Configurar a segurança do usuário para recursos em um ambiente

O Microsoft Dataverse usa um modelo de segurança baseado em função para ajudar a proteger o acesso ao banco de dados. Este artigo explica como criar os artefatos de segurança que você deve ter para ajudar a proteger recursos em um ambiente. Os direitos de acesso podem ser usados para configurar o acesso em todo o ambiente a todos os recursos no ambiente ou para configurar o acesso a aplicativos e dados específicos no ambiente. Os direitos de acesso controlam o acesso do usuário aos recursos de um ambiente por meio de um conjunto de níveis de acesso e permissões. A combinação de níveis de acesso e permissões que são incluídos em um direito de acesso específico determina as limitações no modo de exibição do usuário de aplicativos e dados e nas interações do usuário com esses dados.

Um ambiente pode ter nenhum ou um banco de dados do Dataverse. O processo para atribuir direitos de acesso a ambientes sem bancos de dados do Dataverse difere do processo para um ambiente que tem um banco de dados do Dataverse.

Direitos de acesso predefinidos

Os ambientes incluem direitos de acesso predefinidos que refletem tarefas comuns de usuário com os níveis de acesso definidos para corresponder ao objetivo de práticas recomendadas de segurança, a fim de fornecer acesso à quantidade mínima de dados corporativos necessários para o uso do aplicativo.

Esses direitos de acesso podem ser atribuídas ao usuário, à equipe do dono e à equipe de grupo.

Existe outro conjunto de direitos de acesso que é atribuído a usuários do aplicativo. Esses direitos de acesso são instalados por nossos serviços e não podem ser atualizados.

Quais direitos de acesso predefinidos estão disponíveis em seu ambiente depende do tipo de ambiente.

Ambientes sem um banco de dados do Dataverse

Criador de Ambiente e Administrador de Ambiente são as únicas funções predefinidas para ambientes que não têm um banco de dados do Dataverse. Essas funções são definidas na tabela a seguir.

Direito de acesso Privilégios de banco de dados* Descrição
Administrador de Ambiente Criar, ler, gravar, excluir, personalizações, funções de segurança A função Administrador de Ambiente pode executar todas as ações administrativas em um ambiente, incluindo o seguinte:
  • Adicionar ou remover um usuário da função Administrador de Ambiente ou Criador de Ambiente.
  • Provisionar um banco de dados do Dataverse para o ambiente. Após o provisionamento de um banco de dados, a função Personalizador de Sistema também deve ser atribuída a um Administrador de Ambiente para fornecer acesso aos dados do ambiente.
  • Exibir e gerenciar todos os recursos criados em um ambiente.
  • Definir políticas de prevenção contra perda de dados. Mais informações: Políticas de prevenção contra perda de dados
Criador de Ambiente Personalizações Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas, gateways e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Mais informações: Visão geral de ambientes

Os criadores de ambientes também podem distribuir os aplicativos que criaram em um ambiente para outros usuários da organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. Mais informações: Compartilhar um aplicativo no Power Apps

*O escopo desses privilégios é global, a menos que especificado em contrário.

Ambientes com um banco de dados do Dataverse

Se o ambiente tiver um banco de dados do Dataverse, um usuário deverá receber a função Administrador do Sistema em vez da função Administrador do Ambiente para privilégios de administrador completos, conforme descrito na tabela a seguir.

Para usuários que criam aplicativos que se conectam ao banco de dados e precisam criar ou atualizar entidades e funções de segurança, é necessário atribuir a função Personalizador de Sistema, além da função Criador de Ambiente. Isso é necessário porque a função Criador de Ambiente não tem privilégios nos dados do ambiente.

Direito de acesso Privilégios de banco de dados* Descrição
Criador de Ambiente Personalizações Pode criar novos recursos associados a um ambiente, incluindo conexões, aplicativos, APIs personalizadas, gateways e fluxos usando o Microsoft Power Automate. Entretanto, esta função não tem privilégios para acessar dados em um ambiente. Mais informações: Visão geral de ambientes

Os criadores de ambientes também podem distribuir os aplicativos que criaram em um ambiente para outros usuários da organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. Mais informações: Compartilhar um aplicativo no Power Apps
Administrador do Sistema Criar, ler, gravar, excluir, personalizações, funções de segurança Tem permissão total para personalizar ou administrar o ambiente, incluindo a criação, a alteração e a atribuição de funções de segurança. Pode exibir todos os dados no ambiente. Mais informações: Privilégios necessários para personalização
Personalizador de Sistema Criar (próprio), ler (próprio), gravar (próprio), excluir (próprio), personalizações Tem total permissão para personalizar o ambiente. Mas, usuários com esta função só podem exibir registros para entidades do ambiente criadas por eles. Mais informações: Privilégios necessários para personalização
Usuário Básico Ler (próprio), Criar (próprio), Gravar (próprio), Excluir (próprio) Pode executar um aplicativo no ambiente e realizar tarefas comuns para os registros de sua propriedade. Observe que isso se aplica apenas a entidades não personalizadas. Mais Informações: Crie ou configure um direito de acesso personalizado

