管理组团队
关于组团队
Microsoft Entra 组团队。 类似于负责人团队,Microsoft Entra 组团队可以拥有记录,并将安全角色分派给团队。 有两种组团队类型,它们直接与 Microsoft Entra 组类型对应 – 安全和 Microsoft 365。 组安全角色可以仅属于团队,也可以属于拥有用户权限成员的权限继承的团队成员。 当团队成员基于其 Microsoft Entra 组成员资格访问环境时,他们将动态派生(添加和删除)。
使用 Microsoft Entra 组管理用户的应用和数据访问权限
对 Microsoft Dataverse 的应用和数据访问权限的管理已经扩展到了允许管理员使用自己组织的 Microsoft Entra 组管理 Dataverse 许可用户的访问权限。
两种 Microsoft Entra 组(安全和 Microsoft 365)均可用用于保护用户访问权限。 通过使用组,管理员可以将具有各自权限的安全角色分派给组的所有成员,而不必向单个组成员提供访问权限。
成员身份类型为已分配和动态用户的两种 Microsoft Entra 组(安全和 Microsoft 365)均可用于保护用户访问权限。 不支持成员身份类型动态设备。 通过使用组,管理员可以将具有各自权限的安全角色分派给组的所有成员,而不必向单个组成员提供访问权限。
管理员可以在每个环境中创建与 Microsoft Entra 组关联的 Microsoft Entra 组团队,然后为这些组团队分派安全角色。 对于每个 Microsoft Entra 组,管理员可以基于 Microsoft Entra 组成员和/或负责人或来宾创建组团队。 对于每个 Microsoft Entra 组,管理员可以为负责人、成员、来宾和成员以及来宾创建单独的组团队,并为这些团队中的每一个分配各自的安全角色。
当这些组团队的成员访问这些环境时,将根据组团队的安全角色自动授予他们的访问权限。
小费
观看以下视频:Dynamic Microsoft Entra 组。
设置和取消设置用户
在环境中建立了组团队及其安全角色之后,用户对环境的访问权限基于 Microsoft Entra 组的用户成员资格。 在租户中创建新用户时,管理员只需将用户分派给相应 Microsoft Entra 组,然后分派 Dataverse 许可证。 用户可以立即访问环境,而无需等待管理员将用户添加到环境中或分配安全角色。 用户是在根业务部门下的环境中创建的。
当用户在 Microsoft Entra ID 中被删除或禁用或被从 Microsoft Entra 组中移除时,即失去其组成员资格,在尝试登录时不可访问环境。
备注
如果用户没有访问该环境,则已删除或禁用的组用户保留在Power Platform Dataverse 环境中。
从 Dataverse 组团队中删除用户:
- 登录 Power Platform 管理中心。
- 选择一个环境,然后选择设置>用户 + 权限>用户。
- 搜索并选择用户。
- 在用户窗体上,单击 ... 命令。
- 选择在 Dynamics 365 中管理用户选项。
- 在用户页上,选择要从中删除用户的 Dataverse 组团队。
- 选择删除按钮。
请注意,如果您意外删除了活动组用户,则此组用户下次访问该环境时,会重新添加到 Dataverse 组团队。
运行时移除用户访问权限
管理员从 Microsoft Entra 组移除用户时,将把该用户从组团队移除,而该用户在下次访问环境时,将失去其访问权限。 运行时将同步用户的 Microsoft Entra 组和 Dataverse 组团队成员资格,并自动派生用户的访问权限。
管理用户安全角色
通过使用 Microsoft Entra 组团队,管理员再也不必等待用户同步到环境,然后单独为用户分派安全角色。 在环境中使用建立并创建具有安全角色的组团队之后,添加到 Microsoft Entra 组的所有 Dataverse 许可用户立即可以访问环境。
锁定用户对环境的访问权限
