Compartir a través de


Roles de seguridad y privilegios

Para controlar quién puede acceder a datos y recursos restringidos o confidenciales y qué pueden hacer con ellos, asigne usuarios a roles de seguridad. Este artículo proporciona una descripción general de los roles de seguridad y sus privilegios asociados.

Puede asignar funciones de seguridad mediante la nueva y moderna interfaz de usuario o la heredada interfaz de usuario.

Roles de seguridad y la nueva y moderna interfaz de usuario

Los roles de seguridad definen cuántos usuarios distintos tienen acceso a diferentes tipos de registros. Para controlar el acceso a los datos y recursos, puede crear o modificar los roles de seguridad y cambiar los roles de seguridad que se asignan a los usuarios.

Un usuario puede tener varios roles de seguridad. Los privilegios de rol de seguridad son acumulativos. A los usuarios se les otorgan los privilegios que están disponibles en cada rol que se les asigna.

Ver una lista de roles de seguridad en un entorno

  1. Inicie sesión en el centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.

  2. Seleccione Configuración>Usuarios y permisos>Roles de seguridad.

Definir los privilegios y propiedades de un rol de seguridad

Después de crear un rol de seguridad o mientras edita uno, configure la opción Herencia de privilegios de miembro:

  • Solo privilegios de equipo: a un usuario se le otorgan estos privilegios como miembro de un equipo. Los miembros del equipo que no tienen privilegios de usuario propios pueden crear registros con el equipo como propietario. Pueden acceder a los registros que son propiedad del equipo si se les otorga el nivel de acceso Usuario para los privilegios Crear y Leer.

  • Nivel de acceso de usuario directo (básico) y privilegios de equipo: a un usuario se le otorgan estos privilegios directamente cuando se le asigna rol de seguridad. Los usuarios pueden crear registros con ellos mismos como propietario. Pueden acceder a los registros que se crean o son propiedad cuando se les otorga el nivel de acceso Usuario para los privilegios Crear y Leer. Esta configuración es la predeterminada para los nuevos roles de seguridad.

    Captura de pantalla de la opción de herencia de privilegios del miembro en el editor rol de seguridad.

Luego, configure los privilegios asociados con el rol de seguridad.

Un rol de seguridad se compone de privilegios a nivel de registro y privilegios de los tres tipos siguientes:

  • Tablas: Los privilegios de tabla definen qué tareas puede realizar un usuario con acceso a un registro de tabla, como Leer, Crear, Eliminar, Escribir, Asignar, Compartir, Anexar y Anexar a. Anexar significa adjuntar otro registro, como una actividad o nota, a un registro. Anexar a significa adjuntar a un registro. Establecer privilegios de tabla.

  • Privilegios varios: Estos privilegios basados en tareas otorgan al usuario permiso para realizar tareas específicas y diversas (no de registro), como publicar artículos o activar reglas de negocio. Obtenga más información sobre los privilegios varios.

  • Privilegios relacionados con la privacidad: estos privilegios otorgan al usuario permiso para realizar tareas que involucran datos integrados, descargados o exportados fuera de Dataverse, como exportar datos a Microsoft Excel o imprimirlos. Obtenga más información sobre los privilegios relacionados con la privacidad.

Cada conjunto de tipos de privilegios tiene su propia pestaña. Para cada pestaña, puede filtrar la vista por todos los privilegios, privilegios asignados o privilegios no asignados para el rol de seguridad seleccionado.

Privilegios de tabla

En la pestaña Tablas, se ofrece una lista de todas las tablas de Dataverse en el entorno. La siguiente tabla describe los atributos que se muestran en el editor rol de seguridad cuando la opción Vista de cuadrícula compacta está desactivada.

