Controlar o acesso do usuário a ambientes: grupos de segurança e licenças
Se sua empresa tiver vários ambientes, será possível usar grupos de segurança para controlar quais usuários licenciados podem ser membros de um ambiente específico.
Observação
Para obter informações sobre como funciona o acesso do usuário para o Microsoft Dataverse for Teams, consulte Acesso do usuário a ambientes do Dataverse for Teams.
Considere o seguinte cenário de exemplo:
| Environment | Grupo de segurança | Finalidade |
|---|---|---|
| Sales Coho Winery | Sales_SG | Fornecer acesso ao ambiente que cria oportunidades de vendas, lida com cotações e fecha negócios. |
| Marketing da Coho Winery | Marketing_SG | Fornecer acesso ao ambiente que faz esforços de marketing para campanhas publicitárias e de marketing. |
| Serviço da Coho Winery | Service_SG | Fornecer acesso ao ambiente que processa exemplos do cliente. |
| Coho Winery Dev | Developer_SG | Fornecer acesso ao ambiente de área restrita usado para desenvolvimento e teste. |
Neste exemplo, quatro grupos de segurança oferecem acesso controlado a um ambiente específico.
Observe as seguintes informações sobre os grupos de segurança:
Sobre grupos de segurança aninhados
Os membros de um grupo de segurança aninhado em um grupo de segurança de ambiente não são pré-provisionados ou adicionados automaticamente ao ambiente. No entanto, eles podem ser adicionados ao ambiente quando você cria uma equipe de grupo do Dataverse para o grupo de segurança aninhado.
Um exemplo deste cenário: você atribuiu um grupo de segurança para o ambiente quando o ambiente foi criado. Durante o ciclo de vida do ambiente, você deseja adicionar membros ao ambiente que são gerenciados por grupos de segurança. Você cria um grupo de segurança no Microsoft Entra ID, por exemplo, gerentes, e atribuiu todos os seus gerentes ao grupo. Em seguida, você adiciona este grupo de segurança como um filho do grupo de segurança do ambiente, cria uma equipe de grupo do Dataverse e atribui um direito de acesso à equipe do grupo. Seus gerentes agora podem acessar o Dataverse imediatamente.
Um membro de um grupo de segurança aninhado também é adicionado ao ambiente em runtime quando o membro acessa o ambiente pela primeira vez. Porém, o membro não será capaz de executar aplicativos e acessar dados até que um direito de acesso seja atribuído.
Quando os usuários são adicionados ao grupo de segurança, são adicionados ao ambiente.
Quando os usuários são removidos do grupo, serão desabilitados no ambiente.
Quando um grupo de segurança estiver associado a um ambiente existente com usuários, todos os usuários no ambiente que não sejam membros do grupo serão desabilitados.
Se um ambiente não tiver um grupo de segurança associado, todos os usuários com uma licença do Dataverse (aplicativos do Customer Engagement — Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation — Power Automate, Power Apps, entre outros) serão criados como usuários e habilitados no ambiente.
Se um grupo de segurança estiver associado a um ambiente, apenas os usuários com licenças do Dataverse ou por plano de aplicativo que sejam membros do grupo de segurança do ambiente serão criados como usuários no ambiente.
Se você não especificar um grupo de segurança, todos os usuários com uma licença do Dataverse, aplicativos de Customer Engagement (como Dynamics 365 Sales e Customer Service) ou por plano de aplicativo serão adicionados ao novo ambiente.
Novo: grupos de segurança não podem ser atribuídos a tipos de ambiente padrão e de desenvolvedor. Se você já atribuiu um grupo de segurança ao seu ambiente padrão ou de desenvolvedor, recomendamos removê-lo, pois o ambiente padrão destina-se a ser compartilhado com todos os usuários do locatário e o ambiente do desenvolvedor destina-se a ser usado somente pelo proprietário do ambiente.
Os ambientes dão suporte à associação dos seguintes tipos de grupo: Segurança e Microsoft 365. A associação de outros tipos de grupos não é suportada.
Ao selecionar um grupo de segurança, selecione um grupo de segurança do Microsoft Entra e não um criado no Windows Active Directory local. Não há suporte a grupos de segurança do Windows AD local.
