Gruppenteams verwalten

Informationen zu Gruppenteams

Gilt für Microsoft Dataverse

Ein Azure Active Directory (Azure AD) Gruppenteam. Ähnlich wie bei Besitzer Team kann ein Team der Gruppe Azure AD Datensätze besitzen und dem Team Sicherheitsrollen zugewiesen werden. Es gibt zwei Gruppen-Teamtypen und sie entsprechen direkt den Azure AD-Guppentypen: Sicherheit und Office. Die Sicherheitsrolle Gruppe kann nur für das Team oder für ein Teammitglied mit Benutzerrechten Rechtevererbung des Mitglieds sein. Teammitglieder werden dynamisch abgeleitet (hinzugefügt und entfernt), wenn sie auf die Umgebung basierend auf ihrer Azure AD-Gruppenmitgliedschaft zugreifen.

Azure Active Directory-Gruppen zum Verwalten der App und des Datenzugriffs eines Benutzers verwenden

Die Verwaltung von App und Datenzugriff für Microsoft Dataverse wurde erweitert, um Administratoren die Verwendung der Azure Active Directory (Azure AD)-Gruppen zur Verwaltung der Zugriffsrechte für lizenzierte Dataverse-Benutzer.

Beide Arten von Azure AD-Gruppen – Office und Sicherheit – können verwendet werden, um Benutzerzugriffsrechte zu sichern. Mit der Verwendung von Gruppen können Administratoren allen Mitgliedern der Gruppe eine Sicherheitsrolle mit den entsprechenden Rechten zuweisen, anstatt einem einzelnen Teammitglied die Zugriffsrechte zu erteilen.

Beide Arten von Azure AD-Gruppen – Office und Security – mit einem Mitgliedschaftstyp Zugewiesen können zur Sicherung von Benutzerzugriffsrechten verwendet werden. Mitgliedschaftstyp Dynamischer Benutzer und Dynamisches Gerät wird nicht unterstützt. Mit der Verwendung von Gruppen können Administratoren allen Mitgliedern der Gruppe eine Sicherheitsrolle mit den entsprechenden Rechten zuweisen, anstatt einem einzelnen Teammitglied die Zugriffsrechte zu erteilen.

Der Administrator kann Azure AD-Gruppenteams erstellen, die den Azure AD-Gruppen in jeder Dataverse-Umgebungen zugeordnet sind, und weisen Sie diesen Gruppenteams eine Sicherheitsrolle zu. Für jede Azure AD-Gruppe kann der Administrator Gruppenteams basierend auf der Azure AD-Gruppe Mitglieder und/oder Besitzer oder Gäste erstellen. Für jede Azure AD-Gruppe kann ein Administrator separate Gruppenteams für Besitzer, Mitglieder, Gäste und Mitglieder sowie Gäste erstellen und jedem dieser Teams eine entsprechende Sicherheitsrolle zuweisen.

Wenn Mitglieder dieser Gruppenteams auf diese Umgebungen zugreifen, werden ihre Zugriffsrechte automatisch basierend auf der Sicherheitsrolle des Gruppenteams gewährt.

Benutzer bereitstellen und ihre Bereitstellung aufheben

Sobald das Gruppenteam und seine Sicherheitsrolle in einer Umgebung eingerichtet sind, basiert der Benutzerzugriff auf die Umgebung auf der Benutzermitgliedschaft der Azure AD-Gruppen. Wenn ein neuer Benutzer im Mandanten erstellt wird, muss der Administrator den Benutzer nur noch der entsprechenden Azure AD-Gruppe zuweisen und Dataverse-Lizenzen zuordnen. Der Benutzer kann sofort auf die Umgebung zugreifen, ohne auf die Zuweisung einer Sicherheitsrolle durch den Administrator warten zu müssen.

Wenn Benutzer in Azure AD gelöscht/deaktiviert oder aus den Azure AD-Gruppen entfernt werden, verlieren sie ihre Gruppenmitgliedschaft und können beim Versuch, sich anzumelden, nicht mehr auf die Umgebung zugreifen.

Benutzerzugriff zur Laufzeit entfernen

Wenn ein Benutzer von einem Administrator aus den Gruppen Azure AD entfernt wird, wird der Benutzer aus dem Gruppenteam entfernt, und er verliert seine Zugriffsrechte beim nächsten Zugriff auf die Umgebung. Die Mitgliedschaften für die Azure AD-Gruppen des Benutzers und die Gruppenteams von Dataverse werden synchronisiert und die Zugriffsrechte des Benutzers werden zur Laufzeit dynamisch abgeleitet.

