Gruppenteams verwalten
Informationen zu Gruppenteams
Ein Microsoft Entra Gruppen Team. Ähnlich dem Besitzerteam kann ein Microsoft Entra-Gruppenteam Datensätze besitzen und dem Team Sicherheitsrollen zuweisen. Es gibt zwei Gruppen-Teamtypen und sie entsprechen direkt den Microsoft Entra-Guppentypen: Sicherheit und Microsoft 365. Die Sicherheitsrolle Gruppe kann nur für das Team oder für ein Teammitglied mit Benutzerrechten Rechtevererbung des Mitglieds sein. Teammitglieder werden dynamisch abgeleitet (hinzugefügt und entfernt), wenn sie auf die Umgebung basierend auf ihrer Microsoft Entra-Gruppenmitgliedschaft zugreifen.
Microsoft Entra-Gruppen zum Verwalten der App und des Datenzugriffs eines Benutzers verwenden
Die Verwaltung von App- und Datenzugriff für Microsoft Dataverse wurde erweitert, damit Administratoren die Microsoft Entra-Gruppen ihrer Organisation verwenden können, um Zugriffsrechte für lizenzierte Benutzer von Dataverse zu verwalten.
Beide Arten von Microsoft Entra-Gruppen – Microsoft 365 und Sicherheit – können verwendet werden, um Benutzerzugriffsrechte zu sichern. Mit der Verwendung von Gruppen können Administratoren allen Mitgliedern der Gruppe eine Sicherheitsrolle mit den entsprechenden Rechten zuweisen, anstatt einem einzelnen Teammitglied die Zugriffsrechte zu erteilen.
Beide Arten von Microsoft Entra-Gruppen – Microsoft 365 und Sicherheit – mit einem Mitgliedschaftstyp Zugewiesen und Dynaics Benutzer können zur Sicherung von Benutzerzugriffsrechten verwendet werden. Mitgliedschaftstyp Dynamic Gerät wird nicht unterstützt. Mit der Verwendung von Gruppen können Administratoren allen Mitgliedern der Gruppe eine Sicherheitsrolle mit den entsprechenden Rechten zuweisen, anstatt einem einzelnen Teammitglied die Zugriffsrechte zu erteilen.
Der Administrator kann Microsoft Entra-Gruppenteams erstellen, die den Microsoft Entra-Gruppen in jeder Umgebungen zugeordnet sind, und weisen Sie diesen Gruppenteams eine Sicherheitsrolle zu. Für jede Microsoft Entra-Gruppe kann der Administrator Gruppenteams basierend auf der Microsoft Entra-Gruppe Mitglieder und/oder Besitzer oder Gäste erstellen. Für jede Microsoft Entra-Gruppe kann ein Administrator separate Gruppenteams für Besitzer, Mitglieder, Gäste und Mitglieder sowie Gäste erstellen und jedem dieser Teams eine entsprechende Sicherheitsrolle zuweisen.
Wenn Mitglieder dieser Gruppenteams auf diese Umgebungen zugreifen, werden ihre Zugriffsrechte automatisch basierend auf der Sicherheitsrolle des Gruppenteams gewährt.
Tipp
Schauen Sie sich die folgenden Video an: Dynamische Microsoft Entra Gruppen.
Benutzer bereitstellen und ihre Bereitstellung aufheben
Sobald das Gruppenteam und seine Sicherheitsrolle in einer Umgebung eingerichtet sind, basiert der Benutzerzugriff auf die Umgebung auf der Benutzermitgliedschaft der Microsoft Entra-Gruppen. Wenn ein neuer Benutzer im Mandanten erstellt wird, muss der Administrator den Benutzer nur noch der entsprechenden Microsoft Entra-Gruppe zuweisen und Dataverse-Lizenzen zuordnen. Der Benutzer kann sofort auf die Umgebung zugreifen, ohne darauf warten zu müssen, dass der Administrator den Benutzer zur Umgebung hinzufügt oder ihm eine Sicherheitsrolle zuweist. Der Benutzer wird in der Umgebung unter der Stammunternehmenseinheit erstellt.
Wenn Benutzer in Microsoft Entra ID gelöscht/deaktiviert oder aus den Microsoft Entra-Gruppen entfernt werden, verlieren sie ihre Gruppenmitgliedschaft und können beim Versuch, sich anzumelden, nicht mehr auf die Umgebung zugreifen.
