Поділитися через

Керування робочими групами

  • Стаття

Відомості про робочі групи

Групова Microsoft Entra команда. Подібно до команди власників , Microsoft Entra група може володіти записами та призначати команді ролі безпеки. Існує два типи групових команд, і вони безпосередньо відповідають груповим Microsoft Entra типам – охоронні та Microsoft 365. Роль безпеки групи може бути лише для команди або члена команди з правами Користувача успадковування права учасника. Учасники команди динамічно виводяться (додаються та видаляються) під час доступу до середовища на основі їхнього Microsoft Entra членства в групі.

Використання Microsoft Entra груп для керування додатком користувача та доступом до даних

Адміністрування програм і доступу Microsoft Dataverse до даних було розширено, щоб адміністратори могли використовувати групи своєї організації Microsoft Entra для керування правами доступу для ліцензованих Dataverse користувачів.

Обидва типи Microsoft Entra груп — Безпека та Microsoft 365 — можуть використовуватися для захисту прав доступу користувачів. За допомогою груп адміністратори можуть призначати ролі безпеки із відповідними правами всім членам групи, замість того, щоб надавати права доступу окремим членам команди.

Для захисту прав доступу користувачів можуть використовуватися обидва типи Microsoft Entra груп — Безпека та Microsoft 365 — з типом членства Призначено та Динамічний Користувач . Тип членства Динамічний пристрій не підтримується. За допомогою груп адміністратори можуть призначати ролі безпеки із відповідними правами всім членам групи, замість того, щоб надавати права доступу окремим членам команди.

Адміністратор може створювати Microsoft Entra групові команди, пов’язані з групами Microsoft Entra в кожному з середовищ, і призначати цим груповим командам роль безпеки. Для кожної Microsoft Entra групи адміністратор може створювати групові команди на Microsoft Entra основі Учасників групи, Власників або Гостей. Для кожної Microsoft Entra групи адміністратор може створити окремі групові команди для власників, учасників, гостей і учасників і гостей, а також призначити кожній із цих команд відповідну роль безпеки.

Якщо учасники цих групових робочих груп мають доступ до цих середовищ, їх права доступу автоматично надаються на основі ролі безпеки групової робочої групи.

Порада

Відеосимвол Перегляньте наступне відео: Динамічні Microsoft Entra групи.

Ініціалізація та деініціалізація користувачів

Після того, як команду групи та її роль безпеки встановлено в середовищі, доступ користувачів до середовища базується на членстві користувачів у групах Microsoft Entra . Коли в клієнті створюється новий користувач, усе, що потрібно зробити адміністратору, це призначити користувача до відповідної Microsoft Entra групи та призначити Dataverse ліцензії. Користувач може негайно отримати доступ до середовища без необхідності чекати, поки адміністратор додасть користувача в середовище або призначить роль безпеки. Користувач створюється в середовищі під кореневою бізнес-одиницею.

Коли користувачі видаляються або вимикаються в Microsoft Entra ID або видаляються з груп, Microsoft Entra вони втрачають членство в групах і не зможуть отримати доступ до середовища при спробі входу.

Нотатка

Видалений або вимкнений користувач групи залишається в середовищі, Power Platform Dataverse якщо користувач не мав доступу до середовища.

Щоб видалити користувача з групової Dataverse команди:

  1. Увійдіть у центр адміністрування Power Platform.
  2. Виберіть середовище, а потім виберіть Налаштування>Користувачі + дозволи>Користувачі.
  3. Знайдіть і виберіть користувача.
  4. У формі користувача натисніть на ... команда.
  5. Виберіть опцію Керування користувачем у Dynamics 365 .
  6. На сторінці «Користувач» виберіть команду Dataverse групи, з якої ви хочете видалити користувача.
  7. Натисніть кнопку Видалити .

Зауважте, що якщо ви випадково видалили активного користувача групи, його буде додано назад до Dataverse команди групи під час наступного звернення користувача до середовища.

