Partilhar via

Gerir equipas de grupo

Acerca das equipas de grupo

Uma Microsoft Entra equipa de grupo é semelhante à equipa proprietária . Uma Microsoft Entra equipa de grupo pode possuir registros e ter funções de segurança atribuídas à equipa. Existem dois tipos de equipas de grupo e correspondem diretamente aos tipos de grupo do Microsoft Entra – Segurança e Microsoft 365. O direito de acesso grupo pode ser apenas para a equipa ou para o membro da equipa com privilégios de Utilizador herança de privilégios do membro. Os membros da equipa são derivados dinamicamente (adicionados e removidos) quando acedem ao ambiente com base na respetiva associação ao grupo do Microsoft Entra.

Utilizar os grupos do Microsoft Entra para gerir o acesso aos dados e à aplicação do utilizador

A administração do acesso a aplicativos e dados é Microsoft Dataverse estendida para permitir que os administradores usem os grupos de suas organizações para gerenciar direitos de Microsoft Entra acesso para usuários licenciados Dataverse .

Ambos os tipos de grupos do Microsoft Entra – Segurança e Microsoft 365 – podem ser utilizados para proteger os direitos de acesso do utilizador. A utilização de grupos permite aos administradores atribuir um direito de acesso com os respetivos privilégios a todos os membros do grupo, em vez de ter de fornecer os direitos de acesso a um membro da equipa individual.

Ambos os tipos de grupos — Segurança e Microsoft Entra — com um tipo Microsoft 365de associação Usuário Atribuído e Dinâmico podem ser usados para proteger os direitos de acesso do utilizador. O tipo de associação Utilizador Dinâmico não é suportado. A utilização de grupos permite aos administradores atribuir um direito de acesso com os respetivos privilégios a todos os membros do grupo, em vez de ter de fornecer os direitos de acesso a um membro da equipa individual.

O administrador pode criar equipas de grupo do Microsoft Entra associadas aos grupos do Microsoft Entra em cada um dos ambientes e atribuir um direito de acesso a estas equipas de grupo. Para cada grupo Microsoft Entra, o Administrador pode criar equipas de grupo com base nos no grupo Microsoft Entra Membros e/ou Proprietários ou Convidados. Para cada grupo Microsoft Entra, um Administrador pode criar equipas de grupo separadas para proprietários, membros e convidados e atribuir um direito de acesso respetivo a cada uma destas equipas.

Quando os membros destas equipas de grupo acedem a estes ambientes, os respetivos direitos de acesso são concedidos automaticamente com base no direito de acesso da equipa do grupo.

Gorjeta

Símbolo de vídeo Assista ao seguinte vídeo: Grupos Dinâmicos do Microsoft Entra.

Aprovisionar e desaprovisionar os utilizadores

Depois de a equipa de grupo e o respetivo direito de acesso serem estabelecidos num ambiente, o acesso de utilizador ao ambiente baseia-se na associação de utilizador dos grupos do Microsoft Entra. Quando um novo utilizador é criado no inquilino, tudo o que o administrador tem de fazer é atribuir o utilizador ao grupo do Microsoft Entra adequado e atribuir licenças do Dataverse. O utilizador pode aceder imediatamente ao ambiente sem a necessidade de aguardar que o administrador adicione o utilizador no ambiente ou atribua um direito de acesso. O utilizador é criado no ambiente abaixo da unidade de negócio raiz.

Quando os usuários são excluídos ou desabilitados na Microsoft Entra ID ou removidos dos Microsoft Entra grupos, eles perdem a associação ao grupo e não podem acessar o ambiente quando tentam fazer login.

Nota

O utilizador do grupo eliminado ou desativado permanecerá no ambiente do Dataverse do Power Platform se o utilizador não tiver acedido ao ambiente.

Para remover o utilizador de uma Dataverse equipa de grupo, execute as seguintes etapas:

  1. Inicie sessão no centro de administração do Power Platform.
  2. Selecione Gerir no painel de navegação.
  3. No painel Gerir, selecione Ambientes.
  4. Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Utilizadores.
  5. Procure e selecione o utilizador.
  6. No formulário Usuário, selecione o ... cardápio.
  7. Selecione a opção Gerir utilizador no Dynamics 365.
  8. Na página Utilizador, selecione a equipa de grupo do Dataverse de onde pretende remover o utilizador.
  9. Selecione o botão Eliminar.

