この記事は、管理者が Power Platform 環境でのユーザー アクセスに関する一般的な問題を診断して解決するのに役立ちます。 組み込みの診断ツールを使用して、ユーザーが環境やリソースにアクセスできないようにするアクセス許可、ライセンス、セキュリティ ロール、グループ メンバーシップに関する問題を特定する方法について説明します。
環境にアクセスするには、ユーザーが次の基準を満たしている必要があります。
- Microsoft Entra ID でのサインインが有効である。
- Dynamics 365 または Microsoft Power Platform で認識されているサービス プランを持つ有効なライセンスがあるか、またはアクティブなアプリごとのプランが環境にある。
- 環境の Microsoft Entra グループのメンバーになる (環境に関連付けられている場合)。
- 少なくとも 1 つの Dataverse セキュリティ ロールを直接、またはメンバーであるグループ チームに割り当てる。
環境内および環境内のリソース (アプリとデータ) へのユーザーのアクセス レベルは、そのユーザーに割り当てられたセキュリティ 環境ロールで定義された特権によって決定されます。 アクセス モードが管理または読み取り/書き込みであることも、環境内でのアクセス レベルを決定します。
ユーザー診断の実行
管理者は、Power Platform 管理センターの 診断の実行 機能を使用して、環境へのユーザー アクセスを評価し、ユーザーが環境にアクセスできる理由とアクセスできない理由に関する詳細と軽減策の提案を取得できます。
ユーザー アクセス診断を実行するには、次の手順に従います。
Power Platform 管理センター で、環境を選択します。
設定>ユーザー + アクセス許可>ユーザーを選択します。
ユーザーを選択します。
診断を実行 を選択します。
ユーザーの詳細を確認し、必要な修正措置を講じます。
注:
診断を実行または再実行するアクションにより、Microsoft Entra ID のユーザー情報が環境の Dataverse データベースに同期され、ユーザーのプロパティに対して up-to-date 状態が提供されます。 診断の実行でユーザー アクセスの問題の根本原因が解消されない場合、サポート チケットを作成する必要がある場合は、診断実行の結果をサポート チケットに含めます。 この情報は、Microsoft サポート エンジニアが問題をより迅速に解決するのに役立ちます。
ユーザーへのセキュリティ ロールの割り当て
ユーザーにロールがないことを示すエラー画面が表示された場合、システム管理者はユーザーにロールを割り当てる必要があります。 ユーザーまたはユーザーが参加しているグループ チームにロールを直接割り当てます。 Dataverse セキュリティ ロールをユーザーに割り当てる方法については、「ユーザーへの セキュリティ ロールの割り当て」を参照してください。
レコードの可視性に関する問題のトラブルシューティング
ユーザーが Dataverse のレコードにアクセスできない場合は、必要な特権とアクセス権があるかどうかを確認します。 詳細については、「 レコードへのアクセスを決定する方法」を参照してください。
ライセンスに関する問題のトラブルシューティング
ユーザーがライセンスを持っているかどうかを確認します。 ユーザーがライセンスを持っていない場合は、ライセンスを割り当てます。 詳細については、「 ユーザー アカウントにライセンスを追加する」を参照してください。
ライセンスを割り当てた後、ライセンスの変更が環境に同期されるまで待ちます。 このユーザーの同期をトリガーするために、環境のシステム管理者はユーザーを環境に再追加できます。 詳細については、「 Dataverse データベースを持つ環境にユーザーを追加する」を参照してください。
環境の関連付けとグループ メンバーシップを確認する
環境のシステム管理者として、環境が Microsoft Entra グループに関連付けられていることを確認します。 詳細については、「 セキュリティ グループを環境に関連付ける」を参照してください。
アクセスの問題を持つユーザーが、環境に関連付けられているグループのメンバーであることを確認します。 詳細については、「 セキュリティ グループを作成し、セキュリティ グループにメンバーを追加する」を参照してください。
環境のグループのユーザー メンバーシップを更新した後、変更が環境に同期されるまで待ちます。 このユーザーの同期をトリガーするために、環境のシステム管理者はユーザーを環境に再追加できます。 詳細については、「 Dataverse データベースを持つ環境にユーザーを追加する」を参照してください。
アクセス許可に関する問題をトラブルシューティングする
ユーザーが顧客エンゲージメント アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automation) にアクセスするための十分なアクセス許可を持っていない場合、システム管理者は次の手順を実行する必要があります。
Power Platform 管理センター で、環境を選択します。
設定>ユーザー + アクセス許可>ユーザーを選択します。
ユーザー レコードを開きます。
その他のコマンド (
) >ロールの管理を選択します。ユーザーに割り当てる役割のメモを確認します。 該当する場合は、他のセキュリティ ロールを選択します。 [ ロールの管理 ] ダイアログ ボックスを閉じます。
セキュリティ>セキュリティ ロール を選択します。
手順 5. からセキュリティ ロールを選択します。
コア レコードを選択します。
ユーザー エンティティの UI 設定の読み取りアクセス許可が ユーザー レベルに設定されていることを確認します (くさび形をしたセグメント付きの黄色円が表示される)。
セキュリティ ロールにこのアクセス許可がない場合、システム管理者はこの設定を選択して変更する必要があります。
ユーザーの未アカウントの問題のトラブルシューティング
場合によっては、ユーザーが環境に自動的にプロビジョニングされない場合があります。
ユーザーがすべてのアクセス要件を満たしているが、環境にまだ不足している場合、ユーザーは次のいずれかのケースに分類される可能性があります。
(Dataverse プランが有効になっている) Office ライセンスのみを持つユーザーは、環境に事前プロビジョニングされません。
環境に関連付けられている Microsoft Entra グループの所有者は、事前プロビジョニングされません。
Microsoft Entra グループ用に作成されたグループ チームの一部である Microsoft Entra グループのメンバーは、事前プロビジョニングされません。
ユーザーは Microsoft Dataverse for Teams 環境に事前プロビジョニングされません。 詳細については、「 Dataverse で自動的に追加されないユーザー」を参照してください。
これらのユーザーは事前プロビジョニングされていませんが、 必要に応じて追加できます。 ユーザーをオンデマンドで追加または更新するには、次のセクションを参照してください。
オンデマンド ユーザー管理
前述のように、ユーザーが自動的にプロビジョニングされないシナリオがいくつかあります。 また、環境では、ユーザーの最新の状態の表示に遅延が発生する場合があります。 このような状況では、特定のユーザーをオンデマンドで追加または更新すると役立ちます。
これを行うには、いくつかの方法を使用できます。
Just-In-Time (JIT) ユーザー プロビジョニング: ユーザーが環境 URL にアクセスすると、システムはサインイン時にアクセス要件を確認し、修飾されたユーザーを環境に追加します。
ユーザー偽装呼び出し: 偽装呼び出しによって、ユーザーの JIT 同期がトリガーされます。 詳細については、「 ユーザーを偽装する方法」を参照してください。
ユーザーの追加: 管理者は、Power Platform 管理センターでユーザーを追加または更新できます。 詳細については、「 環境へのユーザーの追加」を参照してください。
PowerShell コマンドレット: Power Apps PowerShell のサポートを参照してください。
コネクタ: Power Platform for Admins を参照してください。
Power Automate テンプレート: Force Sync Microsoft Entra Group メンバーを指定された CDS インスタンスに同期するを参照してください。
既知の問題
現在、システムでは、ユーザーに直接割り当てられているセキュリティ ロールのみがチェックされます。 グループ チーム メンバーシップを通じて継承されたロールはチェックされません。