グループ チームについて
Microsoft Entra グループ チームは所有者チームと類似しています。 Microsoft Entra グループ チームはレコードを所有でき、チームにセキュリティ ロールを割り当てられます。 グループ チームの種類はふたつあり、それらは Microsoft Entra グループの種類 - セキュリティと Microsoft 365 に直接対応しています。 グループ セキュリティ ロールはチーム専用、またはユーザー権限である メンバーの権限継承 を持つチーム メンバー用です。 チーム メンバーは、環境にアクセスすると、Microsoft Entra グループ メンバーシップに基づいて動的に派生 (追加または削除) します。
Microsoft Entra グループを使用したユーザーのアプリとデータ アクセスの管理
Microsoft Dataverse のアプリとデータ アクセスの管理は、管理者が組織の Microsoft Entra グループを使用して、ライセンスされた Dataverse ユーザーのアクセス権を管理できるように拡張されています。
セキュリティ と Microsoft 365 の両方のタイプの Microsoft Entra グループを使用して、ユーザーのアクセス権のセキュリティを保護することができます。 グループを使用して管理者を個々チームのメンバに対するアクセス権を提供する必要がある場合、グループのすべてのメンバーの特権は、のセキュリティ ロールを割り当てを行うことができます。
セキュリティと Microsoft 365 の両方のタイプの Microsoft Entra グループと割り当て先および動的ユーザーのメンバーシップ タイプを使用して、ユーザーのアクセス権のセキュリティを保護することができます。 メンバーシップ タイプ 動的デバイス には対応していません。 グループを使用して管理者を個々チームのメンバに対するアクセス権を提供する必要がある場合、グループのすべてのメンバーの特権は、のセキュリティ ロールを割り当てを行うことができます。
管理者は、それぞれの環境の Microsoft Entra グループに関連付けられた Microsoft Entra グループ チームを作成して、それらのグループ チームにセキュリティ ロールを割り当てることができます。 各 Microsoft Entra グループでは、管理者は Microsoft Entra グループ メンバー、所有者、または ゲスト に基づいて、グループ チームを作成できます。 各 Microsoft Entra グループで、管理者は、所有者、メンバー、ゲストとメンバー、ゲストの個別のグループ チームを作成して、それらの各チームに個別のセキュリティ ロールを割り当てることができます。
それらのグループ チームのメンバーがそれらの環境にアクセスすると、グループ チームのセキュリティ ロールに基づいてアクセス権が自動的に付与されます。
ヒント
次のビデオをご確認ください: Dynamic Microsoft Entra グループ。
ユーザーのプロビジョニングとプロビジョニング解除
環境でグループ チームとそのセキュリティ ロールを定義すると、環境へのユーザー アクセスは Microsoft Entra グループのユーザー メンバーシップに基づいて行われます。 テナントで新しいユーザーを作成する場合、管理者が行う必要があるのは、ユーザーを適切な Microsoft Entra グループに割り当てて、Dataverse のライセンスを付与することだけです。 ユーザーは、管理者がユーザーを環境に追加するか、セキュリティ ロールを割り当てるのを待つことなく、すぐに環境にアクセスできます。 ユーザーは、ルート ビジネス ユニットの下の環境に作成されます。
ユーザーが Microsoft Entra ID で削除されたり、無効化されたり、Microsoft Entra グループから削除されると、グループのメンバーシップを失い、サインインしようとしても環境にアクセスできなくなります。
注意
削除または無効化されたグループ ユーザーは、ユーザーが環境にアクセスしなかった場合、Power Platform Dataverse 環境に残ります。
Dataverse グループ チームからユーザーを削除するには、次の手順を実行します:
- Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、管理を選択します。
- 管理ウィンドウで環境を選択します。
- 環境を選択してから、設定>ユーザー + 権限>ユーザーの順に選択します。
- ユーザーを検索して選択します。
- ユーザー フォームで、... メニューを選択します。
- Dynamics 365 でユーザーを管理するオプションを選択します。
- ユーザー ページで、ユーザーを削除する Dataverse グループ チームを選択します。
- 削除 ボタンを選択します。