Anmerkung
Der gelöschte oder deaktivierte Gruppenbenutzende bleibt in der Power Platform Dataverse-Umgebung, wenn der Benutzende nicht auf die Umgebung zugegriffen hat.
So entfernen Sie den Benutzenden aus dem Dataverse-Gruppenteam:
- Melden Sie sich beim Power Platform Admin Center an.
- Wählen Sie eine Umgebung und dann Einstellungen>Benutzer + Berechtigungen>Benutzer aus.
- Suchen Sie nach dem Benutzenden und wählen Sie ihn aus.
- Klicken Sie im Benutzerformular auf den Befehl ....
- Wählen Sie die Option Benutzer in Dynamics 365 verwalten aus.
- Wählen Sie auf der Seite Benutzer das Dataverse-Gruppenteam aus, aus dem Sie den Benutzenden entfernen möchten.
- Wählen Sie die Schaltfläche Löschen aus.
Beachten Sie, dass, wenn Sie versehentlich einen aktiven Gruppenbenutzenden gelöscht haben, der Gruppenbenutzende wieder dem Dataverse-Gruppenteam hinzugefügt wird, wenn der Benutzende das nächste Mal auf die Umgebung zugreift.
Benutzerzugriff zur Laufzeit entfernen
Wenn ein Benutzer von einem Administrator aus den Gruppen Microsoft Entra entfernt wird, wird der Benutzer aus dem Gruppenteam entfernt, und er verliert seine Zugriffsrechte beim nächsten Zugriff auf die Umgebung. Die Mitgliedschaften für die Microsoft Entra-Gruppen des Benutzers und die Gruppenteams von Dataverse werden synchronisiert und die Zugriffsrechte des Benutzers werden zur Laufzeit dynamisch abgeleitet.
Verwalten der Sicherheitsrolle des Benutzers
Administratoren müssen nicht mehr darauf warten, dass der Benutzer mit der Umgebung synchronisiert wird und dem Benutzer dann über die Microsoft Entra Gruppenteams individuell eine Sicherheitsrolle zuweist. Sobald ein Gruppenteam in einer Umgebung mit einer Sicherheitsrolle eingerichtet und erstellt wurde, können alle lizenzierten Benutzer von Dataverse, die der Microsoft Entra-Gruppe hinzugefügt werden, sofort auf die Umgebung zugreifen.
Sperren des Benutzerzugriffs auf Umgebungen
Administratoren können weiterhin eine Microsoft Entra Sicherheitsgruppe verwenden, um die Liste der mit einer Umgebung synchronisierten Benutzer zu sperren. Dies kann durch die Verwendung von Microsoft Entra-Gruppenteams noch verstärkt werden. Um den Umgebungs‑ oder App-Zugriff auf eingeschränkte Umgebungen zu sperren, kann der Administrator separate Microsoft Entra-Gruppen für jede Umgebung erstellen und diesen Gruppen die entsprechende Sicherheitsrolle zuweisen. Nur diese Microsoft Entra-Gruppenteammitglieder haben die Zugriffsrechte auf die Umgebung.
Power Apps für Teammitglieder einer Microsoft Entra-Gruppe teilen
Wenn Canvas und Modellbasierte Apps einem Microsoft Entra-Gruppenteam zur Verfügung gestellt werden, können die Teammitglieder die Apps sofort ausführen.
Benutzer- und teameigene Datensätze
Der Definition der Sicherheitsrolle wurde eine neue Eigenschaft hinzugefügt, um spezielle Teamprivilegien bereitzustellen, wenn die Rolle Gruppenteams zugewiesen wird. Diese Art von Sicherheitsrolle ermöglicht es Teammitgliedern, Berechtigungen auf Benutzer-/Basisebene zu erhalten, als ob ihnen die Sicherheitsrolle direkt zugewiesen wäre. Teammitglieder können Datensätze erstellen und Besitzer von Datensätzen sein, ohne dass eine zusätzliche Sicherheitsrolle zugewiesen werden muss.
Ein Gruppenteam kann einen oder mehrere Datensätze besitzen. Sie müssen dem Team den Datensatz zuweisen, um ein Team zum Besitzer des Datensatzes zu machen.
