Gestire team di gruppo
Informazioni sui team di gruppo
Una squadra di Microsoft Entra gruppo. Analogamente a un team proprietario, un team di gruppo di Microsoft Entra può essere proprietario dei record e può far assegnare ruoli di sicurezza al team. Esistono due tipi di team di gruppo e questi corrispondono direttamente ai tipi di gruppi di Microsoft Entra, ovvero Sicurezza e Microsoft 365. Il ruolo di sicurezza gruppo può essere solo per il team o per i membri del team con eredità dei privilegi del membro con privilegi Utente. I membri del team vengono derivati dinamicamente (aggiunti e rimossi) quando accedono all'ambiente in base alla loro appartenenza al gruppo Microsoft Entra.
Uso dei gruppi Microsoft Entra per gestire l'accesso alle app e ai dati di un utente
L'amministrazione dell'accesso a dati e app per Microsoft Dataverse è stata estesa per consentire agli amministratori di utilizzare i gruppi Microsoft Entra della propria organizzazione per gestire i diritti di accesso per gli utenti Dataverse con licenza.
Entrambi i tipi di gruppi Microsoft Entra, Sicurezza e Microsoft 365, possono essere usati per proteggere i diritti di accesso degli utenti. L'utilizzo dei gruppi consente agli amministratori di assegnare un ruolo di sicurezza con i rispettivi i privilegi a tutti i membri del gruppo, invece di dover fornire i diritti di accesso a un singolo membro del team.
Entrambi i tipi di gruppi di Microsoft Entra, Sicurezza e Microsoft 365, con il tipo di appartenenza Assegnato e Utente dinamico possono essere utilizzati per garantire i diritti di accesso degli utenti. Il tipo di appartenenza Dispositivo dinamico non è supportato. L'utilizzo dei gruppi consente agli amministratori di assegnare un ruolo di sicurezza con i rispettivi i privilegi a tutti i membri del gruppo, invece di dover fornire i diritti di accesso a un singolo membro del team.
L'amministratore può creare team di gruppo Microsoft Entra associati ai gruppi Microsoft Entra in ciascuno degli ambienti e assegnare un ruolo di sicurezza a questi team di gruppo. Per ogni gruppo di Microsoft Entra, l'amministratore può creare team di gruppo basati sul gruppo Microsoft Entra Membri e/o Proprietari o Guest. Per ogni gruppo di Microsoft Entra, l'amministratore può creare team di gruppo separati per proprietari, membri, utenti guest e membri e utenti guest e assegnare un rispettivo ruolo di sicurezza a ciascuno di questi team.
Quando i membri di questi team di gruppo accedono agli ambienti, i loro diritti di accesso vengono concessi automaticamente in base al ruolo di sicurezza del team di gruppo.
Suggerimento
Dai un'occhiata ai seguenti Video: Gruppi Microsoft Entra dinamici.
Provisioning e deprovisioning degli utenti
Una volta che il team di gruppo e il relativo ruolo di sicurezza sono stati definiti in un ambiente, l'accesso dell'utente all'ambiente si basa sulla sua appartenenza ai gruppi Microsoft Entra. Quando viene creato un nuovo utente nel tenant, tutto ciò che l'amministratore deve fare è assegnare l'utente al gruppo Microsoft Entra appropriato e assegnare le licenze Dataverse. L'utente può accedere immediatamente all'ambiente senza dover attendere che l'amministratore aggiunga l'utente all'ambiente o assegni un ruolo di sicurezza. L'utente viene creato nell'ambiente nella business unit radice.
Quando gli utenti vengono eliminati o disabilitati in Microsoft Entra ID o rimossi dai gruppi di Microsoft Entra, perdono l'appartenenza al gruppo e non potranno più accedere all'ambiente.
Nota
L'utente del gruppo eliminato o disabilitato rimane nell'ambiente Power Platform Dataverse se l'utente non ha effettuato l'accesso all'ambiente.
Per rimuovere l'utente dal team del gruppo Dataverse:
- Accedi all'interfaccia di amministrazione di Power Platform.
- Seleziona un ambiente e quindi seleziona impostazioni>Utenti + autorizzazioni>Utenti.
- Cerca e seleziona l'utente.
- Nel modulo Utente, fai clic sul comando ....
- Seleziona l'opzione Gestisci utente in Dynamics 365.
- Nella pagina Utente, seleziona il team di gruppo Dataverse da cui desideri rimuovere l'utente.
