Поділитися через

Контролюйте доступ користувачів до середовищ із групами безпеки та ліцензіями

  • Стаття

Якщо ваша компанія має кілька середовищ, ви можете використовувати групи безпеки, щоб контролювати, які ліцензовані користувачі можуть бути членами певного середовища.

Нотатка

Відомості про принципи організації доступу користувачів у Microsoft Dataverse for Teams ви можете знайти тут: Доступ користувачів до середовищ Dataverse for Teams.

Розглянемо наступний сценарій.

Середовище Група безпеки Мета
Відділ збуту компанії Coho Winery (зразок) Sales_SG Надається доступ до середовища, що створює можливості для збуту, обробляє котирування та закриває угоди.
Відділ маркетингу Coho Winery Marketing_SG Надається доступ до середовища, що покращує результативність маркетингових заходів та реклами.
Служба підтримки Coho Winery Service_SG Надається доступ до середовища, що обробляє інциденти клієнтів.
Відділ розробки Coho Winery Developer_SG Надається доступ до ізольованого середовища, що слугує для розробки й тестування.

У цьому прикладі чотири групи безпеки забезпечують контрольований доступ до певного середовища.

Зверніть увагу на таку інформацію про групи безпеки:

  • Відомості про вкладені групи безпеки

    Учасники вкладеної групи безпеки в групі безпеки середовища не підготуються заздалегідь і не додаються до середовища автоматично. Проте їх можна додати до середовища при створенні робочої групи Dataverse для вкладеної групи безпеки.

    Приклад такого сценарію: під час створення середовища ви призначили групу безпеки для середовища. Протягом життєвого циклу середовища потрібно додавати до середовища учасників, якими керують групи безпеки. Ви створюєте групу безпеки в Microsoft Entra ID (наприклад, менеджери) і призначаєте всім своїм керівникам групу. Потім цю групу безпеки ви додаєте як дочірній елемент до групи безпеки середовища, створюєте робочу групу Dataverse та призначаєте цій робочій групі роль безпеки. Після цього ваші керівники можуть негайно отримати доступ до Dataverse.

    Член вкладеної групи безпеки також додається до середовища під час виконання, коли учасник вперше звертається до середовища. Але учасник не зможе запустити жодну програму та отримати доступ до будь-яких даних, доки не буде призначено роль безпеки.

  • Коли користувачі додаються до групи безпеки, вони додаються до середовища.

  • Коли користувачі видаляються з групи, вони вимикаються в середовищі.

  • Якщо групу безпеки пов’язано з наявним середовищем із користувачами, усіх користувачів у середовищі, які не є членами групи, буде вимкнено.

  • Якщо середовище не має пов’язаної групи безпеки, усіх користувачів із ліцензією Dataverse (програми залучення клієнтів — Dynamics 365 Sales, Dynamics 365 Customer Service Dynamics 365 Field Service, Dynamics 365 Marketing і Dynamics 365 Project Service Automation—Power Automate, Power Apps, тощо) буде створено як користувачів і ввімкнено в середовищі.

  • Якщо група безпеки пов'язана з середовищем, лише користувачі з ліцензіями Dataverse або планами на програму, які є членами групи безпеки середовища, будуть додані, як користувачі в середовище.

  • Якщо ви не вкажете групу безпеки, до нового середовища буде додано всіх користувачів, які мають Dataverse ліцензію (наприклад, Dynamics 365 Sales and Customer Service) або план кожної програми.

  • Нове: групи безпеки не можна призначати типам середовищ за замовчуванням і середовищам розробника. Якщо ви вже призначили групу безпеки для вашого середовища за замовчуванням або середовища розробника, ми рекомендуємо її видалити, тому що середовище за замовчуванням призначене для надання до нього спільного доступу всім користувачам клієнта, а середовище розробника призначене для використання лише власником середовища.

  • Середовища підтримують зв'язування таких типів груп: Безпека та Microsoft 365. Об’єднання інших типів груп не підтримується.

  • Вибираючи групу безпеки, обов’язково виберіть групу Microsoft Entra безпеки, а не ту, що створена в локальній версії Windows Active Directory. Локальні групи безпеки Windows AD не підтримуються.

  • Якщо користувач не входить до призначеної для середовища групи безпеки, але має Power Platform роль адміністратора, він все одно відображатиметься як активний користувач і зможе ввійти в систему.

