こんにちは、Power Platform サポートチームの島です。
※ Azure Active Directory (Azure AD) は2023年7月に Azure Entra Identity に名称が変更となりましたので、ご承知おきくださいますようお願い申し上げます。
Dataverse では、Azure Entra Identity グループ チームを作成することで、セキュリティ グループへのユーザー所属状態によって、ロールを自動的に付け外しすることができます。
「特定の管理者用セキュリティ グループに所属するユーザーに、自動的にシステム管理者ロールを付与する」というような運用も可能です。
つまり、Azure Entra Identity グループ チームを利用いただくことで、グループ チーム配下の Dataverse ユーザーを、Azure Entra Identity グループから一元管理することが可能となります。
そこでこの記事では、使い方、またサポートでよくいただくグループ チーム関連のご質問についてご案内します。
そもそも、チームとは?
Dataverse では、グループ チームを含め、4 種類のチームという概念を持ち、この中にユーザーを所属させることができます。
それぞれについて簡単にご紹介します。
1. 所有者チーム
セキュリティ ロールを割り当てることのでき、レコードを所有できるチームです。
グループ チームと似ていますが、Azure Entra Identity グループとは連動しないため、ユーザーを明示的に指定して追加する必要があります。
またDataverse 上の「部署」というオブジェクトに紐づいて自動作成されます。(なのでグループ チームの操作を何もしていなくても、環境に最低ひとつはこの所有者チームが存在します。)
2. アクセス チーム
セキュリティ ロールを割り当てることができず、レコードも所有しないチームです。
ただ、アクセス チーム自体がレコードへのアクセス権を持つため、セキュリティ ロールに依存しないアクセス権制御を行うことができます。
将来削除される予定があり、レコードを所有させたくないような一時的なチーム (プロジェクトなど) に適したチームと言えます。
3. Azure Entra Identity グループ チーム (Office グループ / セキュリティ グループ)
セキュリティ ロールを割り当てることのでき、レコードを所有できるチームです。また、Azure Entra Identity グループと連動します。
種類として Office グループ チームと セキュリティ グループ チームの 2 つに分かれますが、記事執筆時点ではグループの種類による機能差はありません。
上記の内容をまとめると、以下のように各チームを比較できます。
Azure Entra Identity グループチームの特色は、文字通り Azure Entra Identity グループと連携でき、グループ チーム配下の Dataverse ユーザーを、Azure Entra Identity グループから一元管理できることです。
Azure Entra Identity グループチームで具体的にできること
Azure Entra Identity グループチームでできること、メリットについて具体的にご紹介します。
1. Azure Entra Identity グループとの連携
Azure Entra Identity グループチームでは、セキュリティ グループや Office グループとの同期が可能です。
Azure Entra Identity グループチームは Power Platform 管理センターから作成することができますが、このときに対応するAzure Entra Identity グループを選択することで、チームとグループを紐づけることができます。
【手順】
- Power Platform 管理センターで 設定 > ユーザーとアクセス許可 > チーム を選択ください。
- 「チームの作成」を選択ください。
- 作成時の入力項目を以下の通り入力ください。この後チームを作成することで、入力したグループとチーム同士が紐づきます。
・チームの種類 : Azure Entra Identity セキュリティ グループ または Azure Entra Identity Office グループを選択ください。
・グループ名 : 対応するAzure Entra Identity グループ名を選択ください。
ちなみに、以下の項目はグループ チームとは関係がありませんが、ご参考までに入力内容を紹介いたします。
・チーム名、説明 : 任意のものを入力ください。
・部署 : Dataverse の部署を作成いただいている場合は適宜ご要件に合わせて選択ください。作成していない場合はデフォルトの部署が 1 つだけ表示されますので、その部署を選択ください。
・管理者 : ご要件に合わせて管理者となるユーザーをご選択ください。
・メンバーシップの種類 : Azure Entra Identity グループ メンバーシップを入力する欄です。後のセクションでもご説明します!