管理员可继续使用 Microsoft Entra 安全组锁定同步到环境的用户列表。 这可以通过使用 Microsoft Entra 组团队进一步巩固。 若要锁定环境或应用对受限环境的访问权限,管理员可以为每个环境创建单独的 Microsoft Entra 组,然后为这些组分派相应的安全角色。 只有这些 Microsoft Entra 组的团队成员才有该环境的访问权限。
将 Power Apps 向 Microsoft Entra 组的团队成员共享
如果将区域和模型驱动的应用向 Microsoft Entra 组团队共享,团队成员立即可以运行这些应用。
用户负责的记录和团队负责的记录
已向安全角色定义添加了一个新属性,用于在向组团队分派角色时提供特殊团队权限。 这种安全角色允许为团队成员授予用户/基本级别权限,就像直接为其分派安全角色。 无需为团队成员分派更多安全角色,团队成员就可以创建记录和担任记录负责人。
组团队可以拥有一个或多个记录。 若要让某个团队成为记录的负责人,必须将某个记录分配给该团队。
由于团队提供对一组用户的访问权限,所以您仍然必须将各位用户与安全角色关联,以便获得创建、更新或删除用户拥有的记录所需权限。 这些权限不能通过向团队分派非成员的权限继承的安全角色,再将用户添加到该团队来应用。 如果您需要为团队成员直接提供团队权限,而不使用他们自己的安全角色,则可以为团队分派具有成员的权限继承的安全角色。
有关详细信息,请参阅将记录分派给用户或团队。
创建组团队
请确保您具有系统管理员、销售经理、销售副总裁、市场营销副总裁或 CEO 业务经理安全角色或等效权限。
检查您的安全角色:
- 请按照查看用户配置文件中的步骤操作。
- 没有适当的权限? 请与系统管理员联系。
必备条件:
- 每个组团队都需要一个 Microsoft Entra 组。
- 从您的 https://portal.azure.com 网站获取 Microsoft Entra 组的 ObjectID。
- 根据您的团队的协作要求创建包含权限的自定义安全角色。 如果您需要将团队成员的权限直接扩展到用户,请参阅有关成员的继承权限的讨论。
选择一个环境,然后选择设置>用户 + 权限>团队。
选择 + 创建团队。
指定以下字段:
- 团队名称:请确保此名称在业务部门中是唯一的。
- 说明:输入团队的说明。
- 业务部门:从下拉列表中选择业务部门。
- 管理员:在组织中搜索用户。 开始输入字符。
- 团队类型:从下拉列表中选择团队类型。
备注
团队可以是以下类型之一:负责人、访问、Microsoft Entra 安全组或 Microsoft Entra 办公室组。
如果团队类型为 Microsoft Entra 安全组或 Microsoft Entra 办公室组,则还必须输入以下字段:
- 组名:开始输入文本以选择现有的 Microsoft Entra 组名。 这些组是在 Microsoft Entra ID 中提前创建的。
- 成员身份类型:从下拉列表中选择成员身份类型。 请参阅 Microsoft Entra 安全组成员如何与 Dataverse 组团队成员匹配。
创建团队后,可以添加团队成员并选择相应的安全角色。 此步骤是可选的,但推荐执行。
Microsoft Entra 安全组成员如何与 Dataverse 组团队成员匹配
查看下表,了解 Microsoft Entra 组中的成员如何与 Dataverse 组团队成员匹配。
| 选择 Dataverse 组团队成员身份类型 (4) | 生成的成员身份 |
|---|---|
| 成员和访客 | 选择此类型可以同时包括 Microsoft Entra 组类别成员 (1) 中的成员和来宾用户类型 (3)。 |
| 成员 | 选择此类型将仅包括 Microsoft Entra 组类别成员 (1) 中的用户类型成员 (3)。 |
| 负责人 | 选择此类型将仅包括 Microsoft Entra 组类别负责人 (2) 中的用户类型成员 (3)。 |
| 来宾 | 选择此类型将仅包括 Microsoft Entra 组类别成员 (1) 中的用户类型来宾 (3)。 |
编辑组团队