  • Якщо користувачу призначено роль адміністратора служби Dynamics 365, то він має бути частиною групи безпеки, перш ніж їх буде ввімкнено в середовищі. Вони не матимуть доступу до середовища, доки їх не буде додано до групи безпеки та ввімкнено.

  • Усі користувачі вашої програми можуть працювати в будь-яких середовищах, захищених групою безпеки, не будучи членом групи безпеки.

Нотатка

Усім ліцензованим користувачам, незалежно від того, чи є вони членами груп безпеки, для доступу до даних у середовищі мають бути призначені ролі безпеки. Ви призначаєте ролі безпеки у веб-застосунку. Якщо користувачі не мають ролі безпеки, під час спроби запустити програму з’являється повідомлення про відмову в доступі до даних. Користувачі не матимуть доступу до середовищ, доки їм не буде призначено принаймні одну роль безпеки для цього середовища. Для отримання додаткових відомостей див. розділ Настроювання безпеки середовища. Автоматичне призначення користувачів до середовища не підтримується в пробних середовищах. Для ознайомлювальних середовищ користувачі мають бути призначені вручну.

Створення групи безпеки і додавання учасників до групи безпеки

  1. Увійдіть у Центр адміністрування Microsoft 365.

  2. Виберіть Команди та групи>Активні команди та групи.

  3. Виберіть елемент + Додати групу.

  4. Змініть тип на Група безпеки, додайте ім’я та опис групи, а потім виберіть Додати>закриття.

  5. Виберіть створену вами групу, а тоді біля пункту Учасники натисніть кнопку Редагувати.

  6. Виберіть елемент + Додати учасників. Виберіть користувачів, щоб додати їх до групи безпеки, а тоді натисніть кнопку Зберегти>Закрити кілька разів, щоб повернутися до списку Групи.

Щоб видалити користувача з групи безпеки, виберіть групу безпеки, а потім поруч із пунктом Учасники натисніть кнопку Редагувати. Виберіть елемент Видалити учасників, а тоді натисніть кнопку Х для кожного учасника, якого потрібно видалити.

Нотатка

Якщо користувачів, яких потрібно додати до групи безпеки, не створено, створіть цих користувачів і призначте Dataverse їм ліцензії.

Щоб додати кілька користувачів, див. групове додавання користувачів до груп Office365.

Створення користувачів і призначення ліцензій

  1. У центрі адміністрування Microsoft 365 послідовно виберіть Користувачі>Активні користувачі>+ Додати користувача.

  2. Введіть відомості про користувача, виберіть ліцензії, а потім натисніть кнопку Додати.

    Додаткова інформація: Одночасно додайте користувачів і призначте ліцензії

Або придбайте та призначте абонементи для кожного додатка: Про Power Apps плани на додаток

Нотатка

Якщо середовище має виділено Power Apps план для кожної програми, усі користувачі вважатимуться ліцензованими, коли вони намагатимуться отримати доступ до середовища, включно з користувачами, яким не призначено окремі ліцензії. Розподіл плану для кожного додатка в середовищі задовольняє вимогу щодо ліцензування користувачів для доступу до середовища.

Зв’язування групи безпеки з середовищем

  1. увійдіть у Power Platform Центр адміністрування як адміністратор (адміністратор або Microsoft Power Platform адміністратор Dynamics 365).

  2. В області переходів виберіть Середовища.

  3. Виберіть ім’я середовища.

  4. Виберіть Редагування.

    Виберіть Редагувати.

  5. В області відомостей про редагування виберіть піктограму Редагувати в області групи безпеки.

    Натисніть піктограму Редагувати, щоб вибрати групу безпеки.

    Повернуться лише перші 200 груп безпеки. За допомогою пошуку можна знайти певну групу безпеки.

  6. Виберіть групу безпеки, натисніть кнопку Готово, а потім натисніть кнопку Зберегти.

    Групу безпеки пов’язано із середовищем.

Нотатка

Користувачі, які використовують програми на полотні, коли група безпеки пов’язана з середовищем програми, мають бути членами групи безпеки, щоб мати змогу запускати програму canvas, незалежно від того, чи було їм надано доступ до програми. В іншому разі користувачі побачать таке повідомлення про помилку: «Не вдається відкрити програми в цьому середовищі. Ви не є членом групи безпеки навколишнього середовища». Якщо ваш Power Platform адміністратор встановив відомості про керування для вашої організації, ви побачите контактну особу з керування, до якої можна звернутися для отримання членства в групі безпеки.

Див. також

Створюйте користувачів