共用方式為

使用安全性群組和授權控制使用者對環境的存取

  • 發行項

如果您的公司擁有多個環境,可以使用安全性群組控制哪些授權的使用者可以是特定環境的成員。

注意

如需使用者如何存取 Microsoft Dataverse for Teams 的資訊,請參閱使用者存取 Dataverse for Teams 環境

請考慮下列範例情況:

Environment 安全性群組 目標
果好商號銷售 Sales_SG 提供對建立銷售商機、處理報價和完成交易之環境的存取。
果好商號行銷 Marketing_SG 提供對透過行銷活動和廣告等方式推動行銷活動之環境的存取。
果好商號服務 Service_SG 提供對處理客戶案例之環境的存取。
果好商號開發 Developer_SG 提供開發與測試所用沙箱環境的存取權。

在此範例中,這四個安全性群組都提供對特定環境的控制存取。

請注意下列有關安全性群組的資訊:

  • 關於巢狀安全性群組

    環境安全性群組中巢狀安全性群組的成員不會預先佈建或自動新增到環境中。 但是,當您建立巢狀安全性群組的 Dataverse 群組團隊時,可以將他們新增至環境中。

    此案例的範例:在建立環境時,為該環境指派安全性群組。 在環境的生命週期中,您想將成員新增到由安全性群組管理的環境中。 在 Microsoft Entra ID 中建立安全性群組 (例如管理員),並將所有管理員指派到該群組。 然後,將此安全性群組新增為環境安全性群組的下層,建立 Dataverse 群組團隊,並將資訊安全角色指派給該群組團隊。 您的管理員現在可以立即存取 Dataverse。

    當成員第一次存取環境時,也會在執行階段將巢狀安全性群組的成員新增至環境中。 但是在指派資訊安全角色之前,成員將無法執行任何應用程式或存取任何資料。

  • 將使用者新增至安全性群組後,他們就會加入環境。

  • 當使用者從群組中刪除時,他們在環境中被停用。

  • 當安全性群組與包含使用者的現有環境關聯時,該環境中不屬於該群組成員的所有使用者都將被停用。

  • 如果環境不具有相關的資訊安全性群組,則所有擁有 Dataverse 授權的使用者 (Customer Engagement 應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)、Power Automate、Power Apps 等),將會做為使用者建立並在環境中啟用。

  • 如果安全性群組與環境關聯,則只有具有 Dataverse 授權或每個應用程式方案且本身為環境安全性群組成員的使用者,才能在環境中作為使用者被建立。

  • 如果未指定安全性群組,則所有擁有 Dataverse 授權的使用者 (客戶參與應用程式,例如 Dynamics 365 Sales 和 Customer Service)或每個應用程式方案都會新增至新環境。

  • 新增內容:無法將安全性群組指派給預設環境類型和開發人員環境類型。 如果您已將安全性群組指派給預設或開發人員環境,我們建議將其移除,因為預設環境是要與用戶中的所有使用者共用,而開發人員環境僅供環境的負責人使用。

  • 環境支援關聯以下群組類型:安全性和 Microsoft 365。 不支援關聯其他群組類型

  • 選取安全性群組時,務必選取 Microsoft Entra 安全性群組,而不是在內部部署 Windows Active Directory 中建立的安全性群組。 不支援內部部署 Windows AD 安全性群組。

  • 如果使用者不屬於指派給環境的安全性群組,但具有 Power Platform 管理員角色,則該使用者仍將顯示為活動使用者並且能夠登入。

  • 如果為使用者指派了 Dynamics 365 Service Admin 角色,則該使用者必須是安全性群組的一部分,然後才能在環境中啟用。 在將其新增至安全性群組並啟用之前,他們無法存取環境。

  • 您的所有應用程式使用者都可以在使用安全性群組保護的任何環境中執行,而無需成為安全性群組的成員。

注意

所有獲得授權的使用者,無論是否是安全性群組的成員,都必須被指派資訊安全角色才能存取環境中的資料。 您可以在 Web 應用程式中指派資訊安全角色。 如果使用者不具備資訊安全角色,則在嘗試執行應用程式時,會收到資料存取被拒錯誤。 使用者必須至少有一個針對環境指派的資訊安全角色,才能存取該環境。 如需詳細資訊,請參閱設定環境安全性。 試用環境不支援自動將使用者指派到環境。 對於試用環境,必須手動指派使用者。

建立安全性群組並將成員新增至安全性群組

  1. 登入 Microsoft 365 系統管理中心

  2. 選取Teams 與群組>使用中團隊和群組

  3. 選取 + 新增群組

  4. 將類型變更為安全性群組,新增群組名稱描述,然後選取新增>關閉

  5. 選取您要建立的群組,然後在成員旁邊選取編輯

  6. 選取 + 新增成員。 選取要新增至安全性群組的使用者,然後選取儲存>關閉數次,以返回群組清單。

若要從安全性群組中移除使用者,請選取安全性群組,然後選取成員旁邊的編輯。 選取 - 移除成員,然後選取每一個要移除的成員的 X

注意

如果您要新增至安全性群組的使用者尚未建立,請建立使用者並向他們指派 Dataverse 授權。

若要新增多個使用者,請參閱:將大量使用者新增至 Office365 群組

建立使用者並指派授權

  1. 再 Microsoft 365 系統管理中心中,選取使用者>使用中使用者>+ 新增使用者

  2. 輸入使用者資訊,選取授權,然後選取新增

    其他資訊:同時新增使用者和指派授權

或者,針對每個應用程式的購買和指派:關於 Power Apps 每個應用程式方案

注意

如果環境已指派 Power Apps 每個應用程式方案,則所有使用者在嘗試存取環境時,都將視為已獲得授權,包括未指派個人授權的使用者。 環境中的每個應用程式方案分配滿足使用者獲得授權才能存取環境的要求。

將安全性群組與環境相關聯

  1. 以系統管理員身分登入 Power Platform 系統管理中心 (Dynamics 365 管理員或 Microsoft Power Platform 管理員)。

  2. 在導覽窗格中,選取環境

  3. 選取環境的名稱。

  4. 選取編輯

    選取編輯。

  5. 編輯詳細資料窗格中,選取安全性群組區域中的編輯圖示。

    選取 [編輯] 圖示以選取安全性群組。

    只會傳回前 200 個安全性群組。 使用搜尋以尋找特定的安全性群組。

  6. 選取一個安全性群組,選取完成,然後選取儲存

    安全性群組會與環境產生關聯。

注意

當安全性群組與應用程式的環境關聯時,執行畫布應用程式的使用者必須是安全性群組的成員,才能執行畫布應用程式,不論應用程式是否已與其共用。 否則,使用者將會看到此錯誤訊息:「您無法在此環境中開啟應用程式。 您不是環境安全性群組的成員。」如果您的 Power Platform 管理員為您的組織設定了治理詳細資訊,您將看到一個治理連絡人,您可以聯絡該連絡人以獲得安全性群組成員資格。

另請參閱

建立使用者