Configurar segurança de utilizador para recursos num ambiente

O Common Data Service utiliza um modelo de segurança baseado em funções para ajudar a proteger o acesso à base de dados. Este tópico explica como criar os artefactos de segurança que tem de ter para ajudar a proteger recursos num ambiente. Os direitos de acesso podem ser utilizados para configurar o acesso ao nível do ambiente a todos os recursos no ambiente ou para configurar o acesso a aplicações e dados específicos no ambiente. Os direitos de acesso gerem o acesso de utilizador aos recursos de um ambiente através de um conjunto de níveis e permissões de acesso. A combinação de níveis e de permissões de acesso que são incluídos num direito de acesso específico governa as limitações da vista do utilizador de aplicações e dados e as interações do utilizador com esses dados.

Um ambiente pode ter uma base de dados zero ou um Common Data Service. O processo de atribuição de direitos de acesso a ambientes sem base de dados Common Data Service é diferente de um ambiente sem uma Common Data Service base de dados.

Direitos de acesso predefinidos

Os ambientes incluem direitos de acesso predefinidos que refletem tarefas comuns do utilizador com níveis de acesso definidos para corresponder ao objetivo de melhores práticas de segurança no fornecimento de acesso à quantidade mínima de dados de negócio necessária para poder utilizar a aplicação.

Direito de acesso Privilégios da base de dados* Descrição
Administrador de Ambiente Criar, Ler, Escrever, Eliminar, Personalizações, Direitos de Acesso A função Administrador de Ambiente pode efetuar todas as ações administrativas num ambiente, incluindo as seguintes:
  • Adicionar ou remover um utilizador da função Administrador de Ambiente ou Criador de Ambiente.
  • Aprovisione uma base de dados do Common Data Service para o ambiente. Depois de uma base de dados ser aprovisionada, a função Personalizador de Sistemas também deverá ser atribuída a um Administrador de Ambiente para lhes conceder acesso aos dados do ambiente.
  • Ver e gerir todos os recursos criados num ambiente.
  • Definir políticas de prevenção de perda de dados. Mais informações, Políticas de prevenção de perda de dados
Criador de Ambientes Personalizações Pode criar novos recursos associados a um ambiente, incluindo aplicações, ligações, APIs personalizadas, gateways e fluxos utilizando o Microsoft Power Automate. No entanto, esta função não tem privilégios para aceder a dados de um ambiente. Mais informações: Descrição geral de ambientes
Administrador de Sistema Criar, Ler, Escrever, Eliminar, Personalizações, Direitos de Acesso Tem permissão total para personalizar ou administrar o ambiente, incluindo criar, modificar e atribuir direitos de acesso. Pode ver todos os dados no ambiente. Mais informações: Privilégios necessários para tarefas de personalização
Personalizador de Sistemas Criar (próprio), Ler (próprio), Escrever (próprio), Eliminar (próprio), Personalizações Tem permissão total para personalizar o ambiente No entanto, os utilizadores com esta função só podem ver registos das entidades do ambiente que criam. Mais informações: Privilégios necessários para tarefas de personalização
Utilizador do Common Data Service Criar (próprio), Ler (próprio), Escrever (próprio), Eliminar (próprio) Pode executar uma aplicação no ambiente e efetuar tarefas comuns para os registos que possuem. Note que isto se aplica apenas a entidades não personalizadas. Mais informações: Criar ou configurar uma função de segurança personalizada
Delegado Atuar em nome de outro utilizador Permite que o código represente ou execute como outro utilizador. Normalmente, utilizado com outro direito de acesso para permitir o acesso aos registos. Mais informações: Representar outro utilizador

*O âmbito destes privilégios é global, a menos que especificado em contrário.

Note

  • O criador do ambiente e o administrador do ambiente são as únicas funções predefinidas para ambientes sem base de dados Common Data Service.
  • A função criador de ambiente pode criar recursos num ambiente, incluindo aplicações, ligações, conectores personalizados, gateways e fluxos usando o Power Automate. Os fabricantes do ambiente também podem distribuir as aplicações que criam num ambiente para outros utilizadores na organização. Podem partilhar a aplicação com utilizadores individuais, grupos de segurança ou todos os utilizadores na organização. Mais informações: Partilhar uma aplicação em Power Apps
  • Para os utilizadores que criam aplicações que se ligam à base de dados e precisam de criar ou atualizar entidades e direitos de acesso, é necessário atribuir a função Personalizador de Sistemas para além da função Criador de Ambientes. Isto é necessário porque a função Criador de Ambientes não tem privilégios nos dados do ambiente.
  • Se o ambiente tiver uma base de dados Common Data Service, tem de ser atribuído um utilizador à função Administrador de Sistema em vez da função Administrador de Ambiente para obter todos os privilégios de administrador, tal como descrito na tabela precedente.

Atribuir direitos de acesso a utilizadores num ambiente que não tem nenhuma base de dados Common Data Service

Um utilizador que já tenha a função de administrador de ambiente no ambiente pode executar estes passos.

Note

As funções podem ser atribuídas às  equipas do proprietário e  equipas de grupo do Azure AD, além dos utilizadores individuais.