Verwalten der Sicherheitsrolle des Benutzers

Administratoren müssen nicht mehr darauf warten, dass der Benutzer mit der Umgebung synchronisiert wird und dem Benutzer dann über die Azure AD Gruppenteams individuell eine Sicherheitsrolle zuweist. Sobald ein Gruppenteam in einer Umgebung mit einer Sicherheitsrolle eingerichtet und erstellt wurde, können alle lizenzierten Benutzer von Dataverse, die der Azure AD-Gruppe hinzugefügt werden, sofort auf die Umgebung zugreifen.

Sperren des Benutzerzugriffs auf Umgebungen

Administratoren können weiterhin eine Azure AD Sicherheitsgruppe verwenden, um die Liste der mit einer Umgebung synchronisierten Benutzer zu sperren. Dies kann durch die Verwendung von Azure AD-Gruppenteams noch verstärkt werden. Um den Umgebungs‑ oder App-Zugriff auf eingeschränkte Umgebungen zu sperren, kann der Administrator separate Azure AD-Gruppen für jede Umgebung erstellen und diesen Gruppen die entsprechende Sicherheitsrolle zuweisen. Nur diese Azure AD-Gruppenteammitglieder haben die Zugriffsrechte auf die Umgebung.

Power Apps für Teammitglieder einer Azure AD-Gruppe teilen

Wenn Canvas und modellbasierte Apps einem Azure AD-Gruppenteam zur Verfügung gestellt werden, können die Teammitglieder die Apps sofort ausführen.

Benutzer- und teameigene Datensätze

Der Definition der Sicherheitsrolle wurde eine neue Eigenschaft hinzugefügt, um spezielle Teamprivilegien bereitzustellen, wenn die Rolle Gruppenteams zugewiesen wird. Diese Art von Sicherheitsrolle ermöglicht es Teammitgliedern, Berechtigungen auf Benutzer-/Basisebene zu erhalten, als ob ihnen die Sicherheitsrolle direkt zugewiesen wäre. Teammitglieder können Datensätze erstellen und Besitzer von Datensätzen sein, ohne dass eine zusätzliche Sicherheitsrolle zugewiesen werden muss.

Ein Gruppenteam kann einen oder mehrere Datensätze besitzen. Sie müssen dem Team den Datensatz zuweisen, um ein Team zum Besitzer des Datensatzes zu machen.

Während Teams Zugriff auf eine Gruppe von Benutzern gewähren, müssen Sie dennoch einzelnen Benutzern Sicherheitsrollen zuordnen, die ihnen die Berechtigungen gewähren, die sie zum Erstellen, Aktualisieren oder Löschen von benutzereigenen Datensätzen benötigen. Diese Berechtigungen können nicht angewendet werden, indem einem Team die geerbte Sicherheitsrolle eines Nichtmitglieds zugewiesen wird und der Benutzer dann zu diesem Team hinzugefügt wird. Wenn Sie Ihren Teammitgliedern die Teamrechte direkt ohne eigene Sicherheitsrolle bereitstellen müssen, können Sie dem Team eine Sicherheitsrolle zuweisen, die über die Rechtevererbung des Mitglieds verfügt.

Weitere Informationen finden Sie unter Zuweisen eines Datensatzes zu einem Benutzer oder einem Team.

Erstellen eines Grppenteams

  1. Stellen Sie sicher, dass Sie über die Sicherheitsrolle „Systemadministrator“, „Systemanpasser“, „Vertriebsmanager“, „Vertriebsleiter“, „Marketingleiter“ oder „Vorstandsvorsitzender“ bzw. entsprechende Berechtigungen verfügen.

    Prüfen Sie Ihre Sicherheitsrolle:

    • Führen Sie die Schritte in Anzeigen des Benutzerprofils aus.
    • Sie habe nicht die erforderlichen Berechtigungen? Wenden Sie sich an den Systemadministrator.

    Voraussetzungen:

    1. Für jedes Gruppenteam ist eine Azure Active Directory (Azure AD) Gruppe erforderlich.
    2. Ermitteln Sie die ObjectID der Azure AD-Gruppe auf der Website https://portal.azure.com.
    3. Erstellen Sie eine benutzerdefinierte Sicherheitsrolle, die Rechte gemäß den Zusammenarbeitsanforderungen Ihres Teams enthält. Beachten Sie die Diskussion über die geerbten Privilegien des Mitglieds, wenn Sie die Privilegien des Teammitglieds direkt auf einen Benutzer ausdehnen möchten.
  2. Melden Sie sich beim Power Platform Admin Center an.

