Gerir equipas de grupo
Acerca das equipas de grupo
Uma Microsoft Entra equipa de grupo . Semelhante à equipa do proprietário, uma equipa de grupo do Microsoft Entra pode ter registos e pode ter direitos de acesso atribuído à equipa. Existem dois tipos de equipas de grupo e correspondem diretamente aos tipos de grupo do Microsoft Entra – Segurança e Microsoft 365. O direito de acesso grupo pode ser apenas para a equipa ou para o membro da equipa com privilégios de Utilizador herança de privilégios do membro. Os membros da equipa são derivados dinamicamente (adicionados e removidos) quando acedem ao ambiente com base na respetiva associação ao grupo do Microsoft Entra.
Utilizar os grupos do Microsoft Entra para gerir o acesso aos dados e à aplicação do utilizador
A administração do acesso aos dados e à aplicação para o Microsoft Dataverse foi expandida para permitir aos administradores utilizarem os grupos do Microsoft Entra da respetiva organização para gerir os direitos de acesso dos utilizadores licenciados do Dataverse.
Ambos os tipos de grupos do Microsoft Entra – Segurança e Microsoft 365 – podem ser utilizados para proteger os direitos de acesso do utilizador. A utilização de grupos permite aos administradores atribuir um direito de acesso com os respetivos privilégios a todos os membros do grupo, em vez de ter de fornecer os direitos de acesso a um membro da equipa individual.
Ambos os tipos de grupos do Microsoft Entra – Segurança e Microsoft 365 – com um tipo de Associação Atribuído e Utilizador Dinâmico podem ser utilizados para proteger os direitos de acesso do utilizador. O tipo de associação Utilizador Dinâmico não é suportado. A utilização de grupos permite aos administradores atribuir um direito de acesso com os respetivos privilégios a todos os membros do grupo, em vez de ter de fornecer os direitos de acesso a um membro da equipa individual.
O administrador pode criar equipas de grupo do Microsoft Entra associadas aos grupos do Microsoft Entra em cada um dos ambientes e atribuir um direito de acesso a estas equipas de grupo. Para cada grupo Microsoft Entra, o Administrador pode criar equipas de grupo com base nos no grupo Microsoft Entra Membros e/ou Proprietários ou Convidados. Para cada grupo Microsoft Entra, um Administrador pode criar equipas de grupo separadas para proprietários, membros e convidados e atribuir um direito de acesso respetivo a cada uma destas equipas.
Quando os membros destas equipas de grupo acedem a estes ambientes, os respetivos direitos de acesso são concedidos automaticamente com base no direito de acesso da equipa do grupo.
Gorjeta
Confira o vídeo a seguir: Grupos Microsoft Entra dinâmicos.
Aprovisionar e desaprovisionar os utilizadores
Depois de a equipa de grupo e o respetivo direito de acesso serem estabelecidos num ambiente, o acesso de utilizador ao ambiente baseia-se na associação de utilizador dos grupos do Microsoft Entra. Quando um novo utilizador é criado no inquilino, tudo o que o administrador tem de fazer é atribuir o utilizador ao grupo do Microsoft Entra adequado e atribuir licenças do Dataverse. O utilizador pode aceder imediatamente ao ambiente sem a necessidade de aguardar que o administrador adicione o utilizador no ambiente ou atribua um direito de acesso. O utilizador é criado no ambiente abaixo da unidade de negócio raiz.
Quando os utilizadores são eliminados ou desativados no ID do Microsoft Entra ou removidos dos grupos do Microsoft Entra, perdem a associação ao grupo e não conseguirão aceder ao ambiente quando tentam iniciar sessão.
Nota
O utilizador do grupo eliminado ou desativado permanecerá no ambiente do Dataverse do Power Platform se o utilizador não tiver acedido ao ambiente.
Para remover o utilizador da equipa de grupo do Dataverse:
- Inicie sessão no centro de administração do Power Platform.
- Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Utilizadores.
- Procure e selecione o utilizador.
- No formulário Utilizador, clique no comando ....
- Selecione a opção Gerir utilizador no Dynamics 365.
- Na página Utilizador, selecione a equipa de grupo do Dataverse de onde pretende remover o utilizador.