Während Teams Zugriff auf eine Gruppe von Benutzern gewähren, müssen Sie dennoch einzelnen Benutzern Sicherheitsrollen zuordnen, die ihnen die Berechtigungen gewähren, die sie zum Erstellen, Aktualisieren oder Löschen von benutzereigenen Datensätzen benötigen. Diese Berechtigungen können nicht angewendet werden, indem einem Team die geerbte Sicherheitsrolle eines Nichtmitglieds zugewiesen wird und der Benutzer dann zu diesem Team hinzugefügt wird. Wenn Sie Ihren Teammitgliedern die Teamrechte direkt ohne eigene Sicherheitsrolle bereitstellen müssen, können Sie dem Team eine Sicherheitsrolle zuweisen, die über die Rechtevererbung des Mitglieds verfügt.
Weitere Informationen finden Sie unter Zuweisen eines Datensatzes zu einem Benutzer oder einem Team.
Erstellen eines Grppenteams
Stellen Sie sicher, dass Sie über die Sicherheitsrolle „Systemadministrator“, „Systemanpasser“, „Vertriebsmanager“, „Vertriebsleiter“, „Marketingleiter“ oder „Vorstandsvorsitzender“ bzw. entsprechende Berechtigungen verfügen.
Prüfen Sie Ihre Sicherheitsrolle:
- Führen Sie die Schritte in Anzeigen des Benutzerprofils aus.
- Sie habe nicht die erforderlichen Berechtigungen? Wenden Sie sich an Ihren Systemadministrator.
Voraussetzungen:
- Für jedes Gruppenteam ist eine Microsoft Entra Gruppe erforderlich.
- Ermitteln Sie die ObjectID der Microsoft Entra-Gruppe auf der Website https://portal.azure.com.
- Erstellen Sie eine benutzerdefinierte Sicherheitsrolle, die Rechte gemäß den Zusammenarbeitsanforderungen Ihres Teams enthält. Beachten Sie die Diskussion über die geerbten Privilegien des Mitglieds, wenn Sie die Privilegien des Teammitglieds direkt auf einen Benutzer ausdehnen möchten.
Melden Sie sich beim Power Platform Admin Center an.
Wählen Sie eine Umgebung und dann Einstellungen>Benutzer + Berechtigungen>Teams aus.
Wählen Sie + Team erstellen aus.
Legen Sie die folgenden Felder fest:
- Teamname: Stellen Sie sicher, dass dieser Name innerhalb eines Konzernmandanten eindeutig ist.
- Beschreibung: Geben Sie eine Beschreibung des Teams ein.
- Unternehmenseinheit: Wählen Sie die Unternehmenseinheit aus der Dropdownliste aus.
- Administrator: Suchen Sie nach Benutzern in der Organisation. Beginnen Sie mit der Eingabe von Zeichen.
- Teamtyp: Wählen Sie den Teamtyp aus der Dropdownliste aus.
Notiz
Ein Team kann einen der folgenden Typen aufweisen: Besitzer, Zugriff, Microsoft Entra-Sicherheitsgruppe oder Microsoft Entra-Gruppe.
Wenn der Teamtyp Microsoft Entra-Sicherheitsgruppe oder Microsoft Entra-Office-Gruppe ist, müssen Sie zusätzlich diese Felder eingeben:
- Gruppenname: Beginnen Sie mit der Texteingabe, um einen vorhandenen Microsoft Entra Gruppennamen mit Auswählen zu versehen. Diese Gruppen sind in Microsoft Entra ID vorab erstellt.
- Mitgliedschaftstyp: Wählen Sie den Mitgliedschaftstyp aus der Dropdownliste aus. Siehe Wie Microsoft Entra Sicherheitsgruppenmitglieder mit Dataverse Gruppen-Teammitgliedern übereinstimmen.
Nachdem Sie das Team erstellt haben, können Sie Teammitglieder hinzufügen und zugehörige Sicherheitsrollen auswählen. Dieser Schritt ist optional, wird jedoch empfohlen.
Wie Microsoft Entra Sicherheitsgruppenmitglieder mit Dataverse Gruppen-Teammitgliedern übereinstimmen
Sehen Sie sich die folgende Tabelle an, um zu erfahren, wie Mitglieder in Microsoft Entra Gruppen mit Dataverse-Gruppen-Teammitgliedern übereinstimmen.
