Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
О рабочих группах группы
Группа Microsoft Entra команда похожа на команду владельца . Группа Microsoft Entra может владеть записями и может иметь назначенные ей роли безопасности. Имеется два типа рабочих групп групп, и они соответствуют непосредственно типами группы Microsoft Entra — безопасность и Microsoft 365. Роль безопасности группы может быть только для рабочей группы или для участника рабочей группы с привилегиями пользователя наследование привилегий участника. Участники рабочей группы динамически извлекаются (добавляются и удаляются), когда они обращаются к среде на основе своей принадлежности к группе Microsoft Entra.
С помощью групп Microsoft Entra можно управлять приложением и доступом к данным пользователя
Расширены возможности администрирования доступа к приложениям и данным Microsoft Dataverse , чтобы позволить администраторам использовать группы Microsoft Entra своей организации для управления правами доступа лицензированных Dataverse пользователей.
Оба типа групп Microsoft Entra — безопасность и Microsoft 365 — могут использоваться для обеспечения права доступа пользователя. Использование групп позволяет администраторам назначить роль безопасности с соответствующими привилегиями всем членам группы, вместо того чтобы предоставлять права доступа отдельному члену группы..
Оба типа Microsoft Entra групп — «Безопасность» и Microsoft 365 — с типом членства Назначенное и Динамический пользователь могут использоваться для защиты прав доступа пользователей. Тип членства Динамический пользователь не поддерживается. Использование групп позволяет администраторам назначить роль безопасности с соответствующими привилегиями всем членам группы, вместо того чтобы предоставлять права доступа отдельному члену группы..
Администратор может создать рабочие группы групп Microsoft Entra, связанные с группами Microsoft Entra, в каждой из сред и назначить роль безопасности этим рабочим группам групп. Для каждой группы Microsoft Entra администратор может создавать групповые команды на основе группы Microsoft Entra Участники и / или Владельцы, или Гости. Для каждой группы Microsoft Entra администратор может создавать отдельные группы групп для владельцев, участников, гостей, участников и гостей и назначать соответствующую роль безопасности каждой из этих команд.
Когда члены этих рабочих групп группы получают доступ к этим средам, их права доступа автоматически предоставляются в зависимости от роли безопасности рабочих групп группы.
Совет
Посмотрите следующую видеозапись: Динамические группы Microsoft Entra.
Пользователи подготовки и отмены подготовки
После того как рабочая группа группы и ее роль безопасности установлены в среде, доступ пользователей к среде основывается на членстве пользователей в группах Microsoft Entra. При создании нового пользователя в клиенте, администратору только требуется назначить пользователя соответствующей группе Microsoft Entra, и назначить лицензии Dataverse. Пользователь может сразу получить доступ к среде без необходимости ждать, пока администратор добавит пользователя в среду или назначит роль безопасности. Пользователь создается в среде в корневой бизнес-единице.
Когда пользователи удаляются или отключаются в Microsoft Entra идентификаторе или удаляются из Microsoft Entra групп, они теряют свое членство в группе и не могут получить доступ к среде при попытке входа в систему.
Примечание.
Удаленный или отключенный пользователь группы остается в среде Power Platform Dataverse, если пользователь не имел доступа к среде.
Чтобы удалить пользователя из Dataverse групповой команды, выполните следующие действия:
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Управление.
- На панели Управление выберите Среды.
- Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Пользователи.
- Выполните поиск пользователя и выберите его.
- На форме «Пользователь» выберите меню ... .
- Выберите параметр Управление пользователем в Dynamics 365.
- На странице Пользователь выберите рабочую группу Dataverse, из которой нужно удалить пользователя.
- Нажмите кнопку Удалить.
Если вы случайно удалили активного пользователя группы, пользователь группы будет добавлен обратно в Dataverse групповую команду при следующем доступе пользователя к среде.
