控制使用者對環境的存取:安全性群組和授權
如果您的公司擁有多個環境,可以使用安全性群組控制哪些授權的使用者可以是特定環境的成員。
注意
如需使用者如何存取 Microsoft Dataverse for Teams 的資訊,請參閱使用者存取 Dataverse for Teams 環境。
請考慮下列範例情況:
| Environment | 安全性群組 | 目標 |
|---|---|---|
| 果好商號銷售 | Sales_SG | 提供對建立銷售商機、處理報價和完成交易之環境的存取。 |
| 果好商號行銷 | Marketing_SG | 提供對透過行銷活動和廣告等方式推動行銷活動之環境的存取。 |
| 果好商號服務 | Service_SG | 提供對處理客戶案例之環境的存取。 |
| 果好商號開發 | Developer_SG | 提供開發與測試所用沙箱環境的存取權。 |
在此範例中,這四個安全性群組都提供對特定環境的控制存取。
請注意下列有關安全性群組的資訊:
關於巢狀安全性群組
安全性群組中的巢狀安全性群組的成員不會預先佈建,也不會自動將其新增至環境中。 但是,當您建立巢狀安全性群組的 Dataverse 群組團隊時,可以將他們新增至環境中。
此案例的範例:在建立環境時,為該環境指派安全性群組。 在環境的生命週期中,您想將成員新增到由安全性群組管理的環境中。 在 Microsoft Entra ID 中建立安全性群組 (例如管理員),並將所有管理員指派到該群組。 然後,將此安全性群組新增為環境安全性群組的下層,建立 Dataverse 群組團隊,並將資訊安全角色指派給該群組團隊。 您的管理員現在可以立即存取 Dataverse。
當成員第一次存取環境時,也會在執行階段將巢狀安全性群組的成員新增至環境中。 但是在指派資訊安全角色之前,成員將無法執行任何應用程式或存取任何資料。
當使用者新增至安全性群組時,使用者會新增至環境。
從群組中移除使用者時,使用者會在環境中停用。
當安全性群組與使用者的現有環境相關聯時,該環境中所有不是群組成員的使用者都會停用。
如果環境不具有相關的資訊安全性群組,則所有擁有 Dataverse 授權的使用者 (Customer Engagement 應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)、Power Automate、Power Apps 等),將會做為使用者建立並在環境中啟用。
如果安全性群組與環境關聯,則只有具有 Dataverse 授權或每個應用程式方案且本身為環境安全性群組成員的使用者,才能在環境中作為使用者被建立。
如果未指定安全性群組,則所有擁有 Dataverse 授權的使用者 (客戶參與應用程式,例如 Dynamics 365 Sales 和 Customer Service)或每個應用程式方案都會新增至新環境。
新增:安全組不能分配給 default 和開發人員環境類型。 如果您已將安全性群組指派給預設或開發人員環境,我們建議將其移除,因為預設環境是要與用戶中的所有使用者共用,而開發人員環境僅供環境的負責人使用。
環境支援關聯以下群組類型:安全性和 Microsoft 365。 不支援建立其他群組類型的關聯。
選取安全性群組時,務必選取 Microsoft Entra 安全性群組,而不是在內部部署 Windows Active Directory 中建立的安全性群組。 不支援內部部署 Windows AD 安全性群組。
如果使用者不屬於分配給環境的安全組,但具有 Power Platform 系統管理員角色,則該使用者仍將顯示為活動使用者,並且能夠登錄。
如果指派給使用者的是 Dynamics 365 服務系統管理員角色,則使用者必須是安全性群組的一部分,才能在環境中啟用它們。 在將他們新增至安全性群組並啟用前,他們無法存取環境。
如果與環境關聯的安全群組發生變更 (即刪除舊安全群組並與環境關聯新安全群組),則會啟動環境中現有使用者的清理,然後將新使用者新增至環境中。 在大多數情況下,此過程在幾分鐘內完成,但根據新舊安全組中的用戶數量,這可能需要幾個小時。
注意
所有授權的使用者 (不論是否為安全性群組的成員) 都必須具有指派的資訊安全角色,才能在環境中存取資料。 您可以在 Web 應用程式中指派資訊安全角色。 如果使用者不具備資訊安全角色,則在嘗試執行應用程式時,會收到資料存取被拒錯誤。 使用者必須至少有一個針對環境指派的資訊安全角色,才能存取該環境。 如需詳細資訊,請參閱設定環境安全性。 不支援在試用環境中自動將使用者指派至環境。 對於試用環境,必須手動指派使用者。
建立安全性群組並將成員新增至安全性群組
選取Teams 與群組>使用中團隊和群組。
選取 + 新增群組。
將類型變更為安全性群組,新增群組名稱和描述,然後選取新增>關閉。
選取您要建立的群組,然後在成員旁邊選取編輯。
選取 + 新增成員。 選取要新增至安全性群組的使用者,然後選取儲存>關閉數次,以返回群組清單。
若要從安全性群組中移除使用者,請選取安全性群組,然後選取成員旁邊的編輯。 選取 - 移除成員,然後選取每一個要移除的成員的 X。
建立使用者並指派授權
再 Microsoft 365 系統管理中心中,選取使用者>使用中使用者>+ 新增使用者。
輸入使用者資訊,選取授權,然後選取新增。
其他資訊:同時新增使用者和指派授權
或者,針對每個應用程式的購買和指派:關於 Power Apps 每個應用程式方案
注意
如果環境已指派 Power Apps 每個應用程式方案,則所有使用者在嘗試存取環境時,都將視為已獲得授權,包括未指派個人授權的使用者。 環境中的每個應用程式方案分配滿足使用者獲得授權才能存取環境的要求。
將安全性群組與環境相關聯
以 Power Platform 管理員身份登錄系統管理中心 管理員 (Dynamics 365 Admin 或 Microsoft Power Platform Admin)。
在導覽窗格中,選取環境。
選取環境的名稱。
選取編輯。
在編輯詳細資料窗格中,選取安全性群組區域中的編輯圖示。
![選取 [編輯] 圖示以選取安全性群組。](media/edit-security-groups.png)
只會傳回前 200 個安全性群組。 使用搜尋以尋找特定的安全性群組。
選取一個安全性群組,選取完成,然後選取儲存。
安全性群組會與環境產生關聯。
注意
當安全性群組與應用程式的環境關聯時,執行畫布應用程式的使用者必須是安全性群組的成員,才能執行畫布應用程式,不論應用程式是否已與其共用。 否則,使用者將會看到此錯誤訊息:「您無法在此環境中開啟應用程式。 您不是環境安全性群組的成員。」如果 Power Platform 管理員已設定組織的治理詳細資料,您將會看到治理連絡人,有關安全性群組成員資格的問題可以聯絡對方。