Administrar equipos de grupos

Acerca de los equipos de grupo

Se aplica a Microsoft Dataverse

Un grupo del equipo Azure Active Directory (Azure AD). Al igual que el equipo de propietarios, un equipo de grupo de Azure AD puede tener registros y roles de seguridad asignados al equipo. Hay dos tipos de equipos de grupo y corresponden directamente a los tipos de grupo de Azure AD – Seguridad y oficina. El rol de seguridad de grupo solo puede ser para el equipo o para un miembro del equipo con privilegios de usuario Herencia de privilegios del miembro. Los miembros del equipo se derivan dinámicamente (se agregan y eliminan) cuando obtienen acceso al entorno basado en su pertenencia a grupo de Azure AD.

Usar grupos de Azure Active Directory para administrar el acceso a datos y aplicación de un usuario

Se ha ampliado la administración del acceso a aplicaciones y datos para Microsoft Dataverse para permitir que los administradores usen los grupos de Azure Active Directory (Azure AD) de su organización para administrar los derechos de acceso para usuarios de Dataverse con licencia.

Ambos tipos de grupos de Azure AD (Oficina y Seguridad) se pueden usar para proteger los derechos de acceso de los usuarios. Usar los grupos permite a los administradores asignar un rol de seguridad con sus privilegios respectivos a todos los integrantes del grupo, en lugar de tener que proporcionar derechos de acceso a un miembro del equipo individual.

Ambos tipos de grupos de Azure AD (oficina y seguridad) con el tipo de pertenencia Asignado se pueden usar para proteger los derechos de acceso de usuario. No se admiten los tipos de pertenencia Usuario dinámico y Dispositivo dinámico. Usar los grupos permite a los administradores asignar un rol de seguridad con sus privilegios respectivos a todos los integrantes del grupo, en lugar de tener que proporcionar derechos de acceso a un miembro del equipo individual.

El administrador puede crear equipos de grupo Azure AD que están asociados a los grupos de Azure AD en cada uno de los entornos de Dataverse y asignar un rol de seguridad a estos equipos de grupo. Para cada grupo de Azure AD, el administrador puede crear equipos de grupo basados en los tipos de pertenencia a grupo de Azure AD. El administrador puede crear equipos de grupo independientes para propietarios, miembros, invitados y miembros e invitados, y asignar un rol de seguridad respectivo a cada uno de estos equipos.

Cuando los miembros de estos equipos de grupo obtienen acceso a estos entornos, sus derechos de acceso se conceden automáticamente según el rol de seguridad del equipo de grupo.

Usuarios de aprovisionamiento y desaprovisionamiento

Una vez establecen en equipos del grupo y su rol de seguridad en un entorno, el acceso del usuario al entorno se basa en la suscripción de usuario de los grupos de Azure AD. Cuando se crea un nuevo usuario en el inquilino, todo lo que el administrador debe hacer es asignar el usuario al grupo de Azure AD adecuado y asignar licencias de Dataverse. El usuario puede obtener acceso al entorno de inmediato sin necesidad de esperar a que el administrador asigne un rol de seguridad.

Cuando se eliminan/deshabilitan usuarios en Azure AD o se quitan de los grupos de Azure AD, estos pierden su pertenencia al grupo y no podrán obtener acceso al entorno cuando intentan iniciar sesión.

Quitar el acceso de usuario en tiempo de ejecución

Cuando un administrador quita un usuario de los grupos de Azure AD, se quitará al usuario del equipo de grupo, y perderá los derechos de acceso la próxima vez que acceda al entorno. Las suscripciones para los grupos de usuarios de Azure AD y los equipos de grupos de Dataverse se sincronizan, y los derechos de acceso del usuario se derivan de forma dinámica en tiempo de ejecución.

Administrar el rol de seguridad del usuario

Los administradores ya no tienen que esperar al usuario en la sincronización al entorno y después asignar un rol de seguridad al usuario de forma individual usando los equipos de grupo de Azure AD. Una vez se establece un equipo del grupo y se crea en un entorno con un rol de seguridad, cualquier usuario con licencia Dataverse que se agregue al grupo Azure AD podrá acceder de inmediato al entorno.