Se você excluiu acidentalmente um utilizador de grupo ativo, o utilizador do grupo será adicionado de volta à equipa do Dataverse grupo na próxima vez que o utilizador acessar o ambiente.

Remover acesso de utilizador em tempo de execução

Quando um utilizador é removido dos grupos do Microsoft Entra por um administrador, o utilizador é removido da equipa do grupo e perde os direitos de acesso na vez seguinte que aceder ao ambiente. As associações para os grupos do Microsoft Entra do utilizador e as equipas do grupo Dataverse são sincronizadas, e os direitos de acesso do utilizador deduzidos dinamicamente em tempo de execução.

Administrar direito de acesso do utilizador

Os administradores já não têm de aguardar que o utilizador sincronize com o ambiente e, em seguida, atribua individualmente um direito de acesso ao utilizador através das equipss de grupo do do Microsoft Entra. Depois de uma equipa de grupo ser estabelecida e criada num ambiente com um direito de acesso, quaisquer utilizadores licenciados do Dataverse adicionados ao grupo Microsoft Entra podem aceder imediatamente ao ambiente.

Bloquear o acesso dos utilizadores a ambientes

Os administradores podem continuar a utilizar um grupo de segurança do Microsoft Entra para bloquear a lista de utilizadores sincronizados com um ambiente. Isto pode ser reforçado através das equipas do grupo do Microsoft Entra. Para bloquear o acesso ao ambiente ou à aplicação a ambientes restritos, o administrador pode criar grupos separados do Microsoft Entra para cada ambiente e atribuir o direito de acesso adequado para estes grupos. Apenas estes membros da equipa do grupo do Microsoft Entra têm os direitos de acesso ao ambiente.

Partilhar o Power Apps com os membros da equipa de um grupo do Microsoft Entra

Quando as aplicações orientadas por modelos e de tela são partilhadas com uma equipa de grupo do Microsoft Entra, os membros da equipa podem executar imediatamente as aplicações.

Registos propriedade do utilizador e propriedade da equipa

Uma nova propriedade é adicionada à definição de função de segurança para fornecer privilégios especiais de equipa quando a função é atribuída a equipes de grupo. Este tipo de direito de acesso permite que aos membros da equipa sejam conceidos privilégios de nível de Utilizador/Básico como se o direito de acesso lhes fosse atribuído directamente. Os membros da equipa podem criar e ser um proprietário dos registos, sem a necessidade de ter um direito de acesso adicional atribuído.

Uma equipa de grupo pode possuir um ou mais registos. Para tornar uma equipa a proprietária do registo, tem de atribuir o registo à equipa.

Apesar de as equipas fornecerem acesso a um grupo de utilizadores, ainda terá de associar os utilizadores individuais aos direitos de acesso que concedem os privilégios que precisam para criar, atualizar ou eliminar os registos propriedade do utilizador. Estes privilégios não podem ser aplicados ao atribuir um direito de acesso herdado do privilégio de um não membro a uma equipa e, em seguida, adicionar o utilizador a essa equipa. Se necessitar de fornecer privilégios de equipa aos membros da equipa diretamente, sem os respetivos direitos de acesso, pode atribuir à equipa um direito de acesso que tem herança de privilégios do membro.

Para mais informações, consulte Atribuir um registo a um utilizador ou equipa.

Criar uma equipa de grupo

Pré-requisitos para criar uma equipa de grupo

  • Certifique-se de que tem direitos de acesso Administrador de Sistema, Gestor de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou CEO-Gestor Empresarial ou permissões equivalentes.

    Verifique os direitos de acesso:

  • É necessário um Grupo do Microsoft Entra para cada equipa do grupo.

  • Obtenha o ObjectID do Grupo do Microsoft Entra a partir do site https://portal.azure.com.

  • Crie um direito de acesso personalizado que contém privilégios de acordo com os requisitos de colaboração da sua equipa. Consulte o debate sobre os privilégios herdados dos membros se precisar de expandir os privilégios do membro da equipa diretamente para um utilizador.

Criar uma equipa de grupo no Power Platform centro de administração

Para criar uma equipa de grupo no centro de Power Platform administração, execute as seguintes etapas:

  1. Inicie sessão no centro de administração do Power Platform.
  2. Selecione Gerir no painel de navegação.
  3. No painel Gerir, selecione Ambientes.
  4. Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Equipas.
  5. Selecione + Criar equipa.

