管理群組團隊
關於群組團隊
一個 Microsoft Entra 團隊 。 與擁有者團隊相同的是,Microsoft Entra 群組團隊可以擁有記錄,並且可以將資訊安全角色指派給團隊。 有兩種群組團隊類型,直接對應至 Microsoft Entra 群組類型:安全性和 Microsoft 365。 群組資訊安全角色可以只是代表團隊,也可以代表具有使用者權限成員權限繼承的團隊成員。 團隊成員是他們根據自己的 Microsoft Entra 群組成員資格存取環境時動態衍生 (新增和移除)出來的。
使用 Microsoft Entra 群組來管理使用者的應用程式與資料存取
針對Microsoft Dataverse 應用程式和資料存取的系統管理,已經擴及允許系統管理員使用自己組織的 Microsoft Entra 群組來管理已授權 Dataverse 使用者的存取權。
這兩種類型的 Microsoft Entra 群組 (安全性和 Microsoft 365) 都可以用來保護使用者存取權限。 使用群組可讓系統管理員將資訊安全角色及其各自權限指派給群組的所有成員,而不是一定要提供存取權限給個別團隊成員。
成員資格類型為已指派和 Dynamic 使用者的這兩種類型的 Microsoft Entra 群組 (安全性和 Microsoft 365) 都可用來保護使用者存取權限。 不支援成員資格類型 Dynamic 裝置。 使用群組可讓系統管理員將資訊安全角色及其各自權限指派給群組的所有成員,而不是一定要提供存取權限給個別團隊成員。
系統管理員可以建立與每個環境中的 Microsoft Entra 群組相關聯的 Microsoft Entra 群組團隊,並將資訊安全角色轉讓給這些群組團隊。 對於每個 Microsoft Entra 群組,系統管理員可以根據 Microsoft Entra 群組成員和/或擁有者或訪客建立群組團隊。 針對每個 Microsoft Entra群組,系統管理員可以為負責人、成員、訪客和成員及訪客建立不同的群組團隊,並為每個團隊指派各自的資訊安全角色。
這些群組團隊的成員存取這些環境時,自動根據群組團隊的資訊安全角色授與他們的存取權限。
提示
請查看以下影片: 動態 Microsoft Entra 組。
佈建和取消佈建使用者
在環境中建立群組團隊及其資訊安全角色之後,使用者對環境的存取是根據 Microsoft Entra 群組的使用者成員資格而定。 在租用戶中建立新使用者時,系統管理員必須要做的就是將使用者轉讓給適當的 Microsoft Entra 群組,並轉讓 Dataverse 授權。 使用者可以立即存取環境,而無需等待管理員將使用者加入環境中或分配安全角色。 使用者建立於根業務單位下的環境。
當使用者在 Microsoft Entra ID 中遭到刪除或停用,或是從 Microsoft Entra 群組中移除時,他們會失去群組成員資格,並且無法在嘗試登入時存取環境。
注意
如果已刪除或停用的群組使用者未存取環境,則該使用者將保留在 Power Platform Dataverse 環境中。
若要從 Dataverse 群組團隊中刪除使用者:
- 登入 Power Platform 系統管理中心。
- 選取環境,然後選取設定>使用者 + 權限>使用者。
- 搜尋並選取使用者。
- 在使用者表單上,按一下 ... 命令。
- 選取管理 Dynamics 365 中的使用者選項。
- 在使用者頁面中,選取您想要從中移除使用者的 Dataverse 群組團隊。
- 選取刪除按鈕。
請注意,如果您意外刪除了使用中群組使用者,則該群組使用者將在下次使用者存取環境時新增回 Dataverse 群組團隊。
在執行階段移除使用者存取權
系統管理員從 Microsoft Entra 群組移除使用者時,該使用者會從群組團隊中移除,並且會在下次存取環境時失去其存取權限。 使用者的 Microsoft Entra 群組與 Dataverse 群組團隊的成員資格會同步處理,而使用者的存取權會在執行時動態衍生出來。
管理使用者資訊安全角色
系統管理員不再需要等待使用者同步處理至環境,然後使用 Microsoft Entra 群組團隊個別指派資訊安全角色給使用者。 一旦使用資訊安全角色在環境中成立並建立群組團隊,任何已新增至 Microsoft Entra 群組的已授權 Dataverse 使用者都可以立即存取環境。