Propiedad Description
Table Nombre de la tabla de Dataverse
Name El nombre lógico de la tabla de Dataverse; útil para los desarrolladores
Propiedad del registro Si los registros son propiedad de la organización o unidad de negocio o pueden ser propiedad de un usuario o equipo
Configuración de permisos Qué conjunto predefinido de permisos está usando la tabla o permisos personalizados

Las tablas se agrupan en las siguientes categorías:

  • Administración de empresas
  • Flujos de proceso de negocio
  • Registros principales
  • Tablas personalizadas
  • Personalización
  • Tablas que faltan
  • Ventas
  • Servicio
  • Administración de servicios

Para encontrar rápidamente una mesa o privilegio específico, ingrese su nombre en el cuadro de búsqueda en la esquina superior derecha de la página y luego seleccione el ícono de lupa o presione Ingresar. Para borrar su búsqueda, seleccione el icono X.

Solo puede editar una tabla a la vez, pero puede copiar la configuración de una tabla a varias tablas en una sola acción.

Cuando configura un rol de seguridad, debe determinar los privilegios que debe otorgar para cada tabla relacionada con la aplicación.

La siguiente tabla describe los privilegios de tabla que puede otorgar en un rol de seguridad. En todos lso casos, los registros a los que se aplica un privilegio dependen del nivel de acceso del permiso definido en el rol de seguridad.

Privilegio Description
Create Necesario para crear un nuevo registro
Leído Necesario para abrir un registro para ver su contenido
Escritura Necesario para hacer cambios en un registro
Delete Necesario para eliminar un registro de forma permanente
Anexar Necesario para asociar el registro actual con otro registro; por ejemplo, si los usuarios tienen derechos para agregar en una nota, pueden adjuntar la nota a una oportunidad
En el caso de las relaciones de varios a varios, un usuario debe tener el privilegio Anexar para poder asociar o desasociar las dos tablas.
Anexar a Necesario para asociar un registro con el registro actual; por ejemplo, si los usuarios tienen derechos para agregar en una oportunidad, pueden agregar una nota a la oportunidad
Assignar Necesario para otorgar la propiedad de un registro a otro usuario
Uso compartido Necesario para dar acceso a un registro a otro usuario mientras mantiene su propio acceso

Niveles de acceso

Cada privilegio tiene un menú que le permite definir su nivel de acceso. Los niveles de acceso determinan la profundidad en la jerarquía de unidades de negocio en la que el usuario puede utilizar el privilegio.

En la siguiente tabla se describen los niveles de acceso. Para las tablas propiedad de la organización, los privilegios varios y los privilegios relacionados con la privacidad solo tienen niveles de acceso de Organización o Ninguno.

Type Description
Organization Los usuarios pueden tener acceso a todos los registros de la organización, independientemente del nivel jerárquico de unidades de negocio al que pertenecen ellos o el entorno. Los usuarios con acceso a la organización también tienen automáticamente todos los demás tipos de acceso.
Debido a que este nivel permite obtener acceso a la información de toda la organización, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la organización.
Unidad de negocio principal: secundaria Los usuarios pueden acceder a los registros de su unidad de negocio y de todas las unidades de negocio subordinadas a ella.
Los usuarios con este acceso tienen acceso automáticamente a la unidad de negocio y al usuario.
Debido a que este nivel permite obtener acceso a la información de toda la unidad de negocio y las unidades de negocio subordinadas, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre las unidades de negocio.
Unidad de negocio Los usuarios pueden acceder a los registros en su unidad de negocio.
Los usuarios con acceso de unidad de negocio tienen automáticamente acceso de usuario.
Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la unidad de negocio.
User Los usuarios pueden obtener acceso a los registros que poseen, objetos que se comparten con la organización, los objetos que se comparten con el usuario y los objetos que se comparten con un equipo del que son miembros.
Este es el nivel de acceso típico para representantes de ventas y servicios.
None No se permite ningún acceso.

Para cada tabla, seleccione el tipo apropiado para cada privilegio. Cuando haya terminado, seleccione Guardar.

