Usar seguridad en un entorno
Microsoft Dataverse utiliza un modelo de seguridad basado en roles para controlar el acceso a una base de datos y sus recursos en un entorno. Use roles de seguridad para configurar el acceso a todos los recursos del entorno o a aplicaciones y datos específicos del entorno. Una combinación de permisos y niveles de acceso en un rol de seguridad determina qué aplicaciones y datos los usuairos pueden ver y cómo pueden interactuar con esas aplicaciones y datos.
Un entorno puede tener ninguna o una base de datos de Dataverse. Los roles de seguridad se asignan de manera diferente para entornos que no tienen base de datos de Dataverse y entornos que tienen una base de datos de Dataverse.
Más información sobre entornos en Power Platform.
Roles de seguridad predefinidos
Los entornos incluyen roles de seguridad predefinidos que reflejan las tareas comunes de los usuarios. Los roles de seguridad predefinidos siguen el procedimiento recomendado de seguridad de proporcionar el "acceso necesario mínimo": proporcionar el acceso mínimo a los datos empresariales que un usuario necesite para usar una aplicación. Estos roles de seguridad se pueden asignar a un usuario, al equipo propietario y al equipo de grupo. Los roles de seguridad predefinidos que están disponibles en un entorno dependen del tipo de entorno y de las aplicaciones instaladas en él.
Otro conjunto de roles de seguridad se asigna a los usuarios de aplicaciones. Esos roles de seguridad se instalan por nuestros servicios y no se pueden actualizar.
Entornos sin una base de datos de Dataverse
Creador de entornos y Administrador de entornos son los únicos roles predefinidos para entornos que no tienen base de datos de Dataverse. Estos roles se describen en la tabla siguiente.
| Rol de seguridad | Description |
|---|---|
| Administrador de entorno | El rol Administrador de entornos puede llevar a cabo todas las acciones administrativas en un entorno, incluido lo siguiente:
|
| Creador de entorno | Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos en un entorno. Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. |
Entornos con una base de datos de Dataverse
Si el ambiente tiene una base de datos de Dataverse, a un usuario se le debe asignar el rol de Administrador del sistema en lugar del rol Administrador de entorno para obtener privilegios de administrador completos.
Los usuarios que crean aplicaciones que se conectan a la base de datos y necesitan crear o actualizar entidades y roles de seguridad deben tener el rol Personalizador del sistema además del rol Creador de entornos. El rol Creador de entornos no tiene privilegios sobre los datos del entorno.
La siguiente tabla describe los roles de seguridad predefinidos en un entorno que tiene una base de datos de Dataverse. No puede editar estos roles.
| Rol de seguridad | Description |
|---|---|
| Abridor de aplicaciones | Tiene privilegios mínimos para tareas comunes. Este rol se usa principalmente como plantilla para crear un rol de seguridad personalizado para aplicaciones basadas en modelos. No tiene privilegios para las tablas comerciales principales, como Cuenta, Contacto y Actividad. Sin embargo, tiene acceso de lectura a nivel de Organización a las tablas del sistema, como Proceso, para admitir la lectura de flujos de trabajo suministrados por el sistema. Este rol de seguridad se utiliza cuando se crea un nuevo rol de seguridad personalizado. |
| Usuario Basic | Solo para entidades listas para usar, se puede ejecutar una aplicación en el entorno y realizar tareas comunes para los registros que posee. Tiene privilegios para las tablas de negocio principales, como Cuenta, Contacto, Actividad y Proceso. Nota: el nombre del rol de seguridad Usuario de Common Data Service se ha cambiado a Usuario básico. Solo se cambió el nombre; los privilegios de usuario y la asignación de roles son los mismos. Si tiene una solución con el rol de seguridad de Usuario de Common Data Service, debe actualizar la solución antes de volver a importarla. De lo contrario, es posible que sin darse cuenta cambie el nombre rol de seguridad de nuevo a Usuario cuando importe la solución. |
| Delegado | Permite que el código se ejecute como otro usuario o lo suplante. Normalmente se usa con otro rol de seguridad para permitir el acceso a los registros. |
| Administrador de Dynamics 365 | Administrador de Dynamics 365 es un rol de administrador del servicio de Microsoft Power Platform. Los usuarios de este rol puede realizar funciones de administrador en Microsoft Power Platform después de auto elevarse al rol de administrador del sistema. |
| Creador de entorno | Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos en un entorno. Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. |
| Administrador global | Administrador global es un rol de administrador de Microsoft 365. Una persona que compra la suscripción comercial de Microsoft es un Administrador global y tiene control ilimitado sobre los productos de la suscripción y acceso a la mayoría de los datos. Los usuarios de este rol deben autoelevarse al rol de administrador del sistema. |
| Lector global | El rol Lector global aún no es compatible con el Centro de administración de Power Platform. |
