Compartilhar via


Configurar a segurança do usuário em um ambiente

O Microsoft Dataverse usa um modelo de segurança baseado em função para controlar o acesso a um banco de dados e seus recursos em um ambiente. Use os direitos de acesso para configurar o acesso a todos os recursos em um ambiente ou a aplicativos e dados específicos no ambiente. Uma combinação de níveis de acesso e permissões em um direito de acesso determina quais aplicativos e dados os usuários podem visualizar e como eles podem interagir com esses aplicativos e dados.

Um ambiente pode ter nenhum ou um banco de dados do Dataverse. Você pode atribuir direitos de acesso de forma diferente para ambientes que não têm banco de dados do Dataverse e ambientes que têm um banco de dados do Dataverse.

Saiba mais sobre ambientes no Power Platform.

Direitos de acesso predefinidos

Os ambientes incluem direitos de acesso predefinidos que refletem as tarefas comuns do usuário. Os direitos de acesso predefinidos seguem a melhor prática de segurança de "acesso mínimo necessário": forneça o mínimo de acesso aos dados corporativos mínimos que um usuário precisa para usar um aplicativo. Esses direitos de acesso podem ser atribuídas a um usuário, à equipe do proprietário e à equipe de grupo. Os direitos de acesso predefinidos disponíveis em um ambiente dependem do tipo de ambiente e dos aplicativos instalados nele.

Outro conjunto de direitos de acesso foi atribuído aos usuários do aplicativo. Esses direitos de acesso são instalados por nossos serviços e não podem ser atualizados.

Ambientes sem um banco de dados do Dataverse

Criador de Ambiente e Administrador de Ambiente são as únicas funções predefinidas para ambientes que não têm um banco de dados do Dataverse. Essas funções são descritas na tabela a seguir.

Direito de acesso Description
Administrador de Ambiente A função Administrador de Ambiente pode executar todas as ações administrativas em um ambiente, incluindo:
  • Adicionar ou remover um usuário da função Administrador de Ambiente ou Criador de Ambiente.
  • Provisionar um banco de dados do Dataverse para o ambiente. Depois que um banco de dados é provisionado, atribua a função Personalizador de Sistema a um Administrador de Ambiente para dar acesso aos dados do ambiente.
  • Exibir e gerenciar todos os recursos criados em um ambiente.
  • Criar políticas de prevenção contra perda de dados
Criador de Ambiente Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente.

Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização.

Ambientes com um banco de dados do Dataverse

Se o ambiente tiver um banco de dados do Dataverse, um usuário deverá ter a função de Administrador do Sistema, em vez da função Administrador de Ambiente para ter os privilégios totais de administrador.

Usuários que criam aplicativos que se conectam ao banco de dados e precisam criar ou atualizar entidades e direitos de acesso devem ter a função de Personalizador de Sistema, além da função de Criador de Ambiente. A função de Criador de Ambiente não tem privilégios nos dados do ambiente.

A tabela a seguir descreve os direitos de acesso predefinidos em um ambiente que possui um banco de dados do Dataverse. Não é possível editar essas funções.

Direito de acesso Description
App Opener Tem privilégios mínimos para tarefas comuns. Essa função é usada principalmente como modelo para criar um direito de acesso personalizado para aplicativos baseados em modelo. Ele não tem privilégios nas tabelas de negócios principais, como Conta, Contato e Atividade. No entanto, ele tem acesso de leitura em nível de Organização às tabelas do sistema, como Processo, para suportar a leitura de fluxos de trabalho fornecidos pelo sistema. Observe que o direito de acesso é usado quando um novo direito de acesso personalizado é criado.
Usuário Básico Somente para entidades prontas para uso, podem executar um aplicativo no ambiente e realizar tarefas comuns nos registros que possuem. Ele possui privilégios para as principais tabelas de negócios, como Conta, Contato, Atividade e Processo.