Nota : o direito de acesso do Usuário do Common Data Service foi renomeado para Usuário básico. Nenhuma ação é necessária: é apenas um nome alterado e não afeta os privilégios do usuário ou a atribuição de função. Se você tiver uma solução com o direito de acesso do Usuário do Common Data Service, poderá atualizar inadvertidamente o nome do direito de acesso de volta para Usuário do Common Data Service ao importar a Solução. Atualize a solução antes de importá-la novamente.
Leitor de service Lidas Tem permissão de leitura total para todas as entidades, incluindo entidades personalizadas. Isso é usado principalmente pelo serviço de back-end que requer a leitura de todas as entidades.
Gravador de serviço Criar, Ler, Gravar Tem permissão para Criar, Ler e Gravar total para todas as entidades, incluindo entidades personalizadas. Isso é usado principalmente pelo serviço de back-end que requer a criação e atualização de registros.
Delegar Agir em nome de outro usuário Permite que o código seja representado ou executado por outro usuário. Geralmente usado por outro direito de acesso para habilitar o acesso aos registros. Mais informações: Representar outro usuário
Suporte ao Usuário Ler personalizações, Ler as configurações de gerenciamento de negócios Tem total permissão de leitura para personalização e configurações de gerenciamento de negócios para permitir que a equipe de suporte solucione problemas de configuração do ambiente. Não tem acesso aos registros principais.
Leitor Global A função Leitor Global ainda não é compatível no centro de administração do Power Platform.

*O escopo desses privilégios é global, a menos que especificado em contrário.

Outros direitos de acesso que você possui que não estão na tabela acima podem ter sido fornecidos quando você instalou os aplicativos do Dynamics 365.

Dataverse for Teams ambientes

Para obter informações sobre os direitos de acesso do ambiente do Dataverse for Teams, consulte Acesso do usuário a ambientes do Dataverse for Teams.

Direitos de acesso específicos do aplicativo

Se você implantar aplicativos do Dynamics 365 em seu ambiente do Dataverse, como o Dynamics 365 Sales ou o Dynamics 365 Field Service, os direitos de acesso adicionais serão adicionadas como resultado da implantação desses aplicativos. Para obter informações sobre esses direitos de acesso adicionais, consulte a documentação dos respectivos aplicativos:

Aplicativo do Dynamics 365 Documentação do direito de acesso
Dynamics 365 Sales Atribuir um direito de acesso a um usuário
Dynamics 365 Marketing Gerenciar contas de usuário, licenças de usuário e direitos de acesso
Gerenciar funções para uma equipe
Permitir que os usuários trabalhem com o conector do LinkedIn Lead Gen
Dynamics 365 Field Service Configurar usuários e perfis de segurança do Dynamics 365 Field Service
Direitos de acesso para Connected Field Service
Atribuir direitos de acesso ao aplicativo móvel do Field Service
Dynamics 365 Customer Service Atribuir funções e habilitar usuários para o Omnicanal para Customer Service
Gerenciar usuários no Omnicanal para Customer Service
Gerenciador de perfis de aplicativo Funções e privilégios associados ao gerenciador de perfis de aplicativos

Resumo dos recursos disponíveis para direitos de acesso predefinidos

A tabela a seguir descreve quais recursos podem ser criados por cada direito de acesso.

Recurso Criador de Ambiente Administrador de Ambiente Personalizador de Sistema Administrador do sistema
Aplicativo de tela X X - X
Fluxo da nuvem X (não sensível a solução) X X (não sensível a solução) X
Conector X X - X
Conexão X X - X
Gateway de dados X X - X
Fluxo de Dados X X - X
Tabelas do Dataverse - - X X
Aplicativo baseado em modelo - - X X
Estrutura da solução - - X X
Fluxo da área de trabalho - - X X
AI Builder - - X X

Atribuir direitos de acesso aos usuários em um ambiente sem um banco de dados do Dataverse

Para ambientes sem banco de dados do Dataverse, os direitos de acesso podem ser atribuídos a usuários individuais ou grupos do Azure AD. Um usuário com a função Administrador de Ambiente no ambiente pode executar essas etapas.

  1. Entre no centro de administração da Power Platform.

  2. Selecione Ambientes > [selecione um ambiente].

  3. No bloco Acesso, selecione Ver todos em Administrador de ambiente ou Criador de ambiente para adicionar ou remover pessoas.

    Escolha uma função.

  4. Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de email de um ou mais usuários ou grupos do Azure AD para atribuir esta função a eles.

    Selecione uma ação.