Wählen Sie die Dataverse-Gruppen-Teammitgliedschaft vom Typ (4) aus | Daraus resultierende Mitgliedschaft |
---|---|
Mitglieder und Gäste | Wählen Sie diesen Typ aus, um sowohl die Benutzertypen „Mitglied“ als auch „Gast“ (3) aus der Microsoft Entra-Gruppenkategorie „Mitglieder“ (1) einzubeziehen. |
Mitglieder | Wählen Sie diesen Typ aus, um nur den Benutzertyp „Mitglied“ (3) aus der Microsoft Entra-Gruppenkategorie „Mitglieder“ (1) einzubeziehen. |
Besitzer | Wählen Sie diesen Typ aus, um nur den Benutzertyp „Mitglied“ (3) aus der Microsoft Entra-Gruppenkategorie „Besitzer“ (2) einzubeziehen. |
Gäste | Wählen Sie diesen Typ aus, um nur den Benutzertyp „Gast“ (3) aus der Microsoft Entra-Gruppenkategorie „Mitglieder“ (1) einzubeziehen. |
Bearbeiten eines Gruppenteams
Stellen Sie sicher, dass Sie über die Sicherheitsrolle „Systemadministrator“, „Systemanpasser“, „Vertriebsmanager“, „Vertriebsleiter“, „Marketingleiter“ oder „Vorstandsvorsitzender“ bzw. entsprechende Berechtigungen verfügen.
Melden Sie sich beim Power Platform Admin Center an.
Wählen Sie eine Umgebung und dann Einstellungen>Benutzer + Berechtigungen>Teams aus.
Aktivieren Sie das Kontrollkästchen für einen Teamnamen.
Wählen Sie Team bearbeiten. Nur Teamname, Beschreibung und Administrator können bearbeitet werden.
Aktualisieren Sie die Felder nach Bedarf, und wählen Sie dann Aktualisieren aus.
Notiz
- Informationen zum Bearbeiten der Unternehmenseinheit finden Sie unter Ändern der Unternehmenseinheit für ein Team.
- Sie können Dataverse-Gruppenteams – Mitglieder, Besitzer, Gäste und Mitglieder und Gäste – pro Umgebung basierend auf dem Microsoft Entra-Gruppenmitgliedschaftstyp für jede Microsoft Entra Gruppe erstellen. Die Microsoft Entra ID-ObjectId des Gruppenteams kann nicht mehr bearbeitet werden, nachdem das Gruppenteam erstellt wurde.
- Der Dataverse-Mitgliedschaftstyp kann nicht geändert werden, nachdem das Gruppenteam erstellt wurde. Wenn Sie dieses Feld aktualisieren müssen, müssen Sie das Gruppenteam löschen und ein neues erstellen.
- Alle bestehenden Gruppenteams, die vor dem Hinzufügen des neuen Feldes Mitgliedschaftsart erstellt wurden, werden automatisch als Mitglieder und Gäste aktualisiert. Bei diesen Gruppenteams gibt es keinen Funktionsverlust, da das Standard-Gruppenteam der Gruppe Microsoft Entra zugeordnet wird Mitglieder und Gäste Art der Mitgliedschaft.
- Wenn Ihre Umgebung über eine Sicherheitsgruppe verfügt, müssen Sie die Microsoft Entra-Gruppe des Gruppenteams als Mitglied dieser Sicherheitsgruppe hinzufügen, damit die Benutzer des Gruppenteams auf die Umgebung zugreifen können.
- Die Liste von Teammitgliedern in den einzelnen Gruppenteams enthält nur die Benutzermitglieder, die auf die Umgebung zugegriffen haben. Diese Liste enthält nicht alle Gruppenmitglieder der Microsoft Entra-Gruppe. Wenn ein Microsoft Entra-Gruppenmitglied auf die Umgebung zugreift, wird das Gruppenmitglied dem Gruppenteam hinzugefügt. Die Rechte des Teammitglieds werden dann zur Laufzeit dynamisch abgeleitet, indem die Sicherheitsrolle des Gruppenteams übernommen wird. Da Sicherheitsrolle dem Gruppenteam zugewiesen ist und das Gruppenteammitglied die Berechtigungen übernimmt, wird Sicherheitsrolle dem Gruppenteammitglied nicht direkt zugewiesen. Da die Berechtigungen der Teammitglieder zur Laufzeit dynamisch abgeleitet werden, werden die Microsoft Entra-Gruppenmitgliedschaften der Teammitglieder beim Einloggen zwischengespeichert. Das bedeutet, dass eine Microsoft Entra-Gruppenmitgliedschaft, die am Teammitglied in Microsoft Entra ID durchgeführt wird, erst beim nächsten Anmelden des Teammitglieds oder beim Aktualisieren des Caches durch das System (nach 8 Stunden kontinuierlichem Anmelden) berücksichtigt wird.