Bloquear acceso de usuario a entornos

Los administradores podrán seguir usando un grupo de seguridad de Azure AD para bloquear totalmente la lista de usuarios están sincronizadas a un entorno. Esto se puede reforzar aún más mediante equipos de grupos de Azure AD. Para bloquear el acceso de aplicaciones o entornos para entornos restringidos, el administrador puede crear grupos de Azure AD independientes para cada entorno y asignar el rol de seguridad adecuado para estos grupos. Solo los miembros del equipo de grupo de Azure AD tienen los derechos de acceso para el entorno.

Compartir Power Apps con los miembros del equipo de un grupo de Azure AD

Cuando la lona y las aplicaciones controladas por modelos se comparten con un equipo de grupo Azure AD, los integrantes del equipo puedan inmediatamente ejecutar las aplicaciones.

Registros propiedad del usuario y del equipo

Una nueva propiedad se ha agregado a la definición del rol de seguridad para proporcionar privilegios especiales del equipo cuando el rol se asigna a los equipos del grupo. Este tipo de rol de seguridad permite a los miembros del equipo recibir privilegios de nivel usuario/básico si el rol de seguridad se les asigna directamente. Los miembros del equipo pueden crear y ser propietarios de registros sin la necesidad de tener asignado un rol de seguridad adicional.

Un equipo de grupo puede poseer uno o más registros. Para convertir un equipo en propietario del registro, debe asignar el registro al equipo.

Aunque los equipos proporcionan acceso a un grupo de usuarios, debe seguir asociando usuarios individuales con roles de seguridad que concedan los privilegios que necesitan para crear, actualizar o eliminar registros propiedad del usuario. Estos privilegios no se pueden aplicar asignando un rol de seguridad heredado del privilegio de un usuario no miembro a un equipo y luego agregando el usuario a ese equipo. Si necesita proporcionar a los integrantes del equipo los privilegios del equipo directamente sin su propio rol de seguridad, puede asignar al equipo un rol de seguridad que tenga herencia de privilegios del integrante.

Para obtener más información, consulte Asignación de registros a usuarios o equipos.

Creación de equipos de grupo

  1. Compruebe que tiene asignado el rol de seguridad Administrador del sistema, Jefe de ventas, Vicepresidente de ventas, Vicepresidente de marketing o Director general o permisos equivalentes.

    Compruebe su rol de seguridad:

    Requisitos previos:

    1. Se necesita un grupo de Azure Active Directory (Azure AD) para cada equipo del grupo.
    2. Obtenga el ObjectID del grupo de Azure AD del sitio https://portal.azure.com.
    3. Cree de un rol de seguridad personalizado que contenga privilegios según el requisito de colaboración del equipo. Consulte la descripción de los privilegios heredados del miembro si necesita extender los privilegios del miembro del equipo directamente a un usuario.
  2. En la aplicación web, vaya a Ajustes (Ajustes.) > Ajustes avanzados.

  3. Seleccione Configuración > Seguridad. En Microsoft Dynamics 365 for Outlook, vaya a Configuración > Sistema > Seguridad.

  4. Seleccione Equipos.

  5. En la barra de herramientas Acciones, seleccione el botón Nueva.

  6. Escriba un nombre para el equipo.

  7. Seleccione una unidad de negocio.

  8. Introduzca un administrador.

  9. Seleccione Tipo de equipo (se mostrará una lista desplegable).

  10. Seleccione Seguridad de AAD o Grupo de Office (debe coincidir con el tipo del Grupo de Azure AD).

  11. Escriba el ObjectID de Azure AD correspondiente del grupo Seguridad de Azure AD u Office.

  12. Seleccione Tipo de pertenencia y, a continuación, una de las opciones siguientes:

    • Miembros e invitados
    • Integrantes
    • Propietarios
    • Invitados

    Los miembros de grupo de Azure AD del tipo de pertenencia seleccionado se asignarán al equipo de grupo cuando el miembro acceda al sistema.