アクティブなグループ ユーザーを誤って削除した場合、そのユーザーが次回アクセスしたときに、そのグループユーザーは Dataverse グループ チームに再び追加されます。
実行時にユーザー アクセスを削除する
ユーザーが管理者によって Microsoft Entra グループから削除すると、ユーザーは、グループ チームから削除され、次に環境にアクセスしたときにアクセス権を失います。 ユーザーの Microsoft Entra グループと Dataverse グループ チームのメンバーシップが同期され、ユーザーのアクセス権が実行時に動的に抽出されます。
ユーザー セキュリティ ロールを管理します。
管理者はユーザーが環境に同期するのを待つ必要がなく、 Microsoft Entra グループ チームを使用して個別にユーザーにセキュリティ ロールを割り当てる必要はありません。 セキュリティ ロールを持つ環境でグループ チームが確立され作成されると、Microsoft Entra グループに追加されたライセンスを取得した Dataverse ユーザーはすぐに環境にアクセスできます。
環境へのユーザー アクセスをロックダウンします。
管理者は引き続き環境に同期されたユーザーの一覧をロックダウンするために Microsoft Entra セキュリティ グループを使用できます。 これは、Microsoft Entra グループ チームを使用して、さらに強化することができます。 制限されている環境やアプリへのアクセスをロックするために、管理者は環境ごとに個別の Microsoft Entra グループを作成して、それらのグループに適切なセキュリティ ロールを割り当てることができます。 それらの Microsoft Entra グループ チームのメンバーのみが、環境へのアクセス権を持ちます。
Microsoft Entra グループのチーム メンバーでの Power Apps の共有
キャンバス アプリとモデル駆動型アプリが Microsoft Entra グループ チームと共有されている場合、チーム メンバーは、直ちにアプリケーションを実行できます。
ユーザー所有レコードとチーム所有レコード
新しいプロパティは、ロールがグループ チームに割り当てられると特別なチーム特権が与えられるため、セキュリティ ロールの定義に追加されました。 このタイプのセキュリティ ロールは、セキュリティ ロールが直接割り当てられているかのようにチーム メンバーにユーザー/基本レベルの特権を付与することができます。 チーム メンバーは、追加のセキュリティ ロールを割り当てる必要なく、レコードを作成して所有者になることができます。
グループ チームは、1 つ以上のレコードを所有できます。 チームをレコードの所有者にするには、レコードをチームに割り当てる必要があります。
チームはユーザー のグループへのアクセスを提供しますが、ユーザー所有のレコードを作成、更新、削除するには、必要な権限を付与するセキュリティ ロールを個々のユーザーに関連付ける必要があります。 これらの権限は、メンバー以外の権限を継承したセキュリティ ロールをチームに割り当てて、そのユーザーをチームに追加することでは適用できません。 自身のセキュリティ ロールを使用せずにチーム メンバーにチームの権限を直接提供する必要がある場合は、チームに メンバーの権限を継承 セキュリティ ロールを割り当てることができます。
詳細は ユーザーまたはチームへのレコードの割り当て を参照してください。
グループ チームの作成
グループ チームを作成するための前提条件
システム管理者、営業マネージャー、営業部長、マーケティング部長、最高経営責任者、のいずれかのセキュリティ ロール、または同等のアクセス許可を持っている必要があります。
セキュリティ ロールの確認:
- 「ユーザー プロファイルの表示」の手順を実行してください。
- 適切なアクセス許可を持っていない場合は? システム管理者に問い合わせてください。
各グループ チームに Microsoft Entra グループが必要です。
サイトから Microsoft Entra グループの https://portal.azure.com を取得します。
チームの共同作業要件にごとに権限を含むカスタム セキュリティ ロールを作成します。 チーム メンバーの特権を直接ユーザーに拡張する必要がある場合は、メンバーの継承された特権を参照してください。
Power Platform 管理センターでグループ チームを作成する
Power Platform 管理センターでグループ チームを作成するには、以下の手順を実行します:
- Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、管理を選択します。
- 管理ウィンドウで環境を選択します。
- 環境を選択してから、設定>ユーザー + 権限>チームの順に選択します。
- + チームの作成 を選択します。
以下のフィールドを指定する必要があります:
- チーム名: この名前は、事業単位内で一意である必要があります。
- 説明: チームの説明を入力します。
- 部署: ドロップダウン リストから部署を選択します。
- 管理者: 組織内のユーザーを検索します。 文字の入力を開始します。
- チームの種類: ドロップダウン リストからチームの種類を選択します。 チームは、所有者、アクセス、Microsoft Entra セキュリティ グループ、または Microsoft Entra オフィス グループ タイプのいずれかになります。
チーム タイプが Microsoft Entra セキュリティ グループまたは Microsoft Entra オフィス グループの場合は、次のフィールドも入力する必要があります。
- グループ名: テキストの入力を開始して、既存の Microsoft Entra グループの名前を選択します。 これらのグループは Microsoft Entra ID で事前に作成されています。
- メンバーシップの種類: ドロップダウン リストからメンバーシップの種類を選択します。 Microsoft Entra セキュリティ グループのメンバーは Dataverse グループ チーム メンバーに一致させる方法 をご覧ください。
チームを作成した後、チーム メンバーを追加し、対応するセキュリティ ロールを選択できます。 この手順はオプションですが、お勧めする手順です。
Microsoft Entra セキュリティ グループのメンバーは Dataverse グループ チーム メンバーに一致させる方法 をご覧ください
次の表で、Microsoft Entra グループは Dataverse グループ チーム メンバーに一致します。
| Dataverse グループ チーム メンバーシップ タイプ (4) の選択 | 結果として生じるメンバーシップ |
|---|---|
| メンバーとゲスト | このタイプを選択して、メンバーとゲストの両方のユーザータイプ (3) を Microsoft Entra グループ カテゴリ メンバー (1) に含めます。 |
| メンバー | このタイプを選択して、Microsoft Entra グループ カテゴリ メンバー (1) からのユーザー タイプのメンバー (3) のみを含めます。 |
| 所有者 | このタイプを選択して、Microsoft Entra グループ カテゴリ所有者 (2) からのユーザー タイプのメンバー (3) のみを含めます。 |
| ゲスト | このタイプを選択して、Microsoft Entra グループ カテゴリ メンバー (1) からのユーザー タイプがゲスト (3) のみを含めます。 |
グループ チームを編集する
グループ チームを編集するための前提条件
システム管理者、営業マネージャー、営業部長、マーケティング部長、最高経営責任者、のいずれかのセキュリティ ロール、または同等のアクセス許可を持っている必要があります。
セキュリティ ロールの確認:
- 「ユーザー プロファイルの表示」の手順を実行してください。
- 適切なアクセス許可を持っていない場合は? システム管理者に問い合わせてください。
Power Platform 管理センターでグループ チームを編集する
Power Platform 管理センターでグループ チームを編集するには、以下の手順を実行します:
- Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、管理を選択します。
- 管理ウィンドウで環境を選択します。
- 環境を選択してから、設定>ユーザー + 権限>チームの順に選択します。
チーム名のチェック ボックスを選択します。 チームの編集 を選択します。 編集できるのは、チーム名、説明、および 管理者 のみです。 必要に応じてフィールドを更新し 更新 を選択します。
注意
- 部署を編集するには、チームに対する部署の変更 を参照してください。
- 各 Microsoft Entra グループの Microsoft Entra グループ メンバーシップの種類に基づいて、環境ごとに Dataverse グループ チーム - メンバー、所有者、ゲスト、および メンバーとゲスト を作成できます。 グループ チームの Microsoft Entra ID ObjectId は、グループ チームの作成後は編集することはできません。
- グループ チームの作成後に Dataverse メンバーシップ タイプを変更することはできません。 このフィールドを更新する必要がある場合は、グループ チームを削除して、新しいチームを作成する必要があります。
- 新しいメンバーシップ タイプ フィールドが追加される前に作成されたすべての既存のグループ チームは、メンバーとゲストとして自動的に更新されます。 既定のグループ チームが、Microsoft Entra グループのメンバーとゲストのメンバーシップ タイプにマップされているため、これらグループ チームの機能が失われることはありません。