- Seleziona il pulsante Elimina.
Tieni presente che se elimini accidentalmente un utente del gruppo attivo, l'utente del gruppo verrà aggiunto nuovamente al team del gruppo Dataverse la prossima volta che accederà all'ambiente.
Rimuovere l'accesso degli utenti in fase di esecuzione
Quando un utente viene rimosso dai gruppi di Microsoft Entra da un amministratore, viene rimosso dal team di gruppo e perde i diritti di accesso la prossima volta che accede all'ambiente. L'appartenenza ai gruppi di Microsoft Entra e ai team di gruppo Dataverse è sincronizzata e i diritti di accesso dell'utente sono derivati in modo dinamico in fase di esecuzione.
Amministrare il ruolo di sicurezza dell'utente
Gli amministratori non devono più aspettare che l'utente si sincronizzi all'ambiente e quindi assegnare un ruolo di sicurezza all'utente individualmente utilizzando i team di gruppo di Microsoft Entra. Una volta stabilito e creato un team di gruppo in un ambiente con un ruolo di sicurezza, tutti gli utenti con licenza Dataverse che sono aggiunti al gruppo di Microsoft Entra possono accedere immediatamente all'ambiente.
Disabilitare l'accesso degli utenti agli ambienti
Gli amministratori potranno continuare a utilizzare un gruppo di sicurezza di Microsoft Entra per bloccare l'elenco di utenti sincronizzati a un ambiente. Questa misura può essere ulteriormente rafforzata tramite l'uso dei team di gruppo Microsoft Entra. Per bloccare l'accesso a livello di ambiente o di app ad ambienti con restrizioni, l'amministratore può creare gruppi Microsoft Entra separati per ogni ambiente e assegnare il ruolo di sicurezza appropriato a questi gruppi. Solo questi membri del team di gruppo Microsoft Entra dispongono dei diritti di accesso all'ambiente.
Condivisione di Power Apps con i membri del team di un gruppo Microsoft Entra
Quando le app canvas e basate su modelli vengono condivise con un team di gruppo di Microsoft Entra, i membri del team possono immediatamente eseguire le app.
Record di proprietà dell'utente e di proprietà del team
Una nuova proprietà è stata aggiunta alla definizione del ruolo di sicurezza per fornire privilegi di team speciali quando il ruolo viene assegnato ai team di gruppo. Questo tipo di ruolo di sicurezza consente ai membri del team di disporre di privilegi di livello base/utente come se il ruolo di sicurezza fosse assegnato direttamente a loro. I membri del team possono creare ed essere proprietari di record senza che sia necessario assegnare loro un ruolo di sicurezza aggiuntivo.
Un team di gruppo può essere proprietario di uno o più record. Per rendere un team proprietario del record, è necessario assegnare il record al team.
Sebbene i team forniscano l'accesso a un gruppo di utenti, è comunque necessario associare i singoli utenti ai ruoli di sicurezza che concedono i privilegi richiesti per creare, aggiornare o eliminare record di proprietà dell'utente. Questi privilegi non possono essere applicati assegnando un ruolo di sicurezza ereditato dal privilegio di un non membro a un team e quindi aggiungendo l'utente a quel team. Se è necessario offrire direttamente ai membri del team i privilegi senza il relativo ruolo di sicurezza, puoi assegnare al team un ruolo di sicurezza che dispone dell'ereditarietà privilegio dei membri.
Per ulteriori informazioni, vedi Assegnare un record a un utente oppure a un team.
Creare un team di gruppo
Assicurati di disporre del ruolo di sicurezza Amministratore di sistema, Direttore commerciale, Vicepresidente Vendite, Vicepresidente Marketing, Responsabile aziendale o di autorizzazioni equivalenti.
Controllare il ruolo di sicurezza:
- Esegui la procedura descritta in Visualizzare il profilo utente.
- Se non si dispone delle autorizzazioni appropriate Contattare l'amministratore di sistema.
Prerequisiti:
- Per ogni squadra del gruppo è richiesto un gruppo. Microsoft Entra
- Ottieni ObjectID del gruppo di Microsoft Entra dal sito https://portal.azure.com.
- Crea un ruolo di sicurezza personalizzato che contiene privilegi in base ai requisiti di collaborazione del team. Consulta la discussione sui privilegi ereditati del membro se desideri estendere i privilegi dei membri del team direttamente a un utente.
Accedi all'interfaccia di amministrazione di Power Platform.