チームを作成すると、紐づけた Azure Entra Identity グループのメンバーのうち環境に対してアクセス権があるユーザーが、自動的に Dataverse のグループ チームに追加されます。
また、異動などでチームのメンバーでなくなったユーザーは、自動的にグループ チームのメンバーからも削除されます。
2. セキュリティ ロールの紐づけ
Azure Entra Identity グループ チームに対してセキュリティ ロールを紐づけることで、配下の Dataverse のユーザーに対してそのロールを継承させることができます。
[手順]
- Power Platform 管理センターで 設定 > ユーザーとアクセス許可 > チーム を選択後、任意のチームを選択ください。
- セキュリティ ロールの管理 を選択ください。
- 下図のように割り当てるセキュリティ ロールの一覧が表示されるので、任意のロールを選択ください。
このセキュリティ ロールの割り当て機能により、「管理者用のグループ チームにはシステム管理者ロールを付与する」「開発者用のグループ チームには Environment Makerを付与する」というように、チームごとに一括でロールを割り当てることが可能になります。
加えて 1 でご説明したように、チームのメンバーは Azure Entra Identity と同期して自動で決定されるので、この 2 つの機能を組み合わせることで、要件に即したロールの一括付与を自動で実行できるようになります。
よくいただくお問合せ
上記の通り、Azure Entra Identity グループ チームは、ユーザーおよびロールの一元管理が可能な強力な機能です。
こちらの機能をよりご活用いただきたいため、サポート チームでよくいただく質問をおまとめいたしました。ぜひご確認ください。
グループ チーム作成時、メンバーシップに何を指定すればよいのかわからない
グループ チームのメンバーシップは、Azure Entra Identity 側のグループのメンバーシップに対応するものです。
選択肢ごとにの具体的な設定内容は以下の通りです。
(1) メンバー : Azure Entra Identity グループに所属するメンバー (ゲストユーザーを除く) です。
(2) ゲスト : Azure Entra Identity グループに所属するゲストユーザーです。
(3) メンバーとゲスト : (1) と (2) の両方をメンバーとする選択肢です。
(4) 所有者 : Azure Entra Identity グループの所有者です。通常、管理者など要件に合わせたユーザーを明示的に指定することで割り当てられます。
グループ チームをご活用いただく場合、通常はメンバーのロールを一元管理することが目的の場合が多いので、(1) または (3) を選んでいただくケースが最も多いかと存じます。
Azure Entra Identity グループに所属するメンバーのうち、一部のメンバーしかグループ チームに所属していない
グループ チームを作成したタイミングと、実際に Dataverse 上のユーザーオブジェクトがグループに割り当てられるタイミングが異なることで、メンバーが一部しか所属していないように見えている可能性があります。
実際に、Dataverse 上のユーザーオブジェクトがグループに所属するのは、グループ チーム作成後、当該ユーザーが最初に環境のキャンバス アプリまたはモデル駆動アプリにアクセスしたタイミングです。
そのため、グループ チームを作成したあと、チームのメンバーを以下のように確認された際には、グループ チーム作成後にアプリにアクセスしたことのあるメンバーしか表示されません。
チームのメンバーがアプリにアクセスしていくことで、いずれは全員がメンバーに追加されますので、ご安心ください。
ユーザーに対してロールが継承されていないように見える
Power Platform 管理センターまたはユーザーの設定画面で、ユーザーのセキュリティ ロールをご確認いただけますが、こちらの画面ではあくまでユーザー本人に対して直接割り当てられたセキュリティ ロールのみが表示されます。
そのためチームから継承されたロールをご確認いただくことができませんが、正しい手順を実施いただき、かつユーザーがアプリに既にアクセスしていれば、ユーザーに対してロールが継承されますので、ご安心ください。
ユーザーに対して直接付与されたロールと継承されたロールの両方を確認されたい場合には、特定データのフォームを開いた上で上部リボンの「アクセス権の確認」を選択いただくことで、当該データに関連するユーザーのすべての権限をご確認いただくことが可能です。
入れ子のAzure Entra Identity グループにグループ チームを作成する際の留意点について
Azure Entra Identity グループが入れ子になっており、かつ親グループと紐づくグループ チームが作成された場合、子グループのメンバーもグループ チーム内に追加されます。
なお、「入れ子のうち子セキュリティ グループのメンバーを環境に自動で追加したい・セキュリティ ロールを割り振りたい」というお問合せをよくいただきますが、その際にこの入れ子のグループ チームの手法を応用することができます。
環境にセキュリティ グループを追加し、かつセキュリティ グループに子となるセキュリティ グループが存在する場合、子グループのメンバーは環境に事前に追加されません。
ただし、親グループを含むグループにグループ チームが作成されている場合には、子グループのメンバーも自動で事前に追加されます。
(ご参考 : 環境へのユーザー アクセスのコントロール: セキュリティ グループおよびライセンス)
環境セキュリティ グループ内の入れ子のセキュリティ グループのメンバーは、事前にプロビジョニングされたり、Dataverse 環境に自動的に追加されたりすること は、ありません。 ただし、入れ子のセキュリティ グループに Dataverse グループ チーム を作成すると、環境に追加できます。
つまり、親グループのグループ チームを作成することで、子グループのメンバーも自動で環境に追加されるようになります
これにより、メンバーが環境にアクセスする前に、子グループのメンバーを自動で環境に追加し、セキュリティ ロール追加やレコード共有などの追加の設定を行うことができるようになります。
関連する公開情報
・Microsoft Dataverse チームの管理 : グループ チームを含め、Dataverse の各チームについてご案内しています。
・グループ チームの管理 : グループ チームの概要、また作成・編集手順をご案内しています。
おわりに
以上、Azure Entra Identity グループ チームの概要、およびよくいただくお問合せについてご案内しました。
グループ チームを利用しない場合、ユーザーひとりひとりにアクセス権を付与する必要があるため、ユーザー数やセキュリティ ロール数が多い組織だと運用が煩雑になりがちです。
ぜひグループ チームを運用に導入いただき、効率的なユーザー管理にご活用ください!
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。