Configurar a segurança do usuário em um ambiente
O Microsoft Dataverse usa um modelo de segurança baseado em função para controlar o acesso a um banco de dados e seus recursos em um ambiente. Use os direitos de acesso para configurar o acesso a todos os recursos em um ambiente ou a aplicativos e dados específicos no ambiente. Uma combinação de níveis de acesso e permissões em um direito de acesso determina quais aplicativos e dados os usuários podem visualizar e como eles podem interagir com esses aplicativos e dados.
Um ambiente pode ter nenhum ou um banco de dados do Dataverse. Você pode atribuir direitos de acesso de forma diferente para ambientes que não têm banco de dados do Dataverse e ambientes que têm um banco de dados do Dataverse.
Saiba mais sobre ambientes no Power Platform.
Direitos de acesso predefinidos
Os ambientes incluem direitos de acesso predefinidos que refletem as tarefas comuns do usuário. Os direitos de acesso predefinidos seguem a melhor prática de segurança de "acesso mínimo necessário": forneça o mínimo de acesso aos dados corporativos mínimos que um usuário precisa para usar um aplicativo. Esses direitos de acesso podem ser atribuídas a um usuário, à equipe do proprietário e à equipe de grupo. Os direitos de acesso predefinidos disponíveis em um ambiente dependem do tipo de ambiente e dos aplicativos instalados nele.
Outro conjunto de direitos de acesso foi atribuído aos usuários do aplicativo. Esses direitos de acesso são instalados por nossos serviços e não podem ser atualizados.
Ambientes sem um banco de dados do Dataverse
Criador de Ambiente e Administrador de Ambiente são as únicas funções predefinidas para ambientes que não têm um banco de dados do Dataverse. Essas funções são descritas na tabela a seguir.
Direito de acesso | Description |
---|---|
Administrador de Ambiente | A função Administrador de Ambiente pode executar todas as ações administrativas em um ambiente, incluindo:
|
Criador de Ambiente | Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. |
Ambientes com um banco de dados do Dataverse
Se o ambiente tiver um banco de dados do Dataverse, um usuário deverá ter a função de Administrador do Sistema, em vez da função Administrador de Ambiente para ter os privilégios totais de administrador.
Usuários que criam aplicativos que se conectam ao banco de dados e precisam criar ou atualizar entidades e direitos de acesso devem ter a função de Personalizador de Sistema, além da função de Criador de Ambiente. A função de Criador de Ambiente não tem privilégios nos dados do ambiente.
A tabela a seguir descreve os direitos de acesso predefinidos em um ambiente que possui um banco de dados do Dataverse. Não é possível editar essas funções.
Direito de acesso | Description |
---|---|
App Opener | Tem privilégios mínimos para tarefas comuns. Essa função é usada principalmente como modelo para criar um direito de acesso personalizado para aplicativos baseados em modelo. Ele não tem privilégios nas tabelas de negócios principais, como Conta, Contato e Atividade. No entanto, ele tem acesso de leitura em nível de Organização às tabelas do sistema, como Processo, para suportar a leitura de fluxos de trabalho fornecidos pelo sistema. Observe que o direito de acesso é usado quando um novo direito de acesso personalizado é criado. |
Usuário Básico | Somente para entidades prontas para uso, podem executar um aplicativo no ambiente e realizar tarefas comuns nos registros que possuem. Ele possui privilégios para as principais tabelas de negócios, como Conta, Contato, Atividade e Processo. Observação: o direito de acesso Usuário do Common Data Service foi renomeado como Usuário Básico. Apenas o nome foi alterado; privilégios de usuário e atribuição de função são os mesmos. Se você tiver uma solução com o direito de acesso Usuário do Common Data Service, atualize a solução antes de importá-la novamente. Caso contrário, você pode alterar inadvertidamente o nome do direito de acesso de volta para Usuário ao importar a solução. |
Delegar | Permite que o código seja representado, ou executado por outro usuário. Normalmente usada com outro direito de acesso para permitir acesso aos registros. |
Administrador do Dynamics 365 | O administrador do Dynamics 365 é uma função de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema. |
Criador de Ambiente | Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Os criadores de ambientes também podem distribuir os aplicativos que eles criam em um ambiente para outros usuários de sua organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. |
Administrador Global do | Administrador global é uma função Administrador do Microsoft 365. A pessoa que adquire a assinatura comercial da Microsoft é um administrador global e tem controle ilimitado sobre os produtos da assinatura e acesso à maioria dos dados. Deve ocorrer a elevação automática dos usuários desta função para a função de administrador do sistema. |
Leitor Global | A função Leitor Global não é suportada ainda no centro de administrador do Power Platform. |
Colaboradores do Office | Tem permissão de Leitura para tabelas nas quais um registro foi compartilhado com a organização. Não tem acesso a nenhum outro registro de tabela principal e personalizada. Esta função é atribuída à equipe do proprietário dos colaboradores do Office e não a um usuário individual. |