Observação: o direito de acesso Usuário do Common Data Service foi renomeado como Usuário Básico. Apenas o nome foi alterado; privilégios de usuário e atribuição de função são os mesmos. Se você tiver uma solução com o direito de acesso Usuário do Common Data Service, atualize a solução antes de importá-la novamente. Caso contrário, você pode alterar inadvertidamente o nome do direito de acesso de volta para Usuário ao importar a solução.
Delegar Permite que o código seja representado, ou executado por outro usuário. Normalmente usada com outro direito de acesso para permitir acesso aos registros.
Administrador do Dynamics 365 O administrador do Dynamics 365 é uma função de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema.
Criador de Ambiente Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente.

Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização.
Administrador Global do Administrador global é uma função Administrador do Microsoft 365. A pessoa que adquire a assinatura comercial da Microsoft é um administrador global e tem controle ilimitado sobre os produtos da assinatura e acesso à maioria dos dados. Deve ocorrer a elevação automática dos usuários desta função para a função de administrador do sistema.
Leitor Global A função Leitor Global não é suportada ainda no centro de administrador do Power Platform.
Colaboradores do Office Tem permissão de Leitura para tabelas nas quais um registro foi compartilhado com a organização. Não tem acesso a nenhum outro registro de tabela principal e personalizada. Esta função é atribuída à equipe do proprietário dos colaboradores do Office e não a um usuário individual.
Administrador do Power Platform O administrador do Power Platform é um direito de acesso de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema.
Serviço Excluído Tem permissão de Exclusão para todas as entidades, incluindo entidades personalizadas. Essa função é usada principalmente pelo serviço e requer a exclusão de registros em todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe.
Leitor de Serviços Tem permissão de Leitura total para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a leitura de todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe.
Gravador de Serviços Tem permissão total de Criação, Leitura e Gravação para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a criação e atualização de registros. Essa função não pode ser atribuída a um usuário ou a uma equipe.
Usuário de Suporte Tem total permissão de Leitura para configurações de gerenciamento de negócios e personalização que permitem que a equipe de suporte solucione problemas de configuração do ambiente. Esta função não tem acesso aos registros principais. Essa função não pode ser atribuída a um usuário ou a uma equipe.
Administrador do Sistema Tem total permissão para personalizar ou administrar o ambiente, incluindo criação, modificação e atribuição de direitos de acesso. Pode ver todos os dados no ambiente.
Personalizador do Sistema Tem total permissão para personalizar o ambiente. Pode exibir todos os dados da tabela personalizada no ambiente. No entanto, os usuários com essa função podem exibir apenas os registros que eles criam nas tabelas Conta, Contato e Atividade.
Proprietário do aplicativo do site Um usuário que é dono do registro de aplicativo do site no Portal do Azure.
Proprietário do site O usuário que criou o site do Power Pages. Essa função é gerenciada e não pode ser alterada.

Além dos direitos de acesso predefinidos descritos para o Dataverse, outros direitos de acesso podem estar disponíveis em seu ambiente, dependendo dos componentes do Power Platform – Power Apps, Power Automate, Microsoft Copilot Studio – que você tenha. A tabela a seguir fornece links para mais informações.

Componente do Power Platform Informações
Power Apps Direitos de acesso predefinidos para ambientes com um banco de dados do Dataverse
Power Automate Segurança e privacidade
Power Pages Funções necessárias para a administração do site
Microsoft Copilot Studio Atribuir direitos de acesso a um ambiente

Ambientes do Dataverse for Teams

Saiba mais sobre direitos de acesso predefinidos nos ambientes do Dataverse for Teams.

Direitos de acesso específicos do aplicativo

Se você implantar aplicativos do Dynamics 365 em seu ambiente, outros direitos de acesso serão adicionados. A tabela a seguir fornece links para mais informações.

