Segurança do usuário em um ambiente
O Microsoft Dataverse usa um modelo de segurança baseado em função para controlar o acesso a um banco de dados e seus recursos em um ambiente. Use os direitos de acesso para configurar o acesso a todos os recursos em um ambiente ou a aplicativos e dados específicos no ambiente. Uma combinação de níveis de acesso e permissões em um direito de acesso determina quais aplicativos e dados os usuários podem visualizar e como eles podem interagir com esses aplicativos e dados.
Um ambiente pode ter nenhum ou um banco de dados do Dataverse. Você pode atribuir direitos de acesso de forma diferente para ambientes que não têm banco de dados do Dataverse e ambientes que têm um banco de dados do Dataverse.
Saiba mais sobre ambientes no Power Platform.
Direitos de acesso predefinidos
Os ambientes incluem direitos de acesso predefinidos que refletem as tarefas comuns do usuário. Os direitos de acesso predefinidos seguem a melhor prática de segurança de "acesso mínimo necessário": forneça o mínimo de acesso aos dados corporativos mínimos que um usuário precisa para usar um aplicativo. Esses direitos de acesso podem ser atribuídas a um usuário, à equipe do proprietário e à equipe de grupo. As funções de segurança predefinidas que estão disponíveis em um ambiente dependem do tipo de ambiente e dos aplicativos instalados nele.
Outro conjunto de direitos de acesso foi atribuído aos usuários do aplicativo. Esses direitos de acesso são instalados por nossos serviços e não podem ser atualizados.
Ambientes sem um banco de dados do Dataverse
Criador de Ambiente e Administrador de Ambiente são as únicas funções predefinidas para ambientes que não têm um banco de dados do Dataverse. Essas funções são descritas na tabela a seguir.
| Direito de acesso | Description |
|---|---|
| Administrador de Ambiente | A função Administrador de Ambiente pode executar todas as ações administrativas em um ambiente, incluindo:
|
| Criador de Ambiente | Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. |
Ambientes com um banco de dados do Dataverse
Se o ambiente tiver um banco de dados do Dataverse, um usuário deverá ter a função de Administrador do Sistema, em vez da função Administrador de Ambiente para ter os privilégios totais de administrador.
Usuários que criam aplicativos que se conectam ao banco de dados e precisam criar ou atualizar entidades e direitos de acesso devem ter a função de Personalizador de Sistema, além da função de Criador de Ambiente. A função de Criador de Ambiente não tem privilégios nos dados do ambiente.
A tabela a seguir descreve os direitos de acesso predefinidos em um ambiente que possui um banco de dados do Dataverse. Não é possível editar essas funções.
| Direito de acesso | Description |
|---|---|
| App Opener | Tem privilégios mínimos para tarefas comuns. Essa função é usada principalmente como modelo para criar um direito de acesso personalizado para aplicativos baseados em modelo. Ele não tem privilégios nas tabelas de negócios principais, como Conta, Contato e Atividade. No entanto, ele tem acesso de leitura em nível de Organização às tabelas do sistema, como Processo, para suportar a leitura de fluxos de trabalho fornecidos pelo sistema. Esse direito de acesso é usado quando um novo direito de acesso personalizado é criado. |
| Usuário Básico | Somente para entidades prontas para uso, podem executar um aplicativo no ambiente e realizar tarefas comuns nos registros que possuem. Ele possui privilégios para as principais tabelas de negócios, como Conta, Contato, Atividade e Processo. Observação: o direito de acesso Usuário do Common Data Service foi renomeado como Usuário Básico. Apenas o nome foi alterado; privilégios de usuário e atribuição de função são os mesmos. Se você tiver uma solução com o direito de acesso Usuário do Common Data Service, atualize a solução antes de importá-la novamente. Caso contrário, você pode alterar inadvertidamente o nome do direito de acesso de volta para Usuário ao importar a solução. |
| Delegar | Permite que o código seja representado, ou executado por outro usuário. Normalmente usada com outro direito de acesso para permitir acesso aos registros. |
| Administrador do Dynamics 365 | O administrador do Dynamics 365 é uma função de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema. |
| Criador de Ambiente | Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. |
| Administrador Global do | Administrador global é uma função Administrador do Microsoft 365. A pessoa que adquire a assinatura comercial da Microsoft é um administrador global e tem controle ilimitado sobre os produtos da assinatura e acesso à maioria dos dados. Deve ocorrer a elevação automática dos usuários desta função para a função de administrador do sistema. |
| Leitor Global | A função Leitor Global não é suportada ainda no centro de administrador do Power Platform. |
