Dataverse のグループ チームのセキュリティの設定
Microsoft Entra ID グループ チームは、レコードを所有し、チームにセキュリティ ロールを割り当てることができるという点で、所有者チームと似ています。 グループ チームには 2 つのタイプがあり、Microsoft Entra ID グループ タイプのセキュリティと Microsoft 365 に直接対応しています。 グループのセキュリティ ロールは、ユーザー権限メンバーの権限を継承するチームまたはチーム メンバーにのみ割り当てることができます。 チーム メンバーは、環境にアクセスすると、Microsoft Entra ID グループ メンバーシップに基づいて動的に派生 (追加または削除) します。
Microsoft Entra ID グループを使用したユーザーのアプリとデータ アクセスの管理
Microsoft Dataverse のアプリとデータ アクセスの管理が拡大され、管理者は組織の Microsoft Entra ID グループを使用して、ライセンスが付与されている Dataverse ユーザーのアクセス権を管理できるようになりました。
セキュリティと Microsoft 365 の両方のタイプの Microsoft Entra ID グループを使用して、ユーザーのアクセス権のセキュリティを保護することができます。
セキュリティと Microsoft 365 の両方のタイプの Microsoft Entra ID グループと割り当て先および動的ユーザー メンバーシップ タイプを使用して、ユーザーのアクセス権のセキュリティを保護することができます。 メンバーシップ タイプ動的デバイスは、サポートされていません。
グループを使用すると、管理者は個々のチーム メンバーにアクセス権を付与するのではなく、グループのすべてのメンバーにセキュリティ ロールとその権限を割り当てることができます。
管理者は、それぞれの Dataverse 環境の Microsoft Entra ID グループに関連付けられた Microsoft Entra ID グループ チームを作成できます。 次に、それらのグループ チームにセキュリティ ロールを割り当てることができます。 各 Microsoft Entra ID グループでは、管理者が、メンバー、および/または所有者、またはゲストの Microsoft Entra ID グループに基づいてグループ チームを作成して、それらの各チームに個別のセキュリティ ロールを割り当てることができます。
それらのグループ チームのメンバーがそれらの環境にアクセスすると、グループ チームのセキュリティ ロールに基づいてアクセス権が自動的に付与されます。
ユーザーのプロビジョニングとプロビジョニング解除
環境でグループ チームとそのセキュリティ ロールを定義すると、環境へのユーザー アクセスは Microsoft Entra ID グループのユーザー メンバーシップに基づいて行われます。 テナントで新しいユーザーを作成する場合、管理者が行う必要があるのは、ユーザーを適切な Microsoft Entra ID グループに割り当てて、Dataverse のライセンスを付与することだけです。 ユーザーは、管理者がセキュリティ ロールを割り当てるのを待つことなく、すぐに環境にアクセスできます。
ユーザーが Microsoft Entra ID で削除または無効化されるか、Microsoft Entra ID グループから削除されると、ユーザーはグループのメンバーシップを失います。 これらのユーザーは、環境にサインインしようとしてもアクセスできなくなります。
実行時のユーザー アクセスの削除
管理者によって Microsoft Entra ID グループからユーザーが削除されると、そのユーザーはグループ チームから削除され、次回環境にアクセスするとアクセス権を失います。 ユーザーの Microsoft Entra ID グループと Dataverse グループ チームのメンバーシップは同期されており、ユーザーのアクセス権は実行時に動的に生成されます。
ユーザー セキュリティ ロールの管理
管理者は、ユーザーが環境と同期されるまで待ち、Microsoft Entra ID グループ チームを使用してセキュリティ ロールを各ユーザーに割り当てる必要がなくなりました。 環境でセキュリティ ロールを持つグループ チームが確立されると、Microsoft Entra ID グループに追加された、ライセンスを持つすべての Dataverse ユーザーはすぐに環境にアクセスできるようになります。
環境へのユーザー アクセスのロック
管理者は、Microsoft Entra ID セキュリティ グループを引き続き使用して、環境に同期されている一連のユーザーをロックすることができます。 これは、Microsoft Entra ID グループ チームを使用して、さらに強化することができます。 制限されている環境やアプリへのアクセスをロックするために、管理者は環境ごとに個別の Microsoft Entra ID グループを作成して、それらのグループに適切なセキュリティ ロールを割り当てることができます。 それらの Microsoft Entra ID グループ チームのメンバーのみが、環境へのアクセス権を持ちます。
Microsoft Entra ID グループのチーム メンバーでの Power Apps の共有
キャンバス アプリやモデル駆動型アプリを Microsoft Entra ID グループ チームで共有すると、チーム メンバーはアプリをすぐに実行できます。
ユーザー所有およびチーム所有のレコード
ロールがグループ チームに割り当てられたときに特別なチーム特権を提供するため、セキュリティ ロールの定義に新しいプロパティが追加されています。 このタイプのセキュリティ ロールでは、セキュリティ ロールを直接割り当てたように、チーム メンバーにユーザー/基本レベルの特権を付与することができます。 チーム メンバーは、別のセキュリティ ロールを割り当てる必要なく、レコードを作成して所有者になることができます。
グループ チームは、1 つ以上のレコードを所有できます。 チームをレコードの所有者にするには、レコードをチームに割り当てる必要があります。
チームはユーザー のグループへのアクセスを提供しますが、ユーザー所有のレコードを作成、更新、削除するには、必要な権限を付与するセキュリティ ロールを個々のユーザーに関連付ける必要があります。 これらの権限は、メンバー以外の権限を継承したセキュリティ ロールをチームに割り当てて、そのユーザーをチームに追加することでは適用できません。 チーム メンバーに、個別のセキュリティ ロールではなく、チームの権限を直接付与する必要がある場合は、メンバーの権限を継承するセキュリティ ロールをチームに割り当てることができます。