  1. No centro de administração do Power Apps, selecione o ambiente para o qual pretende atualizar um direito de acesso.

    Escolher um ambiente

  2. Selecione o separador Segurança .

  3. Selecione a função Administrador de ambiente ou Criador de ambiente .

    Escolha uma função

  4. Especifique os nomes de um ou mais utilizadores ou grupos de segurança do Azure AD ou especifique que pretende adicionar toda a organização.

    Introduzir informações do utilizador

  5. Selecione Guardar.

Atribuir direitos de acesso a utilizadores num ambiente com uma base de dados Common Data Service

Verifique se o utilizador ao qual pretende atribuir um direito de acesso está presente no ambiente. Caso contrário, adicione o utilizador ao ambiente. Poderá atribuir uma direito de acesso como parte do processo de adição do utilizador. Mais informações: Adicionar utilizadores a um ambiente

No geral, um direito de acesso só pode ser atribuído aos utilizadores com o estado Ativado. Mas se necessitar de atribuir um direito de acesso aos utilizadores com o estado Desativado, poderá fazê-lo ativando allowRoleAssignmentOnDisabledUsers em  OrgDBOrgSettings.

Para adicionar um direito de acesso a um utilizador que já está presente num ambiente:

  1. Inicie sessão no centro de administração do Power Platform.

  2. Selecione Ambientes  > [selecionar um ambiente] >  Definições > Utilizadores + permissões > Utilizadores.

  3. Selecione Gerir utilizadores no Dynamics 365.

    Selecione Gerir utilizadores no Dynamics 365

  4. Selecione o utilizador a partir da lista de utilizadores no ambiente e, em seguida, selecione Gerir funções.

    Selecione Gerir funções

  5. Atribua um ou mais direitos de acesso ao utilizador.

    Gerir funções de utilizador

  6. Selecione OK.

Criar ou configurar um direito de acesso personalizado

Se a sua aplicação utilizar uma entidade personalizada, é necessário conceder explicitamente os seus privilégios num direito de acesso para que a sua aplicação possa ser utilizada. Pode adicionar estes privilégios a um direito de acesso existente ou criar um direito de acesso personalizado.

Note

Todos os direito de acesso têm de incluir um conjunto mínimo de privilégios antes de poder ser utilizado. Estão descritos posteriormente neste artigo.

Tip

O ambiente pode manter os registos que podem ser utilizados por várias aplicações. Poderá precisar de vários direitos de acesso para aceder aos dados com privilégios diferentes. Por exemplo:

  • Alguns dos utilizadores (por exemplo, Tipo A) poderão apenas só precisar de ler, atualizar e anexar outros registos, pelo que a sua função de segurança terá privilégios para ler, escrever e anexar.
  • Outros utilizadores poderão precisar de todos os privilégios que os utilizadores do Tipo A têm, além da capacidade de criar, anexar, eliminar e partilhar. O direito de acesso para estes utilizadores terá os privilégios criar, ler, escrever, anexar, eliminar, atribuir e partilhar.

Para mais informações sobre os privilégios de acesso e âmbito, consulte  Direitos de acesso e privilégios.

  1. Inicie sessão no Centro de administração do Power Platform e selecione o ambiente para o qual pretende atualizar um direito de acesso.

  2. Selecionar o URL do ambiente.

    Selecionar URL do ambiente

  3. Se foram apresentadas as aplicações e mosaicos publicados, selecione o ícone de engrenagem (Definições) no canto superior direito e, em seguida, selecione Definições avançadas.

  4. Na barra de menus, selecione Definições > Segurança.

    Selecione Definições > Segurança

  5. Selecionar Direitos de acesso.

    Selecione Direitos de acesso

  6. Selecione Novo.

  7. A partir do estruturador de direitos de acesso, introduza um nome de direito no separador Detalhes. A partir dos outros separadores, selecione as ações e o âmbito para executar essa ação.

  8. Selecione um separador e procure a sua entidade. Por exemplo, selecione o separador Entidades Personalizadas para definir permissões numa entidade personalizada.

  9. Selecione os privilégios Ler, Criar, Acrescentar.

  10. Selecione Guardar e Fechar.

Privilégios mínimos para executar uma aplicação

Quando cria um direito de acesso personalizado, tem de incluir um conjunto de privilégios mínimos no direito de acesso para que um utilizador execute uma aplicação. Criamos uma solução que pode importar e fornece um direito de acesso que inclui os privilégios mínimos necessários.

Comece por transferir a solução a partir do Centro de Transferências: Direito de acesso com privilégio mínimo do Common Data Service.

Depois, siga estas instruções para importar a solução: Importar soluções.

Quando importar a solução, cria o direito min prv apps use que pode copiar (consulte: Criar um direito de acesso através de Copiar Direito). Quando o processo Copiar Direito for concluído, navegue para cada separador—Registos Centrais, Gestão de Negócio, Personalização, etc.—e defina os privilégios adequados.

Important

Tente a solução num ambiente de programação antes de importar para um ambiente de produção.

Consulte também

Conceder acesso aos utilizadores
Controlar o acesso de utilizador a ambientes: grupos de segurança e licenças