请确保您具有系统管理员、销售经理、销售副总裁、市场营销副总裁或 CEO 业务经理安全角色或等效权限。
选择一个环境,然后选择设置>用户 + 权限>团队。
选中团队名称的复选框。
选择编辑团队。 只能编辑团队名称、说明和管理员。
根据需要更新字段,然后选择更新。
备注
- 要编辑业务部门,请参阅更改团队的业务部门。
- 您可以根据每个 Microsoft Entra 组的 Microsoft Entra 组成员身份类型,按环境创建 Dataverse 组团队 - 成员、负责人、来宾、成员和来宾。 组团队创建后,组团队的 Microsoft Entra ID ObjectId 无法编辑。
- Dataverse 成员身份类型在创建组团队后无法更改。 如果您需要更新此字段,需要删除组团队并创建一个新团队。
- 将把正在添加的新成员身份类型字段之前创建的所有现有组团队自动更新为成员和来宾。 这些组团队的功能不会受损,因为默认组团队会映射到 Microsoft Entra 组成员和来宾成员身份类型。
- 如果您的环境有安全组,您需要将组团队的 Microsoft Entra 组作为该安全组的成员添加,以便组团队的用户可以访问该环境。
- 每个组团队中列出的组成员的列表仅显示已访问环境的用户成员。 此列表不显示 Microsoft Entra 组的所有组成员。 当 Microsoft Entra 组成员访问环境时,该组成员会添加到组团队。 团队成员的权限在运行时通过集成组团队的安全角色动态派生。 因为安全角色分派给组团队,并且组团队成员继承权限,所以不会将安全角色直接分派给组团队成员。 由于团队成员的权限在运行时动态派生,所以将在团队成员登录时缓存团队成员的 Microsoft Entra 组成员资格。 这意味着团队成员下次登录之前或系统刷新缓存之前(登录 8 小时后),不会体现在 Microsoft Entra 中对团队成员进行的任何 Microsoft Entra ID 组成员资格维护。
- Microsoft Entra 组成员还通过模拟调用添加到组中。 您可以使用模拟代表其他用户在组团队中使用创建组成员。
- 当组成员登录到环境中时,在运行时从组团队中添加或移除组成员。 这些添加和移除组成员事件可用于触发插件操作。
- 如果主角色具有成员的权限继承,并且安全角色中至少包含一个具有用户级权限的权限,则您无需分配具有单个安全角色的团队成员。
- 当 Microsoft Entra 组名称更改时,组团队名称不会自动更新。 更改组名不会影响系统操作,但我们建议您在 Power Platform 管理中心团队设置中进行更新。
- 当 AD 组成员首次访问环境时,会在环境中自动创建这些成员。 用户添加到根业务部门下。 如果您启用了现代化业务部门来管理您用户的数据访问,则无需将用户转移到不同的业务部门。
管理团队的安全角色
选中团队名称的复选框。
选择管理安全角色。
选择需要的角色,然后选择保存。
更改团队的业务部门
请参阅更改团队的业务部门。
将组团队类型添加到默认查找视图
当使用内置窗体手动分配记录或共享记录时,默认选项列表不会选择某些组团队类型,如 Microsoft Entra ID。 您可以在团队表的默认查找视图上编辑筛选器,使其包含这些组。
登录到 Power Apps。
选择Dataverse>表>团队>视图>Teams 查找视图>编辑筛选器
设置团队类型,等于:AAD Office 组、AAD 安全组、负责人
- 选择确定>保存>发布。
删除团队成员和组团队
您可以先从 Dataverse 组团队中删除所有团队成员,然后删除组团队。
删除 Microsoft Entra 组
从 Azure.portal 中删除 Microsoft Entra 组后,所有成员将在 24 小时内自动从环境中的 Dataverse 组团队中删除。 删除所有成员后,可以删除 Dataverse 组团队。
其他团队操作
请参阅:
另请参见
管理团队
视频:Microsoft Entra 组成员身份
使用 Microsoft Entra ID 创建一个基本组并添加成员
快速入门:在 Microsoft Entra ID 中查看您的组织的组和成员