Seleziona un ambiente e quindi seleziona impostazioni>Utenti + autorizzazioni>Team.
Seleziona + Crea team.
Configurare i seguenti campi:
- Nome team: assicurarsi che questo nome sia univoco all'interno di una Business Unit.
- Descrizione: immettere una descrizione del team.
- Business Unit: seleziona la Business Unit nell'elenco a discesa.
- Amministratore: cerca utenti nell'organizzazione. Inizia a immettere i caratteri.
- Tipo di team: seleziona il tipo di team dall'elenco a discesa.
Nota
Il tipo di team può essere: Proprietario, Accesso, Gruppo di sicurezza Microsoft Entra o Gruppo ufficio Microsoft Entra.
Se il tipo di team è Gruppo di sicurezza Microsoft Entra o Gruppo Office Microsoft Entra, è necessario immettere anche questi campi:
- Nome gruppo: Inizia a immettere il testo per Seleziona un nome di gruppo Microsoft Entra esistente. Questi gruppi sono già creati in Microsoft Entra ID.
- Tipo di appartenenza: seleziona il tipo di appartenenza dall'elenco a discesa. Vedi Come i membri del gruppo di sicurezza Microsoft Entra corrispondono ai membri del team del gruppo Dataverse.
Una volta creato il team, puoi aggiungere i membri del team e selezionare i ruoli di sicurezza corrispondenti. Questo passaggio è facoltativo, ma consigliato.
Come i membri del gruppo di sicurezza Microsoft Entra corrispondono ai membri del team del gruppo Dataverse
Esamina la tabella seguente per sapere come i membri dei gruppi Microsoft Entra corrispondono ai membri del team del gruppo Dataverse.
Seleziona il tipo di appartenenza al team del gruppo Dataverse (4) | Appartenenza risultante |
---|---|
Membri e ospiti | Seleziona questo tipo per includere i tipi di utente Membro e Ospite (3) dalla categoria di gruppo Microsoft Entra Membri (1). |
Membri | Seleziona questo tipo per includere sono i tipi di utente Membro (3) dalla categoria di gruppo Microsoft Entra Membri (1). |
Proprietari | Seleziona questo tipo per includere sono i tipi di utente Membro (3) dalla categoria di gruppo Microsoft Entra Proprietari (2). |
Utenti guest | Seleziona questo tipo per includere sono i tipi di Utente guest (3) dalla categoria di gruppo Microsoft Entra Membri (1). |
Modificare un team di gruppo
Assicurati di disporre del ruolo di sicurezza Amministratore di sistema, Direttore commerciale, Vicepresidente Vendite, Vicepresidente Marketing, Responsabile aziendale o di autorizzazioni equivalenti.
Accedi all'interfaccia di amministrazione di Power Platform.
Seleziona un ambiente e quindi seleziona impostazioni>Utenti + autorizzazioni>Team.
Seleziona la casella di controllo per un nome di team.
Seleziona Modifica team. Solo il nome del team, la descrizione e l'amministratore sono disponibili per la modifica.
Aggiorna i campi come necessario, quindi seleziona Aggiorna.
Nota
- Per modificare la Business unit, vedi Cambiare la business unit per un team.
- Puoi creare team di gruppo di Dataverse: Membri, Proprietari, Guest e Membri e guest per ambiente in base al tipo di appartenenza al gruppo Microsoft Entra per ogni gruppo Microsoft Entra. L'ObjectId Microsoft Entra ID del team di gruppo non può essere modificato una volta creato il team di gruppo.
- Il tipo di appartenenza Dataverse non può essere modificato dopo la creazione del team di gruppo. Se devi aggiornare questo campo, dovrai eliminare il team di gruppo e crearne uno.
- Tutti i team di gruppo esistenti creati prima del nuovo campo Tipo di appartenenza che viene aggiunto vengono aggiornati automaticamente comeMembri e ospiti. Non vi è alcuna perdita di funzionalità con questi team di gruppo poiché il team di gruppo predefinito è mappato al tipo di appartenenza Membri e ospiti del gruppo Microsoft Entra.
- Se l'ambiente in uso ha un gruppo di sicurezza, dovrai aggiungere il gruppo Microsoft Entra del team di gruppo come membro del griuppo di sicurezza di modo che gli utenti del team di gruppo possano accedere all'ambiente.
