Управление рабочими группами в группе

О рабочих группах группы

Рабочая группа группы Microsoft Entra. Подобно рабочей группе ответственного, рабочая группа группы Microsoft Entra может владеть записями и ей могут быть назначены роли безопасности. Имеется два типа рабочих групп групп, и они соответствуют непосредственно типами группы Microsoft Entra — безопасность и Microsoft 365. Роль безопасности группы может быть только для рабочей группы или для участника рабочей группы с привилегиями пользователя наследование привилегий участника. Участники рабочей группы динамически извлекаются (добавляются и удаляются), когда они обращаются к среде на основе своей принадлежности к группе Microsoft Entra.

С помощью групп Microsoft Entra можно управлять приложением и доступом к данным пользователя

Администрирование доступа к приложениям и данным для Microsoft Dataverse было расширено, чтобы позволить администраторам использовать группы Microsoft Entra своей организации для управление правами доступа для лицензированных пользователей Dataverse.

Оба типа групп Microsoft Entra — безопасность и Microsoft 365 — могут использоваться для обеспечения права доступа пользователя. Использование групп позволяет администраторам назначить роль безопасности с соответствующими привилегиями всем членам группы, вместо того чтобы предоставлять права доступа отдельному члену группы..

Оба типа групп Microsoft Entra — безопасность и Microsoft 365 — с типом членства Назначено и Динамический пользователь могут использоваться для обеспечения прав доступа пользователя. Тип членства Динамический пользователь не поддерживается. Использование групп позволяет администраторам назначить роль безопасности с соответствующими привилегиями всем членам группы, вместо того чтобы предоставлять права доступа отдельному члену группы..

Администратор может создать рабочие группы групп Microsoft Entra, связанные с группами Microsoft Entra, в каждой из сред и назначить роль безопасности этим рабочим группам групп. Для каждой группы Microsoft Entra администратор может создавать групповые команды на основе группы Microsoft Entra Участники и / или Владельцы, или Гости. Для каждой группы Microsoft Entra администратор может создавать отдельные группы групп для владельцев, участников, гостей, участников и гостей и назначать соответствующую роль безопасности каждой из этих команд.

Когда члены этих рабочих групп группы получают доступ к этим средам, их права доступа автоматически предоставляются в зависимости от роли безопасности рабочих групп группы.

Совет

Символ видео Посмотрите следующую видеозапись: Динамические группы Microsoft Entra.

Пользователи подготовки и отмены подготовки

После того как рабочая группа группы и ее роль безопасности установлены в среде, доступ пользователей к среде основывается на членстве пользователей в группах Microsoft Entra. При создании нового пользователя в клиенте, администратору только требуется назначить пользователя соответствующей группе Microsoft Entra, и назначить лицензии Dataverse. Пользователь может сразу получить доступ к среде без необходимости ждать, пока администратор добавит пользователя в среду или назначит роль безопасности. Пользователь создается в среде в корневой бизнес-единице.

Когда пользователи удаляются или отключаются в Microsoft Entra ID или удаляются из групп Microsoft Entra, они теряют членство в группах и не могут получить доступ к среде при попытке войти в систему.

Заметка

Удаленный или отключенный пользователь группы остается в среде Power Platform Dataverse, если пользователь не имел доступа к среде.

Чтобы удалить пользователя из рабочей группы Dataverse:

  1. Войдите в в центр администрирования Power Platform.
  2. Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Пользователи.
  3. Выполните поиск пользователя и выберите его.
  4. В форме пользователя выберите команду ....
  5. Выберите параметр Управление пользователем в Dynamics 365.
  6. На странице Пользователь выберите рабочую группу Dataverse, из которой нужно удалить пользователя.
  7. Нажмите кнопку Удалить.

Обратите внимание, что если вы случайно удалили активного пользователя группы, этот пользователь группы будет снова добавлен в группу группы Dataverse при следующем доступе пользователя к среде.

Удаление доступа пользователей в ходе выполнения

При удалении пользователя из групп Microsoft Entra администратором, пользователь группы удаляется из рабочей группы группы, и теряет свои права доступа при следующем доступе к среде. Членство в пользовательских группах Microsoft Entra и рабочих группах группы Dataverse синхронизировано, а права доступа пользователя динамически определяются во время выполнения.

Администрирование роли безопасности пользователя

Администраторам больше не нужно ждать, пока пользователь синхронизируется со средой, а затем назначать пользователю роль безопасности индивидуально с помощью рабочих групп группы Microsoft Entra. После того как рабочая группа группы создана в среде с ролью безопасности, все лицензированные пользователи Dataverse, добавленные в группу Microsoft Entra, могут сразу получить доступ к среде.

Блокировка доступа пользователей к средам

Администраторы могут продолжать использовать группу безопасности Microsoft Entra для блокировки списка пользователей, синхронизируемых со средой. Это могут быть дополнительно усилено с помощью рабочих групп группы Microsoft Entra. Чтобы заблокировать доступ среды или приложений к ограниченным средам, администратор может создать отдельные группы Microsoft Entra для каждой группы и назначить соответствующую роль безопасности для этих групп. Только эти члены рабочей группы группы Microsoft Entra имеют права доступа к среде.