Aplicativo do Dynamics 365 Documentação do direito de acesso
Dynamics 365 Sales Direitos de acesso predefinidos para Sales
Dynamics 365 Marketing Direitos de acesso adicionados pelo Dynamics 365 Marketing
Dynamics 365 Field Service Funções + definições do Dynamics 365 Field Service
Dynamics 365 Customer Service Funções no Omnicanal para Customer Service
Dynamics 365 Customer Insights Funções do Customer Insights
Gerenciador de perfis de aplicativo Funções e privilégios associados ao gerenciador de perfis de aplicativos
Dynamics 365 Finance Direitos de acesso no setor público
Aplicativos de finanças e operações Direitos de acesso no Microsoft Power Platform

Resumo dos recursos disponíveis para direitos de acesso predefinidos

A tabela a seguir descreve quais recursos cada direito de acesso pode criar.

Recurso Criador de Ambiente Administrador de Ambiente Personalizador de Sistema Administrador do sistema
Aplicativo de tela X X X X
Fluxo da nuvem X (não sensível à solução) X X X
Connector X (não sensível à solução) X X X
Conexão* X X X X
Gateway de dados - X - X
Fluxo de Dados X X X X
Tabelas do Dataverse - - X X
Aplicativo baseado em modelo X - X X
Estrutura da solução X - X X
Fluxo da área de trabalho** - - X X
AI Builder - - X X

*As conexões são usadas no aplicativos de tela e no Power Automate.

**Os usuários do Dataverse for Teams não têm acesso a fluxos da área de trabalho por padrão. Você precisa atualizar seu ambiente para todos os recursos do Dataverse e adquirir Planos de licença de fluxo da área de trabalho para usar fluxos da área de trabalho.

Atribuir direitos de acesso a usuários em um ambiente sem um banco de dados do Dataverse

Para ambientes sem banco de dados do Dataverse, um usuário que tenha a função de Administrador de ambiente no ambiente pode atribuir direitos de acesso a usuários individuais ou grupos do Microsoft Entra ID.

  1. Entre no centro de administração do Power Platform.

  2. Selecione Ambientes> [selecione um ambiente].

  3. No bloco Acesso, selecione Ver todos em Administrador de ambiente ou Criador de ambiente para adicionar ou remover pessoas.

    Captura de tela da seleção de um direito de acesso no centro de administração do Power Platform.

  4. Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de email de um ou mais usuários ou grupos do Microsoft Entra ID.

  5. Selecione Adicionar.

Atribuir direitos de acesso a usuários em um ambiente com um banco de dados do Dataverse

Os direitos de acesso podem ser atribuídos a usuários individuais, equipes de proprietários e equipes de grupos do Microsoft Entra. Antes de atribuir uma função a um usuário, verifique se a conta do usuário foi adicionada e está ativada no ambiente.

Em geral, um direito de acesso pode ser atribuído a usuários cujas contas estão ativadas no ambiente. Para atribuir um direito de acesso a uma conta de usuário desativada no ambiente, ative allowRoleAssignmentOnDisabledUsers em OrgDBOrgSettings.

  1. Entre no centro de administração do Power Platform.

  2. Selecione Ambientes> [selecione um ambiente].

  3. No bloco Acesso, selecione Ver tudo em Direitos de acesso.

    Captura de tela da opção de visualizar todos os direitos de acesso no centro de administração do Power Platform.

  4. Certifique-se de que a unidade de negócios correta esteja selecionada na lista e selecione uma função na lista de funções no ambiente.

  5. Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de email de um ou mais usuários ou grupos do Microsoft Entra ID.

  6. Selecione Adicionar.

Crie, edite ou copie um direito de acesso usando a nova e moderna interface do usuário

Você pode facilmente criar, editar ou copiar uma função de segurança e personalizá-la para atender às suas necessidades.

  1. Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois selecione um ambiente.

