätzen sein, ohne dass eine andere Sicherheitsrolle zugewiesen werden muss.
Ein Gruppenteam kann einen oder mehrere Datensätze besitzen. Sie müssen dem Team den Datensatz zuweisen, um ein Team zum Besitzer des Datensatzes zu machen.
Während Teams Zugriff auf eine Gruppe von Benutzern gewähren, müssen Sie dennoch einzelnen Benutzern Sicherheitsrollen zuordnen, die ihnen die Berechtigungen gewähren, die sie zum Erstellen, Aktualisieren oder Löschen von benutzereigenen Datensätzen benötigen. Diese Berechtigungen können nicht angewendet werden, indem einem Team die geerbte Sicherheitsrolle eines Nichtmitglieds zugewiesen wird und der Benutzer dann zu diesem Team hinzugefügt wird. Wenn Sie Ihren Teammitgliedern die Teamberechtigungen ohne eigene Sicherheitsrolle direkt erteilen müssen, können Sie dem Team eine Sicherheitsrolle zuweisen, die die Berechtigungsvererbung des Mitglieds hat.