Поделитесь Power Apps с участниками рабочей группы Microsoft Entra

Когда приложения на основе холста и приложения на основе модели делаются доступными для рабочей группы группы Microsoft Entra, участники рабочей группы могут сразу же запускать эти приложения.

Записи, принадлежащих пользователю или рабочей группе

Новое свойство было добавлено в определение роли безопасности, чтобы предоставить специальные привилегии группы, когда роль назначается рабочим группам группы. Этот тип роли безопасности позволяет членам группы получать привилегии уровня пользователя/базового уровня, как если бы им была назначена роль безопасности. Члены группы могут создавать записи и быть их владельцем без необходимости назначения дополнительной роли безопасности.

Рабочая группа группы может владеть одной или несколькими записями. Чтобы сделать группу владельцем записи, необходимо назначить запись группе.

Хотя группы предоставляют доступ к группе пользователей, по-прежнему необходимо связывать отдельных пользователей с ролями безопасности, предоставляющими привилегии, которые нужны пользователям для создания, обновления или удаления принадлежащих им записей. Эти привилегии не могут быть применены, если назначить рабочей группе роль безопасности наследования привилегий не члена группы, а затем добавить пользователя в эту рабочую группу. Если требуется предоставить участникам вашей рабочей группы полномочия рабочей группы напрямую без их собственной роли безопасности, можно назначить рабочей группе роль безопасности, которая имеет наследование полномочий участника.

Дополнительные сведения см. в разделе Назначение записи пользователю или рабочей группе.

Создание рабочей группы группы

  1. Убедитесь, что у вас есть одна из следующих ролей безопасности (или аналогичные разрешения): "Системный администратор", "Управляющий сбытом", "Вице-президент по сбыту", "Вице-президент по маркетингу" или "Исполнительный директор".

    Проверьте вашу роль безопасности:

    Необходимые условия:

    1. Для каждой рабочей группы группы требуется группа Microsoft Entra.
    2. Получите ObjectID групп Microsoft Entra с вашего сайта https://portal.azure.com.
    3. Создайте пользовательскую роль безопасности, которая содержит привилегии в соответствии с требованием совместной работы рабочей группы. См. обсуждение унаследованных привилегий участника, если требуется расширить привилегии участников рабочей группы непосредственно на пользователя.
  2. Войдите в в центр администрирования Power Platform.

  3. Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Рабочие группы.

  4. Выберите + Создать рабочую группу.

  5. Укажите следующие поля:

    • Название рабочей группы: убедитесь, что это имя уникально для бизнес-подразделения.
    • Описание: введите описание рабочей группы.
    • Бизнес-единица: выберите бизнес-единицу в раскрывающемся списке.
    • Администратор: найдите пользователей в организации. Начните вводить символы.
    • Тип рабочей группы: в раскрывающемся списке выберите тип рабочей группы.

    Снимок экрана: параметры для новой рабочей группы Dataverse.

    Заметка

    Рабочая группа может быть одного из следующих типов: Владелец, Доступ, Группа безопасности Microsoft Entra, или группа Microsoft Entra Office.

  6. Если тип рабочей группы — Группа безопасности Microsoft Entra или Группа Microsoft Entra Office, вы также должны заполнить эти поля:

    Снимок экрана: параметры для новой рабочей группы Microsoft Entra.

После создания рабочей группы вы можете добавлять участников и выбирать соответствующие роли безопасности. Этот шаг не обязателен, но рекомендуется.

Как члены группы безопасности Microsoft Entra соответствуют членам команды группы Dataverse

Как члены Microsoft Entra соответствуют членам рабочей группы Dataverse

Просмотрите следующую таблицу, чтобы узнать, как участники в группе Microsoft Entra соответствуют членам команды группы Dataverse.

Выберите тип членства в группе Dataverse (4) Результирующее членство
Участники и гости Выберите этот тип, чтобы включить типы пользователей Участник и Гость (3) из участников категории группы Microsoft Entra (1).
Участники Выберите этот тип, чтобы включить только тип пользователей Участник (3) из участников категории группы Microsoft Entra (1).
Владельцы Выберите этот тип, чтобы включить только тип пользователей Участник (3) из владельцев категории группы Microsoft Entra (2).
Гости Выберите этот тип, чтобы включить только тип пользователей Гость (3) из участников категории группы Microsoft Entra (1).

Введите рабочую группу группы

  1. Убедитесь, что у вас есть одна из следующих ролей безопасности (или аналогичные разрешения): "Системный администратор", "Управляющий сбытом", "Вице-президент по сбыту", "Вице-президент по маркетингу" или "Исполнительный директор".

  2. Войдите в в центр администрирования Power Platform.

  3. Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Рабочие группы.

  4. Установите флажок для названия рабочей группы.

    Снимок экрана выбора команды.

