Configuración de la seguridad del usuario a recursos en un entorno

Microsoft Dataverse usa un modelo de seguridad basada en roles para ayudar al acceso seguro a la base de datos. Este artículo explica cómo crear los artefactos de seguridad necesarios para ayudarle proteger recursos en un entorno. Los roles de seguridad se pueden usar para configurar el acceso en todo el entorno a todos los recursos del entorno, o para configurar el acceso a aplicaciones y datos específicos en el entorno. Los roles de seguridad de usuario controlan el acceso de un usuario a los recursos de un entorno a través de un conjunto de permisos y niveles de acceso. La combinación de niveles de acceso y permisos que se incluyen en un determinado rol de seguridad define los límites de visualización de aplicaciones y datos para el usuario, así como las interacciones del usuario con estos.

Un entorno puede tener cero o una base de datos de Dataverse. El proceso para asignar roles de seguridad para entornos sin base de datos Dataverse difiere de la de un entorno con una base de datos Dataverse.

Roles de seguridad predefinidos

Los entornos incluyen roles de seguridad predefinidos que reflejan tareas de usuario comunes con niveles de acceso definidos para que coincidan con el objetivo de seguridad recomendado de proporcionar acceso a la cantidad mínima de datos profesionales necesarios para usar la aplicación.

Estos roles de seguridad se pueden asignar al usuario, al equipo propietario y al equipo de grupo.

Hay otro conjunto de roles de seguridad que se asigna a los usuarios de aplicaciones. Esos roles de seguridad se instalan por nuestros servicios y no se pueden actualizar.

En función del entorno, estarán disponibles distintos roles de seguridad predefinidos.

Entornos sin una base de datos de Dataverse

Creador de entornos y Administrador de entornos son los únicos roles predefinidos para entornos que no tienen base de datos de Dataverse. Estos roles se definen en la tabla siguiente.

Rol de seguridad Privilegios de base de datos* Descripción
Administrador de entorno Crear, leer, escribir, eliminar, personalizaciones, roles de seguridad El rol Administrador de entorno puede realizar todas las acciones administrativas en un entorno, incluido lo siguiente:
  • Agregar o quitar un usuario en el rol Administrador de entornos o el rol Creador de entornos.
  • Aprovisionar una base de datos de Dataverse para el entorno. Una vez aprovisionada una base de datos, el rol de Personalizador del sistema también debe asignarse a un administrador de entorno para que tenga acceso a los datos del entorno.
  • Ver y administrar todos los recursos creados en un entorno.
  • Establecer directivas de prevención de pérdida de datos. Más información: Directivas de prevención de pérdida de datos
Creador de entorno Personalizaciones Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas, puertas de enlace y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos de un entorno. Más información: Información general sobre los entornos

Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. Más información: Compartir una aplicación en Power Apps

*El alcance de estos privilegios es global, a menos que se especifique lo contrario.

Entornos con una base de datos de Dataverse

Si el entorno tiene una base de datos de Dataverse, hay que asignar a un usuario el rol de Administrador del sistema en lugar del rol Administrador de entorno, para que tenga privilegios de administrador completos, como se describe en la tabla anterior.

Para los usuarios que crean aplicaciones que se conectan a la base de datos y necesitan crear o actualizar entidades y roles de seguridad, debe asignar el rol Personalizador del sistema además del rol Creador de entornos. Esto es necesario porque el rol Creador de entornos no tiene privilegios sobre los datos del entorno.

Rol de seguridad Privilegios de base de datos* Descripción
Creador de entorno Personalizaciones Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas, puertas de enlace y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos de un entorno. Más información: Información general sobre los entornos

Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. Más información: Compartir una aplicación en Power Apps
Administrador del sistema Crear, leer, escribir, eliminar, personalizaciones, roles de seguridad Tiene permiso completo para personalizar o administrar el entorno, incluida la creación, modificación y asignación de roles de seguridad. Puede ver todos los datos del entorno. Más información: Privilegios necesarios para la personalización.
Personalizador del sistema Creación (automática), Lectura (automática), Escritura (automática), Eliminación (automática), Personalizaciones Tiene permiso completo para personalizar el entorno. Sin embargo, los usuarios con este rol solo pueden ver los registros de las entidades del entorno que han creado. Más información: Privilegios necesarios para la personalización.
Usuario Basic Leer (registros propios), Crear (registros propios), Escribir (registros propios), Eliminar (registros propios) Puede ejecutar una aplicación dentro del entorno y realizar tareas comunes para los registros que posee. Tenga en cuenta que esto solo se aplica a entidades no personalizadas. Más información: Creación o configuración de un rol de seguridad personalizado

Nota: el nombre del rol de seguridad Usuario de Common Data Service se ha cambiado a Usuario básico. No es necesaria ninguna acción; solo es un cambio de nombre y no afecta a los privilegios del usuario ni a la asignación de roles. Si tiene una solución con el rol de seguridad Usuario de Common Data Service, al importar la solución podría restablecer inadvertidamente el nombre del rol de seguridad como Usuario de Common Data Service. Actualice la solución antes de volver a importar.
Servicio lector Leído Tiene permiso de lectura completo para todas las entidades, incluidas las entidades personalizadas. Esto lo usa principalmente el servicio de backend que requiere leer todas las entidades.
Servicio escritor Crear, lectura y escritura Tiene permiso de Crear, Leer y Escribir para todas las entidades, incluidas las entidades personalizadas. Esto lo usa principalmente el servicio de backend que requiere crear y actualizar registros.
Delegado Actuar en nombre de otro usuario Permite que el código se ejecute como otro usuario o lo suplante. Normalmente se usa con otro rol de seguridad para permitir el acceso a los registros. Más información: Suplantar a otro usuario
Usuario de soporte Leer personalizaciones, leer la configuración de Administración de empresas Tiene permiso de lectura completo para la personalización y la configuración de administración de empresas para permitir que el personal de soporte solucione problemas de configuración del entorno. No tiene acceso a registros básicos.
Lector global El rol Lector global aún no es compatible en el centro de administración de Power Platform.

