Керування робочими групами
Відомості про робочі групи
Групова Microsoft Entra команда. Подібно до команди власників , Microsoft Entra група може володіти документами та мати функції безпеки, призначені команді. Існує два типи групових команд, і вони безпосередньо відповідають Microsoft Entra типам груп – охорона та Microsoft 365. Роль безпеки групи може бути лише для команди або члена команди з правами Користувача успадковування права учасника. Учасники команди динамічно виводяться (додаються та видаляються), коли вони отримують доступ до середовища на основі членства Microsoft Entra в групі.
Використання Microsoft Entra груп для керування додатком і доступом до даних користувача
Адміністрування доступу Microsoft Dataverse до програм і даних розширено, щоб адміністратори могли використовувати групи своєї організації Microsoft Entra для керування правами доступу для ліцензованих Dataverse користувачів.
Обидва типи Microsoft Entra груп — Безпека та Microsoft 365 — можуть використовуватися для захисту прав доступу користувачів. За допомогою груп адміністратори можуть призначати ролі безпеки із відповідними правами всім членам групи, замість того, щоб надавати права доступу окремим членам команди.
Для захисту прав доступу користувачів можуть використовуватися обидва типи Microsoft Entra груп — Безпека та Microsoft 365 — з типом членства Призначено та Динамічний користувач . Тип членства Динамічний пристрій не підтримується. За допомогою груп адміністратори можуть призначати ролі безпеки із відповідними правами всім членам групи, замість того, щоб надавати права доступу окремим членам команди.
Адміністратор може створювати Microsoft Entra групові команди, пов’язані з групами Microsoft Entra в кожному середовищі, і призначати цим груповим командам роль безпеки. Для кожної Microsoft Entra групи адміністратор може створювати групові команди на Microsoft Entra основі груп Учасники та/або Власники або Гості. Для кожної Microsoft Entra групи адміністратор може створити окремі групові команди для власників, учасників, гостей, учасників і гостей і призначити відповідну роль безпеки кожній із цих команд.
Якщо учасники цих групових робочих груп мають доступ до цих середовищ, їх права доступу автоматично надаються на основі ролі безпеки групової робочої групи.
Порада
Перегляньте наступне відео: Динамічні Microsoft Entra групи.
Ініціалізація та деініціалізація користувачів
Після того, як групова команда та її роль безпеки створені в середовищі, доступ користувачів до середовища базується на членстві користувачів у групах Microsoft Entra . Коли в клієнті створюється новий користувач, усе, що потрібно зробити адміністратору, це призначити користувача до відповідної Microsoft Entra групи та призначити Dataverse ліцензії. Користувач може негайно отримати доступ до середовища без необхідності чекати, поки адміністратор додасть користувача до середовища або призначить роль безпеки. Користувач створюється в середовищі під кореневою бізнес-одиницею.
Коли користувачі видаляються, вимикаються в Microsoft Entra ідентифікаторі або видаляються з груп, Microsoft Entra вони втрачають членство в групі та не зможуть отримати доступ до середовища під час спроби входу.
Нотатка
Видалений або вимкнений користувач групи залишається в середовищі, Power Platform Dataverse якщо користувач не має доступу до середовища.
Щоб вилучити користувача з групи: Dataverse
- Увійдіть у центр адміністрування Power Platform.
- Виберіть середовище, а потім виберіть Настройки>Користувачі + дозволи>Користувачі.
- Знайдіть і виберіть користувача.
- У формі користувача натисніть на ... команда.
- Виберіть параметр Керування користувачем у Dynamics 365 .
- На сторінці користувача виберіть Dataverse групу, з якої потрібно вилучити користувача.
- Натисніть кнопку Видалити .
Зауважте, що якщо ви випадково видалили активного користувача групи, його буде знову додано до Dataverse команди групи, коли користувач наступного разу отримає доступ до середовища.