Удаление доступа пользователей в ходе выполнения
При удалении пользователя из групп Microsoft Entra администратором, пользователь группы удаляется из рабочей группы группы, и теряет свои права доступа при следующем доступе к среде. Членство в пользовательских группах Microsoft Entra и рабочих группах группы Dataverse синхронизировано, а права доступа пользователя динамически определяются во время выполнения.
Администрирование роли безопасности пользователя
Администраторам больше не нужно ждать, пока пользователь синхронизируется со средой, а затем назначать пользователю роль безопасности индивидуально с помощью рабочих групп группы Microsoft Entra. После того как рабочая группа группы создана в среде с ролью безопасности, все лицензированные пользователи Dataverse, добавленные в группу Microsoft Entra, могут сразу получить доступ к среде.
Блокировка доступа пользователей к средам
Администраторы могут продолжать использовать группу безопасности Microsoft Entra для блокировки списка пользователей, синхронизируемых со средой. Это могут быть дополнительно усилено с помощью рабочих групп группы Microsoft Entra. Чтобы заблокировать доступ среды или приложений к ограниченным средам, администратор может создать отдельные группы Microsoft Entra для каждой группы и назначить соответствующую роль безопасности для этих групп. Только эти члены рабочей группы группы Microsoft Entra имеют права доступа к среде.
Поделитесь Power Apps с участниками рабочей группы Microsoft Entra
Когда приложения на основе холста и приложения на основе модели делаются доступными для рабочей группы группы Microsoft Entra, участники рабочей группы могут сразу же запускать эти приложения.
Записи, принадлежащих пользователю или рабочей группе
В определение роли безопасности добавлено новое свойство, предоставляющее особые привилегии команде, когда роль назначается групповым командам. Этот тип роли безопасности позволяет членам группы получать привилегии уровня пользователя/базового уровня, как если бы им была назначена роль безопасности. Члены группы могут создавать записи и быть их владельцем без необходимости назначения дополнительной роли безопасности.
Рабочая группа группы может владеть одной или несколькими записями. Чтобы сделать группу владельцем записи, необходимо назначить запись группе.
Хотя группы предоставляют доступ к группе пользователей, по-прежнему необходимо связывать отдельных пользователей с ролями безопасности, предоставляющими привилегии, которые нужны пользователям для создания, обновления или удаления принадлежащих им записей. Эти привилегии не могут быть применены, если назначить рабочей группе роль безопасности наследования привилегий не члена группы, а затем добавить пользователя в эту рабочую группу. Если требуется предоставить участникам вашей рабочей группы полномочия рабочей группы напрямую без их собственной роли безопасности, можно назначить рабочей группе роль безопасности, которая имеет наследование полномочий участника.
Дополнительные сведения см. в разделе Назначение записи пользователю или рабочей группе.
Создание рабочей группы группы
Предпосылки для создания групповой команды
Убедитесь, что у вас есть одна из следующих ролей безопасности (или аналогичные разрешения): "Системный администратор", "Управляющий сбытом", "Вице-президент по сбыту", "Вице-президент по маркетингу" или "Исполнительный директор".
Проверьте вашу роль безопасности:
- Следуйте этим инструкциям: Просмотр профиля пользователя.
- У вас нет нужных разрешений? Обратитесь к администратору системы.
Группа Microsoft Entra обязательна для каждой рабочей группы группы.
Получите ObjectID групп Microsoft Entra с вашего сайта https://portal.azure.com.
Создайте пользовательскую роль безопасности, которая содержит привилегии в соответствии с требованием совместной работы рабочей группы. См. обсуждение унаследованных привилегий участника, если требуется расширить привилегии участников рабочей группы непосредственно на пользователя.
Создайте групповую команду в Power Platform центре администрирования
Чтобы создать групповую команду в Power Platform центре администрирования, выполните следующие действия:
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Управление.
- На панели Управление выберите Среды.
- Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Рабочие группы.
- Выберите + Создать рабочую группу.
Вам необходимо указать следующие поля:
- Название рабочей группы: убедитесь, что это имя уникально для бизнес-подразделения.