| Colaboradores do Office | Tem permissão de Leitura para tabelas nas quais um registro foi compartilhado com a organização. Não tem acesso a nenhum outro registro de tabela principal e personalizada. Esta função é atribuída à equipe do proprietário dos colaboradores do Office e não a um usuário individual. |
| Administrador do Power Platform | O administrador do Power Platform é um direito de acesso de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema. |
| Serviço Excluído | Tem permissão de Exclusão para todas as entidades, incluindo entidades personalizadas. Essa função é usada principalmente pelo serviço e requer a exclusão de registros em todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
| Leitor de Serviços | Tem permissão de Leitura total para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a leitura de todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
| Gravador de Serviços | Tem permissão total de Criação, Leitura e Gravação para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a criação e atualização de registros. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
| Usuário de Suporte | Tem total permissão de Leitura para configurações de gerenciamento de negócios e personalização que permitem que a equipe de suporte solucione problemas de configuração do ambiente. Esta função não tem acesso aos registros principais. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
| Administrador do Sistema | Tem total permissão para personalizar ou administrar o ambiente, incluindo criação, modificação e atribuição de direitos de acesso. Pode ver todos os dados no ambiente. |
| Personalizador do Sistema | Tem total permissão para personalizar o ambiente. Pode exibir todos os dados da tabela personalizada no ambiente. No entanto, os usuários com essa função podem exibir apenas os registros que eles criam nas tabelas Conta, Contato e Atividade. |
| Proprietário do aplicativo do site | Um usuário que é dono do registro de aplicativo do site no Portal do Azure. |
| Proprietário do site | O usuário que criou o site do Power Pages. Essa função é gerenciada e não pode ser alterada. |
Além dos direitos de acesso predefinidos descritos para o Dataverse, outros direitos de acesso podem estar disponíveis em seu ambiente, dependendo dos componentes do Power Platform – Power Apps, Power Automate, Microsoft Copilot Studio – que você tenha. A tabela a seguir fornece links para mais informações.
| Componente do Power Platform | Informações |
|---|---|
| Power Apps | Direitos de acesso predefinidos para ambientes com um banco de dados do Dataverse |
| Power Automate | Segurança e privacidade |
| Power Pages | Funções necessárias para a administração do site |
| Microsoft Copilot Studio | Atribuir direitos de acesso a um ambiente |
Ambientes do Dataverse for Teams
Saiba mais sobre direitos de acesso predefinidos nos ambientes do Dataverse for Teams.
Direitos de acesso específicos do aplicativo
Se você implantar aplicativos do Dynamics 365 em seu ambiente, outros direitos de acesso serão adicionados. A tabela a seguir fornece links para mais informações.
| Aplicativo do Dynamics 365 | Documentação do direito de acesso |
|---|---|
| Dynamics 365 Sales | Direitos de acesso predefinidos para Sales |
| Dynamics 365 Marketing | Direitos de acesso adicionados pelo Dynamics 365 Marketing |
| Dynamics 365 Field Service | Funções + definições do Dynamics 365 Field Service |
| Dynamics 365 Customer Service | Funções no Omnicanal para Customer Service |
| Dynamics 365 Customer Insights | Funções do Customer Insights |
| Gerenciador de perfis de aplicativo | Funções e privilégios associados ao gerenciador de perfis de aplicativos |
| Dynamics 365 Finance | Direitos de acesso no setor público |
| Aplicativos de finanças e operações | Direitos de acesso no Microsoft Power Platform |
Resumo dos recursos disponíveis para direitos de acesso predefinidos
A tabela a seguir descreve quais recursos cada direito de acesso pode criar.
| Recurso | Criador de Ambiente | Administrador de Ambiente | Personalizador de Sistema | Administrador do sistema |
|---|---|---|---|---|
| Aplicativo de tela | X | X | X | X |
| Fluxo da nuvem | X (não sensível à solução) | X | X | X |
| Connector | X (não sensível à solução) | X | X | X |
| Conexão* | X | X | X | X |
| Gateway de dados | - | X | - | X |
| Fluxo de Dados | X | X | X | X |
| Tabelas do Dataverse | - | - | X | X |
| Aplicativo baseado em modelo | X | - | X | X |
| Estrutura da solução | X | - | X | X |
| Fluxo da área de trabalho** | - | - | X | X |
| AI Builder | - | - | X | X |
*As conexões são usadas no aplicativos de tela e no Power Automate.
**Os usuários do Dataverse for Teams não têm acesso a fluxos da área de trabalho por padrão. Você precisa atualizar seu ambiente para todos os recursos do Dataverse e adquirir Planos de licença de fluxo da área de trabalho para usar fluxos da área de trabalho.