Comprender los roles de los entornos
Un rol de seguridad tiene determinados privilegios asociados; puede asociar a un usuario a uno o varios roles. Piense en los roles como una colección de privilegios.
Los entornos tienen dos roles predefinidos que ofrecen acceso a los permisos dentro de un entorno. Asignará usuarios a uno de estos dos roles al considerar qué permisos desea otorgar a un usuario en un entorno. Sin embargo, si el entorno tiene una base de datos de Dataverse, se agregarán más roles y se ampliarán las opciones de permisos.
Todos los entornos tienen estos roles predefinidos:
Administrador de entorno
Creador de entorno
Importante
Cuando se agrega un usuario a un entorno, se le asocia automáticamente con el rol Creador de entornos.
Rol Administrador de entorno
Antes de agregar una base de datos de Dataverse al entorno, el rol Administrador de entorno puede realizar todas las acciones administrativas de un entorno, incluidas las siguientes:
Agregar o eliminar un usuario o un grupo desde el rol Administrador de entorno o el rol Creador de entorno.
Aprovisionar una base de datos de Dataverse para el entorno.
Ver y administrar todos los recursos creados en el entorno.
Establecer directivas de prevención de pérdida de datos.
Rol Creador de entornos
El rol Creador de entornos puede crear recursos dentro de un entorno, como aplicaciones, conexiones, conectores personalizados, puertas de enlace y flujos que usan Power Automate. Las siguientes reglas se aplican a los miembros del rol Creador de entornos:
Los creadores de entornos pueden distribuir las aplicaciones que crean en un entorno a otros usuarios dentro de una organización. Comparten la aplicación con usuarios individuales, grupos de seguridad o todos los usuarios de la organización.
A los usuarios o grupos asignados a estos roles de entornos no se les otorga acceso automático a la base de datos del entorno (si existe). Un propietario de base de datos debe otorgarles acceso de forma independiente.
Cada vez que un nuevo usuario se registra en Power Apps, se le agrega automáticamente al rol Creador de entornos del entorno predeterminado.
Entornos con un almacén de datos de Dataverse
Cuando un entorno tiene un almacén de datos de Dataverse, a los usuarios se les debe asignar el rol de Administrador del sistema en lugar del rol Administrador de entornos, a fin de obtener privilegios de administrador completos, como se describe en la tabla siguiente.
En el caso de los usuarios que crean aplicaciones que se conectan a Dataverse y necesitan crear o actualizar tablas y roles de seguridad, deberá asignar el rol Personalizador del sistema además del rol Creador de entornos. Esto es necesario porque el rol Creador de entornos no tiene privilegios sobre los datos del entorno.
Rol de seguridad | Privilegios de base de datos* | Descripción |
---|---|---|
Abridor de aplicaciones | Creación (registros propios), lectura, escritura (registros propios), eliminación (registros propios) | Tiene privilegios mínimos para tareas comunes. Se usa principalmente cuando se crea un nuevo rol de seguridad para aplicaciones basadas en modelos, donde se crea una copia del rol antes de aplicar el acceso a los datos en sus tablas. Este rol está protegido y no se puede actualizar. |
Creador de entorno | Personalizaciones | Puede crear nuevos recursos asociados con un entorno, incluidas aplicaciones, conexiones, API personalizadas, puertas de enlace y flujos con Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos de un entorno. Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. |
Administrador del sistema | Creación, lectura, escritura, eliminación, personalizaciones, roles de seguridad | Tiene permiso completo para personalizar o administrar el entorno, incluida la creación, modificación y asignación de roles de seguridad. Puede ver todos los datos del entorno. |
Personalizador del sistema | Creación, lectura, escritura, eliminación, personalizaciones | Tiene permiso completo para personalizar el entorno. Puede ver todos los datos de tablas personalizadas en el entorno. Sin embargo, los usuarios con este rol solo pueden ver las filas (registros) que han creado en las tablas Cuenta, Contacto y Actividad. |
Usuario Basic | Lectura (registros propios), creación (registros propios), escritura (registros propios), eliminación (registros propios) | Puede ejecutar una aplicación dentro del entorno y realizar tareas comunes para los registros que posee. Esto solo se aplica a tablas no personalizadas. |
Eliminador de servicios | Eliminación | Tiene permisos plenos de eliminación para todas las entidades, incluidas las personalizadas. Es un rol utilizado principalmente por el servicio y requiere borrar registros en todas las entidades. Este rol no se puede asignar a un usuario o un equipo. |
Lector de servicios | Lectura | Tiene permisos plenos de lectura para todas las tablas, incluidas las personalizadas. Lo usa principalmente el servicio de back-end que necesita leer todas las tablas. |
Redactor de servicio | Crear, leer, escribir | Tiene permisos plenos de creación, lectura y escritura para todas las tablas, incluidas las personalizadas. Esto lo usa principalmente el servicio de back-end que necesita crear y actualizar registros. |
Delegado | Actuar en nombre de otro usuario | Permite que el código se ejecute como otro usuario o lo suplante. Normalmente, se usa con otro rol de seguridad para permitir el acceso a los registros. |
Administrador de Dynamics 365 | Administrador de Dynamics 365 es un rol de administrador de servicio de Microsoft Power Platform. Este rol puede realizar funciones de administrador en Microsoft Power Platform porque tiene el rol de administrador del sistema. | |
Usuario de soporte | Leer personalizaciones, leer la configuración de Administración de empresas | Tiene plenos permisos de lectura para la personalización y la configuración de administración de empresas para el personal de soporte |
Colaborador de Office | Lectura (registros propios) | Tiene permiso de lectura para las tablas donde alguno de sus registros se compartió con la organización. No tiene acceso a ningún otro registro de las tablas principal y personalizada. Este rol se asigna al equipo propietario Colaboradores de Office y no a un usuario individual. |
Lector global | El rol Lector global aún no es compatible con el Centro de administración de Power Platform. | |
Propietario de la aplicación del sitio web | Un usuario propietario del registro de la aplicación del sitio web en Azure Portal. | |
Propietario del sitio web | El usuario que ha creado el sitio web de Power Pages. Este rol está administrado y no se puede cambiar. |
* El alcance de estos privilegios es global, a menos que se especifique lo contrario.
Resumen de recursos disponibles para roles de seguridad predefinidos
La siguiente tabla puede resultarle útil a la hora de determinar qué roles necesita asignar según los recursos a los que tiene acceso ese rol.
Recurso | Creador de entorno | Administrador de entorno | Personalizador del sistema | Administrador del sistema |
---|---|---|---|---|
Aplicación de lienzo | X | X | X | X |
Flujo de nube | X (no compatible con las soluciones) | X | X (compatibles con las soluciones) | X |
Conector | X | X | - | X |
Conexión | X | X | - | X |
Puerta de enlace de datos | X | X | - | X |
Flujo de datos | X | X | - | X |
Tablas de Dataverse | - | - | X | X |
Aplicación basada en modelo | X | - | X | X |
Marco de solución | X | - | X | X |
* Flujo de escritorio | - | - | X | X |
AI Builder | - | - | X | X |
Importante
Los usuarios de Dataverse for Teams no obtienen acceso a los flujos de escritorio de forma predeterminada. Deberá actualizar el entorno a capacidades de Dataverse completas y adquirir planes de licencia de flujo de escritorio para poder usar flujos de escritorio.