  3. Wählen Sie eine Umgebung und dann Einstellungen > Benutzer + Berechtigungen > Teams aus.

  4. Wählen Sie + Team erstellen aus.

  5. Legen Sie die folgenden Felder fest:

    • Teamname: Stellen Sie sicher, dass dieser Name innerhalb eines Konzernmandanten eindeutig ist.
    • Beschreibung: Geben Sie eine Beschreibung des Teams ein.
    • Unternehmenseinheit: Wählen Sie die Unternehmenseinheit aus der Dropdownliste aus.
    • Administrator: Suchen Sie nach Benutzern in der Organisation. Beginnen Sie mit der Eingabe von Zeichen.
    • Teamtyp: Wählen Sie den Teamtyp aus der Dropdownliste aus.

    Screenshot der Einstellungen für ein neues Dataverse-Team.

    Hinweis

    Ein Team kann einen der folgenden Typen aufweisen: Besitzer, Zugriff, Azure AD-Sicherheitsgruppe oder Azure AD-Gruppe.

  6. Wenn der Teamtyp Azure AD-Sicherheitsgruppe oder Azure AD-Office-Gruppe ist, müssen Sie zusätzlich diese Felder eingeben:

    Screenshot der Einstellungen für ein neues Azure AD-Team.

Nachdem Sie das Team erstellt haben, können Sie Teammitglieder hinzufügen und zugehörige Sicherheitsrollen auswählen. Dieser Schritt ist optional, wird jedoch empfohlen.

Wie Azure AD Sicherheitsgruppenmitglieder mit Dataverse Gruppen-Teammitgliedern übereinstimmen

Wie stimmen Azure AD Sicherheitsgruppenmitglieder mit Dataverse Gruppen-Teammitgliedern überein

Sehen Sie sich die folgende Tabelle an, um zu erfahren, wie Mitglieder in Azure AD Gruppen mit Dataverse-Gruppen-Teammitgliedern übereinstimmen.

Wählen Sie die Dataverse-Gruppen-Teammitgliedschaft vom Typ (4) aus Daraus resultierende Mitgliedschaft
Mitglieder und Gäste Wählen Sie diesen Typ aus, um sowohl die Benutzertypen „Mitglied“ als auch „Gast“ (3) aus der Azure AD-Gruppenkategorie „Mitglieder“ (1) einzubeziehen.
Mitglieder Wählen Sie diesen Typ aus, um nur den Benutzertyp „Mitglied“ (3) aus der Azure AD-Gruppenkategorie „Mitglieder“ (1) einzubeziehen.
Besitzer Wählen Sie diesen Typ aus, um nur den Benutzertyp „Mitglied“ (3) aus der Azure AD-Gruppenkategorie „Besitzer“ (2) einzubeziehen.
Gäste Wählen Sie diesen Typ aus, um nur den Benutzertyp „Gast“ (3) aus der Azure AD-Gruppenkategorie „Mitglieder“ (1) einzubeziehen.

Bearbeiten eines Gruppenteams

  1. Stellen Sie sicher, dass Sie über die Sicherheitsrolle „Systemadministrator“, „Systemanpasser“, „Vertriebsmanager“, „Vertriebsleiter“, „Marketingleiter“ oder „Vorstandsvorsitzender“ bzw. entsprechende Berechtigungen verfügen.

  2. Melden Sie sich beim Power Platform Admin Center an.

  3. Wählen Sie eine Umgebung und dann Einstellungen > Benutzer + Berechtigungen > Teams aus.

  4. Aktivieren Sie das Kontrollkästchen für einen Teamnamen.

    Screenshot zur Auswahl eines Teams.

  5. Wählen Sie Team bearbeiten. Nur Teamname, Beschreibung und Administrator können bearbeitet werden.

  6. Aktualisieren Sie die Felder nach Bedarf, und wählen Sie dann Aktualisieren aus.

    Screenshot der Bearbeitung eines Teams.

