Kontrolowanie dostępu użytkowników do środowisk: grupy zabezpieczeń i licencje
Jeśli firma ma wiele środowisk, można użyć grup zabezpieczeń w celu sterowania, którzy użytkownicy licencjonowani mogą być członkami określonego środowiska.
Uwaga
Aby uzyskać informacje na temat dostępu użytkownika w Microsoft Dataverse for Teams zobaczDostęp użytkownika do środowisk Dataverse for Teams.
Rozważmy następujący scenariusz przykładowy:
Environment | Grupa zabezpieczeń | Purpose |
---|---|---|
Coho Winery Sprzedaż | Sales_SG | Zapewnienie dostępu do środowiska, w którym są tworzone szanse sprzedaży, obsługiwane oferty i finalizowane transakcje. |
Coho Winery Marketing | Marketing_SG | Zapewnienie dostępu do środowiska, w którym są organizowane działania marketingowe poprzez kampanie marketingowe i reklamy. |
Coho Winery Serwis | Service_SG | Zapewnienie dostępu do środowiska, w którym są przetwarzane sprawy klientów. |
Coho Winery Rozwój | Developer_SG | Dostęp do środowiska piaskownicy używanego do prac rozwojowych i testowania. |
W tym przykładzie cztery grupy zabezpieczeń zapewniają kontrolowany dostęp do określonego środowiska.
Należy zwrócić uwagę na następujące informacje dotyczące grup zabezpieczeń:
Informacje o zagnieżdżonych grupach zabezpieczeń
Członkowie zagnieżdżonych grup zabezpieczeń w grupie zabezpieczeń środowiska nie są wstępnie skonfigurowani i automatycznie dodawani do środowiska. Można ich jednak dodać do środowiska po utworzeniu zespołu grupy Dataverse dla zagnieżdżonej grupy zabezpieczeń.
Przykład tego scenariusza: podczas tworzenia środowiska przypisano grupę zabezpieczeń do środowiska. Podczas cyklu życia środowiska chcesz dodać członków do środowiska, którzy są zarządzani przez grupy zabezpieczeń. Tworzysz grupę zabezpieczeń w Microsoft Entra, na przykład o nazwie „menedżerowie” i przydzielasz do niej wszystkich menedżerów. Następnie dodajesz tę grupę zabezpieczeń jako podrzędną grupy zabezpieczeń środowiska, tworzysz zespół grupy Dataverse i grupie rolę zabezpieczeń. Teraz menedżerowie mogą od razu uzyskać dostęp do Dataverse.
Członek zagnieżdżonych grup zabezpieczeń jest również dodawany do środowiska w czasie uruchamiania, gdy ten członek uzyskuje dostęp do środowiska po raz pierwszy. Jednak członek nie będzie mógł uruchomić żadnej aplikacji i uzyskać dostępu do żadnych danych do momentu przydzielenia roli zabezpieczeń.
Gdy użytkownicy są dodawani do grupy zabezpieczeń, są oni dodawani do środowiska programu.
Użytkownicy usuwani z grupy są wyłączani w środowisku programu.
Gdy grupa zabezpieczeń jest skojarzona z istniejącym środowiskiem z użytkownikami, wszyscy użytkownicy w środowisku, którzy nie są członkami grupy, zostaną wyłączeni.
Jeśli w środowisku nie ma skojarzonej grupy zabezpieczeń, wszyscy użytkownicy z licencją Dataverse (aplikacje do obsługi zaangażowania klienta — Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation — Power Automate, Power Apps i inne) zostaną utworzeni jako użytkownicy i włączeni w środowisku.
Gdy grupa zabezpieczeń jest skojarzona ze środowiskiem, tylko użytkownicy z licencjami Dataverse lub planem na aplikację będący członkami grupy zabezpieczeń środowiska zostaną utworzeni jako użytkownicy w środowisku.
Jeśli nie określisz grupy zabezpieczeń, wszyscy użytkownicy z licencją Dataverse (aplikacje do obsługi zaangażowania klienta, takie jak Dynamics 365 Sales i Customer Service) lub planem na aplikację zostaną dodani do nowego środowiska.
Nowość: Nie można przypisywać grup zabezpieczeń do typów domyślnych i środowisk deweloperskich. Jeśli została już przypisana grupa zabezpieczeń do środowiska domyślnego lub dewelopera, zalecamy usunięcie jej ze względu na to, że domyślne środowisko jest udostępniane wszystkim użytkownikom w dzierżawie, a środowisko dewelopera jest przeznaczone do użytku tylko przez właściciela środowiska.
Środowiska zabezpieczeń obsługują skojarzenie następujących typów grup: Zabezpieczenia i Microsoft 365. Kojarzenie innych typów grup nie jest obsługiwane.
Po wybraniu grupy zabezpieczeń należy wybrać grupę zabezpieczeń Microsoft Entra, a nie grupę utworzoną w lokalnej usłudze Active Directory systemu Windows. Lokalne grupy zabezpieczeń usługi Windows AD nie są obsługiwane.
Jeśli użytkownik nie jest częścią przypisanej grupy zabezpieczeń do środowiska, ale ma Power Platform rolę Administrator, użytkownik będzie nadal wyświetlany jako aktywny użytkownik i będzie mógł się zalogować.
