Compreender funções de ambiente
Você pode gerenciar a segurança no nível do ambiente usando funções, adicionando usuários ao ambiente e atribuindo funções aos usuários. Uma função tem certas permissões associadas a ela, e você pode associar um usuário a uma ou mais funções. Pense nas funções como uma coleção de privilégios. Os ambientes têm duas funções predefinidas que fornecem acesso a permissões em um ambiente. Você atribui usuários a uma dessas duas funções ao considerar quais permissões deseja conceder a um usuário em um ambiente. No entanto, se o ambiente tiver um banco de dados do Dataverse, mais funções serão adicionadas e as opções de permissões serão ampliadas.
Cada ambiente inclui estas funções predefinidas:
Administrador de Ambiente
Criador de Ambiente
Importante
Um usuário é automaticamente associado à função Criador de Ambiente quando é adicionado a um ambiente.
Função Administrador de Ambiente
Antes que um banco de dados do Dataverse seja adicionado ao ambiente, a função Administrador do Ambiente pode executar todas as ações administrativas em um ambiente, inclusive o seguinte:
Adicionar ou remover um usuário ou grupo da função Administrador de Ambiente ou Criador de Ambiente.
Provisionar um banco de dados do Dataverse para o ambiente.
Exibir e gerenciar todos os recursos criados no ambiente.
Definir políticas de prevenção contra perda de dados.
Função Criador de Ambiente
A função Criador de Ambiente pode criar recursos em um ambiente, incluindo aplicativos, conexões, conectores personalizados, gateways e fluxos, usando o Power Automate. As seguintes regras se aplicam aos membros da função Criador de Ambiente:
Os Criadores de Ambiente podem distribuir os aplicativos que criam em um ambiente para outros usuários em uma organização. Eles compartilham o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização.
Os usuários ou os grupos atribuídos a essas funções de ambiente não recebem acesso automático ao banco de dados do ambiente (se houver). Eles devem receber acesso separadamente por um proprietário de Banco de Dados.
Sempre que um novo usuário se inscrever no Power Apps, ele será adicionado automaticamente à função Criador do ambiente padrão.
Ambientes com um armazenamento de dados do Dataverse
Quando um ambiente tem um administrador de dados do Dataverse, os usuários devem receber a função de Administrador do Sistema em vez da função de Administrador do Ambiente para ter privilégios administrativos completos, conforme descrito na tabela a seguir.
Os usuários que criam aplicativos que se conectam ao Dataverse e precisam criar ou atualizar tabelas e direitos de acesso precisam receber a função Personalizador de Sistema, além da função Criador de Ambiente. Isso é necessário porque a função Criador de Ambiente não tem privilégios nos dados do ambiente.
| Direito de acesso | Privilégios do banco de dados* | Descrição |
|---|---|---|
| App Opener | Criar (próprio), Ler, Gravar (próprio), Excluir (próprio) | Tem privilégios mínimos para tarefas comuns. Isso é usado principalmente ao criar um novo direito de acesso para aplicativos baseados em modelo, em que uma cópia do direito é criada antes de aplicar o acesso aos dados a suas tabelas. Essa função está protegida e não pode ser atualizada. |
| Criador de Ambiente | Personalizações | Pode criar novos recursos associados a um ambiente, inclusive aplicativos, conexões, APIs personalizadas, gateways e fluxos usando o Microsoft Power Automate. No entanto, essa função não tem nenhum privilégio para acessar dados em um ambiente. Os criadores de ambiente também podem distribuir os aplicativos que criam em um ambiente para outros usuários da organização. Eles podem compartilhar o aplicativo com usuários individuais, grupos de segurança ou todos os usuários da organização. |
| Administrador do Sistema | Criar, Ler, Gravar, Excluir, Personalizações, Direitos de Acesso | Tem total permissão para personalizar ou administrar o ambiente, incluindo criar, modificar e atribuir direitos de acesso. Pode ver todos os dados no ambiente. |