  13. Seleccione Guardar.

    Si no selecciona la unidad de negocio a la que pertenecerá el equipo, se selecciona de forma predeterminada la unidad de negocio raíz. La unidad de negocio raíz es la primera unidad de negocio creada para una organización.

Editar un equipo de grupo

  1. Compruebe que tiene asignado el rol de seguridad Administrador del sistema, Jefe de ventas, Vicepresidente de ventas, Vicepresidente de marketing o Director general o permisos equivalentes.

    Compruebe su rol de seguridad:

  2. En la aplicación web, vaya a Ajustes (Ajustes.) > Ajustes avanzados.

  3. Seleccione Configuración > Seguridad. En Dynamics 365 for Outlook, vaya a Configuración > Sistema > Seguridad.

  4. Seleccionar Equipos.

  5. En la lista desplegable Equipos, seleccione Todos los equipos de seguridad u Office AD.

  6. En la cuadrícula, seleccione el equipo que desea editar.

  7. En la barra de herramientas Acciones, seleccione Editar, cambie los campos deseados (Tipo de pertenencia no se puede actualizar) y, a continuación, seleccione Guardar.

Nota

  • Solo puede crear un equipo de grupo para cada tipo de pertenencia de grupo de Azure AD por ambiente, y el ObjectId de Azure AD del equipo de grupo no se puede editar una vez creado el equipo de grupo.
  • Tipo de pertenencia no se puede cambiar una vez creado el equipo de grupo. Si necesita actualizar este campo, deberá eliminar el equipo de grupo y crear uno nuevo.
  • Todos los equipos de grupo existentes creados antes de que se agregue el nuevo campo Tipo de pertenencia se actualizan automáticamente como Miembros e invitados. No hay pérdida de funcionalidad con estos equipos de grupo, ya que el equipo de grupo predeterminado se asigna al tipo de pertenencia Miembros e invitados del grupo de Azure AD.
  • Si su entorno tiene un grupo de seguridad, deberá agregar al grupo de Azure AD del equipo del grupo como miembro de dicho grupo de seguridad para que los usuarios del equipo del grupo puedan acceder al entorno.
  • La lista de integrantes del equipo enumerados en cada equipo de grupo solo muestra los integrantes del usuario que tienen acceso al entorno. Esta lista no muestra todos los miembros del grupo de Azure AD. Cuando un miembro del grupo de Azure AD obtiene acceso al entorno, el miembro del grupo se agrega al equipo del grupo. Los privilegios del miembro del equipo se derivan de forma dinámica en tiempo de ejecución heredando el rol de seguridad del equipo del grupo. Dado que el rol de seguridad se asigna al equipo del grupo y el miembro del equipo del grupo hereda los privilegios, el rol de seguridad no se asigna directamente al miembro del equipo del grupo. Dado que los privilegios del miembro del equipo se derivan de forma dinámica en tiempo de ejecución, los miembros del grupo de Azure AD se almacenan en caché sobre el inicio de sesión del miembro del equipo. Esto significa que cualquier mantenimiento de membresías del grupo de Azure AD realizado en el miembro del equipo de Azure AD no se reflejará hasta la próxima vez que el miembro del equipo inicie sesión o cuando el sistema actualice la caché (tras 8 horas de inicio de sesión continuado).
  • Los miembros del grupo de Azure AD también se agregan al equipo del grupo con llamadas de suplantación. Puede utilizar crear miembros de grupo en el equipo del grupo en nombre de otro usuario mediante la suplantación.
  • Los miembros del equipo se mantienen en cada equipo del grupo en tiempo de ejecución y la operación se realiza a nivel de la base de datos; por lo tanto, la actualización a evento de equipo del grupo no está disponible para el complemento.
  • No tiene que asignar miembros del equipo con un rol de seguridad individual si el rol de seguridad del equipo de su grupo tiene una herencia de privilegios del miembro y el rol de seguridad contiene al menos un privilegio que tiene permiso de nivel de usuario.

Consultar también

Administrar equipos