Atribuir direitos de acesso a usuários em um ambiente com um banco de dados do Dataverse

Os direitos de acesso podem ser atribuídos a equipes de proprietários e  equipes de grupos do Azure AD, além de usuários individuais. Antes de atribuir uma função a um usuário, verifique se o usuário está presente no ambiente no status Habilitado. Adicione o usuário ao ambiente ou corrija o status para se tornar Habilitado antes de atribuir uma função a eles. Você poderá atribuir uma função como parte do processo de adição do usuário.

Em geral, o direito de acesso pode ser atribuído somente a usuários que têm o status Habilitado. Mas se for necessário atribuir um direito de acesso aos usuários no estado Desabilitado, você poderá fazer isso habilitando allowRoleAssignmentOnDisabledUsers em OrgDBOrgSettings.

Para adicionar um direito de acesso a uma equipe do proprietário, equipe do grupo ou usuário com status Habilitado em um ambiente:

  1. Entre no centro de administração da Power Platform.

  2. Selecione Ambientes > [selecione um ambiente].

  3. No bloco Acessar, selecione Ver tudo em Direitos de acesso.

    Consulte todos os direitos de acesso.

  4. Certifique-se de que a unidade de negócios correta esteja selecionada na lista suspensa e selecione uma função na lista de funções no ambiente.

    Selecione a unidade de negócios.

  5. Selecione Adicionar pessoas para adicionar um usuário, equipe do proprietário ou equipe do grupo à função. Se você não encontrar um usuário ou equipe para atribuir a função, certifique-se de que o usuário ou equipe esteja presente no ambiente e que o usuário tenha o status Habilitado antes de atribuir uma função a eles.

    Adicione o pessoal.

Criar ou configurar um direito de acesso personalizado

Se seu aplicativo usar uma entidade personalizada, seus privilégios deverão ser explicitamente concedidos em um direito de acesso antes que seja possível usar seu aplicativo. Você pode adicionar esses privilégios a um direito de acesso existente ou criar um direito de acesso personalizado.

Observação

Todo direito de acesso deve incluir um conjunto mínimo de privilégios antes ser usado. Eles são descritos posteriormente neste artigo.

Dica

O ambiente pode manter os registros que podem ser usados por vários aplicativos; portanto, talvez seja necessário ter vários direitos de acesso para acessar os dados usando privilégios diferentes. Por exemplo:

  • Alguns usuários (digamos, Tipo A) podem precisar somente ler, atualizar e anexar outros registros; portanto, o direito de acesso terá privilégios de leitura, gravação e acréscimo.
  • Outros usuários podem precisar de todos os privilégios que os usuários do Tipo A têm, além da capacidade de criar, anexar, excluir e compartilhar. O direito de acesso para esses usuários terá os privilégios de criação, leitura, gravação, acréscimo, exclusão, atribuição, atribuição a e compartilhamento.

Para obter mais informações sobre direitos de acesso e privilégios de escopo, consulte Direitos de acesso e privilégios.

  1. Entre no centro de administração do Power Platform e selecione o ambiente em que você deseja atualizar um direito de acesso.

  2. Selecione o URL do ambiente.

    Selecione a URL do ambiente.

  3. Caso você veja aplicativos e blocos publicados, selecione o ícone de engrenagem (Configurações.) no canto superior direito e selecione Configurações avançadas.

  4. Na barra de menus, selecione Configurações > Segurança.

    Selecione Direitos de acesso.

  5. Selecione Novo.

  6. No designer direito de acesso, insira um nome de função na guia Detalhes. Nas outras guias, você selecionará as ações e o escopo para executar essa ação.

  7. Selecione uma guia e procure sua entidade. Por exemplo, selecione a guia Entidades Personalizadas para definir permissões em uma entidade personalizada.

  8. Selecione os privilégios Ler, Gravar, Acrescentar.

  9. Selecione Salvar e Fechar.

Privilégios mínimos para executar um aplicativo

Quando criar um direito de acesso personalizado, você precisará incluir um conjunto de privilégios mínimos no direito de acesso para que um usuário execute um aplicativo. Criamos uma solução a ser importada que fornece um direito de acesso que inclui os privilégios mínimos necessários.

Comece pelo download da solução do Centro de Download: direito de acesso de privilégio mínimo do Dataverse.

Em seguida, siga estas instruções para importar a solução: Importar soluções.

Quando você importa a solução, ela cria a função min pro apps use que você pode copiar (consulte: Criar um direito de acesso por Copiar Função). Quando o processo Copiar Função for concluído, navegue até cada guia—Registros Principais, Gerenciamento de Negócios, Personalização e assim por diante—e defina os privilégios apropriados.

Importante

Você pode testar uma solução em um ambiente de desenvolvimento antes de importá-la para um ambiente de produção.

Consulte também

Conceder acesso aos usuários
Controlar o acesso do usuário a ambientes: grupos de segurança e licenças
Como é determinado o acesso a um registro