- L'elenco dei membri in ogni team di gruppo visualizza solo i membri utente che hanno eseguito l'accesso all'ambiente. Questo elenco non visualizza tutti i membri del gruppo di Microsoft Entra. Quando un membro del gruppo Microsoft Entra accede all'ambiente, viene aggiunto al team del gruppo. I privilegi di un membro del team sono derivati in modo dinamico al runtime ereditando il ruolo di sicurezza del team del gruppo. Poiché il ruolo di sicurezza è assegnato al team del gruppo e il membro del team del gruppo eredita i privilegi, il ruolo di sicurezza non è assegnato direttamente al membro del team del gruppo. Poiché i privilegi del membro del team sono derivati in modo dinamico in fase di esecuzione, l'appartenenza al gruppo di Microsoft Entra del membro del team viene memorizzata nella cache al momento dell'accesso del membro. Questo significa che tutta la manutenzione sull'appartenenza ai gruppi di Microsoft Entra fatta sul membro del team in Microsoft Entra ID non verrà riflessa fino alla prossima volta che il membro del team accede o quando il sistema aggiorna la cache (dopo 8 ore di accesso continuo).
- Microsoft Entra i membri del gruppo vengono aggiunti al team del gruppo anche tramite chiamate di impersonificazione. Puoi utilizzare la funzionalità di creazione di membri di gruppo nel team di gruppo per conto di un altro utente utilizzando la rappresentazione.
- I membri del team vengono aggiunti o rimossi dal team di gruppo in fase di esecuzione quando il membro del gruppo accede all'ambiente. Questi eventi di aggiunta e rimozione di membri del gruppo possono essere utilizzati per attivare le operazioni del plug-in.
- Non devi assegnare ai membri del team un ruolo di sicurezza individuale se il ruolo di sicurezza del team di gruppo ha un'eredità dei privilegi del membro e il ruolo di sicurezza contiene almeno un privilegio che dispone dell'autorizzazione a livello di utente.
- Il nome del team di gruppo non viene aggiornato automaticamente quando il nome del gruppo Microsoft Entra viene modificato. Non vi è alcun impatto sul funzionamento del sistema con le modifiche al nome del gruppo, ma ti consigliamo di aggiornarlo nelle impostazioni di Teams dell'interfaccia di amministrazione di Power Platform.
- I membri del gruppo AD vengono creati automaticamente nell'ambiente al primo accesso all'ambiente. Gli utenti vengono aggiunti nella Business Unit radice. Non è necessario spostare l'utente in una business unit diversa se hai abilitato le Business unit modernizzate per gestire l'accesso ai dati dell'utente.
Gestire i ruoli di sicurezza di un team
Seleziona la casella di controllo per un nome di team.
Seleziona Gestisci ruoli di sicurezza.
Seleziona il ruolo o i ruoli necessari e quindi seleziona Salva.
Modificare la Business Unit per un team
Vedi Modificare la Business Unit per un team.
Aggiungere i tipi di team di gruppo alla visualizzazione ricerca predefinita
Quando si assegna manualmente un record o si condivide un record utilizzando il modulo integrato, l'elenco delle opzioni predefinite non rileva alcuni tipi di team di gruppo come Microsoft Entra ID. Puoi modificare il filtro sulla Visualizzazione ricerca predefinita della tabella dei team in modo che includa questi gruppi.
Accedere a Power Apps.
Seleziona Dataverse>Tabelle>Team>Visualizzazioni>Visualizzazione ricerca Teams>Modifica filtri
Imposta Tipo di team, Uguale su: Gruppo di AAD Office, Gruppo di sicurezza AAD, Proprietario
- Seleziona OK>Salva>Pubblica.
Eliminare i membri del team e il team del gruppo
Puoi eliminare il team del gruppo rimuovendo prima tutti i membri del team dal team del gruppo Dataverse.
Elimina gruppo Microsoft Entra
Quando il gruppo Microsoft Entra viene eliminato da Azure.portal, tutti i membri vengono rimossi automaticamente dal team del gruppo Dataverse nell'ambiente entro 24 ore. Il team del gruppo Dataverse può quindi essere eliminato dopo che tutti i membri sono stati rimossi.
Altre operazioni relative ai team
Vedi:
Vedi anche
Gestire i team
Video: Microsoft Entra appartenenza al gruppo
Crea un gruppo di base e aggiungi membri utilizzando l'ID Microsoft Entra
Avvio rapido: visualizza i gruppi e i membri della tua organizzazione in Microsoft Entra ID