- 環境にセキュリティ グループがある場合は、グループ チームのユーザーが環境にアクセスできるようにするため、グループ チームの Microsoft Entra グループをセキュリティ グループのメンバーとして追加する必要があります。
- 各グループ チームに列挙されたチーム メンバーの一覧には、環境にアクセスしたユーザー メンバーのみが表示されます。 この一覧は Microsoft Entra グループのすべてのグループ メンバーを表示するものではありません。 Microsoft Entra グループ メンバーが環境にアクセスすると、グループ メンバーがグループ チームに追加されます。 チーム メンバーの特権は、グループ チームのセキュリティ ロールを継承することにより実行時に動的に派生します。 セキュリティ ロールはグループ チームに割り当てられ、グループ チーム メンバーは特権を継承するため、セキュリティ ロールはグループ チーム メンバーに直接割り当てられません。 チーム メンバーの権限は実行時に動的に生成されるため、チーム メンバーの Microsoft Entra グループ メンバーシップは、チーム メンバーのサインイン時にキャッシュされます。 つまり、Microsoft Entra ID のチーム メンバーに対して行われた Microsoft Entra のグループ メンバーシップのメンテナンスは、そのチームメンバーが次にログインするか、システムがキャッシュを更新するまで (8 時間連続してログインした後) 反映されません。
- Microsoft Entra グループ メンバーも偽装呼び出しでグループ チームに追加されます。 偽装を使用して、別のユーザーに代わってグループ チームにグループ メンバーを作成することができます。
- チーム メンバーは、グループ メンバーが環境にサインインする実行時にグループ チームに追加または削除されます。 これらのグループ メンバーの追加イベントと削除イベントは、プラグイン操作をトリガーするために使用できます。
- グループ チームのセキュリティ ロールに メンバーの権限継承 があり、セキュリティ ロールにユーザー レベルの権限を持つ少なくとも 1 つの権限が含まれている場合は、チーム メンバーに個別のセキュリティ ロールを割り当てる必要はありません。
- Microsoft Entra グループ名が変更されても、グループのチーム名は自動的に更新されません。 グループ名の変更によるシステム動作への影響はありませんが、Power Platform 管理センターのTeams設定で更新することをお勧めします。
- AD グループのメンバーは、最初に環境にアクセスしたときに環境内に自動的に作成されます。 ユーザーが、 ルート ビジネス ユニットに追加されています。 最新のビジネス ユニット を有効にしてユーザーのデータ アクセスを管理できるようにした場合は、ユーザーを別のビジネス ユニットに移動する必要はありません。
チームのセキュリティ ロールの管理
チーム名のチェック ボックスを選択します。
セキュリティ ロールの管理 を選択します。
必要なロール (複数可) を選択して、保存 を選択します。
チームに対する部署の変更
チームに対する部署の変更 を参照してください。
規定のルック アップビューにグループ チームの種類を追加する
レコードを手動で割り当てる場合、または組み込みフォームを使用してレコードを共有する場合、既定のオプション リストでは、Microsoft Entra ID などの一部のグループ チームの種類は取得されません。 チームテーブルの規定のルックアップ ビューのフィルターを編集して、これらのグループを含めることができます。
Power Apps にサインインします。
Dataverse>テーブル>チーム>ビュー>Teams 検索ダイアログ ビュー>フィルターの編集を選択します
チームタイプをAAD オフィス グループ、AAD セキュリティ グループ、オーナーと等しいに設定します
- OK>保存>公開を選択します。
チーム メンバーとグループ チームを削除する
まず、すべてのチーム メンバーを Dataverse グループ チームから削除することでグループ チームを削除できます。
Microsoft Entra グループを削除する
Microsoft Entra グループが Azure.portal から削除されると、24 時間以内に、環境の Dataverse グループ チームからすべてのメンバーが自動的に削除されます。 すべてのメンバーが削除された後に、Dataverse グループ チームを削除できます。
その他のチームの操作
関連コンテンツ
チームを管理する
ビデオ: Microsoft Entra グループ メンバーシップ
Microsoft Entra ID を使用して基本グループを作成してメンバーを追加する
クイック スタート: Microsoft Entra ID で組織のグループとメンバーを表示する