Jeśli użytkownikowi zostanie przypisana rola administratora usługi Dynamics 365, użytkownik musi być częścią grupy zabezpieczeń, aby został włączony w środowisku. Nie będą mieli dostępu do środowiska, dopóki nie zostaną dodani do grupy zabezpieczeń i włączeni.
Jeśli grupa zabezpieczeń skojarzona ze środowiskiem (czyli stara grupa zabezpieczeń zostanie usunięta, a nowa jest skojarzona ze środowiskiem), zostanie zainicjowane oczyszczanie istniejących użytkowników w środowisku, a następnie nastąpi dodanie nowych użytkowników do środowiska. W większości przypadków ten proces odbywa się w ciągu kilku minut, ale w zależności od liczby użytkowników w starych i nowych grupach zabezpieczeń może to zająć kilka godzin.
Uwaga
Wszystkim licencjonowanym użytkownikom, niezależnie od tego, czy są członkami grup zabezpieczeń, należy przypisać role zabezpieczeń, aby uzyskać dostęp do danych w środowiskach. Role zabezpieczeń programu można przypisać w aplikacji sieci Web. Jeśli użytkownicy nie mają roli zabezpieczeń, zobaczą błąd dostępu do danych, gdy będą próbowali uruchomić aplikację. Użytkownicy nie mogą uzyskać dostępu do środowiska do czasu, aż zostanie im przypisana co najmniej jedna rola zabezpieczeń dla tego środowiska. Aby uzyskać więcej informacji, zobacz Konfigurowanie zabezpieczeń środowiska. Automatyczne przypisywanie użytkowników do środowiska nie jest obsługiwane w przypadku środowisk próbnych. W środowiskach próbnych użytkownicy muszą być przydzielani ręcznie.
Tworzenie grupy zabezpieczeń i dodawanie do niej członków
Zaloguj się w Centrum administracyjnym Microsoft 365.
Wybierz zespoły i grupy>Aktywne zespoły i grupy.
Wybierz opcję + Dodaj grupę.
Zmień typ na Grupa zabezpieczeń, dodaj nazwę i opis grupy, a następnie wybierz Dodaj>Zamknij.
Kliknij utworzoną grupę, a następnie, obok Członkowie wybierz Edytuj.
Wybierz opcję + Dodaj członków. Zaznacz użytkowników, aby dodać ich do grupy zabezpieczeń, a następnie kliknij Zapisz>Zamknij kilka razy, aby powrócić do listy Grupy.
Aby usunąć użytkownika z grupy zabezpieczeń, wybierz grupę zabezpieczeń, a następnie obok opcji Członkowie wybierz opcję Edytuj. Kliknij - Usuń członków, a następnie wybierz X dla każdego członka, którego chcesz usunąć.
Uwaga
Jeśli użytkownicy, których chcesz dodać do grupy zabezpieczeń, nie zostaną utworzeni, utwórz tych użytkowników i przypisz im licencje Dataverse.
Aby dodać wielu użytkowników, zobacz: zbiorcze dodawanie użytkowników do grup Office 365.
Tworzenie użytkownika i przypisywanie licencji
W centrum administracyjnym Microsoft 365 kliknij Użytkownicy>Aktywni użytkownicy>+ Dodaj użytkownika.
Wprowadź informacje o użytkowniku, wybierz licencje, a następnie wybierz Dodaj.
Więcej informacji: Dodawanie użytkowników i przypisywanie licencji w tym samym czasie
Możesz też kupować i przypisywać przepustki na aplikacje: Informacje o planach usługi Power Apps na aplikację
Uwaga
Jeśli w środowisku zaalokowano plan Power Apps na aplikację, podczas próby uzyskania dostępu do środowiska wszyscy użytkownicy będą uważani za licencjonowanych, w tym również użytkownicy, którzy nie mają przypisanych poszczególnych licencji. Przypisane planu aplikacji na środowiska satysfakcjonuje wymaganie od użytkowników licencji w celu uzyskania dostępu do środowiska.
Kojarzenie grupy zabezpieczeń ze środowiskiem
Zaloguj się do centrum Power Platform administracyjnego jako administrator (administrator lub Microsoft Power Platform administrator usługi Dynamics 365).
W okienku nawigacji wybierz Środowiska.
Wybierz nazwę środowiska.
Zaznacz Edytuj.
W okienku Edytuj szczegóły wybierz ikonę Edytuj w obszarze Grupa bezpieczeństwa.
Domyślnie tylko pierwszych 200 grup zabezpieczeń zostanie zwróconych. Użyj Wyszukiwania, aby wyszukać określoną grupę zabezpieczeń.
Wybierz grupę zabezpieczeń, wybierz pozycję Gotowe i wybierz pozycję Zapisz.
Grupa zabezpieczeń zostanie skojarzona ze środowiskiem.
Uwaga
Użytkownicy uruchamiający aplikacje kanwy, gdy grupa zabezpieczeń jest skojarzona ze środowiskiem aplikacji, muszą być członkami grupy zabezpieczeń, aby można było uruchomić aplikację kanwy, niezależnie od tego, czy aplikacja została im udostępniona. W przeciwnym razie użytkownicy będą widzieć ten komunikat o błędzie: „Nie możesz otworzyć aplikacji w tym środowisku. Nie należysz do grupy zabezpieczeń środowiska.” Jeśli administrator Power Platform ustawi szczegóły dotyczące szczegółów organizacji, zostanie wyświetlony kontakt ładu, z którym można się skontaktować w celu członkostwa w grupie zabezpieczeń.