- Описание: введите описание рабочей группы.
- Бизнес-единица: выберите бизнес-единицу в раскрывающемся списке.
- Администратор: найдите пользователей в организации. Начните вводить символы.
- Тип рабочей группы: в раскрывающемся списке выберите тип рабочей группы. Группа может иметь тип группы: «Владелец», «Доступ», Microsoft Entra группа безопасности или Microsoft Entra офисная группа.
Если тип рабочей группы — Группа безопасности Microsoft Entra или Группа Microsoft Entra Office, вы также должны заполнить эти поля:
- Имя группы: Начните вводить текст, чтобы выбрать существующее имя группы Microsoft Entra. Эти группы предварительно созданы в Microsoft Entra ID.
- Тип членства: выберите тип членства из раскрывающегося списка. См. Как члены группы безопасности Microsoft Entra соответствуют членам команды группы Dataverse.
После создания рабочей группы вы можете добавлять участников и выбирать соответствующие роли безопасности. Этот шаг не обязателен, но рекомендуется.
Как члены группы безопасности Microsoft Entra соответствуют членам команды группы Dataverse
Просмотрите следующую таблицу, чтобы узнать, как участники в группе Microsoft Entra соответствуют членам команды группы Dataverse.
| Выберите тип членства в группе Dataverse (4) | Результирующее членство |
|---|---|
| Участники и гости | Выберите этот тип, чтобы включить типы пользователей Участник и Гость (3) из участников категории группы Microsoft Entra (1). |
| Участники | Выберите этот тип, чтобы включить только тип пользователей Участник (3) из участников категории группы Microsoft Entra (1). |
| Владельцы | Выберите этот тип, чтобы включить только тип пользователей Участник (3) из владельцев категории группы Microsoft Entra (2). |
| Гости | Выберите этот тип, чтобы включить только тип пользователей Гость (3) из участников категории группы Microsoft Entra (1). |
Введите рабочую группу группы
Предварительные условия для редактирования групповой команды
Убедитесь, что у вас есть одна из следующих ролей безопасности (или аналогичные разрешения): "Системный администратор", "Управляющий сбытом", "Вице-президент по сбыту", "Вице-президент по маркетингу" или "Исполнительный директор".
Проверьте вашу роль безопасности:
- Следуйте этим инструкциям: Просмотр профиля пользователя.
- У вас нет нужных разрешений? Обратитесь к администратору системы.
Редактировать группу в Power Platform центре администрирования
Чтобы отредактировать группу в Power Platform центре администрирования, выполните следующие действия:
- Войдите в центр администрирования Power Platform.
- В области навигации выберите Управление.
- На панели Управление выберите Среды.
- Выберите среду, а затем выберите Параметры>Пользователи + разрешения>Рабочие группы.
Установите флажок для названия рабочей группы. Выберите Изменить рабочую группу. Для редактирования доступны только поля Имя рабочей группы, Описание и Администратор. Обновите поля по мере необходимости, а затем выберите Обновить.
Примечание.
- Чтобы изменить бизнес-подразделение, см. Изменение подразделения для рабочей группы.
- Вы можете создать рабочие группы Dataverse — Члены, Владельцы, Гости и Члены и гости на среду на основе тип членства в группе Microsoft Entra для каждой группы Microsoft Entra. Microsoft Entra Идентификатор ObjectId групповой команды нельзя редактировать после ее создания.
- Тип Dataverse членства не может быть изменен после создания групповой команды. Если вам необходимо обновить это поле, вам необходимо удалить групповую команду и создать новую.
- Все существующие команды группы, созданные до добавления поля Тип участия автоматически обновляются как Участники и гости. При использовании этих групповых команд функциональность не теряется, поскольку групповая команда по умолчанию сопоставляется с типом членства « Microsoft Entra Группа Участники и гости ».