鎖定使用者對環境的存取權
系統管理員可以繼續使用 Microsoft Entra 安全性群組鎖定已同步處理至環境的使用者清單。 這可以使用 Microsoft Entra 群組團隊進一步加強。 若要鎖定對受限制環境的環境或應用程式存取權,系統管理員可以為每個環境建立不同的 Microsoft Entra 群組,並為這些群組指派適當的資訊安全角色。 只有這些 Microsoft Entra 群組團隊成員才擁有環境的存取權限。
將 Power Apps 分享給 Microsoft Entra 群組的團隊成員
將畫布應用程式和模型導向應用程式分享給 Microsoft Entra 群組團隊時,團隊成員可立即執行應用程式。
使用者擁有的記錄和團隊擁有的記錄
新的屬性已新增至資訊安全角色定義,以便在指派角色給群組團隊時提供特殊的團隊權限。 此類型的資訊安全角色允許團隊成員獲得使用者/基本等級權限,就像是將資訊安全角色直接指派給他們一樣。 團隊成員可以建立記錄並成為記錄的負責人,而不需要指派其他資訊安全角色給他們。
群組團隊可以有一個或多個記錄。 若要將團隊設定為記錄負責人,必須將記錄指派給該團隊。
雖然團隊提供存取使用者群組的權限,但您仍必須將個別使用者與資訊安全角色建立關聯,以便授與建立、更新或刪除使用者所擁有記錄所需的權限。 這些權限無法透過將非成員的權限繼承資訊安全角色指派給團隊,然後新增使用者至該團隊的方式套用。 如果您必須在沒有團隊成員本身資訊安全角色的情況下將團隊權限直接提供給他們,您可以將含有成員權限繼承的資訊安全角色指派給團隊。
如需詳細資訊,請參閱指派記錄給使用者或團隊。
建立群組團隊
請確定您具有系統管理員、銷售經理、業務副總、行銷副總或 CEO 商務經理人資訊安全角色或同等的權限。
檢查資訊安全角色:
- 請依照檢視使用者設定檔中的步驟進行。
- 沒有正確的權限嗎? 請連絡您的系統管理員。
先決條件:
- 每個 Group 團隊都需要一個 Microsoft Entra Group。
- 從 https://portal.azure.com 網站取得 Microsoft Entra 群組的 ObjectID。
- 依據團隊共同作業需求建立包含權限的自訂資訊安全角色。 如果您需要將團隊成員的權限直接提供給使用者,請參閱成員的繼承權限的討論。
選取環境,然後選取設定>使用者 + 權限>團隊。
選取 + 建立團隊。
指定以下欄位:
- 團隊名稱:確定此名稱在業務單位中是唯一的。
- 描述:輸入團隊的描述。
- 業務單位:從下拉式清單中選取業務單位。
- 管理員:搜尋組織中的使用者。 開始輸入字元。
- 團隊類型:在下拉式清單中選取團隊類型。
注意
團隊可以是下列其中一種類型:負責人、存取、Microsoft Entra 安全性群組或 Microsoft Entra Office 群組。
如果團隊類型為 Microsoft Entra 安全性群組或 Microsoft Entra Office 群組,您還必須輸入以下欄位:
- 群組名稱: 開始輸入文字以選擇現有的 Microsoft Entra 群組名稱。 這些群組是在 Microsoft Entra ID 中預先建立的。
- 成員資格類型:在下拉式清單中選取成員資格類型。 請參閱Microsoft Entra 安全性群組成員如何與 Dataverse 群組團隊成員相符。
建立團隊後,您可以新增團隊成員並選取對應的資訊安全角色。 這是選擇性步驟,但建議您執行此步驟。
Microsoft Entra 安全性群組成員如何與 Dataverse 群組團隊成員相符
請查看下表了解有關 Microsoft Entra 群組成員如何與 Dataverse 群組團隊成員相符。
選取 Dataverse 群組團隊成員類型 (4) | 產生的成員資格 |
---|---|
成員與來賓 | 選取此類型以包括 Microsoft Entra 群組類別成員 (1) 中的成員和來賓使用者類型 (3)。 |
成員 | 選取此類型以僅包括來自 Microsoft Entra 群組類別成員 (1) 的使用者類型成員 (3)。 |
負責人 | 選取此類型以僅包括來自 Microsoft Entra 群組類別負責人 (2) 的使用者類型成員 (3)。 |
來賓 | 選取此類型以僅包括來自 Microsoft Entra 群組類別成員 (1) 的使用者類型來賓 (3)。 |
編輯群組團隊