  2. Selecione Configurações.

  3. Expanda Usuários + Permissões.

  4. Selecione Direitos de acesso.

  5. Conclua a tarefa apropriada:

Criar um direito de acesso

  1. Selecione Nova função na barra de comandos.

  2. No campo Nome da função, insira um nome descritivo para a nova função.

  3. No campo Unidade de negócio, selecione a unidade de negócios à qual a função pertence.

  4. Selecione se os membros da equipe devem herdar a função.

    Se esta configuração estiver habilitada e a função for atribuída a uma equipe, todos os membros da equipe herdarão todos os privilégios associados à função.

  5. Selecione Salvar.

  6. Defina os privilégios e propriedades do direito de acesso.

Editar uma função de segurança

Selecione o nome da função ou a linha e escolha Editar. Em seguida, defina os privilégios e propriedades do direito de acesso.

Alguns direitos de acesso predefinidos não podem ser editados. Se você tentar editar essas funções, os botões Salvar e Salvar + Fechar não estarão disponíveis.

Copiar um direito de acesso

Selecione direito de acesso e escolha Copiar. Dê um novo nome à função. Edite o direito de acesso, conforme necessário.

Apenas os privilégios são copiados, não quaisquer membros e equipes atribuídos.

Auditar direitos de acesso

Audite os direitos de acesso para entender melhor as mudanças feitas na segurança em seu ambiente do Power Platform.

Criar ou configurar um direito de acesso personalizado

Se seu aplicativo usar uma entidade personalizada, seus privilégios deverão ser explicitamente concedidos em um direito de acesso antes que seja possível usar seu aplicativo. Você pode adicionar esses privilégios a um direito de acesso existente ou criar um direito de acesso personalizado.

Cada direito de acesso deve ter um conjunto mínimo de privilégios. Saiba mais sobre direitos de acesso e privilégios.

Dica

O ambiente pode manter registros que podem ser usados por vários aplicativos. Você pode precisar de vários direitos de segurança que concedem privilégios diferentes. Por exemplo:

  • Alguns usuários (digamos, Editores) podem precisar somente ler, atualizar e anexar outros registros; portanto, o direito de acesso terá privilégios de leitura, gravação e acréscimo.
  • Outros usuários podem precisar de todos os privilégios que os Editores têm, além da capacidade de criar, anexar, excluir e compartilhar. O direito de acesso para esses usuários terá os privilégios de criação, leitura, gravação, acréscimo, exclusão, atribuição, atribuição a e compartilhamento.

Crie um direito de acesso personalizado com privilégios mínimos para executar um aplicativo

  1. Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois escolha um ambiente.

  2. Selecione Configurações>Usuários e permissões>Direitos de acesso.

  3. Selecione a função App Opener e, em seguida, selecione Copiar.

  4. Digite o novo nome da função personalizada e selecione Copiar.

  5. Na lista de direitos de acesso, selecione a nova função e selecione Mais ações () >Editar.

  6. No editor de função, selecione a guia Entidades Personalizadas.

  7. Encontre sua tabela personalizada na lista e selecione Ler, Gravar e Acrescentar privilégios.

  8. Selecione Salvar e Fechar.

Criar um direito de acesso personalizado do zero

  1. Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois escolha um ambiente.

  2. Selecione Configurações>Usuários e permissões>Direitos de acesso.

  3. Selecione Nova função.

  4. Informe o nome da nova função na guia Detalhes.

  5. Nas outras guias, encontre sua entidade e selecione as ações e o escopo para realizá-las.

  6. Selecione uma guia e procure sua entidade. Por exemplo, selecione a guia Entidades Personalizadas para definir permissões em uma entidade personalizada.

  7. Selecione os privilégios Ler, Gravar, Acrescentar.

  8. Selecione Salvar e Fechar.

Privilégios mínimos para executar um aplicativo

Quando criar um direito de acesso personalizado, o direito de acesso deve ter um conjunto de privilégios mínimos para que um usuário execute um aplicativo. Saiba mais sobre privilégios mínimos necessários.

Confira também

Conceder acesso aos usuários
Controlar o acesso do usuário a ambientes: grupos de segurança e licenças
Como é determinado o acesso a um registro