Вилучення доступу користувача під час виконання
Коли адміністратор вилучає користувача з груп, Microsoft Entra його буде вилучено з команди групи, і він втратить свої права доступу під час наступного доступу до середовища. Членство в групах і Microsoft Entra групових командах користувача Dataverse синхронізується, а права доступу користувача динамічно виводяться під час виконання.
Адміністрування ролі безпеки користувача
Адміністраторам більше не потрібно чекати, поки користувач синхронізується з середовищем, а потім призначати роль безпеки користувачеві індивідуально за допомогою Microsoft Entra групових команд. Після створення групової команди в середовищі з роль безпеки будь-які ліцензовані Dataverse користувачі, додані до Microsoft Entra групи, можуть негайно отримати доступ до середовища.
Блокування доступу користувачів до середовищ
Адміністратори можуть і надалі використовувати групу Microsoft Entra безпеки, щоб блокувати список користувачів, синхронізованих із середовищем. Це можна додатково підкріпити за допомогою Microsoft Entra групових команд. Щоб заблокувати доступ середовища або програми до обмежених середовищ, адміністратор може створити окремі Microsoft Entra групи для кожного середовища та призначити відповідні роль безпеки для цих груп. Тільки ці Microsoft Entra члени команди групи мають права доступу до навколишнього середовища.
Надання спільного доступу Power Apps членам Microsoft Entra групи
Коли програми на основі полотна та моделі надаються груповій Microsoft Entra команді, учасники команди можуть одразу запускати програми.
Записи, зі які є відповідальними користувачі і записи, за які є відповідальними робочі групи
До визначення ролей безпеки було додано нова властивість, щоб забезпечити спеціальні права для робочої групи, коли така роль призначається учасникам групових робочих команд. Цей тип ролей безпеки дає змогу учасникам робочої групи отримувати права «Користувач»/«Базовий рівень», якщо роль безпеки призначена їм безпосередньо. Учасники робочої групи можуть створювати та бути відповідальним за записи без необхідності мати додаткову роль безпеки.
Команда групи може володіти одним або кількома записами. Щоб зробити робочу групу власником запису, їй потрібно призначити цей запис.
Хоча робочі групи надають доступ групі користувачів, вам усе ще потрібно пов’язувати окремих користувачів з ролями безпеки, які надають права, необхідні для створення, оновлення чи видалення записів, за які є відповідальними користувачі. Такі права не будуть застосовані, якщо робочій групі призначити успадковану від не-учасника групи роль безпеки, а потім до групи додати нового користувача. Якщо вам необхідно надати учасникам робочої групи права безпосередньо без їхньої ролі безпеки, можна призначити команді роль безпеки, для якої доступне успадковування права учасника.
Для отримання додаткових відомостей див. розділ Призначити запис користувачу або робочій групі.
Створення робочих груп
Переконайтеся, що ви маєте роль безпеки «Системний адміністратор», «Менеджер зі збуту», «Віце-президент зі збуту», «Віце-президент із маркетингу», «Виконавчий директор» або еквівалентні дозволи.
Перевірка вашої ролі безпеки:
- Виконайте дії, зазначені в статті Перегляд профілю користувача.
- У вас немає відповідних дозволів? Зверніться до системного адміністратора.
Необхідні компоненти:
- Для кожної групової команди обов’язкова наявність Microsoft Entra групи.
- Отримайте ідентифікатор об’єкта Microsoft Entra групи на своєму https://portal.azure.com сайті.
- Створіть настроювану роль безпеки із правами відповідно до потреб співпраці вашої робочої групи. Перегляньте обговорення, що стосується прав, успадкованих з ролі безпеки учасника, якщо потрібно розширити для одного користувача права члена групи.
Увійдіть уЦентр адміністрування Power Platform.
Виберіть середовище, потім виберіть Параметри>Користувачі та права>Робочі групи.
Виберіть + Створити робочу групу.
Надайте уточнення наведених далі полів:
- Ім'я робочої групи: це ім’я повинно бути унікальним в межах організаційної одиниці.
- Опис: введіть опис робочої групи.