Вилучення доступу користувача під час виконання

Коли адміністратор видаляє користувача з Microsoft Entra груп, він видаляється з команди групи, і він втрачає свої права доступу під час наступного доступу до середовища. Членство в групах і Microsoft Entra Dataverse групових командах користувача синхронізується, а права доступу користувача динамічно виводяться під час виконання.

Адміністрування ролі безпеки користувача

Адміністраторам більше не потрібно чекати, поки користувач синхронізується з середовищем, а потім призначати роль безпеки користувачеві окремо за допомогою Microsoft Entra групових команд. Після створення групової команди в середовищі з роллю безпеки всі ліцензовані Dataverse користувачі, які додаються до Microsoft Entra групи, можуть негайно отримати доступ до цього середовища.

Блокування доступу користувачів до середовищ

Адміністратори можуть і надалі використовувати групу Microsoft Entra безпеки для блокування списку користувачів, синхронізованих із середовищем. Це можна додатково посилити за допомогою Microsoft Entra групових команд. Щоб заблокувати доступ середовища або програми до обмежених середовищ, адміністратор може створити окремі Microsoft Entra групи для кожного середовища та призначити для цих груп відповідну роль безпеки. Тільки ці Microsoft Entra члени команди групи мають права доступу до середовища.

Надання спільного доступу Power Apps членам Microsoft Entra групи

Коли полотно та програми на основі моделі надаються спільному Microsoft Entra доступу до групової команди, учасники команди можуть одразу запускати програми.

Записи, зі які є відповідальними користувачі і записи, за які є відповідальними робочі групи

До визначення ролей безпеки було додано нова властивість, щоб забезпечити спеціальні права для робочої групи, коли така роль призначається учасникам групових робочих команд. Цей тип ролей безпеки дає змогу учасникам робочої групи отримувати права «Користувач»/«Базовий рівень», якщо роль безпеки призначена їм безпосередньо. Учасники робочої групи можуть створювати та бути відповідальним за записи без необхідності мати додаткову роль безпеки.

Команда групи може володіти одним або кількома записами. Щоб зробити робочу групу власником запису, їй потрібно призначити цей запис.

Хоча робочі групи надають доступ групі користувачів, вам усе ще потрібно пов’язувати окремих користувачів з ролями безпеки, які надають права, необхідні для створення, оновлення чи видалення записів, за які є відповідальними користувачі. Такі права не будуть застосовані, якщо робочій групі призначити успадковану від не-учасника групи роль безпеки, а потім до групи додати нового користувача. Якщо вам необхідно надати учасникам робочої групи права безпосередньо без їхньої ролі безпеки, можна призначити команді роль безпеки, для якої доступне успадковування права учасника.

Для отримання додаткових відомостей див. розділ Призначити запис користувачу або робочій групі.

Створення робочих груп

  1. Переконайтеся, що ви маєте роль безпеки «Системний адміністратор», «Менеджер зі збуту», «Віце-президент зі збуту», «Віце-президент із маркетингу», «Виконавчий директор» або еквівалентні дозволи.

    Перевірка вашої ролі безпеки:

    Необхідні компоненти:

    1. Для кожної групової команди обов’язкова наявність Microsoft Entra групи.
    2. Отримайте Microsoft Entra ObjectID групи зі свого https://portal.azure.com сайту.
    3. Створіть настроювану роль безпеки із правами відповідно до потреб співпраці вашої робочої групи. Перегляньте обговорення, що стосується прав, успадкованих з ролі безпеки учасника, якщо потрібно розширити для одного користувача права члена групи.

  2. Увійдіть уЦентр адміністрування Power Platform.

  3. Виберіть середовище, потім виберіть Параметри>Користувачі та права>Робочі групи.

  4. Виберіть + Створити робочу групу.