Copiar permisos de tabla

Establecer los privilegios para cada mesa en su aplicación puede llevar mucho tiempo y ser tedioso. Para hacerlo más fácil, puede copiar los permisos de una tabla a una o más.

  1. Seleccione una tabla y luego seleccione Copiar permisos de tabla

  2. Busque y seleccione la tabla o tablas a las que desea copiar los permisos.

    Recuerde, la nueva configuración sobrescribe cualquier configuración anterior.

  3. Seleccione Guardar.

Echemos un vistazo más de cerca a cómo funcionan los permisos de copia de tabla con los privilegios y los niveles de acceso.

  • Para los permisos que existen tanto en la tabla de origen como en las tablas de destino:

    • Si la profundidad de la configuración de permisos de origen existe en el destino, la copia se realiza correctamente.

    • Si la configuración de permisos de origen depth no existe en el destino, la copia falla y se muestra un mensaje de error.

  • Para los permisos que solo existen en la tabla de origen o en las tablas de destino:

    • Si el permiso existe en el origen pero no en el destino, se ignora en el destino. La copia de los permisos restantes es exitosa.

    • Si el permiso no existe en el origen pero sí en el destino, la profundidad del permiso se conserva en el destino. La copia de los permisos restantes es exitosa.

Configuración de permisos

Otra forma de acelerar la configuración de los permisos de las tablas es utilizar grupos de permisos predefinidos y asignarlos a las tablas.

La siguiente tabla describe los grupos de configuración de permisos que puede asignar.

Configuración de permisos Detalles
Sin acceso Ningún usuario puede acceder a la tabla.
Acceso completo Los usuarios pueden ver y editar todos los registros de la tabla.
Colaborar Los usuarios pueden ver todos los registros, pero solo pueden editar los suyos.
Privada Los usuarios solo pueden ver y editar sus propios registros.
Referencia Los usuarios solo pueden ver los registros, no editarlos.
Personalizado Indica que la configuración de permisos ha cambiado del valor predeterminado.
  1. Seleccione una tabla y luego seleccione Configuración de permisos en la barra de comandos o seleccione Más acciones () >Configuración de permisos.

  2. Seleccione la configuración adecuada.

    Recuerde, la nueva configuración sobrescribe cualquier configuración anterior.

  3. Seleccione Guardar.

Funciones de seguridad y la interfaz de usuario heredada

Los roles de seguridad definen cuántos usuarios distintos tienen acceso a diferentes tipos de registros. Para controlar el acceso a los datos y recursos, puede crear o modificar los roles de seguridad y cambiar los roles de seguridad que se asignan a los usuarios.

Un usuario puede tener varios roles de seguridad. Los privilegios de rol de seguridad son acumulativos. A los usuarios se les otorgan los privilegios que están disponibles en cada rol que se les asigna.

Ver una lista de roles de seguridad en un entorno (UI heredada)

  1. Inicie sesión en el centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.

  2. Seleccione Configuración>Usuarios y permisos>Roles de seguridad.

Defina los privilegios y las propiedades de un rol de seguridad (IU heredada)

Después de crear un rol de seguridad o mientras edita uno, configure los privilegios asociados.

Un rol de seguridad se compone de privilegios a nivel de registro y privilegios basados en tareas.

  • Los privilegios a nivel de registro definen qué tareas puede realizar un usuario con acceso al registro, como Leer, Crear, Eliminar, Escribir, Asignar, Compartir, Anexar y Anexar a. Anexar significa adjuntar otro registro, como una actividad o nota, a un registro. Anexar a significa adjuntar a un registro. Obtenga más información sobre los privilegios a nivel de registro.

  • Los privilegios varios, o privilegios basados en tareas, otorgan al usuario permiso para realizar tareas específicas y diversas (no de registro), como publicar artículos o activar reglas de negocio. Obtenga más información sobre los privilegios varios.