| Personalizador do Sistema | Criar, Ler, Gravar, Excluir, Personalizações | Tem total permissão para personalizar o ambiente. Pode exibir todos os dados da tabela personalizada no ambiente. No entanto, os usuários com essa função podem exibir apenas as linhas (registros) que eles criam nas tabelas Account, Contact e Activity. |
| Usuário Básico | Ler (próprio), Criar (próprio), Gravar (próprio), Excluir (próprio) | Pode executar um aplicativo no ambiente e realizar tarefas comuns nos registros que possui. Isso se aplica apenas a tabelas noncustom. |
| Exclusão de Serviço | Excluir | Tem permissão total de Exclusão para todas as entidades, inclusive entidades personalizadas. Essa função é usada principalmente pelo serviço e requer a exclusão de registros em todas as entidades. Essa função não pode ser atribuída a um usuário ou a uma equipe. |
| Leitor de Serviços | Ler | Tem Permissão de leitura completa para todas as tabelas, inclusive tabelas personalizadas. Isso é usado principalmente pelo serviço de back-end que requer a leitura de todas as tabelas. |
| Gravador de Serviços | Criar, Ler, Gravar | Tem Permissão de criação, leitura e gravação completas para todas as tabelas, inclusive tabelas personalizadas. É usado principalmente pelo serviço de back-end que requer a criação e atualização de registros. |
| Delegado | Agir em nome de outro usuário | Permite que o código represente ou seja executado como outro usuário. Normalmente usada com outro direito de acesso para permitir acesso aos registros. |
| Administrador do Dynamics 365 | Administrador do Dynamics 365 é uma função de administrador de serviço do Microsoft Power Platform. Essa função pode executar funções administrativas no Microsoft Power Platform, pois tem a função de administrador do sistema. | |
| Usuário de Suporte | Ler Personalizações, Ler configurações de Gerenciamento de Negócios | Tem permissão total de leitura para configurações de personalização e gerenciamento de negócios para permitir que a equipe de Suporte |
| Colaborador do Office | Ler (próprio) | Tem permissão de Leitura das tabelas quando um registro delas foi compartilhado com a organização. Não tem acesso a nenhum outro registro de tabela principal e personalizada. Esse direito é atribuído à equipe de proprietários dos Colaboradores do Office e não a um usuário individual. |
| Administrador Global | Função de Administrador do Microsoft 365. Uma pessoa que adquire a assinatura de negócios da Microsoft é um administrador global e tem controle ilimitado sobre os produtos da assinatura e acesso à maioria dos dados. | |
| Leitor Global | A função Leitor Global ainda não tem suporte no Centro de administração do Power Platform. | |
| Proprietário de Aplicativo do Site | Um usuário que tem o registro do aplicativo do site no portal do Azure | |
| Proprietário do Site | O usuário que criou o site do Power Pages. Essa função é gerenciada e não pode ser alterada. |
*O escopo desses privilégios é global, a menos que especificado d e outra forma.
Resumo dos recursos disponíveis para direitos de acesso predefinidos
Para determinar quais funções você precisa atribuir pelos recursos aos quais essa função tem acesso, a tabela abaixo deve auxiliar.
| Recurso | Criador de Ambiente | Administrador de Ambiente | Personalizador do Sistema | Administrador do Sistema |
|---|---|---|---|---|
| Aplicativo de tela | X | X | X | X |
| Fluxo da nuvem | X (sem reconhecimento de solução) | X | X (com reconhecimento de solução) | X |
| Conector | X | X | - | X |
| Conexão | X | X | - | X |
| Gateway de dados | X | X | - | X |
| Fluxos de dados | X | X | - | X |
| Tabelas do Dataverse | - | - | X | X |
| Aplicativo baseado em modelo | X | - | X | X |
| Estrutura da solução | X | - | X | X |
| *Fluxo da área de trabalho | - | - | X | X |
| AI Builder | - | - | X | X |
*Os usuários do Dataverse for Teams não têm acesso aos fluxos da área de trabalho por padrão. Você precisa atualizar seu ambiente para recursos completos do Dataverse e adquirir planos de licença de fluxo da área de trabalho para usar fluxos da área de trabalho.