Controlar o acesso de utilizador a ambientes: grupos de segurança e licenças
Se a sua empresa tiver vários ambientes, pode utilizar os grupos de segurança para controlar os utilizadores licenciados que podem ser membros de um ambiente específico.
Nota
Para obter informações sobre como funciona o acesso de utilizador para o Microsoft Dataverse for Teams, consulte Acesso de utilizador para ambientes Dataverse for Teams.
Considere o seguinte cenário de exemplo:
| Environment | Grupo de segurança | Propósito |
|---|---|---|
| Coho Winery Vendas | Sales_SG | Fornece acesso ao ambiente que cria oportunidades de vendas, gere propostas e fecha negócios. |
| Coho Winery Marketing | Marketing_SG | Fornece acesso ao ambiente que impulsiona esforços de marketing através de campanhas de marketing e publicidade. |
| Coho Winery Serviço | Service_SG | Fornece acesso ao ambiente que processa casos de clientes. |
| Coho Winery Prog | Developer_SG | Fornece acesso ao ambiente de sandbox utilizado para desenvolvimento e teste. |
Neste exemplo, quatro grupos de segurança fornecem acesso controlado a um ambiente específico.
Tenha em atenção as seguintes informações sobre grupos de segurança:
Acerca dos grupos de segurança aninhados
Os membros de um grupo de segurança aninhado num grupo de segurança de ambiente não são pré-aprovisionados ou automaticamente adicionados ao ambiente. No entanto, podem ser adicionados ao ambiente ao criar uma equipa de grupo do Dataverse para o grupo de segurança aninhado.
Um exemplo deste cenário: atribuiu um grupo de segurança para o ambiente quando o ambiente foi criado. Durante o ciclo de vida do ambiente, pretende adicionar membros ao ambiente que são geridos por grupos de segurança. Cria um grupo de segurança no ID do Microsoft Entra — por exemplo, gestores — e atribui todos os seus gestores ao grupo. Em seguida, adiciona este grupo de segurança como um subordinado do grupo de segurança do ambiente, cria uma equipa de grupo do Dataverse e atribui um direito de acesso à equipa de grupo. Os seus gestores podem agora aceder ao Dataverse imediatamente.
Um membro de um grupo de segurança aninhado também é adicionado ao ambiente em runtime quando o membro acede ao ambiente pela primeira vez. Mas o membro não poderá executar nenhuma aplicação nem aceder a nenhuns dados até que seja atribuído um direito de acesso.
Quando os utilizadores são adicionados ao grupo de segurança, serão adicionados ao ambiente.
Quando os utilizadores são removidos do grupo, estão desativados no ambiente.
Quando um grupo de segurança estiver associado a um ambiente existente com utilizadores, todos os utilizadores no ambiente que não são membros do grupo serão desativados.
Se um ambiente não tiver um grupo de segurança associado, todos os utilizadores com uma licença do Dataverse (aplicações de cativação de clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), Power Automate, Power Apps, entre outros) serão criados como utilizadores e ativados no ambiente.
Se um grupo de segurança estiver associado a um ambiente, apenas os utilizadores com licenças do Dataverse ou plano por aplicação que sejam membros de um grupo de segurança do ambiente serão criados como utilizadores no ambiente.
Se não especificar um grupo de segurança, todos os utilizadores que tenham uma licença do Dataverse (aplicações de cativação de clientes, como o Dynamics 365 Sales e Customer Service) ou plano por aplicação serão adicionados ao novo ambiente.
Novo: os grupos de segurança não podem ser atribuídos aos tipos de ambiente predefinido e programador. Se já tiver atribuído um grupo de segurança ao seu ambiente predefinido ou programador, recomendamos que o remova desde que o ambiente predefinido seja partilhado com todos os utilizadores no inquilino e o ambiente de programador destina-se a ser utilizado apenas pelo proprietário do ambiente.
Os ambientes suportam a associação dos seguintes tipos de grupos: Segurança e Microsoft 365. A associação a outros tipos de grupo não é suportada.
Ao selecionar um grupo de segurança, certifique-se de que seleciona um grupo de segurança do Microsoft Entra e nenhum foi criado no Windows Ative Directory no local. Os grupos de segurança do Windows AD no local não são suportados.
