ניהול צוותי קבוצה
אודות צוותים מסוג קבוצה
חל על Microsoft Dataverse
צוות של קבוצת Azure Active Directory (Azure AD). בדומה לצוות בעלים, צוות קבוצת Azure AD יכול להיות בעלים של רשומות וניתן להקצות תפקידי אבטחה לצוות. קיימים שני סוגי צוות קבוצה והם תואמים ישירות לסוגי הקבוצות של Azure AD – אבטחה ו- Office. תפקיד האבטחה קבוצה יכול להיות רק עבור הקבוצה או עבור חבר קבוצה בעל הרשאות המשתמש ירושת הרשאות של חבר. חברי צוות נגזרים באופן דינמי (נוספים או מוסרים) בעת גישה לסביבה בהתבסס על החברות שלהם בקבוצת Azure AD.
שימוש ב- Azure Active Directory כדי לנהל את יישום המשתמש וגישה לנתונים
ניהול הגישה של יישומים ונתונים עבור Microsoft Dataverse הורחב כדי לאפשר למנהלים להשתמש בקבוצות Azure Active Directory (Azure AD) בארגון שלהם לניהול זכויות גישה עבור משתמשים מורשים ב- Dataverse.
ניתן להשתמש בשני הסוגים של קבוצות Azure AD - Office ואבטחה - לאבטחת זכויות גישה למשתמש. שימוש בקבוצות מאפשר למנהלי מערכת להקצות תפקיד אבטחה עם הרשאות המתאימות לכל חברי הקבוצה, במקום לספק את זכויות הגישה לחבר צוות יחיד.
ניתן להשתמש בשני הסוגים של קבוצות Azure AD - Officeואבטחה - עם סוג חברות הוקצה שיכול לשמש לאבטחת הרשאות גישה למשתמש. סוג החברות משתמש דינמי ו מכשיר דינמי לא נתמך. שימוש בקבוצות מאפשר למנהלי מערכת להקצות תפקיד אבטחה עם הרשאות המתאימות לכל חברי הקבוצה, במקום לספק את זכויות הגישה לחבר צוות יחיד.
מנהל המערכת יכול ליצור צוותים קבוצתיים של Azure AD הקשורים לקבוצות Azure AD בכל אחת מהסביבות של Dataverse ולהקצות תפקיד אבטחה לצוותים קבוצתיים אלה. עבור כל קבוצת Azure AD, מנהל המערכת יכול ליצור צוותי קבוצה בהתבסס על קבוצת Azure AD חברים ו/או בעלים, או אורחים. עבור כל קבוצת Azure AD, מנהל מערכת יכול ליצור צוותי קבוצה נפרדים עבור בעלים, חברים, אורחים וחברים, ואורחים, ולהקצות תפקיד אבטחה מתאים לכל אחד מהצוותים הללו.
כאשר חברי הצוותים הקבוצתיים האלה ניגשים לסביבות אלו, זכויות הגישה שלהם מוענקות באופן אוטומטי בהתבסס על תפקיד האבטחה של הקבוצה.
הקצאה וביטול הקצאה של משתמשים
לאחר שמקימים את צוות הקבוצה ותפקיד האבטחה בסביבה, גישת המשתמשים לסביבה מבוססת על חברות המשתמש בקבוצות Azure AD. כאשר משתמש חדש נוצר בדייר, כל מה שמנהל המערכת צריך לעשות זה להקצות את המשתמש לקבוצת Azure AD המתאימה, ולהקצות את רשיונות Dataverse. המשתמש יכול לגשת מיד לסביבה ללא צורך לחכות שמנהל המערכת יקצה לו תפקיד אבטחה.
כאשר משתמשים נמחקים/מושבתים ב- Azure ADאו מוסרים מקבוצות Azure AD, הם מאבדים את החברות בקבוצה שלהם ולא יוכלו יותר לגשת לסביבה כשהם מנסים להיכנס.
הסר את גישת המשתמש בזמן ריצה
כאשר משתמש מוסר מקבוצות Azure AD על ידי מנהל מערכת, המשתמש יוסר מצוות הקבוצה, והוא יאבד את זכויות הגישה שלו בפעם הבאה שינסה לגשת לסביבה. חברויות בקבוצות Azure AD וצוותי קבוצות Dataverse מסונכרנות עבור המשתמש, וזכויות הגישה של המשתמש נגזרות באופן דינמי בזמן ריצה.
ניהול תפקידי אבטחה של משתמשים
מנהלי מערכת אינם נדרשים עוד לחכות שהמשתמש יסנכרן לסביבה ולאחר מכן להקצות למשתמש תפקיד אבטחה בנפרד על ידי שימוש בצוותים קבוצתיים של Azure AD. לאחר הקמת צוות קבוצתי ויצירתו בסביבה עם תפקיד אבטחה, כל משתמש מורשה של Dataverse שהתווסף לקבוצת Azure AD יכול לגשת מיד לסביבה.