- Selecione o botão Eliminar.
Observe que, se eliminou acidentalmente um utilizador ativo do grupo, o utilizador do grupo será adicionado novamente à equipa do grupo do Dataverse da próxima vez que o utilizador aceder ao ambiente.
Remover acesso de utilizador em tempo de execução
Quando um utilizador é removido dos grupos do Microsoft Entra por um administrador, o utilizador é removido da equipa do grupo e perde os direitos de acesso na vez seguinte que aceder ao ambiente. As associações para os grupos do Microsoft Entra do utilizador e as equipas do grupo Dataverse são sincronizadas, e os direitos de acesso do utilizador deduzidos dinamicamente em tempo de execução.
Administrar direito de acesso do utilizador
Os administradores já não têm de aguardar que o utilizador sincronize com o ambiente e, em seguida, atribua individualmente um direito de acesso ao utilizador através das equipss de grupo do do Microsoft Entra. Depois de uma equipa de grupo ser estabelecida e criada num ambiente com um direito de acesso, quaisquer utilizadores licenciados do Dataverse adicionados ao grupo Microsoft Entra podem aceder imediatamente ao ambiente.
Bloquear o acesso dos utilizadores a ambientes
Os administradores podem continuar a utilizar um grupo de segurança do Microsoft Entra para bloquear a lista de utilizadores sincronizados com um ambiente. Isto pode ser reforçado através das equipas do grupo do Microsoft Entra. Para bloquear o acesso ao ambiente ou à aplicação a ambientes restritos, o administrador pode criar grupos separados do Microsoft Entra para cada ambiente e atribuir o direito de acesso adequado para estes grupos. Apenas estes membros da equipa do grupo do Microsoft Entra têm os direitos de acesso ao ambiente.
Partilhar o Power Apps com os membros da equipa de um grupo do Microsoft Entra
Quando as aplicações orientadas por modelos e de tela são partilhadas com uma equipa de grupo do Microsoft Entra, os membros da equipa podem executar imediatamente as aplicações.
Registos propriedade do utilizador e propriedade da equipa
Foi adicionada uma nova propriedade à definição de direito de acesso para fornecer privilégios de equipa especiais quando a função está atribuída a equipas do grupo. Este tipo de direito de acesso permite que aos membros da equipa sejam conceidos privilégios de nível de Utilizador/Básico como se o direito de acesso lhes fosse atribuído directamente. Os membros da equipa podem criar e ser um proprietário dos registos, sem a necessidade de ter um direito de acesso adicional atribuído.
Uma equipa de grupo pode possuir um ou mais registos. Para tornar uma equipa a proprietária do registo, tem de atribuir o registo à equipa.
Apesar de as equipas fornecerem acesso a um grupo de utilizadores, ainda terá de associar os utilizadores individuais aos direitos de acesso que concedem os privilégios que precisam para criar, atualizar ou eliminar os registos propriedade do utilizador. Estes privilégios não podem ser aplicados ao atribuir um direito de acesso herdado do privilégio de um não membro a uma equipa e, em seguida, adicionar o utilizador a essa equipa. Se necessitar de fornecer privilégios de equipa aos membros da equipa diretamente, sem os respetivos direitos de acesso, pode atribuir à equipa um direito de acesso que tem herança de privilégios do membro.
Para mais informações, consulte Atribuir um registo a um utilizador ou equipa.
Criar uma equipa de grupo
Certifique-se de que tem direitos de acesso Administrador de Sistema, Gestor de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou CEO-Gestor Empresarial ou permissões equivalentes.
Verifique os direitos de acesso:
- Siga os passos indicados em Ver o seu perfil de utilizador.
- Não tem as permissões corretas? Contacte o administrador de sistema.
Pré-requisitos:
- É necessário um Microsoft Entra Grupo para cada equipa de grupo.
- Obtenha o ObjectID do Grupo do Microsoft Entra a partir do site https://portal.azure.com.
- Crie um direito de acesso personalizado que contém privilégios de acordo com os requisitos de colaboração da sua equipa. Consulte o debate sobre os privilégios herdados dos membros se precisar de expandir os privilégios do membro da equipa diretamente para um utilizador.
Inicie sessão no centro de administração do Power Platform.
Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Equipas.
Selecione + Criar equipa.
Especifique os campos que se seguem:
- Nome da equipa: certifique-se de que este nome é exclusivo numa unidade de negócio.
- Descrição: introduza uma descrição da equipa.
- Unidade de negócio: selecione a unidade de negócio a partir da lista pendente.
- Administrador: procure utilizadores na organização. Comece a introduzir carateres.
- Tipo de equipa: selecione o tipo de equipa a partir da lista pendente.
Nota
Uma equipa pode ser de um dos seguintes tipos: Proprietário, Acesso, Grupo de Segurança do Microsoft Entra ou Grupo de Escritório do Microsoft Entra.
Se o tipo de equipa for Grupo de segurança do Microsoft Entra ou Grupo de Escritório do Microsoft Entra, também tem de introduzir estes campos:
- Nome do grupo: Comece a inserir texto para selecionar um nome de grupo existente Microsoft Entra . Estes grupos estão pré-criados no ID do Microsoft Entra.
- Tipo de adesão: selecione o tipo de adesão na lista pendente. Veja Como os membros do grupo de segurança do Microsoft Entra corresponderem aos membros da equipa do grupo do Dataverse.
Depois de criar a equipa, pode adicionar membros da equipa e selecionar os direitos de acesso correspondentes. Este passo é opcional, mas recomendado.
Como os membros do grupo de segurança do Microsoft Entra corresponderem aos membros da equipa do grupo do Dataverse
Reveja a tabela seguinte para saber como os membros dos grupos do Microsoft Entra correspondem aos membros da equipa do grupo do Dataverse.
Selecione o tipo de adesão da equipa do grupo do Dataverse (4) | Adesão resultante |
---|---|
Membros e convidados | Selecione este tipo para incluir ambos os tipos de utilizador Membro e Convidado (3) a partir da categoria de grupo Membros do Microsoft Entra (1). |
Membros | Selecione este tipo para incluir apenas o tipo de utilizador Membro (3) a partir da categoria de grupo Membros do Microsoft Entra (1). |
Proprietários | Selecione este tipo para incluir apenas o tipo de utilizador Membro (3) a partir da categoria de grupo Proprietários do Microsoft Entra (2). |
Convidados | Selecione este tipo para incluir apenas o tipo de utilizador Convidado (3) a partir da categoria de grupo Membros do Microsoft Entra (1). |
Editar uma equipa de grupo
Certifique-se de que tem direitos de acesso Administrador de Sistema, Gestor de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou CEO-Gestor Empresarial ou permissões equivalentes.
Inicie sessão no centro de administração do Power Platform.
Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Equipas.
Selecione a caixa de verificação para um nome de equipa.
Selecione Editar equipa. Apenas o Nome da equipa, Descrição e Administrador estão disponíveis para edição.
Atualize os campos conforme necessário e, em seguida, selecione Atualizar.
Nota
- Para editar a Unidade de Negócio, consulte Alterar a unidade de negócio para uma equipa.
- Pode criar equipas de grupo do Dataverse – Membros, Proprietários, Convidados e Membros e Convidados por ambiente com base no tipo de membros do grupo do Microsoft Entra para cada grupo do Microsoft Entra. O ObjectId do ID do Microsoft Entra da equipa do grupo não pode ser editado uma vez que a equipa de grupo é criada.
- O Tipo de Membro Dataverse não pode ser alterado após a criação da equipa de grupo. Se precisar de atualizar este campo, terá de eliminar a equipa de grupo e criar uma nova.
- Todas as equipas de grupo existentes criadas antes de adicionar o novo campo Tipo de Associação são atualizadas automaticamente como Membros e convidados. Não há qualquer perda de funcionalidade com estas equipas de grupo, uma vez que a equipa de grupo predefinida está mapeada para o tipo de associação Membros e convidados do Grupo do Microsoft Entra.
- Se o seu ambiente tiver um grupo de segurança, terá de adicionar o grupo do Microsoft Entra da equipa de grupo como membro desse grupo de segurança para os utilizadores da equipa do grupo poderem aceder ao ambiente.