Se um utilizador não fizer parte do grupo de segurança atribuído ao ambiente, mas tiver a função administrador Global de inquilino do Azure, o utilizador continuará a aparecer como um utilizador ativo e conseguirá iniciar sessão.
Se for atribuído a um utilizador a função de Admin do Serviço do Dynamics 365, esse utilizador tem de fazer parte do grupo de segurança antes de ser ativado no ambiente. Não é possível aceder ao ambiente até que sejam adicionados ao grupo de segurança e ativados.
Nota
A todos os utilizadores licenciados, quer sejam ou não membros de grupos de segurança, têm de ser atribuídos direitos de acesso para aceder aos dados nos ambientes. Atribui os direitos de acesso na aplicação web. Se os utilizadores não tiverem um direito de acesso, ser-lhes-á apresentado um erro de acesso recusado aos dados ao tentarem executar uma aplicação. Os utilizadores não poderão aceder a ambientes até ser atribuído pelo menos um direito de acesso a esse ambiente. Para mais informações, consulte Configurar segurança do ambiente. A atribuição de utilizadores automática a um ambiente não é suportada para ambientes de avaliação. Para ambientes de avaliação, os utilizadores têm de ser atribuídos manualmente.
Criar um grupo de segurança e adicionar membros ao grupo de segurança
Inicie sessão no centro de administração do Microsoft 365.
Selecione Equipas e grupos>Ativar equipas e grupos.
Selecione + Adicionar um grupo.
Altere o tipo para Grupo de segurança, adicione o Nome e a Descrição do grupo e, em seguida, selecione Adicionar>Fechar.
Selecione o grupo que criou e, em seguida, junto a Membros, selecione Editar.
Selecione + Adicionar membros. Selecione os utilizadores que pretende adicionar ao grupo de segurança e selecione Guardar>Fechar várias vezes para regressar à lista de Grupos.
Para remover um utilizador do grupo de segurança, selecione o grupo de segurança e, sem seguida, junto a Membros, selecione Editar. Selecione - Remover membros e, em seguida, selecione X para cada membro que pretenda remover.
Nota
Se os utilizadores que pretende adicionar ao grupo de segurança não são criados, os utilizadores não criam e não lhe atribuir licenças do Dataverse.
Para adicionar vários utilizadores, consulte: Adicionar utilizadores em massa a grupos do Office 365.
Criar um utilizador e atribuir licenças
No centro de administração do Microsoft 365, selecione Utilizadores>Utilizadores ativos>+ Adicionar um utilizador.
Introduza as informações do utilizador, selecione as licenças e selecione Adicionar.
Mais informações: Adicionar utilizadores e atribuir licenças ao mesmo tempo
Ou, compre e atribua passes por aplicação: Sobre os planos do Power Apps por aplicação
Nota
Se um ambiente tiver um plano por aplicação do Power Apps atribuído, todos os utilizadores serão considerados licenciados quando tentarem aceder ao ambiente, incluindo utilizadores que não tenham licenças individuais atribuídas. A alocação do plano por aplicação num ambiente satisfaz o requisito de os utilizadores serem licenciados para poderem aceder ao ambiente.
Associar um grupo de segurança a um ambiente
Inicie sessão no centro de administração do Power Platform como administrador (administrador do Dynamics 365, Administrador global ou administrador do Microsoft Power Platform).
No painel de navegação esquerdo, selecione Ambientes.
Selecione o nome do ambiente.
Selecione Editar.
No painel Editar detalhes, selecione o ícone Editar na área Grupo de segurança.
Apenas os primeiros 200 grupos de segurança serão obtidos. Utilize Pesquisar para procurar por um grupo de segurança específico.
Selecione um grupo de segurança, selecione concluídoe, em seguida, selecione guardar.
O grupo de segurança está associado ao ambiente.
Nota
Os utilizadores que executam aplicações de tela quando um grupo de segurança é associado ao ambiente da aplicação têm de ser membros do grupo de segurança para poderem executar a aplicação de tela, independentemente de a aplicação ter ou não sido partilhada com eles. Caso contrário, os utilizadores verão esta mensagem de erro: "Não pode abrir aplicações neste ambiente. Não é membro do grupo de segurança do ambiente." Se o admin do Power Platform tiver definido detalhes de governação para a sua organização, verá um contacto de governação que poderá contactar para a associação a grupos de segurança.