  5. Надайте уточнення наведених далі полів:

    • Назва команди:Переконайтеся, що ця назва є унікальною в межах бізнес-одиниці.
    • Опис: Введіть опис команди.
    • Бізнес-одиниця: Виберіть бізнес-одиницю зі спадного списку.
    • Адміністратор: Пошук користувачів в організації. Почніть вводити символи.
    • Тип команди: Виберіть тип команди зі спадного списку.

    Скріншот налаштувань для нової Dataverse команди.

    Нотатка

    Команда може бути одного з таких типів: Власник, Access, Microsoft Entra Група безпеки або Microsoft Entra Група Office.

  6. Якщо тип команди – Група Microsoft Entra безпеки або Microsoft Entra Група Office, необхідно також ввести такі поля:

    Скріншот налаштувань для нової Microsoft Entra команди.

Після створення робочої групи можна додати учасників робочої групи та вибрати відповідні ролі безпеки. Цей крок необов'язковий, але рекомендованим.

Як Microsoft Entra учасники групи безпеки співвідносяться з Dataverse членами групи

Як учасники підбирають собі команду Microsoft Entra Dataverse

Перегляньте наведену нижче таблицю, щоб дізнатися, як учасники груп Microsoft Entra співставляються з Dataverse членами груп.

Виберіть тип членства в груповій робочій групі Dataverse (4) Результативна участь у групах
Учасники та гості Виберіть цей тип, щоб включити типи користувачів Учасник і Гість (3) з Microsoft Entra категорії групи Учасники (1).
Учасники Виберіть цей тип, щоб включити лише тип користувача Учасник (3) з Microsoft Entra категорії групи Учасники (1).
Відповідальні Виберіть цей тип, щоб включити лише тип користувача Учасник (3) з Microsoft Entra категорії групи Власники (2).
Гості Виберіть цей тип, щоб включити лише тип користувача Гість (3) з Microsoft Entra категорії групи Учасники (1).

Змінити склад групи

  1. Переконайтеся, що ви маєте роль безпеки «Системний адміністратор», «Менеджер зі збуту», «Віце-президент зі збуту», «Віце-президент із маркетингу», «Виконавчий директор» або еквівалентні дозволи.

  2. Увійдіть уЦентр адміністрування Power Platform.

  3. Виберіть середовище, потім виберіть Параметри>Користувачі та права>Робочі групи.

  4. Установіть прапорець поруч із іменем робочої групи.

    Скріншот вибору команди.

  5. Виберіть Редагувати робочу групу. Для редагування доступні лише Ім’я робочої групи, Опис і Адміністратор робочої групи.

  6. Оновіть поля за необхідності, потім виберіть Оновити.

    Скріншот редагування команди.

