排除不同环境的用户访问问题

  • 项目

多种因素会影响用户对环境的访问权限。 管理员可以使用运行诊断命令评估用户对环境的访问权限,并获取有关用户可以或不能访问环境的原因的详细信息和缓解建议。

要访问环境,用户必须满足以下条件:

  1. 启用了 Microsoft Entra ID 登录。
  2. 拥有包含 Dynamics 365 或 Microsoft Power Platform 认可的服务计划的有效许可证,或者环境必须拥有有效的按应用计划。
  3. 是环境的 Microsoft Entra 组成员(如果已经有一个与该环境关联)。
  4. 直接为其或其所属组团队至少分配了一个 Dataverse 安全角色。

用户在环境中和对环境中的资源(应用和数据)的访问权限级别由分配给该用户的安全角色中定义的特权决定。 其管理读写访问模式也决定其在环境中的访问权限级别。

用户诊断

使用以下步骤对环境中的用户运行用户访问诊断。

  1. Power Platform 管理中心,选择一个环境。

  2. 选择设置>用户 + 权限>用户

  3. 选择用户。

  4. 选择运行诊断

    选择“运行诊断”。

  5. 查看用户的详细信息,然后执行任何所需的纠正操作。

    运行诊断结果。

备注

运行或重新运行诊断的操作将把 Microsoft Entra ID 中的用户信息强制同步到环境的 Dataverse 数据库,以提供用户属性的最新状态。 如果诊断运行无法消除用户访问问题的根本原因,请在您创建的支持票证中提供运行诊断的结果;这将极大地帮助 Microsoft 支持工程师更快地解决问题。

访问问题

将在下面记录下列问题。 如果没有看到问题,请执行以下操作:

Power Platform 管理中心中的用户权限诊断工具

有若干因素会影响用户在环境中的访问权限。 为了帮助管理员诊断用户对环境的访问和可以访问或无法访问的原因,Power Platform 管理中心中新增的“运行诊断”功能提供了适用于环境中的用户个人的基本访问诊断。 此功能可帮助检测用户登录问题和其他问题的潜在原因,并推荐潜在缓解措施。 请参阅用户诊断

用户 Dataverse 安全角色

当出现错误屏幕,指出用户没有角色时,系统管理员需要为用户分配角色。 可以将角色直接分配给用户,或者分配给用户所属的组团队。 有关如何向用户分配 Dataverse 安全角色的详细信息,请参阅:向用户分配安全角色

记录可见性问题疑难解答

请参阅如何确定记录访问权限

许可证和成员资格问题疑难解答

  1. 验证是否已为用户分配了许可证,如果尚未分配,则进行分配。 请参阅:向用户帐户添加许可证
  2. 分配许可证后,许可证更改可能需要一些时间来同步到环境。 要为该用户触发同步,环境的系统管理员可以将用户读取到环境中。 请参阅:向具有 Dataverse 数据库的环境添加用户

排除访问问题

  1. 作为环境的系统管理员,验证环境是否与任何 Microsoft Entra 组相关联。 请参阅:将安全组和环境关联
  2. 确保有访问问题的用户是与环境关联的组的成员。 请参阅:创建安全组并向安全组添加成员
  3. 更新环境的组中的用户成员身份后,更改可能需要一些时间来同步到环境。 要为该用户触发同步,环境的系统管理员可以将用户读取到环境中。 请参阅:向具有 Dataverse 数据库的环境添加用户

性能问题疑难解答

您权限不足,无法访问客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。 系统管理员需要完成以下步骤。

  1. 在 Power Platform 管理中心,选择一个环境。

  2. 选择设置>用户 + 权限>用户

  3. 打开用户记录。

  4. 选择更多命令 (更多命令按钮。) >管理角色

  5. 记录分派给该用户的角色。 如果适用,请选择其他安全角色。 关闭管理用户角色对话框。

  6. 选择安全>安全角色

  7. 选择步骤 4 中的安全角色。

  8. 选择核心记录

  9. 确认用户实体 UI 设置读取权限设置为用户级别(带有楔形段的黄色圆圈)。

    如果安全角色缺少该权限,系统管理员需要通过单击或点按以更改此设置。

    用户实体 UI 设置。

未说明的用户问题疑难解答

在某些情况下,用户不会自动预配到环境中。

如果用户满足所有访问要求,但仍在环境中缺失,则该用户可能会遇到下列情况之一:

  1. 仅具有 Office 许可证(已启用 Dataverse 计划)的用户将无法预配到环境中。

  2. 将不会预配与环境关联的 Microsoft Entra 组的负责人。

  3. 将不会预配属于为 Microsoft Entra 组创建的组团队的 Microsoft Entra 组的成员。

  4. 用户将不会预配到 Microsoft Dataverse for Teams 环境中。

虽然不会预配这些用户,但他们可以通过按需同步添加到环境中。有关根据需要添加或刷新用户的方法,请参阅以下部分。

按需用户管理故障排除

如上所述,存在不会自动预配用户的情况。 此外,在环境中反映用户的最新状态可能有延迟。 在此类情况下,根据需要添加或刷新特定用户可能会有帮助。

执行此操作的方法有多种:

  1. 实时 (JIT) 用户预配:当用户访问环境 URL 时,将在登录时查看访问要求,符合条件的用户将添加到环境。

  2. 用户模拟调用:模拟调用会触发对用户的 JIT 同步。 请参阅如何模拟用户

  3. 在 Power Platform 管理中心中添加用户:管理员可以添加或刷新用户。 请参阅将用户添加到环境

  4. Powershell cmdlet:请参阅对 Power Apps 的 Powershell 支持

  5. 连接器:请参阅 Power Platform for Admins

  6. Power Automate 模板:请参阅将 Microsoft Entra 组成员强制同步到指定的 CDS 实例

已知问题

检查是否存在分配给用户的安全角色仅检查直接分配给用户的角色,现在无法检查通过组团队成员资格继承的角色。