- Microsoft Entra Auch durch Identitätswechselanrufe werden Gruppenmitglieder dem Gruppenteam hinzugefügt. Sie können Gruppenmitglieder im Gruppenteam im Namen eines anderen Benutzers mithilfe des Identitätswechsels erstellen.
- Teammitglieder werden zur Laufzeit zum Gruppenteam hinzugefügt oder daraus entfernt, wenn sich das Gruppenmitglied bei der Umgebung anmeldet. Diese Ereignisse zum Hinzufügen und Entfernen von Gruppenmitgliedern können zum Auslösen von Plug-In-Vorgängen verwendet werden.
- Sie brauchen keine Teammitglieder mit einer individuellen Sicherheitsrolle zuzuweisen, wenn die Sicherheitsrolle Ihres Gruppenteams eine Rechtevererbung des Mitglieds hat und die Sicherheitsrolle mindestens eine Berechtigung mit der Berechtigung der Benutzerebene enthält.
- Der Name des Gruppenteams wird nicht automatisch aktualisiert, wenn der Microsoft Entra-Gruppenname geändert wird. Änderungen des Gruppennamens haben keine Auswirkungen auf den Systembetrieb. Wir empfehlen jedoch, dass Sie ihn in den Teams-Einstellungen vom Power Platform-Admin Center aktualisieren.
- Die AD-Gruppenmitglieder werden automatisch in der Umgebung erstellt, wenn sie zum ersten Mal auf die Umgebung zugreifen. Die Benutzer werden unter der Stammunternehmenseinheit hinzugefügt. Sie müssen den Benutzer nicht in eine andere Unternehmenseinheit verschieben, wenn Sie Modernisierte Unternehmenseinheiten aktiviert haben, um den Datenzugriff Ihres Benutzers zu verwalten.
Sicherheitsrollen eines Teams verwalten
Aktivieren Sie das Kontrollkästchen für einen Teamnamen.
Wählen Sie Sicherheitsrollen verwalten aus.
Wählen Sie die gewünschte Rolle oder Rollen aus und wählen Sie dann Speichern aus.
Ändern der Unternehmenseinheit für ein Team
Siehe Ändern der Unternehmenseinheit für ein Team.
Gruppenteamtypen zur Standardsuchansicht hinzufügen
Wenn Sie einen Datensatz manuell zuweisen oder einen Datensatz über das integrierte Formular freigeben, werden in der Standardoptionsliste einige Gruppenteamtypen wie Microsoft Entra ID nicht berücksichtigt. Sie können den Filter für die Standardsuchansicht der Teams-Tabelle so bearbeiten, dass er diese Gruppen enthält.
Melden Sie sich bei Power Apps an.
Wählen Sie Dataverse>Tabellen>Team>Ansichten>Suchansicht: Teams>Filter bearbeiten aus
Legen Sie Teamtyp, Gleich auf: AAD-Office-Gruppe, AAD-Sicherheitsgruppe, Besitzer fest
- Wählen Sie OK>Speichern>Veröffentlichen aus.
Teammitglieder und Gruppenteam löschen
Sie können das Gruppenteam löschen, indem Sie zunächst alle Teammitglieder aus dem Dataverse-Gruppenteam entfernen.
Microsoft Entra-Gruppe löschen
Wenn die Microsoft Entra-Gruppe aus dem Azure-Portal gelöscht wird, werden innerhalb von 24 Stunden alle Mitglieder automatisch aus dem Dataverse-Gruppenteam in der Umgebung entfernt. Das Dataverse-Gruppenteam kann dann gelöscht werden nachdem alle Mitglieder entfernt wurden.
Andere Teamvorgänge
Siehe:
Siehe auch
Verwalten von Teams
Video: Microsoft Entra Gruppenmitgliedschaft
Erstellen Sie eine Basisgruppe und fügen Sie Mitglieder mithilfe der Microsoft Entra ID hinzu
Schnellstart: Gruppen und Mitglieder Ihrer Organisation anzeigen in Microsoft Entra ID