Administrador do Power Platform | O administrador do Power Platform é um direito de acesso de administrador de serviço do Microsoft Power Platform. Os usuários dessa função podem executar funções administrativas no Microsoft Power Platform depois da elevação automática para a função de administrador do sistema. |
Serviço Excluído | Tem permissão de Exclusão para todas as entidades, incluindo entidades personalizadas. Essa função é usada principalmente pelo serviço e requer a exclusão de registros em todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
Leitor de Serviços | Tem permissão de Leitura total para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a leitura de todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
Gravador de Serviços | Tem permissão total de Criação, Leitura e Gravação para todas as entidades, incluindo as personalizadas. Essa função é usada principalmente pelo serviço e requer a criação e atualização de registros. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
Usuário de Suporte | Tem total permissão de Leitura para configurações de gerenciamento de negócios e personalização que permitem que a equipe de suporte solucione problemas de configuração do ambiente. Esta função não tem acesso aos registros principais. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
Administrador do Sistema | Tem total permissão para personalizar ou administrar o ambiente, incluindo criação, modificação e atribuição de direitos de acesso. Pode ver todos os dados no ambiente. |
Personalizador do Sistema | Tem total permissão para personalizar o ambiente. Pode exibir todos os dados da tabela personalizada no ambiente. No entanto, os usuários com essa função podem exibir apenas os registros que eles criam nas tabelas Conta, Contato e Atividade. |
Proprietário do aplicativo do site | Um usuário que é dono do registro de aplicativo do site no Portal do Azure. |
Proprietário do site | O usuário que criou o site do Power Pages. Essa função é gerenciada e não pode ser alterada. |
Além dos direitos de acesso predefinidos descritos para o Dataverse, outros direitos de acesso podem estar disponíveis em seu ambiente, dependendo dos componentes do Power Platform – Power Apps, Power Automate, Microsoft Copilot Studio – que você tenha. A tabela a seguir fornece links para mais informações.
Componente do Power Platform | Informações |
---|---|
Power Apps | Direitos de acesso predefinidos para ambientes com um banco de dados do Dataverse |
Power Automate | Segurança e privacidade |
Power Pages | Funções necessárias para a administração do site |
Microsoft Copilot Studio | Atribuir direitos de acesso a um ambiente |
Ambientes do Dataverse for Teams
Saiba mais sobre direitos de acesso predefinidos nos ambientes do Dataverse for Teams.
Direitos de acesso específicos do aplicativo
Se você implantar aplicativos do Dynamics 365 em seu ambiente, outros direitos de acesso serão adicionados. A tabela a seguir fornece links para mais informações.
Aplicativo do Dynamics 365 | Documentação do direito de acesso |
---|---|
Dynamics 365 Sales | Direitos de acesso predefinidos para Sales |
Dynamics 365 Marketing | Direitos de acesso adicionados pelo Dynamics 365 Marketing |
Dynamics 365 Field Service | Funções + definições do Dynamics 365 Field Service |
Dynamics 365 Customer Service | Funções no Omnicanal para Customer Service |
Dynamics 365 Customer Insights | Funções do Customer Insights |
Gerenciador de perfis de aplicativo | Funções e privilégios associados ao gerenciador de perfis de aplicativos |
Dynamics 365 Finance | Direitos de acesso no setor público |
Aplicativos de finanças e operações | Direitos de acesso no Microsoft Power Platform |
Resumo dos recursos disponíveis para direitos de acesso predefinidos
A tabela a seguir descreve quais recursos cada direito de acesso pode criar.
Recurso | Criador de Ambiente | Administrador de Ambiente | Personalizador de Sistema | Administrador do sistema |
---|---|---|---|---|
Aplicativo de tela | X | X | X | X |
Fluxo da nuvem | X (não sensível à solução) | X | X | X |
Connector | X (não sensível à solução) | X | X | X |
Conexão* | X | X | X | X |
Gateway de dados | - | X | - | X |
Fluxo de Dados | X | X | X | X |
Tabelas do Dataverse | - | - | X | X |
Aplicativo baseado em modelo | X | - | X | X |
Estrutura da solução | X | - | X | X |
Fluxo da área de trabalho** | - | - | X | X |
AI Builder | - | - | X | X |
*As conexões são usadas no aplicativos de tela e no Power Automate.
**Os usuários do Dataverse for Teams não têm acesso a fluxos da área de trabalho por padrão. Você precisa atualizar seu ambiente para todos os recursos do Dataverse e adquirir Planos de licença de fluxo da área de trabalho para usar fluxos da área de trabalho.
Atribuir direitos de acesso a usuários em um ambiente sem um banco de dados do Dataverse
Para ambientes sem banco de dados do Dataverse, um usuário que tenha a função de Administrador de ambiente no ambiente pode atribuir direitos de acesso a usuários individuais ou grupos do Microsoft Entra ID.
Selecione Ambientes> [selecione um ambiente].
No bloco Acesso, selecione Ver todos em Administrador de ambiente ou Criador de ambiente para adicionar ou remover pessoas.
Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de email de um ou mais usuários ou grupos do Microsoft Entra ID.
Selecione Adicionar.