- A lista de membros da equipa listada em cada equipa de grupo apresenta apenas os membros de utilizador que tenham acedido ao ambiente. Esta lista não mostra todos os membros do grupo do grupo do Microsoft Entra. Quando um membro do grupo do Microsoft Entra acede ao ambiente, o membro do grupo é adicionado à equipa do grupo. Os privilégios do membro da equipa são derivados dinamicamente no runtime ao herdar o direito de acesso da equipa do grupo. Uma vez que o direito de acesso é atribuído à equipa do grupo e o membro da equipa do grupo herda os privilégios, o direito de acesso não é atribuído diretamente ao membro da equipa do grupo. Devido aos privilégios do membro da equipa serem deduzidos dinamicamente em runtime, as associações ao grupo do Microsoft Entra do membro da equipa são colocadas em cache no início de sessão do membro da equipa. Isto significa que qualquer manutenção da associação ao grupo do Microsoft Entra efetuada no membro da equipa do ID do Microsoft Entra não será refletida até à vez seguinte que o membro da equipa iniciar sessão ou quando o sistema atualizar a cache (após 8 horas contínuas de sessão iniciada).
- Microsoft Entra Os membros do grupo também são adicionados à equipa do grupo com chamadas de representação. Pode utilizar a criação de membros do grupo na equipa de grupo em nome de outro utilizador que utilize a representação.
- Os membros da equipa são adicionados ou removidos da equipa do grupo em tempo de execução quando o membro do grupo inicia sessão no ambiente. Estes eventos de membros de grupo de adição e remoção podem ser utilizados para acionar operações de plug-in.
- Não necessita de atribuir membros da equipa a um direito de acesso individual se o direito de acesso da sua equipa de grupo tiver a herança de privilégios de um membro e o direito de acesso contiver pelo menos um privilégio que tenha permissão para nível de Utilizador.
- O nome da equipa de grupo não é atualizado automaticamente quando o nome do grupo do Microsoft Entra é alterado. Não existe impacto na operação do sistema com alterações ao nome de grupo, mas recomendamos que o atualize nas definições de Equipa do centro de administração do Power Platform.
- Os membros do grupo AD são criados automaticamente no ambiente quando acedem pela primeira vez ao ambiente. Os utilizadores são adicionados à unidade de negócio raiz. Não necessita de mover o utilizador para uma unidade de negócio diferente se ativou as Unidades de Negócio Modernizadas para gerir o acesso aos dados do utilizador.
Gerir direitos de acesso de uma equipa
Selecione a caixa de verificação para um nome de equipa.
Selecione Gerir direitos de acesso.
Selecione a função ou funções pretendidas e, em seguida, selecione Guardar.
Alterar a unidade de negócio de uma equipa
Consulte Alterar a unidade de negócio de uma equipa.
Adicionar tipos de equipas de grupo à vista de pesquisa predefinida
Quando atribui manualmente um registo ou partilha um registo utilizando o formulário integrado, a lista de opções predefinida não configura alguns tipos da equipa de grupo, como o ID do Microsoft Entra. Pode editar o filtro na vista de pesquisa predefinida da tabela de equipas, de modo a incluir estes grupos.
Iniciar sessão no Power Apps.
Selecione Dataverse>Tabelas>Equipa>Vistas>Vista de Pesquisa de Equipas>Editar Filtros
Defina Tipo de Equipa, Igual a: Grupo do Office do AAD, Grupo de Segurança do AAD, Proprietário
- Selecione OK>Guardar>Publicar.
Eliminar membros da equipa e a equipa do grupo
Pode eliminar a equipa do grupo removendo primeiro todos os membros da equipa do grupo do Dataverse.
Eliminar grupo do Microsoft Entra
Quando o grupo do Microsoft Entra é eliminado do Azure.portal, todos os membros são removidos automaticamente da equipa do grupo do Dataverse no ambiente dentro de 24 horas. A Dataverse equipa do grupo pode então ser eliminada depois de todos os membros serem removidos.
Outras operações da equipa
Consulte:
Consulte também
Gerir equipas
Vídeo: Microsoft Entra associação ao grupo
Criar um grupo básico e adicionar membros usando Microsoft Entra ID
Guia de início rápido: visualize os grupos e membros da sua organização em Microsoft Entra ID