  5. Выберите Изменить рабочую группу. Для редактирования доступны только поля Имя рабочей группы, Описание и Администратор.

  6. Обновите поля по мере необходимости, а затем выберите Обновить.

    Снимок экрана редактирования рабочей группы.

Заметка

  • Чтобы изменить бизнес-подразделение, см. Изменение подразделения для рабочей группы.
  • Вы можете создать рабочие группы Dataverse — Члены, Владельцы, Гости и Члены и гости на среду на основе тип членства в группе Microsoft Entra для каждой группы Microsoft Entra. ObjectId рабочей группы группы Microsoft Entra ID не может быть изменен после создания рабочей группы группы.
  • Тип членства Dataverse нельзя изменить после создания групповой команды. Если вам нужно обновить это поле, вам нужно удалить группу рабочей группы и создать новую.
  • Все существующие команды группы, созданные до добавления поля Тип участия автоматически обновляются как Участники и гости. Функциональность этих команд группы не теряется, поскольку команда группы по умолчанию сопоставлена с группой Microsoft Entra тип участников Участники и гости.
  • Если в вашей среде есть группа безопасности, вам нужно будет добавить группу Microsoft Entra рабочей группы в качестве участника этой группы безопасности, чтобы пользователи рабочей группы могли получить доступ к среде.
  • В списке участников рабочей группы, перечисленных в каждой рабочей группе группы, отображаются участники пользователей, которые имеют доступ к среде. В данном списке не будут видны все участники группы в группе Microsoft Entra. Когда участник группы Microsoft Entra обращается к среде, участник группы добавляется в рабочую группу группы. Права участников рабочей группы извлекаются динамически во время выполнения путем наследования роли безопасности рабочей группы группы. Поскольку роль безопасности назначается рабочей группе группы, а участник рабочей группы группы наследует привилегии, роль безопасности не назначается непосредственно участнику рабочей группы группы. Поскольку привилегии участника рабочей группы определяются динамически во время выполнения, членство в рабочей группе группы Microsoft Entra кэшируется при входе участника рабочей группы. Это означает, что любое обслуживание членства в группе Microsoft Entra, выполненное для участника группы в Microsoft Entra ID, не будет отражено до следующего входа участника рабочей группы в систему или до момента, когда система обновит кэш (после 8 часов непрерывного входа в систему).
  • Участники группы Microsoft Entra также добавляются в рабочую группу группы с помощью вызовов олицетворения. Вы можете использовать создание участников группы в рабочей группе группы от имени другого пользователя, используя олицетворение.
  • Члены команды добавляются или удаляются из группы команды во время выполнения, когда участник группы входит в среду. Эти события добавления и удаления членов группы можно использовать для запуска операций подключаемого модуля.
  • Вам не нужно назначать участникам рабочей группы отдельную роль безопасности, если у роли безопасности рабочей группы есть наследование привилегий участника и роль безопасности содержит как минимум одну привилегию, которая имеет разрешение уровня пользователя.
  • Название группы рабочей группы не обновляется автоматически при изменении имени группы Microsoft Entra. Изменение имени группы никак не влияет на работу системы, но мы рекомендуем обновить его в параметрах рабочих групп в центре администрирования Power Platform.
  • Члены группы AD автоматически создаются в среде при первом доступе к ней. Пользователи добавляются в корневую бизнес-единицу. Вам не нужно перемещать пользователя в другую бизнес-единицу, если вы включили Модернизированные бизнес-единицы для управления доступом пользователя к данным.

Управление ролями безопасности рабочей группы

  1. Установите флажок для названия рабочей группы.

    Снимок экрана выбора команды.

  2. Выберите Управление ролями безопасности.

  3. Выберите нужную роль или роли, а затем выберите Сохранить.

    Снимок экрана управления ролями безопасности.

Изменение подразделения для рабочей группы

См. Изменение подразделения для рабочей группы.

Добавление типов групповых рабочих групп к представлению подстановки по умолчанию

При назначении записи вручную или совместном использовании записи с помощью встроенной формы список параметров по умолчанию не содержит некоторые типы рабочих групп группы, например Microsoft Entra ID. Вы можете отредактировать фильтр представления подстановки по умолчанию таблицы рабочих групп, чтобы он включал эти группы.

  1. Выполните вход в Power Apps.

  2. Выберите Dataverse>Таблицы>Рабочая группа>Представления>Представление подстановки рабочих групп>Изменить фильтры

  3. Установите для Тип рабочей группы, Равно на: Офисная группа AAD, Группа безопасности, Владелец

Добавьте группу Office Microsoft Entra и группу безопасности Microsoft Entra в тип рабочей группы.

  1. Выберите OK>Сохранить>Опубликовать.

Другие операции рабочей группы

См.:

См. также

Управление группами
Видео: Членство группы Microsoft Entra
Создание базовой группы и добавление участников с помощью Microsoft Entra ID
Краткое руководство: просмотр групп и участников вашей организации в Microsoft Entra ID