Se um usuário não fizer parte do grupo de segurança atribuído ao ambiente, mas tiver a função de administrador global do locatário do Azure, o usuário ainda aparecerá como um usuário ativo e poderá fazer logon.
Se for atribuída a um usuário a função Administrador de serviço do Dynamics 365, o usuário deverá fazer parte do grupo de segurança antes de ser habilitado no ambiente. Ele não poderá acessar o ambiente até que seja adicionado ao grupo de segurança e habilitado.
Observação
Todos os usuários licenciados, membros ou não dos grupos de segurança, devem ter direitos de acesso atribuídos para acessar dados nos ambientes. Os direitos de acesso são atribuídos no aplicativo Web. Se os usuários não tiverem um direito de acesso, eles obterão um erro de acesso negado a dados ao tentar executar um aplicativo. Os usuários não podem acessar ambientes até receberem pelo menos um direito de acesso a esse ambiente. Para obter mais informações, consulte Configurar segurança do ambiente. A atribuição automática de usuário a um ambiente não é compatível com ambientes de avaliação. Para ambientes de avaliação, os usuários devem ser atribuídos manualmente.
Criar um grupo de segurança e adicionar membros ao grupo de segurança
Entre no centro de administração do Microsoft 365.
Selecione Equipes e grupos>Equipes e grupos ativos.
Selecione + Adicionar um grupo.
Altere o tipo para Grupo de segurança, adicione o grupo Nome e Descrição e, depois, selecione Adicionar e Fechar.
Selecione o grupo que você criou, e depois em Membros, selecione Editar.
Selecione + Adicionar membros. Selecione os usuários a serem adicionados ao grupo de segurança e selecione Salvar>Fechar diversas vezes para retornar à lista Grupos.
Para remover um usuário do grupo de segurança, selecione o grupo de segurança e, depois, ao lado de Membros, selecione Editar. Selecione - Remover membros, e selecione X para cada membro que deseja remover.
Nota
Se os usuários a serem adicionados ao grupo de segurança não forem criados, crie os usuários e atribua licenças do Dataverse a eles.
Para adicionar mais usuários, consulte: adicionar usuários em lote aos Grupos do Office365.
Criar um usuário e atribuir uma licença
No centro administrador do Microsoft 365, selecione Usuários>Usuários ativos>+ Adicionar um usuário.
Insira as informações do usuário, selecione as licenças e selecione Adicionar.
Para mais informações: Adicionar usuários e atribuir licenças ao mesmo tempo
Ou compre e atribua aprovações por aplicativo: Sobre planos do Power Apps por aplicativo
Observação
Se um ambiente tiver um plano do Power Apps por aplicativo alocado, todos os usuários serão considerados licenciados quando tentarem acessar o ambiente, incluindo usuários sem licenças individuais atribuídas. A alocação de plano por aplicativo em um ambiente atende ao requisito de que os usuários sejam licenciados para acessar o ambiente.
Associar um grupo de segurança com um ambiente
Entre no centro de administração da Power Platform como um administrador (administrador do Dynamics 365, administrador global ou administrador da Microsoft Power Platform).
No painel de navegação, selecione Ambientes.
Selecione o nome do ambiente.
Selecione Editar.
No painel Editar detalhes, selecione o ícone Editar na área Grupo de segurança.
Apenas os primeiros 200 grupos de segurança serão retornados. Use Pesquisar para procurar um grupo de segurança específico.
Selecione um grupo de segurança, Concluído e Salvar.
O grupo de segurança está associado ao ambiente.
Observação
Os usuários que executam aplicativos de tela quando um grupo de segurança é associado ao ambiente do aplicativo devem ser membros do grupo de segurança para poder executar o aplicativo de tela, independentemente de o aplicativo ter sido compartilhado com eles. Caso contrário, os usuários verão esta mensagem de erro: "Você não pode abrir aplicativos neste ambiente. Você não é membro do grupo de segurança do ambiente." Se o seu administrador do Power Platform tiver definido detalhes de governança para sua organização, você verá um contato de governança que você pode contatar para associação ao grupo de segurança.