作为管理员,可以在 Microsoft Power Platform 环境中控制对 Dataverse 的来宾访问。 通过在 Microsoft Dataverse 中使用来宾访问设置 restrictGuestUserAccess,您可以允许或阻止 Microsoft Entra 企业对企业 (B2B) 来宾用户访问环境中的 Dataverse 数据。
当你限制来宾访问(启用)时,将会阻止该环境中所有外部来宾用户的 Dataverse 操作。 默认情况下,Dataverse 对所有新环境的来宾访问受到限制。 必须在现有环境中手动启用 Dataverse 访问。 允许来宾访问(已禁用)时,来宾用户可以访问 Dataverse 中的数据,前提是它们满足必要的安全角色和许可要求。 此设置支持选择性外部协作,而无需应用广泛的租户范围限制。
Prerequisites
- 来宾访问限制设置仅控制对环境中的 Dataverse 的访问。
- Dataverse 中的管理员角色,例如 Power Platform Admin、Dynamics 365 管理员或系统管理员。
- 对于 CLI 配置:
- 已安装 Power Platform 命令行接口(CLI)(通过 Visual Studio Code 扩展或作为 .NET 全局工具)。
- 使用
pac auth create进行相应凭据的身份验证。
控制来宾访问
使用访客访问设置来:
- 防止外部访客用户访问特定环境中的敏感 Dataverse 数据,同时允许其在其他环境中访问。
- 通过在开发或测试环境中允许来宾访问,但限制在生产环境中,允许与合作伙伴、承包商或客户端进行受控协作。
访问受限时的来宾行为
当此设置启用(开启)时:
- 无数据访问: 来宾用户无法在环境中连接到 Dataverse,无法查询或修改 Dataverse 数据,也不能创建新的与 Dataverse 的连接。
- 无应用使用情况: 来宾无法在环境中运行依赖 Dataverse 的 Power Apps。 尝试使用 Dataverse 打开共享应用或执行工作流的行为被阻止。
- 无创建者操作: 来宾无法在环境中使用 Dataverse 创建或编辑应用。
- 阻止了新的连接和 API 调用: 来宾无法创建新的与 Dataverse 数据的连接,也不能在环境中对 Dataverse 进行 API 调用。
- 已禁用现有来宾连接: 以前创建的与 Dataverse 的来宾拥有的连接将被禁用,但不会删除。
Limitations
- 不适用于没有 Dataverse 的环境。
- 不会覆盖在 Microsoft Entra ID 中或通过条件访问设置的租户级访客访问策略。
- 为每个环境应用来宾访问设置并单独对其进行配置。
- 通过阻止来宾访问,可以阻止任何来宾保存到 Dataverse 并使用 Dataverse 资源。
- 来宾在不使用 Dataverse 的环境中访问应用程序不会受到限制。
- 在 Copilot Studio 中创建的项可能使用 Microsoft Graph 连接器作为Microsoft Power Platform 外部的知识源。 目前,即使阻止来宾访问,来宾也可以访问这些项目中的信息。
在 Power Platform 管理中心配置来宾访问
管理环境的访客访问权限:
- 登录到 Power Platform 管理中心 并选择 安全中心。
- 选择 “标识”和“访问权限”。
- 找到 来宾访问 设置。
- 选择环境。
- 将设置“ 打开 ”(受限)或 “关闭 ”(允许),然后选择“ 保存”。
- 开启(受限):阻止访客访问该环境。
- 关闭(允许): 允许来宾访问。
此切换更新后端 restrictGuestUserAccess 标志:
-
true当来宾访问受到限制时。 -
false允许访客访问时。
使用 Power Platform CLI 配置来宾访问
还可以使用 Power Platform CLI 配置来宾访问,这对于跨多个环境编写脚本和自动执行设置非常有用。
示例
限制来宾访问(阻止来宾):pac env update-settings --environment "" --name "restrictGuestUserAccess" --value true
允许来宾访问:pac env update-settings --environment "" --name "restrictGuestUserAccess" --value false
列表设置示例:pac env list-settings --environment "your-environment-url" --filter "guest"