Los círculos coloreados de la página de configuración de roles de seguridad identifican el nivel de acceso asignado a cada privilegio. Los niveles de acceso determinan la profundidad en la jerarquía de unidades de negocio en la que el usuario puede utilizar el privilegio.

En la siguiente tabla se describen los niveles de acceso.

Icon Description
Nivel de acceso global. Mundial. Los usuarios pueden tener acceso a todos los registros de la organización, independientemente del nivel jerárquico de unidades de negocio al que pertenecen ellos o el entorno. Los usuarios que tienen acceso Global, automáticamente tienen los niveles de acceso profundo, local y básico.
Debido a que este nivel permite obtener acceso a la información de toda la organización, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la organización.
La aplicación hace referencia a este nivel de acceso como Organización.
Profundidad del nivel de acceso. Profundo. Los usuarios pueden acceder a los registros de su unidad de negocio y de todas las unidades de negocio subordinadas a ella.
Los usuarios que tienen el nivel de acceso Profundo, automáticamente tienen también los niveles local y básico.
Debido a que este nivel permite obtener acceso a la información de toda la unidad de negocio y las unidades de negocio subordinadas, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre las unidades de negocio.
La aplicación hace referencia a este nivel de acceso como Primario: unidades de negocio secundarias.
Nivel de acceso local. Local. Los usuarios pueden acceder a los registros en la unidad de negocio del usuario.
Los usuarios que tienen acceso Local, automáticamente tienen también acceso básico.
Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la unidad de negocio.
La aplicación hace referencia a este nivel de acceso como Unidad de negocio.
Nivel de acceso básico. Básico. Los usuarios pueden obtener acceso a los registros que poseen, objetos que se comparten con la organización, los objetos que se comparten con el usuario y los objetos que se comparten con un equipo del que son miembros.
Este es el nivel de acceso típico para representantes de ventas y servicios.
La aplicación hace referencia a este nivel de acceso como Usuario.
Ningún nivel de acceso. Ninguna. No se permite ningún acceso.

Importante

Para asegurarse de que los usuarios puedan ver y obtener acceso a todas las áreas de la aplicación web, como formularios de tabla, la barra de navegación o la barra de comandos, todos los roles de seguridad de la organización debe incluir el privilegio de Lectura sobre la tabla Web Resource. Por ejemplo, si permiso de lectura, un usuario no puede abrir un formulario que contenga un recurso web y ve un mensaje de error como este: "Falta el privilegio de prvReadWebResource”. Obtenga más información sobre cómo crear o editar un rol de seguridad.

Privilegios de nivel de registro

Power Apps y las aplicaciones Dynamics 365 Customer Engagement utilizan diferentes privilegios de nivel de registro para determinar el nivel de acceso que tiene un usuario a un registro o tipo de registro específico.

La siguiente tabla describe los privilegios de nivel de registro que puede otorgar en un rol de seguridad. En todos lso casos, los registros a los que se aplica un privilegio dependen del nivel de acceso del permiso definido en el rol de seguridad.

Privilege Description
Create Necesario para crear un nuevo registro
Leído Necesario para abrir un registro para ver su contenido
Escritura Necesario para hacer cambios en un registro
Delete Necesario para eliminar un registro de forma permanente
Anexar Necesario para asociar el registro actual con otro registro; por ejemplo, si los usuarios tienen derechos para agregar en una nota, pueden adjuntar la nota a una oportunidad
En el caso de las relaciones de varios a varios, un usuario debe tener el privilegio Anexar para poder asociar o desasociar las dos tablas.
Anexar a Necesario para asociar un registro con el registro actual; por ejemplo, si los usuarios tienen derechos para agregar en una oportunidad, pueden agregar una nota a la oportunidad
Assignar Necesario para otorgar la propiedad de un registro a otro usuario
Compartir* Necesario para dar acceso a un registro a otro usuario mientras mantiene su propio acceso

*El propietario de un registro o una persona que tenga el privilegio Compartir en un registro puede compartirlo con otros usuarios o equipos. Al compartir, se pueden agregar los privilegios Leer, Escribir, Eliminar, Anexar, Asignar y Compartir para registros específicos. Los equipos se usan principalmente para compartir registros a los que los miembros del equipo no pueden tener acceso normalmente. Obtenga más información sobre seguridad, usuarios y equipos.