- Організаційна одиниця: виберіть організаційну одиницю з розкривного списку.
- Адміністратор: пошук користувачів у організації. Почніть вводити символи.
- Тип робочої групи: виберіть тип робочої групи з розкривного списку.
Нотатка
Команда може бути одного з таких типів: власник, Access, Microsoft Entra група безпеки або Microsoft Entra група Office.
Якщо тип команди – Microsoft Entra Група безпеки або Microsoft Entra Група Office, необхідно також ввести такі поля:
- Назва групи: Почніть вводити текст, щоб вибрати існуючу Microsoft Entra назву групи. Ці групи попередньо створюються в Microsoft Entra ID.
- Тип членства: у розкривному списку виберіть тип членства. Дізнайтеся, як Microsoft Entra учасники групи безпеки зіставляються з Dataverse членами групи.
Після створення робочої групи можна додати учасників робочої групи та вибрати відповідні ролі безпеки. Цей крок необов'язковий, але рекомендованим.
Як Microsoft Entra учасники групи безпеки зіставляються з Dataverse членами групи
Перегляньте наведену нижче таблицю, щоб дізнатися, як учасники груп Microsoft Entra зіставляються з Dataverse членами групи.
| Виберіть тип членства в груповій робочій групі Dataverse (4) | Результативна участь у групах |
|---|---|
| Учасники та гості | Виберіть цей тип, щоб включити типи користувачів Учасник і Гість (3) з Microsoft Entra категорії групи Учасники (1). |
| Учасники | Виберіть цей тип, щоб включити лише тип користувача Учасник (3) з Microsoft Entra категорії групи Учасники (1). |
| Відповідальні | Виберіть цей тип, щоб включити лише тип користувача Учасник (3) із Microsoft Entra категорії групи Власники (2). |
| Гості | Виберіть цей тип, щоб включити лише тип користувача Гість (3) з Microsoft Entra категорії групи Учасники (1). |
Змінити склад групи
Переконайтеся, що ви маєте роль безпеки «Системний адміністратор», «Менеджер зі збуту», «Віце-президент зі збуту», «Віце-президент із маркетингу», «Виконавчий директор» або еквівалентні дозволи.
Увійдіть уЦентр адміністрування Power Platform.
Виберіть середовище, потім виберіть Параметри>Користувачі та права>Робочі групи.
Установіть прапорець поруч із іменем робочої групи.
Виберіть Редагувати робочу групу. Для редагування доступні лише Ім’я робочої групи, Опис і Адміністратор робочої групи.
Оновіть поля за необхідності, потім виберіть Оновити.
Нотатка
- Відомості про редагування підрозділу див. у розділі Змінення підрозділу для робочої групи.
- Ви можете створювати Dataverse групові команди – Учасники, Власники, Гості та Учасники та Гості для кожного середовища на основі Microsoft Entra типу членства в групі для кожної Microsoft Entra групи. Ідентифікатор Microsoft Entra ObjectId команди групи не можна редагувати після створення команди групи.
- Після створення робочої групи тип участі Dataverse змінити не можна. Якщо ви бажаєте змінити значення цього поля, потрібно буде видалити цю групову робочу групу й створити нову.
- Усі наявні робочі групи, створені до додавання поля Тип членства автоматично оновлюються як Члени та гості. Функціональність цих групових команд не втрачається, оскільки типова групова команда зіставляється з Microsoft Entra типом членства в групі та гостях .
- Якщо у вашому середовищі є група безпеки, вам потрібно буде додати групу Microsoft Entra групи групи як учасника цієї групи безпеки, щоб користувачі групи могли отримати доступ до середовища.