- Если в вашей среде есть группа безопасности, вам необходимо добавить группу Microsoft Entra группы в качестве члена этой группы безопасности, чтобы пользователи группы могли получить доступ к среде.
- В списке участников рабочей группы, перечисленных в каждой рабочей группе группы, отображаются участники пользователей, которые имеют доступ к среде. В данном списке не будут видны все участники группы в группе Microsoft Entra. Когда участник группы Microsoft Entra обращается к среде, участник группы добавляется в рабочую группу группы. Права участников рабочей группы извлекаются динамически во время выполнения путем наследования роли безопасности рабочей группы группы. Поскольку роль безопасности назначается групповой команде, а член групповой команды наследует привилегии, роль безопасности не назначается напрямую члену групповой команды. Поскольку привилегии члена команды определяются динамически во время выполнения, членство в группах Microsoft Entra члена команды кэшируется при входе члена команды в систему. Это означает, что любое Microsoft Entra обслуживание членства в группе, выполненное для участника команды в Microsoft Entra ID, не будет отражено до следующего входа участника команды в систему или пока система не обновит кэш (после 8 часов непрерывного входа в систему).
- Участники группы Microsoft Entra также добавляются в рабочую группу группы с помощью вызовов олицетворения. Вы можете использовать создание участников группы в рабочей группе группы от имени другого пользователя, используя олицетворение.
- Члены команды добавляются или удаляются из группы команды во время выполнения, когда участник группы входит в среду. Эти события добавления и удаления членов группы можно использовать для запуска операций подключаемого модуля.
- Вам не нужно назначать членам команды индивидуальную роль безопасности, если роль безопасности вашей группы имеет наследование привилегий участника и роль безопасности содержит хотя бы одну привилегию с разрешением уровня пользователя.
- Название группы рабочей группы не обновляется автоматически при изменении имени группы Microsoft Entra. Изменение имени группы никак не влияет на работу системы, но мы рекомендуем обновить его в параметрах рабочих групп в центре администрирования Power Platform.
- Члены группы AD автоматически создаются в среде при первом доступе к ней. Пользователи добавляются в корневую бизнес-единицу. Вам не нужно перемещать пользователя в другую бизнес-единицу, если вы включили Модернизированные бизнес-единицы для управления доступом пользователя к данным.
Управление ролями безопасности рабочей группы
Установите флажок для названия рабочей группы.
Выберите Управление ролями безопасности.
Выберите нужную роль или роли, а затем выберите Сохранить.
Изменение подразделения для рабочей группы
См. Изменение подразделения для рабочей группы.
Добавление типов групповых рабочих групп к представлению подстановки по умолчанию
При ручном назначении записи или предоставлении общего доступа к записи с помощью встроенной формы список параметров по умолчанию не отображает некоторые типы групповых команд, такие как Microsoft Entra ID. Вы можете отредактировать фильтр представления подстановки по умолчанию таблицы рабочих групп, чтобы он включал эти группы.
Выполните вход в Power Apps.
Выберите Dataverse>Таблицы>Рабочая группа>Представления>Представление подстановки рабочих групп>Изменить фильтры
Установите для Тип рабочей группы, Равно на: Офисная группа AAD, Группа безопасности, Владелец
- Выберите OK>Сохранить>Опубликовать.
Удаление членов команды и команды группы
Вы можете удалить команду группы сначала удалив всех членов команды из команды группы Dataverse.
Удаление группы Microsoft Entra
Когда группа Microsoft Entra удаляется из Azure.portal, все участники автоматически удаляются из команды группы Dataverse в среде в течение 24 часов. Команду группы Dataverse можно удалить после удаления всех участников.
Другие операции рабочей группы
- Управление участниками рабочей группы
- Удаление рабочей группы
- Изменение подразделения для рабочей группы
Связанный контент
Управление рабочими группами
Видео: Членство группы Microsoft Entra
Создание базовой группы и добавление участников с помощью Microsoft Entra ID
Краткое руководство: просмотр групп и участников вашей организации в Microsoft Entra ID