Нотатка

  • Відомості про редагування підрозділу див. у розділі Змінення підрозділу для робочої групи.
  • Ви можете створювати Dataverse групові команди - Учасники, Власники, Гості та Учасники та Гості на основі типу членства в Microsoft Entra групі для кожної Microsoft Entra групи. Ідентифікатор Microsoft Entra ObjectId команди групи не може бути відредагований після створення команди групи.
  • Після створення робочої групи тип участі Dataverse змінити не можна. Якщо ви бажаєте змінити значення цього поля, потрібно буде видалити цю групову робочу групу й створити нову.
  • Усі наявні робочі групи, створені до додавання поля Тип членства автоматично оновлюються як Члени та гості. Функціональність цих групових команд не втрачається, оскільки за замовчуванням групова команда зіставляється з Microsoft Entra типом членства в групі та гостях .
  • Якщо у вашому середовищі є група безпеки, вам потрібно буде додати групу Microsoft Entra групи групи як члена цієї групи безпеки, щоб користувачі групи могли отримати доступ до середовища.
  • Список учасників робочої групи у кожній груповій робочій групі відображає лише тих користувачів-учасників групи, які входили до середовища. У цьому списку не відображаються всі учасники Microsoft Entra групи. Microsoft Entra Коли учасник групи отримує доступ до середовища, він додається до команди групи. Права члена робочої групи виникають динамічним чином під час запуску способом успадкування ролі безпеки робочої групи. Оскільки роль безпеки призначено робочій групі, а учасник робочої групи успадковує права, роль безпеки не призначається безпосередньо учаснику робочої групи. У зв’язку з тим, що привілеї члена команди динамічно отримуються під час виконання, членство члена Microsoft Entra команди в групі кешується після входу в систему члена команди. Це означає, що будь-яке Microsoft Entra обслуговування членства в групі, проведене щодо члена команди в Microsoft Entra ID, не буде відображено до наступного входу члена команди або коли система оновить кеш (після 8 годин безперервного входу).
  • Microsoft Entra Учасники групи також додаються до команди групи за допомогою дзвінків з імітацією. Можна використовувати учасників створення групи у груповій робочій групі від імені іншого користувача за допомогою уособлення.
  • Учасники команди додаються або видаляються з команди групи під час виконання, коли учасник групи входить у середовище. Ці події додавання та видалення учасників групи можна використовувати для запуску операцій плагіна.
  • Не потрібно призначати учасникам робочої групи окрему роль безпеки, якщо роль безпеки робочої групи має успадковування права учасника, а роль безпеки містить принаймні одне право, яке має дозвіл на рівні Користувача.
  • Назва команди групи не оновлюється автоматично при зміні Microsoft Entra назви групи. Зміна назви групи не впливає на роботу системи, але ми рекомендуємо оновити її в налаштуваннях Teams адміністративного центру Power Platform .
  • Учасники групи AD автоматично створюються в середовищі під час першого доступу до середовища. Користувачі додаються під кореневою бізнес-одиницею. Вам не потрібно переміщати користувача до іншої бізнес-одиниці, якщо ви ввімкнули функцію «Модернізовані бізнес-одиниці » для керування доступом користувача до даних.

Керування ролями безпеки робочої групи

  1. Установіть прапорець поруч із іменем робочої групи.

    Скріншот вибору команди.

  2. Виберіть Керування ролями безпеки.

  3. Виберіть потрібну роль або ролі, а потім натисніть Зберегти.

    Скріншот керування ролями безпеки.

Змінення організаційної одиниці для робочої групи

Див. розділ Змінення підрозділу для робочої групи.

Додавання типів групових робочих груп до стандартного подання підстановки

Під час призначення запису вручну або надання спільного доступу до запису за допомогою вбудованої форми список параметрів за замовчуванням не враховує деякі типи групових команд, наприклад Microsoft Entra ідентифікатор. Ви можете відредагувати фільтр за замовчуванням для подання підстановки таблиці робочих груп, щоб відображати й ці групи.

  1. Увійти до Power Apps.

  2. Виберіть Dataverse>Таблиці>Робочі групи>Подання>Подання підстановки Teams>Редагувати фільтри

  3. Установіть Тип робочоїДорівнює: Група AAD Office, Група безпеки AAD, Відповідальний

Додайте Microsoft Entra групу Office і Microsoft Entra групу безпеки до типу Команда.

  1. Виберіть OK>Зберегти>Опублікувати.

Видалення учасників команди та групової команди

Ви можете видалити групову команду , спочатку видаливши всіх учасників команди групи Dataverse .

Видалити Microsoft Entra групу

Microsoft Entra Коли група видаляється з Azure.portal, всі учасники автоматично видаляються з Dataverse команди групи в середовищі протягом 24 годин. Після цього команду Dataverse групи можна видалити після видалення всіх учасників.

Інші операції з робочими групами

Див.:

Див. також

Керуйте командами
Відео: Microsoft Entra Членство в групі
Створення базової групи та додавання учасників за допомогою Microsoft Entra ID
Швидкий запуск: перегляд груп і учасників вашої організації в Microsoft Entra ID