נעל את גישת המשתמשים לסביבות
מנהלי מערכת יכולים להמשיך להשתמש ב- Azure AD כדי לנעול את רשימת המשתמשים שסונכרנו לסביבה. ניתן לתת לכך חיזוק נוסף באמצעות צוותים קבוצתיים של Azure AD. כדי לנעול סביבה או גישה ליישומים לסביבות מוגבלות, מנהל המערכת יכול ליצור קבוצות Azure AD נפרדות עבור כל סביבה ולהקצות את תפקיד האבטחה המתאים לקבוצות אלה. רק לחברים בצוות קבוצת Azure AD יש זכויות גישה לסביבה.
שתף את Power Apps עם חברים בצוות של קבוצת Azure AD
כאשר יישומי בד ציור ויישומים מבוססי-מודל משותפים עם צוות קבוצה של Azure AD, חברי הצוות יכולים מיד להפעיל את היישומים.
רשומות בבעלות משתמש ורשומות של צוות
מאפיין חדש נוסף להגדרת תפקיד האבטחה כדי לספק הרשאות צוות מיוחדות כאשר התפקיד מוקצה לצוותים קבוצתיים. סוג זה של תפקיד אבטחה מאפשר לחברי הצוות לקבל הרשאות משתמש/הרשאות ברמה בסיסית כאילו תפקיד האבטחה מוקצה להם ישירות. חברי הצוות יכולים ליצור ולהיות הבעלים של רשומות ללא צורך בתפקיד אבטחה נוסף.
צוות קבוצה יכול להיות בעלים של רשומה אחת או יותר. כדי שצוות יהיה הבעלים של הרשומה, עליך להקצות את הרשומה לצוות.
בעוד שצוותים מספקים גישה לקבוצת משתמשים, עדיין עליך לשייך משתמשים בודדים לתפקידי אבטחה המעניקים את ההרשאות הדרושות להם כדי ליצור, לעדכן או למחוק רשומות בבעלות משתמש. אין אפשרות להחיל הרשאות אלה על-ידי הקצאת תפקיד אבטחה שעובר בירושה למי שאינו חבר בצוות ולאחר מכן הוספת המשתמש לצוות זה. אם עליך לספק לחברי הצוות שלך את הרשאות הצוות ישירות, ללא תפקיד אבטחה משלהם, באפשרותך להקצות לצוות תפקיד אבטחה הכולל ירושת הרשאות של חבר.
לקבלת מידע נוסף, ראה הקצאת רשומה למשתמש או לצוות.
יצירת צוות קבוצה
ודא שקיבלת את תפקיד האבטחה 'מנהל מערכת', 'מנהל מכירות', 'סמנכ"ל מכירות', 'סמנכ"ל שיווק' או 'מנכ''ל-מנהל עסק' או הרשאות שוות ערך.
בדוק את תפקיד האבטחה שלך:
- בצע את השלבים בהצגת פרופיל המשתמש שלך.
- אין לך הרשאות מתאימות? פנה למנהל המערכת.
דרישות מוקדמות:
- קבוצת Azure Active Directory (Azure AD) נדרשת לכל צוות קבוצה.
- קבל את ה-ObjectID של קבוצת Azure AD Azure AD מאתר https://portal.azure.com שלך.
- צור תפקיד אבטחה מותאם אישית המכיל הרשאות לפי דרישות שיתוף הפעולה של הצוות שלך. ראה את הדיון על הרשאות של חבר שעוברות בירושה אם עליך להרחיב את הרשאות חברי הצוות ישירות למשתמש.
ביישום האינטרנט, עבור אל הגדרות (
) > הגדרות מתקדמות.בחר הגדרות > אבטחה. ב- Microsoft Dynamics 365 for Outlook, עבור אל הגדרות > מערכת > אבטחה.
בחר צוותים.
בסרגל הכלים 'פעולות', בחר את הלחצן חדש.
הזן שם צוות.
בחר יחידה עסקית.
הזן מנהל מערכת.
בחר סוג צוות (רשימה נפתחת מוצגת).
בחר אבטחה AAD או קבוצת Office (זה חייב להתאים לסוג קבוצת Azure AD).
הזן את ה-ObjectID התואם של Azure AD של קבוצת אבטחה או קבוצת Office של Azure AD.
פתח את הרשימה הנפתחת סוג חברות ולאחר מכן בחר באחת מהאפשרויות הבאות:
- חברים ואורחים
- חברים
- בעלים
- אורחים
קבוצת Azure AD חברים, בעלים, אורחים או חברים ואורחים מסוג חברות Dataverse שנבחר תמופה לצוות הקבוצה כאשר החבר ייקבל גישה למערכת.
בחר שמור.
