配置 Dataverse 组团队的安全性

4 分钟

Microsoft Entra ID 组团队类似于负责人 团队，可以负责记录并且可将安全角色分配给团队。有两种组团队类型，它们直接对应于 Microsoft Entra ID 组类型 - 安全组和 Microsoft 365 组。组安全角色只能用于团队，或具有用户特权成员的特权继承的团队成员。当团队成员基于 Microsoft Entra ID 组成员身份访问环境时，他们将动态派生（添加和删除）。

使用 Microsoft Entra ID 组管理用户的应用和数据访问权限

已扩展对 Microsoft Dataverse 的应用和数据访问的管理，以便管理员能够使用其组织的 Microsoft Entra ID 组，管理许可 Dataverse 用户的访问权限。

Microsoft Entra ID 组的两种类型（安全组和 Microsoft 365 组）可用于保护用户访问权限。

已分配 和动态用户 成员身份类型的 Microsoft Entra ID 组的两种类型（安全组和 Microsoft 365 组）可用于保护用户访问权限。不支持成员身份类型动态设备。

使用组可以让管理员向组的所有成员分配具有各自特权的安全角色，而不必为单个团队成员提供访问权限。

管理员可以在每个 Dataverse 环境中创建与 Microsoft Entra ID 组关联的 Microsoft Entra ID 组团队。然后，向这些组团队分配安全角色。对于每个 Microsoft Entra ID 组，管理员可以根据 Microsoft Entra ID 组成员，和/或负责人或来宾创建组团队，并为每个团队分配相应的安全角色。

当这些组团队的成员访问这些环境时，将基于组团队的安全角色自动授予其访问权限。

预配和撤销用户

在环境中建立组团队及其安全角色后，用户对环境的访问权限将基于 Microsoft Entra ID 组的用户成员身份。在租户中创建新用户后，所有管理员只需要将用户分配到适当的 Microsoft Entra ID 组并分配 Dataverse 许可证。用户可以立即访问该环境，无需等待管理员分配安全角色。

当在 Microsoft Entra ID 中删除或禁用用户，或者从 Microsoft Entra ID 组中移除用户时，这些用户将失去其组成员资格。这些用户在尝试登录时将无法访问环境。

在运行时删除用户访问权限

当管理员将用户从 Microsoft Entra ID 组中删除时，该用户将从组团队中删除，他们在下次访问环境时也将失去访问权限。用户的 Microsoft Entra ID 组和 Dataverse 组团队的成员身份是同步的，用户的访问权限是在运行时动态派生的。

管理用户安全角色

管理员不再需要等待用户同步到环境中，然后使用 Microsoft Entra ID 组团队分别为用户分配安全角色。在具有安全角色的环境中建立和创建组团队后，添加到 Microsoft Entra ID 组的任何获得许可的 Dataverse 用户都可以立即访问该环境。

保护用户对环境的访问权限

管理员可以继续使用 Microsoft Entra ID 安全组保护同步到环境的用户列表。可以使用 Microsoft Entra ID 组团队对其进行进一步强化。若要保护环境或对受限环境的应用访问权限，管理员可以为每个环境创建单独的 Microsoft Entra ID 组，并为这些组分配相应的安全角色。只有这些 Microsoft Entra ID 组团队成员有权访问该环境。

将画布和模型驱动应用共享到 Microsoft Entra ID 组团队时，团队成员可以立即运行应用。

用户负责和团队负责的记录

安全角色定义中已添加新属性，可在将角色分配给组团队时提供特殊的团队特权。此类型的安全角色允许向团队成员授予用户/基本级别特权，就像直接向他们分配安全角色一样。团队成员可以创建记录并成为记录的负责人，而无需分配其他安全角色。

组团队可以负责一个或多个记录。要使团队成为记录的负责人，您必须将记录分配到团队。

虽然团队提供对一组用户的访问权限，但您仍必须将单个用户与授予相关权限的安全角色相关联，需要这些权限才能创建、更新或删除用户负责的记录。无法通过将非成员的权限继承安全角色分配到团队，然后将用户添加到该团队来应用这些权限。如果您需要直接为团队成员提供团队特权，而不需要他们自己的安全角色，则可以为团队分配具有成员特权继承的安全角色。