- Список учасників робочої групи у кожній груповій робочій групі відображає лише тих користувачів-учасників групи, які входили до середовища. У цьому списку відображаються не всі учасники Microsoft Entra групи. Microsoft Entra Коли учасник групи отримує доступ до середовища, він додається до команди групи. Права члена робочої групи виникають динамічним чином під час запуску способом успадкування ролі безпеки робочої групи. Оскільки роль безпеки призначено робочій групі, а учасник робочої групи успадковує права, роль безпеки не призначається безпосередньо учаснику робочої групи. У зв’язку з тим, що привілеї учасника команди динамічно отримуються під час виконання, членство в Microsoft Entra групі члена команди кешується після входу в систему. Це означає, що будь-яке Microsoft Entra обслуговування членства в групі, виконане для члена команди в Microsoft Entra ID, не відображатиметься до наступного входу в систему або коли система оновить кеш (після 8 годин безперервного входу в систему).
- Microsoft Entra Учасники групи також додаються до команди групи за допомогою викликів, які видають себе за іншу особу. Можна використовувати учасників створення групи у груповій робочій групі від імені іншого користувача за допомогою уособлення.
- Учасники команди додаються або видаляються з команди під час виконання, коли учасник групи входить у середовище. Цими подіями додавання і вилучення учасників групи можна скористатися для запуску операцій з додатками.
- Не потрібно призначати учасникам робочої групи окрему роль безпеки, якщо роль безпеки робочої групи має успадковування права учасника, а роль безпеки містить принаймні одне право, яке має дозвіл на рівні Користувача.
- Назва команди групи не оновлюється автоматично, коли її Microsoft Entra змінюють. Зміна назви групи не впливає на роботу системи, але ми рекомендуємо оновити її в налаштуваннях Teams в Power Platform центрі адміністрування.
- Учасники групи AD автоматично створюються в середовищі під час першого доступу до середовища. Користувачів буде додано до кореневої бізнес-одиниці. Вам не потрібно переміщувати користувача в іншу бізнес-одиницю, якщо ви ввімкнули модернізовані бізнес-одиниці для керування доступом користувача до даних.
Керування ролями безпеки робочої групи
Установіть прапорець поруч із іменем робочої групи.
Виберіть Керування ролями безпеки.
Виберіть потрібну роль або ролі, а потім натисніть Зберегти.
Змінення організаційної одиниці для робочої групи
Див. розділ Змінення підрозділу для робочої групи.
Додавання типів групових робочих груп до стандартного подання підстановки
Під час призначення запису вручну або надання спільного доступу до запису за допомогою вбудованої форми список параметрів за промовчанням не враховує деякі типи груп, наприклад Microsoft Entra ідентифікатор. Ви можете відредагувати фільтр за замовчуванням для подання підстановки таблиці робочих груп, щоб відображати й ці групи.
Увійти до Power Apps.
Виберіть Dataverse>Таблиці>Робочі групи>Подання>Подання підстановки Teams>Редагувати фільтри
Установіть Тип робочоїДорівнює: Група AAD Office, Група безпеки AAD, Відповідальний
- Виберіть OK>Зберегти>Опублікувати.
Видалення учасників команди та групи
Ви можете видалити групову команду , спочатку видаливши всіх учасників команди групи Dataverse .
Видалити Microsoft Entra групу
Microsoft Entra Коли група видаляється з порталу Azure.portal, усі учасники автоматично видаляються з Dataverse команди групи в середовищі протягом 24 годин. Після цього команду Dataverse групи можна буде видалити після видалення всіх учасників.
Інші операції з робочими групами
Див.:
- Керування учасниками робочої групи
- Видалення робочої групи
- Змінення організаційної одиниці для робочої групи
Див. також
Керування робочими групами
Відео: Microsoft Entra членство в групі
Створіть базову групу та додайте учасників за допомогою Microsoft Entra ідентифікатора
Швидкий запуск: перегляд груп і учасників вашої організації в Microsoft Entra ідентифікаторі
Зворотний зв’язок
Очікується незабаром: протягом 2024 року ми будемо припиняти використання механізму реєстрації проблем у GitHub для зворотного зв’язку щодо вмісту й замінювати його новою системою зворотного зв’язку. Докладніше: https://aka.ms/ContentUserFeedback.
Надіслати й переглянути відгук про