אם אינך בוחר את היחידה העסקית שאליה ישתייך הצוות, כברירת מחדל, נבחר את היחידה העסקית הבסיסית. היחידה העסקית המוגדרת כבסיס היחידה העסקית הראשונה שנוצרה עבור ארגון.
עריכת צוות קבוצה
ודא שקיבלת את תפקיד האבטחה 'מנהל מערכת', 'מנהל מכירות', 'סמנכ"ל מכירות', 'סמנכ"ל שיווק' או 'מנכ''ל-מנהל עסק' או הרשאות שוות ערך.
בדוק את תפקיד האבטחה שלך:
- בצע את השלבים בהצגת פרופיל המשתמש שלך.
- אין לך הרשאות מתאימות? פנה למנהל המערכת.
ביישום האינטרנט, עבור אל הגדרות (
) > הגדרות מתקדמות.בחר הגדרות > אבטחה. ב- Dynamics 365 for Outlook, עבור אל הגדרות > מערכת > אבטחה.
בחר צוותים.
ברשימה הנפתחת צוותים, בחר כל צוותי אבטחה או Office של AAD או תצוגה אחרת שמתאימה.
ברשת, בחר את הצוות שברצונך לערוך.
בסרגל הכלים 'פעולות', בחר עריכה, שנה את השדות הרצויים (אי אפשר לעדכן את סוג החברות), ולאחר מכן בחר שמור.
הערה
- באפשרותך ליצור צוותי קבוצת Dataverse - חברים, בעלים, אורחים ו חברים ואורחים לכל סביבה בהתבסס על סוג החברות בקבוצת Azure AD עבור כל קבוצת Azure AD. לא ניתן לערוך את ה- ObjectId של Azure AD של צוות הקבוצה לאחר שצוות הקבוצה נוצר.
- לא ניתן לשנות את סוג החבורת של Dataverse לאחר שצוות הקבוצה נוצר. אם עליך לעדכן שדה זה, תצטרך למחוק את צוות הקבוצה וליצור צוות חדש.
- כל צוותי הקבוצה הקיימים שנוצרו לפני ששדה סוג החברות החדש נוסף, מתעדכנים אוטומטית בתור חברים ואורחים. אין אובדן פונקציונליות בצוותי הקבוצה האלה מכיוון שצוות הקבוצה המוגדר כברירת מחדל ממופה בקבוצת Azure AD לסוג חברות חברים ואורחים.
- אם בסביבה שלך יש קבוצת אבטחה, יהיה עליך להוסיף את הקבוצה Azure AD של צוות הקבוצה כחברה באותה קבוצת אבטחה על מנת שמשתמשי צוות הקבוצה יוכלו לגשת לסביבה.
- רשימת חברי צוות המופיעה בכל צוות קבוצה מציגה רק את חברי המשתמש שניגשו לסביבה. הרשימה אינה מציגה את כל חברי הקבוצה של קבוצת Azure AD. כאש חבר קבוצת Azure AD מקבל גישה לסביבה, חבר הקבוצה מתווסף לצוות הקבוצה. ההרשאות של חבר הצוות נגזרות באופן דינמי בזמן ריצה על-ידי קבלת תפקיד האבטחה של צוות הקבוצה בירושה. משום שתפקיד האבטחה מוקצה לצוות הקבוצה וחבר צוות הקבוצה מקבל בירושה את ההרשאות, תפקיד האבטחה אינו מוקצה ישירות לחבר צוות הקבוצה. מכיוון שהרשאות של חבר צוות נגזרות באופן דינמי בזמן ריצה, חברויות בקבוצה של חבר צוות Azure AD מאוחסנות במטמון יחד עם פרטי הכניסה של חבר הצוות. זה אומר שכל תחזוקה לחברות בקבוצה Azure AD שבוצעה על חבר הצוות ב- Azure AD לא תבוא לידי ביטוי עד לפעם הבאה שחבר הצוות יתחבר למערכת או כאשר המערכת תרענן את המטמון (לאחר 8 שעות של כניסה מתמשכת).
- חברי הקבוצה של Azure AD מתווספים גם לצוות הקבוצה עם שיחות התחזות. ניתן להשתמש ביצירת חברי קבוצה בצוות הקבוצה בשמו של משתמש אחר באמצעות התחזות.
- חברי הצוות נשמרים בכל צוות קבוצה בזמן ריצה והפעולה נעשית ברמת מסד הנתונים; לפיכך, העדכון של אירוע צוות הקבוצה אינו זמין ליישום Plug-in.
- אינך צריך להקצות לחברי צוות תפקיד אבטחה יחיד אם תפקיד האבטחה של צוות הקבוצה שלך הוא בעל ירושת הרשאה של חבר ותפקיד האבטחה מכיל לפחות הרשאה אחת בעלת הרשאה ברמת משתמש.