Atribuir direitos de acesso a usuários em um ambiente com um banco de dados do Dataverse
Os direitos de acesso podem ser atribuídos a usuários individuais, equipes de proprietários e equipes de grupos do Microsoft Entra. Antes de atribuir uma função a um usuário, verifique se a conta do usuário foi adicionada e está ativada no ambiente.
Em geral, um direito de acesso pode ser atribuído a usuários cujas contas estão ativadas no ambiente. Para atribuir um direito de acesso a uma conta de usuário desativada no ambiente, ative allowRoleAssignmentOnDisabledUsers em OrgDBOrgSettings.
Selecione Ambientes> [selecione um ambiente].
No bloco Acesso, selecione Ver tudo em Direitos de acesso.
Certifique-se de que a unidade de negócios correta esteja selecionada na lista e selecione uma função na lista de funções no ambiente.
Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de email de um ou mais usuários ou grupos do Microsoft Entra ID.
Selecione Adicionar.
Crie, edite ou copie um direito de acesso usando a nova e moderna interface do usuário
Você pode facilmente criar, editar ou copiar uma função de segurança e personalizá-la para atender às suas necessidades.
Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois selecione um ambiente.
Selecione Configurações.
Expanda Usuários + Permissões.
Selecione Direitos de acesso.
Conclua a tarefa apropriada:
Criar um direito de acesso
Selecione Nova função na barra de comandos.
No campo Nome da função, insira um nome descritivo para a nova função.
No campo Unidade de negócio, selecione a unidade de negócios à qual a função pertence.
Selecione se os membros da equipe devem herdar a função.
Se esta configuração estiver habilitada e a função for atribuída a uma equipe, todos os membros da equipe herdarão todos os privilégios associados à função.
Selecione Salvar.
Editar uma função de segurança
Selecione o nome da função ou a linha e escolha Editar. Em seguida, defina os privilégios e propriedades do direito de acesso.
Alguns direitos de acesso predefinidos não podem ser editados. Se você tentar editar essas funções, os botões Salvar e Salvar + Fechar não estarão disponíveis.
Copiar um direito de acesso
Selecione direito de acesso e escolha Copiar. Dê um novo nome à função. Edite o direito de acesso, conforme necessário.
Apenas os privilégios são copiados, não quaisquer membros e equipes atribuídos.
Auditar direitos de acesso
Audite os direitos de acesso para entender melhor as mudanças feitas na segurança em seu ambiente do Power Platform.
Criar ou configurar um direito de acesso personalizado
Se seu aplicativo usar uma entidade personalizada, seus privilégios deverão ser explicitamente concedidos em um direito de acesso antes que seja possível usar seu aplicativo. Você pode adicionar esses privilégios a um direito de acesso existente ou criar um direito de acesso personalizado.
Cada direito de acesso deve ter um conjunto mínimo de privilégios. Saiba mais sobre direitos de acesso e privilégios.
Dica
O ambiente pode manter registros que podem ser usados por vários aplicativos. Você pode precisar de vários direitos de segurança que concedem privilégios diferentes. Por exemplo:
- Alguns usuários (digamos, Editores) podem precisar somente ler, atualizar e anexar outros registros; portanto, o direito de acesso terá privilégios de leitura, gravação e acréscimo.
- Outros usuários podem precisar de todos os privilégios que os Editores têm, além da capacidade de criar, anexar, excluir e compartilhar. O direito de acesso para esses usuários terá os privilégios de criação, leitura, gravação, acréscimo, exclusão, atribuição, atribuição a e compartilhamento.
Crie um direito de acesso personalizado com privilégios mínimos para executar um aplicativo
Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois escolha um ambiente.
Selecione Configurações>Usuários e permissões>Direitos de acesso.
Selecione a função App Opener e, em seguida, selecione Copiar.
Digite o novo nome da função personalizada e selecione Copiar.
Na lista de direitos de acesso, selecione a nova função e selecione Mais ações (…) >Editar.
No editor de função, selecione a guia Entidades Personalizadas.
Encontre sua tabela personalizada na lista e selecione Ler, Gravar e Acrescentar privilégios.
Selecione Salvar e Fechar.
Criar um direito de acesso personalizado do zero
Acesse centro de administração do Power Platform, selecione Ambientes no painel de navegação e depois escolha um ambiente.
Selecione Configurações>Usuários e permissões>Direitos de acesso.
Selecione Nova função.
Informe o nome da nova função na guia Detalhes.
Nas outras guias, encontre sua entidade e selecione as ações e o escopo para realizá-las.
Selecione uma guia e procure sua entidade. Por exemplo, selecione a guia Entidades Personalizadas para definir permissões em uma entidade personalizada.
Selecione os privilégios Ler, Gravar, Acrescentar.
Selecione Salvar e Fechar.
Privilégios mínimos para executar um aplicativo
Quando criar um direito de acesso personalizado, o direito de acesso deve ter um conjunto de privilégios mínimos para que um usuário execute um aplicativo. Saiba mais sobre privilégios mínimos necessários.
Confira também
Conceder acesso aos usuários
Controlar o acesso do usuário a ambientes: grupos de segurança e licenças
Como é determinado o acesso a um registro