No es posible quitar el acceso a un registro en particular. Cualquier cambio en los privilegios de un rol de seguridad se aplica a todos los registros de ese tipo.

Herencia de privilegios del miembro de equipo

Puede determinar cómo se heredan los privilegios cuando se otorgan a un usuario como miembro de un equipo o directamente, como individuo.

  • Privilegios de usuario: A un usuario se le otorgan estos privilegios directamente cuando se asigna rol de seguridad. Los usuarios pueden crear registros con ellos mismos como propietario. Pueden acceder a los registros que se crean o son propiedad cuando se les otorga el nivel de acceso Básico para Crear y Leer. Esta configuración es la predeterminada para los nuevos roles de seguridad.

  • Privilegios de equipo: a un usuario se le otorgan estos privilegios como miembro de un equipo. Los miembros del equipo que no tienen privilegios de usuario propios pueden crear registros con el equipo como propietario. Pueden acceder a los registros que el equipo posee si se les otorga el nivel de acceso Básico para Crear y Leer.

Nota

Antes del lanzamiento de la característica de herencia de privilegios del miembro del equipo en mayo de 2019, los roles de seguridad se comportaban como Privilegios de equipo. Los roles de seguridad creados antes de esa versión se establecen como Privilegios de equipo y los roles de seguridad creados después de esta se establecen de forma predeterminada como Privilegios de usuario.

Un rol de seguridad puede establecerse para brindar privilegios de usuario de acceso directo de nivel Básico a los miembros del equipo. Cuando un rol de seguridad de herencia de privilegios se asigna a un usuario, el usuario obtiene todos los privilegios directamente, así como un rol de seguridad sin herencia de privilegios. Los miembros del equipo pueden crear registros de su propiedad y registros que tengan el equipo como propietario cuando se les brinde el nivel de acceso Básico para Creación. Cuando se les proporcione el nivel de acceso Básico para Lectura, pueden acceder a registros que son propiedad tanto de ellos mismos como del equipo. Este rol de herencia de privilegios del miembro se aplica a Propietario y a Equipos de grupo de Microsoft Entra ID.

  1. Inicie sesión en el centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.

  2. Seleccione Configuración>Usuarios y permisos>Roles de seguridad.

  3. Seleccione Nuevo.

  4. Ingrese el nombre del nuevo rol de seguridad.

  5. Seleccione la lista Herencia de privilegios del miembro y luego seleccione Usuario directo/Nivel de acceso básico y privilegios de equipo.

  6. Vaya a cada pestaña y establezca los privilegios adecuados en cada tabla.

    Para cambiar el nivel de acceso de un privilegio, sigua seleccionando el símbolo de nivel de acceso hasta que vea el que desee. Los niveles de acceso disponibles dependen de si el tipo de registro es propiedad de la organización o propiedad del usuario.

Solo puede seleccionar privilegios de nivel básico en la herencia de privilegios del miembro. Si necesita proporcionar acceso a una unidad de negocio secundaria, eleve el privilegio a Profundo. Por ejemplo, debe asignar un rol de seguridad al equipo del grupo y desea que los miembros del grupo puedan agregar a la cuenta. Configure el rol de seguridad con la herencia de privilegios de un miembro del equipo de nivel básico. Establezca el privilegio Agregar a la cuenta en Profundo. Esto se debe a que los privilegios de nivel básico solo se aplican a la unidad de negocio del usuario.

Nota

Desde julio de 2024, el atributo de herencia de privilegios de miembro del equipo de un rol ya no es una propiedad administrada. ... Cuando importa una solución que tiene roles de seguridad, este atributo no se incluye.