Você precisa especificar os seguintes campos:

  • Nome da equipa: certifique-se de que este nome é exclusivo numa unidade de negócio.
  • Descrição: introduza uma descrição da equipa.
  • Unidade de negócio: selecione a unidade de negócio a partir da lista pendente.
  • Administrador: procure utilizadores na organização. Comece a introduzir carateres.
  • Tipo de equipa: selecione o tipo de equipa a partir da lista pendente. Uma equipa pode ser o grupo Proprietário, Acesso, Microsoft Entra Segurança ou o Microsoft Entra tipo de grupo do Office.

Captura de ecrã das definições para uma nova equipa do Dataverse.

Se o tipo de equipa for Grupo de segurança do Microsoft Entra ou Grupo de Escritório do Microsoft Entra, também tem de introduzir estes campos:

Captura de ecrã das definições para uma nova equipa do Microsoft Entra.

Depois de criar a equipa, pode adicionar membros da equipa e selecionar os direitos de acesso correspondentes. Este passo é opcional, mas recomendado.

Como os membros do grupo de segurança do Microsoft Entra corresponderem aos membros da equipa do grupo do Dataverse

Como os membros do Microsoft Entra correspondem aos membros da equipa do grupo do Dataverse

Reveja a tabela seguinte para saber como os membros dos grupos do Microsoft Entra correspondem aos membros da equipa do grupo do Dataverse.

Selecione o tipo de adesão da equipa do grupo do Dataverse (4) Adesão resultante
Membros e convidados Selecione este tipo para incluir ambos os tipos de utilizador Membro e Convidado (3) a partir da categoria de grupo Membros do Microsoft Entra (1).
Membros Selecione este tipo para incluir apenas o tipo de utilizador Membro (3) a partir da categoria de grupo Membros do Microsoft Entra (1).
Proprietários Selecione este tipo para incluir apenas o tipo de utilizador Membro (3) a partir da categoria de grupo Proprietários do Microsoft Entra (2).
Convidados Selecione este tipo para incluir apenas o tipo de utilizador Convidado (3) a partir da categoria de grupo Membros do Microsoft Entra (1).

Editar uma equipa de grupo

Pré-requisitos para editar uma equipa de grupo

  • Certifique-se de que tem direitos de acesso Administrador de Sistema, Gestor de Vendas, Vice-Presidente de Vendas, Vice-Presidente de Marketing ou CEO-Gestor Empresarial ou permissões equivalentes.

    Verifique os direitos de acesso:

Editar uma equipa de grupo no Power Platform centro de administração

Para editar uma equipa de grupo no centro de Power Platform administração, execute as seguintes etapas:

  1. Inicie sessão no centro de administração do Power Platform.
  2. Selecione Gerir no painel de navegação.
  3. No painel Gerir, selecione Ambientes.
  4. Selecione um ambiente e, em seguida, selecione Definições>Utilizadores + permissões>Equipas.

Selecione a caixa de verificação para um nome de equipa. Selecione Editar equipa. Apenas o Nome da equipa, Descrição e Administrador estão disponíveis para edição. Atualize os campos conforme necessário e, em seguida, selecione Atualizar.

Captura de ecrã da edição de uma equipa.