請確定您具有系統管理員、銷售經理、業務副總、行銷副總或 CEO 商務經理人資訊安全角色或同等的權限。
選取環境,然後選取設定>使用者 + 權限>團隊。
選取團隊名稱的核取方塊。
選取編輯團隊。 只有團隊名稱、描述和管理員可以編輯。
請依需要更新欄位,然後選取更新。
注意
- 若要編輯業務單位,請參閱變更團隊的業務單位。
- 您可以根據每個 Microsoft Entra 群組的 Microsoft Entra 群組成員資格類型,為每個環境建立 Dataverse 群組團隊 - 成員、負責人、來賓及成員和來賓。 建立群組團隊後,就無法再編輯群組團隊的 Microsoft Entra ID ObjectId。
- 建立群組團隊之後,就無法變更 Dataverse 成員資格類型。 如果您需要更新此欄位,則需要刪除群組團隊並建立新群組團隊。
- 在新增新的 成員資格類型 欄位之前建立的所有現有群組團隊都會自動更新為 成員和來賓。 依照預設群組團隊對應到 Microsoft Entra 群組 成員和來賓 的成員資格類型,這些群組團隊的功能性已經齊全。
- 如果您的環境有安全性群組,您將需要將群組團隊的 Microsoft Entra群組新增為安全性群組的成員,才能讓群組團隊的使用者存取環境。
- 每個群組團隊中列出的團隊成員清單都只會顯示已經存取環境的使用者成員。 此清單不會顯示 Microsoft Entra 群組的所有群組成員。 當 Microsoft Entra 群組成員存取環境時,群組成員將新增至群組團隊中。 透過繼承群組團隊成員的資訊安全角色,團隊成員權限會於執行階段動態衍生。 因為資訊安全角色會指派給群組團隊,而且群組團隊成員會繼承權限,所以資訊安全角色不會直接指派給群組團隊成員。 由於團隊成員的權限會在執行階段動態衍生,因此團隊成員的 Microsoft Entra 群組成員資格會在團隊成員登入時進行快取。 這表示對 Microsoft Entra 團隊成員進行的任何 Microsoft Entra ID 群組成員資格維護,在下次團隊成員登入時或在系統重新整理快取時 (在 8 小時的持續登入後),都不在會反映。
- Microsoft Entra 組成員也會通過 類比調用添加到組團隊中。 您可以在群組團隊使用模擬代表其他使用者,建立群組成員。
- 當群組成員登入環境時,可以在執行時向群組團隊中新增或刪除團隊成員。 這些新增和刪除群組成員事件可用於觸發外掛程式作業。
- 如果您的群組團隊的資訊安全角色有成員權限繼承,且資訊安全角色至少包含一個具有使用者等級權限的權限,則不需要以個別資訊安全角色來指派團隊成員。
- 變更 Microsoft Entra 群組名稱時,群組團隊名稱不會自動更新。 群組名稱變更不會影響系統作業,但我們建議您在 Power Platform 管理中心 Teams 設定中加以更新。
- AD 群組成員首次存取環境時,會在環境中自動建立。 使用者會加入根業務單位下。 如果您啟用了現代化業務部門來管理使用者的資料存取。
管理團隊的資訊安全角色
選取團隊名稱的核取方塊。
選取管理資訊安全角色。
選取您想要的角色,然後選取儲存。
變更團隊的業務單位
請參閱變更團隊的業務單位。
將群組團隊類型新增至預設查詢檢視表
當您使用內建表單手動指派記錄或共用記錄時,預設選項清單不會選取某些群組團隊類型,例如 Microsoft Entra ID。 您可以在團隊資料表的預設查詢檢視表上編輯篩選,讓其包含這些群組。
登入 Power Apps。
選取 Dataverse>資料表>團隊>檢視表>Teams 查詢檢視表>編輯篩選
設定團隊類型,等於:AAD Office 群組、AAD 安全性群組、負責人
- 選取確定>儲存>發佈。
刪除團隊成員和群組團隊
您可以先從 Dataverse 群組團隊中刪除所有團隊成員來刪除群組團隊。
刪除 Microsoft Entra 群組
從 Azure.portal 刪除 Microsoft Entra 群組後,所有成員都會在 24 小時內自動從環境中的 Dataverse 群組團隊中刪除。 移除所有成員後即可刪除 Dataverse 群組團隊。
其他團隊作業
請參閱:
另請參閱
管理團隊
影片: Microsoft Entra 組成員資格
創建基本組並使用 ID 添加成員 Microsoft Entra
快速入門:在 ID 中 Microsoft Entra 查看組織的組和成員