| Colaborador de Office | Tiene permiso de lectura para las tablas en las que se compartió un registro con la organización. No tiene acceso a ningún otro registro de las tablas principal y personalizada. Esta función se asigna al equipo de propietarios de Office Collaborators y no a un usuario individual. |
| Administrador de Power Platform | Administrador de Power Platform es un rol de administrador del servicio de Microsoft Power Platform. Los usuarios de este rol puede realizar funciones de administrador en Microsoft Power Platform después de auto elevarse al rol de administrador del sistema. |
| Servicio eliminado | Tiene permiso de eliminación completo para todas las entidades, incluidas las entidades personalizadas. Este rol lo usa principalmente el servicio y requiere eliminar registros en todas las entidades. Este rol no se puede asignar a un usuario o un equipo. |
| Lector de servicios | Tiene permisos plenos de lectura para todas las entidades, incluidas las personalizadas. Este rol lo usa principalmente el servicio y requiere leer todas las entidades. Este rol no se puede asignar a un usuario o un equipo. |
| Redactor de servicio | Tiene permisos completos de creación, lectura y escritura para todas las entidades, incluidas las entidades personalizadas. Este rol lo usa principalmente el servicio y requiere crear y actualizar registros. Este rol no se puede asignar a un usuario o un equipo. |
| Usuario de soporte técnico | Tiene permiso de lectura completo para la personalización y la configuración de administración de empresas, que permite al personal de soporte solucionar problemas de configuración del entorno. Este rol no tiene acceso a registros básicos. Este rol no se puede asignar a un usuario o un equipo. |
| Administrador del sistema | Tiene permiso completo para personalizar o administrar el entorno, incluida la creación, modificación y asignación de roles de seguridad. Puede ver todos los datos del entorno. |
| Personalizador del sistema | Tiene permiso completo para personalizar el entorno. Puede ver todos los datos de tablas personalizadas en el entorno. Sin embargo, los usuarios con este rol solo pueden ver las filas que han creado en las tablas Cuenta, Contacto y Actividad. |
| Propietario de aplicación de sitio web | Un usuario que posee el registro de aplicación del sitio web en Azure Portal. |
| Propietario del sitio web | Usuario que creó el sitio web de Power Pages. Este rol está administrado y no se puede cambiar. |
Además de los roles de seguridad predefinidos que han descrito para Dataverse, podría haber otros roles de seguridad disponibles en su entorno según los componentes de Power Platform (Power Apps, Power Automate, Microsoft Copilot Studio) que tenga. La siguiente tabla incluye enlaces a más información.
| Componente de Power Platform | Información |
|---|---|
| Power Apps | Roles de seguridad predefinidos para entornos con una base de datos de Dataverse |
| Power Automate | Seguridad y privacidad |
| Power Pages | Roles obligatorios para la administración de sitios web |
| Microsoft Copilot Studio | Asignar roles de seguridad de entorno |
Dataverse for Teams entornos
Obtenga más información sobre los roles de seguridad predefinidos en entornos de Dataverse for Teams.
Roles de seguridad específicos de aplicaciones
Si implementa aplicaciones de Dynamics 365 en su entorno, se agregan otros roles de seguridad. La siguiente tabla incluye enlaces a más información.
| Aplicación de Dynamics 365 | Documentos de rol de seguridad |
|---|---|
| Dynamics 365 Sales | Roles de seguridad predefinidos para Ventas |
| Dynamics 365 Marketing | Roles de seguridad agregados por Dynamics 365 Marketing |
| Dynamics 365 Field Service | Roles + definiciones de Dynamics 365 Field Service |
| Dynamics 365 Customer Service | Roles en Plataforma omnicanal para Customer Service |
| Dynamics 365 Customer Insights | Roles de Customer Insights |
| Administrador de perfiles de aplicación | Roles y privilegios asociados con el administrador de perfiles de la aplicación |
| Dynamics 365 Finance | Roles de seguridad en el sector público |
| Aplicaciones de finanzas y operaciones | Roles de seguridad en Microsoft Power Platform |
Resumen de recursos disponibles para roles de seguridad predefinidos
La siguiente tabla describe qué recursos puede crear cada rol de seguridad.
| Recurso | Creador de entorno | Administrador de entorno | Personalizador del sistema | Administrador del sistema |
|---|---|---|---|---|
| Aplicación de lienzo | X | X | X | X |
| Flujo de nube | X (no compatible con las soluciones) | X | X | X |
| Connector | X (no compatible con las soluciones) | X | X | X |
| Conexión* | X | X | X | X |
| Puerta de enlace de datos | - | X | - | X |
| Flujo de datos | X | X | X | X |
| Tablas de Dataverse | - | - | X | X |
| Aplicación basada en modelo | X | - | X | X |
| Marco de la solución | X | - | X | X |
| Flujo de escritorio** | - | - | X | X |
| AI Builder | - | - | X | X |
*Se usan conexiones en aplicaciones de lienzo y Power Automate.
**Los usuarios de Dataverse for Teams no obtienen acceso a los flujos de escritorio de forma predeterminada. Necesita actualizar su entorno para disfrutar de todas las capacidades de Dataverse y adquirir Planes de licencia de flujo de escritorio para usar flujos de escritorio.