Nota

  • Para editar a Unidade de Negócio, consulte Alterar a unidade de negócio para uma equipa.
  • Pode criar equipas de grupo do Dataverse – Membros, Proprietários, Convidados e Membros e Convidados por ambiente com base no tipo de membros do grupo do Microsoft Entra para cada grupo do Microsoft Entra. O Microsoft Entra ID ObjectId da equipa do grupo não pode ser editado depois que a equipa do grupo é criada.
  • O Dataverse Tipo de Associação não pode ser alterado após a criação da equipa do grupo. Se você precisar atualizar este campo, você precisa excluir a equipa do grupo e criar um novo.
  • Todas as equipas de grupo existentes criadas antes de adicionar o novo campo Tipo de Associação são atualizadas automaticamente como Membros e convidados. Não há perda de funcionalidade com essas equipes de grupo, pois a equipa de grupo padrão é mapeada para o tipo de associação Membros do Microsoft Entra Grupo e convidados .
  • Se o seu ambiente tiver um grupo de segurança, você precisará adicionar o grupo da Microsoft Entra equipa do grupo como membro desse grupo de segurança para que os usuários da equipa do grupo possam acessar o ambiente.
  • A lista de membros da equipa listada em cada equipa de grupo apresenta apenas os membros de utilizador que tenham acedido ao ambiente. Esta lista não mostra todos os membros do grupo do grupo do Microsoft Entra. Quando um membro do grupo do Microsoft Entra acede ao ambiente, o membro do grupo é adicionado à equipa do grupo. Os privilégios do membro da equipa são derivados dinamicamente no runtime ao herdar o direito de acesso da equipa do grupo. Como a função de segurança é atribuída à equipa do grupo e o membro da equipa do grupo herda os privilégios, a função de segurança não é atribuída diretamente ao membro da equipa do grupo. Devido aos privilégios do membro da equipa serem derivados dinamicamente em tempo de execução, as associações de Microsoft Entra grupo do membro da equipa são armazenadas em cache após o login do membro da equipa. Isso significa que qualquer Microsoft Entra manutenção de associação de grupo feita no membro da equipa na Microsoft Entra ID não será refletida até a próxima vez que o membro da equipa fizer login ou quando o sistema atualizar o cache (após 8 horas de login contínuo).
  • Os membros do grupo do Microsoft Entra também são adicionados à equipa de grupo com chamadas de representação. Pode utilizar a criação de membros do grupo na equipa de grupo em nome de outro utilizador que utilize a representação.
  • Os membros da equipa são adicionados ou removidos da equipa do grupo em tempo de execução quando o membro do grupo inicia sessão no ambiente. Estes eventos de membros de grupo de adição e remoção podem ser utilizados para acionar operações de plug-in.
  • Não é necessário atribuir membros da equipa com uma função de segurança individual se a função de segurança da equipa do grupo tiver a herança de privilégios de um membro e a função de segurança contiver pelo menos um privilégio com permissão de nível de utilizador.
  • O nome da equipa de grupo não é atualizado automaticamente quando o nome do grupo do Microsoft Entra é alterado. Não existe impacto na operação do sistema com alterações ao nome de grupo, mas recomendamos que o atualize nas definições de Equipa do centro de administração do Power Platform.
  • Os membros do grupo AD são criados automaticamente no ambiente quando acedem pela primeira vez ao ambiente. Os utilizadores são adicionados à unidade de negócio raiz. Não necessita de mover o utilizador para uma unidade de negócio diferente se ativou as Unidades de Negócio Modernizadas para gerir o acesso aos dados do utilizador.

Gerir direitos de acesso de uma equipa

  1. Selecione a caixa de verificação para um nome de equipa.

    Captura de ecrã da seleção de uma equipa.

  2. Selecione Gerir direitos de acesso.

  3. Selecione a função ou funções pretendidas e, em seguida, selecione Guardar.

    Captura de ecrã da gestão das funções de segurança.

Alterar a unidade de negócio de uma equipa

Consulte Alterar a unidade de negócio de uma equipa.

Adicionar tipos de equipas de grupo à vista de pesquisa predefinida

Quando você atribui manualmente um registro ou compartilha um registro usando o formulário interno, a lista de opções padrão não seleciona alguns tipos de equipa de grupo, como Microsoft Entra ID. Pode editar o filtro na vista de pesquisa predefinida da tabela de equipas, de modo a incluir estes grupos.

  1. Iniciar sessão no Power Apps.

  2. Selecione Dataverse>Tabelas>Equipa>Vistas>Vista de Pesquisa de Equipas>Editar Filtros

  3. Defina Tipo de Equipa, Igual a: Grupo do Office do AAD, Grupo de Segurança do AAD, Proprietário

Adicionar Grupo do Office do Microsoft Entra e Grupo de Segurança do Microsoft Entra ao Tipo de Equipas.

  1. Selecione OK>Guardar>Publicar.

Eliminar membros da equipa e a equipa do grupo

Pode eliminar a equipa do grupo removendo primeiro todos os membros da equipa do grupo do Dataverse.

Eliminar grupo do Microsoft Entra

Quando o grupo do Microsoft Entra é eliminado do Azure.portal, todos os membros são removidos automaticamente da equipa do grupo do Dataverse no ambiente dentro de 24 horas. A Dataverse equipa do grupo pode então ser eliminada depois de todos os membros serem removidos.

Outras operações da equipa

Conteúdo relacionado

Gerir equipas
Vídeo: Microsoft Entra associação ao grupo
Criar um grupo básico e adicionar membros utilizando o ID do Microsoft Entra
Início rápido: Veja os grupos e membros da sua organização no ID do Microsoft Entra

  • Last updated on