Hinweis

  • Informationen zum Bearbeiten der Unternehmenseinheit finden Sie unter Ändern der Unternehmenseinheit für ein Team.
  • Sie können Dataverse-Gruppenteams – Mitglieder, Besitzer, Gäste und Mitglieder und Gäste – pro Umgebung basierend auf dem Azure AD-Gruppenmitgliedschaftstyp für jede Azure AD Gruppe erstellen. Die Azure AD-ObjectId des Gruppenteams kann nicht mehr bearbeitet werden, nachdem das Gruppenteam erstellt wurde.
  • Der Dataverse-Mitgliedschaftstyp kann nicht geändert werden, nachdem das Gruppenteam erstellt wurde. Wenn Sie dieses Feld aktualisieren müssen, müssen Sie das Gruppenteam löschen und ein neues erstellen.
  • Alle bestehenden Gruppenteams, die vor dem Hinzufügen des neuen Feldes Mitgliedschaftsart erstellt wurden, werden automatisch als Mitglieder und Gäste aktualisiert. Bei diesen Gruppenteams gibt es keinen Funktionsverlust, da das Standard-Gruppenteam der Gruppe Azure AD zugeordnet wird Mitglieder und Gäste Art der Mitgliedschaft.
  • Wenn Ihre Umgebung über eine Sicherheitsgruppe verfügt, müssen Sie die Azure AD-Gruppe des Gruppenteams als Mitglied dieser Sicherheitsgruppe hinzufügen, damit die Benutzer des Gruppenteams auf die Umgebung zugreifen können.
  • Die Liste von Teammitgliedern in den einzelnen Gruppenteams enthält nur die Benutzermitglieder, die auf die Umgebung zugegriffen haben. Diese Liste enthält nicht alle Gruppenmitglieder der Azure AD-Gruppe. Wenn ein Azure AD-Gruppenmitglied auf die Umgebung zugreift, wird das Gruppenmitglied dem Gruppenteam hinzugefügt. Die Rechte des Teammitglieds werden dann zur Laufzeit dynamisch abgeleitet, indem die Sicherheitsrolle des Gruppenteams übernommen wird. Da Sicherheitsrolle dem Gruppenteam zugewiesen ist und das Gruppenteammitglied die Berechtigungen übernimmt, wird Sicherheitsrolle dem Gruppenteammitglied nicht direkt zugewiesen. Da die Berechtigungen der Teammitglieder zur Laufzeit dynamisch abgeleitet werden, werden die Azure AD-Gruppenmitgliedschaften der Teammitglieder beim Einloggen zwischengespeichert. Das bedeutet, dass eine Azure AD-Gruppenmitgliedschaft, die am Teammitglied in Azure AD durchgeführt wird, erst beim nächsten Anmelden des Teammitglieds oder beim Aktualisieren des Caches durch das System (nach 8 Stunden kontinuierlichem Anmelden) berücksichtigt wird.
  • Azure AD-Gruppenmitglieder werden auch dem Gruppenteam mit Identitätswechselaufrufen hinzugefügt. Sie können Gruppenmitglieder im Gruppenteam im Namen eines anderen Benutzers mithilfe des Identitätswechsels erstellen.
  • Die Teammitglieder werden zur Laufzeit in jedem Gruppenteam verwaltet, und der Vorgang wird auf Datenbankebene ausgeführt. Daher ist das Update für das Gruppenteamereignis für das Plug-In nicht verfügbar.
  • Sie brauchen keine Teammitglieder mit einer individuellen Sicherheitsrolle zuzuweisen, wenn die Sicherheitsrolle Ihres Gruppenteams eine Rechtevererbung des Mitglieds hat und die Sicherheitsrolle mindestens eine Berechtigung mit der Berechtigung der Benutzerebene enthält.

Sicherheitsrollen eines Teams verwalten

  1. Aktivieren Sie das Kontrollkästchen für einen Teamnamen.

    Screenshot zur Auswahl eines Teams.

  2. Wählen Sie Sicherheitsrollen verwalten aus.

  3. Wählen Sie die gewünschte Rolle oder Rollen aus und wählen Sie dann Speichern aus.

    Screenshot der Verwaltung von Sicherheitsrollen.

Ändern der Unternehmenseinheit für ein Team

Siehe Ändern der Unternehmenseinheit für ein Team.

Andere Teamvorgänge

Siehe:

Siehe auch

Teams verwalten
Video: Azure Active Directory-Gruppenmitgliedschaft
Eine Basisgruppe erstellen und Mitglieder mit Azure Active Directory hinzufügen
Schnellstart: Gruppen und Mitglieder Ihrer Organisation in Azure Active Directory anzeigen

Hinweis

Können Sie uns Ihre Präferenzen für die Dokumentationssprache mitteilen? Nehmen Sie an einer kurzen Umfrage teil. (Beachten Sie, dass diese Umfrage auf Englisch ist.)

Die Umfrage dauert etwa sieben Minuten. Es werden keine personenbezogenen Daten erhoben. (Datenschutzbestimmungen).