概要
本文可帮助管理员诊断和解决 Power Platform 环境中的常见用户访问问题。 你将了解如何使用内置诊断工具来识别权限、许可证、安全角色和组成员身份问题,以防止用户访问环境和资源。
要访问环境,用户必须满足以下条件:
- 启用登录Microsoft Entra ID。
- 拥有包含 Dynamics 365 或 Microsoft Power Platform 认可的服务计划的有效许可证,或者环境必须拥有有效的按应用计划。
- 成为环境中的 Microsoft Entra 组成员(如果与环境有关联)。
- 直接为其或其所属组团队至少分配了一个 Dataverse 安全角色。
用户在环境中和对环境中的资源(应用和数据)的访问权限级别由分配给该用户的安全角色中定义的特权决定。 其管理或读写访问模式也决定其在环境中的访问权限级别。
运行用户诊断
管理员可以使用 Power Platform 管理中心中的 “运行诊断 ”功能来评估用户对环境的访问权限,并获取有关用户访问环境的原因或无法访问环境的详细信息和缓解建议。
按照以下步骤运行用户访问诊断:
在 Power Platform 管理中心,选择一个环境。
选择设置>用户 + 权限>用户。
选择用户。
选择运行诊断。
查看用户的详细信息,然后执行任何所需的纠正操作。
备注
运行或重新运行诊断会强制 Microsoft Entra ID 中的用户信息同步到环境的 Dataverse 数据库,以提供用户属性的最新状态。 如果诊断运行没有消除用户访问问题的根本原因,并且需要创建支持票证,请在支持票证中包含诊断运行的结果。 此信息将有助于Microsoft支持工程师更快地解决问题。
将安全角色分配给用户
当用户遇到错误屏幕,指出他们没有角色时,系统管理员需要向用户分配角色。 将角色直接分配给用户或用户所属的组团队。 有关如何向用户分配 Dataverse 安全角色的信息,请参阅 向用户分配安全角色。
排查记录可见性问题
如果用户在 Dataverse 中访问记录时遇到问题,请检查他们是否具有必要的特权和访问权限。 有关详细信息,请参阅 如何确定对记录的访问。
解决许可证问题
检查用户是否有许可证。 如果用户没有许可证,请分配一个。 有关详细信息,请参阅 向用户帐户添加许可证。
分配许可证后,等待许可证更改同步至环境。 若要为此用户触发同步,环境的系统管理员可以将用户重新添加到环境中。 有关详细信息,请参阅 将用户添加到具有 Dataverse 数据库的环境。
验证环境关联和组成员身份
作为环境的系统管理员,请验证环境是否与Microsoft Entra 组相关联。 有关详细信息,请参阅 将安全组与环境关联。
请确保具有访问问题的用户是与环境关联的组的成员。 有关详细信息,请参阅 “创建安全组”并将成员添加到安全组。
更新环境组中的用户成员身份后,等待更改同步到环境。 若要为此用户触发同步,环境的系统管理员可以将用户重新添加到环境中。 有关详细信息,请参阅 将用户添加到具有 Dataverse 数据库的环境。
排查权限问题
如果用户没有足够的权限访问客户参与应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation),系统管理员应完成以下步骤:
在 Power Platform 管理中心,选择一个环境。
选择设置>用户 + 权限>用户。
打开用户记录。
选择更多命令 (
) >管理角色。记录分派给该用户的角色。 如果适用,请选择其他安全角色。 关闭“ 管理角色 ”对话框。
选择安全>安全角色。
从步骤 5 中选择安全角色。
选择核心记录。
确认用户实体 UI 设置的读取权限设置为用户级别(带有楔形段的黄色圆圈)。
如果安全角色缺少此权限,则系统管理员需要通过选择此设置来更改此设置。
排查未记入帐户的用户问题
在某些情况下,用户不会自动预配到环境中。
如果用户满足所有访问要求,但仍然缺席于某个环境中,则用户可能属于以下某种情况:
仅启用了 Office 许可证的用户(启用了 Dataverse 计划)不会预预配到环境中。
不会预先预配与环境关联的Microsoft Entra 组的所有者。
不会预先预配为 Microsoft Entra 组创建的组组成员Microsoft Entra 组的成员。
不会将用户预先预配到 Microsoft Dataverse for Teams 环境中。 有关详细信息,请参阅 Dataverse 中未自动添加的用户。
尽管这些用户未预先预配,但你可以 按需添加这些用户。 若要按需添加或刷新用户,请参阅以下部分。
按需用户管理
如前所述,在某些情况下,不会自动预配用户。 此外,环境可能会遇到显示用户最新状态的延迟。 在这些情况下,按需添加或刷新特定用户会有所帮助。
可以使用多种方法执行此事:
实时(JIT)用户预配:当用户访问环境 URL 时,系统会在登录期间检查访问要求,并将符合条件的用户添加到环境中。
用户模拟调用:模拟调用会触发用户的 JIT 同步。 有关详细信息,请参阅 如何模拟用户。
添加用户:管理员可以在 Power Platform 管理中心添加或刷新用户。 有关详细信息,请参阅 将用户添加到环境。
PowerShell cmdlet:请参阅 PowerShell 对 Power Apps 的支持。
连接器:请参阅 Power Platform for Admins。
Power Automate 模板:请参阅 强制同步Microsoft Entra Group 成员到指定的 CDS 实例。
已知问题
系统当前仅检查直接分配给用户的安全角色。 它不会检查通过团队组成员身份继承的角色。