*El alcance de estos privilegios es global, a menos que se especifique lo contrario.

Es posible que al instalar aplicaciones de Dynamics 365 se le hayan proporcionado otros roles de seguridad que tiene y que no figuran en la tabla anterior.

Dataverse for Teams entornos

Para obtener información sobre los roles de seguridad del entorno Dataverse for Teams, consulte Acceso de usuario a entornos de Dataverse for Teams.

Roles de seguridad específicos de aplicaciones

Si implementa aplicaciones de Dynamics 365 en su entorno de Dataverse, como Dynamics 365 Sales o Dynamics 365 Field Service, se agregan roles de seguridad adicionales como resultado de la implementación de estas aplicaciones. Para obtener información sobre estos roles de seguridad adicionales, consulte la documentación de las aplicaciones respectivas:

Aplicación de Dynamics 365 Documentos de rol de seguridad
Dynamics 365 Sales Asignar un rol de seguridad a un usuario
Dynamics 365 Marketing Administrar cuentas de usuario, licencias de usuario y roles de seguridad
Administrar roles para un equipo
Permitir que los usuarios trabajen con el conector LinkedIn Lead Gen
Dynamics 365 Field Service Configurar usuarios y perfiles de seguridad de Dynamics 365 Field Service
Roles de seguridad para Connected Field Service
Asignar roles de seguridad a la aplicación móvil de Field Service
Dynamics 365 Customer Service Asignar roles y habilitar usuarios para el omnicanal para el servicio de atención al cliente
Administrar usuarios en Omnicanal para servicio al cliente
Administrador de perfiles de aplicación Funciones y privilegios asociados con el administrador de perfiles de la aplicación

Resumen de recursos disponibles para roles de seguridad predefinidos

La siguiente tabla describe qué recursos puede crear cada rol de seguridad.

Recurso Creador de entorno Administrador de entorno Personalizador del sistema Administrador del sistema
Aplicación de lienzo X X - X
Flujo de nube X (no compatible con las soluciones) X X (compatibles con las soluciones) X
Conector X X - X
Conexión X X - X
Puerta de enlace de datos X X - X
Flujo de datos X X - X
Tablas de Dataverse - - X X
Aplicación basada en modelo - - X X
Marco de la solución - - X X
Flujo de escritorio - - X X
AI Builder - - X X

Asignar roles de seguridad a usuarios en un entorno que no tienen una base de datos Dataverse

Para entornos sin base de datos de Dataverse, los roles de seguridad se pueden asignar a usuarios individuales o a grupos de Azure AD. Un usuario que tenga la función de administrador del entorno en el entorno puede realizar estos pasos.

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. Seleccione  Entornos > [seleccione un entorno].

  3. En el mosaico Acceso, seleccione Ver todo para Administrador de entorno o Creador de entorno para agregar o eliminar personas para cualquiera de los roles.

    Elija un rol

  4. Seleccione Añadir personas y luego especifique el nombre o la dirección de correo electrónico de uno o más usuarios o grupos de Azure AD para asignar este rol.

    Seleccione una acción

Asignar roles de seguridad a usuarios en un entorno que tiene una base de datos Dataverse

Se pueden asignar roles de seguridad a equipos propietarios y  equipos de grupo de Azure AD, además de usuarios individuales. Antes de asignar un rol a un usuario, verificar que el usuario está presente en el entorno en estado habilitado. Agregar al usuario al entorno o corregir su estado para que esté habilitado antes de asignarles un rol. Podrá asignar un rol como parte del proceso de agregar el usuario.

En general, un rol de seguridad se puede asignar únicamente los usuarios con estado habilitado. Pero si necesita asignar roles de seguridad a los usuarios que tienen el estado deshabilitado, puede hacerlo habilitando los allowRoleAssignmentOnDisabledUsers en OrgDBOrgSettings.

Para agregar un rol de seguridad a un equipo propietario, equipo de grupo o un usuario que tiene el estado Habilitado en un entorno:

  1. Inicie sesión en el Centro de administración de Power Platform.

  2. Seleccione  Entornos > [seleccione un entorno].

  3. En el icono Acceso, seleccione Ver todo en Roles de seguridad.

    Ver todos los roles de seguridad

  4. Asegúrese de seleccionar la unidad de negocio correcta en el menú desplegable y seleccione un rol de la lista de roles en el entorno.

    Seleccionar unidad de negocio

  5. Seleccione Añadir personas para agregar un usuario, equipo propietario o equipo de grupo al rol. Si no encuentra un usuario o equipo para asignarle el rol, asegúrese de que el usuario o equipo esté presente en el entorno y que el usuario tenga el estado Habilitado antes de asignarle un rol.

    Agregar pers.

Crear o configurar un rol de seguridad personalizado

Si su aplicación usa una entidad personalizada, sus privilegios se deben conceder explícitamente en un rol de seguridad antes de que su aplicación pueda usarse. Puede agregar estos privilegios en un rol de seguridad existente o crear un rol de seguridad personalizado.

Nota

Cada rol de seguridad debe incluir un conjunto mínimo de privilegios antes de poder usarse. Estos se describen más adelante en este mismo artículo.

Sugerencia

Es posible que el entorno mantenga los registros que pueden usar varias aplicaciones, y es posible que necesite varios roles de seguridad para acceder a los datos con diferentes privilegios. Por ejemplo:

  • Es posible que algunos de los usuarios (llamémoslos Tipo A) solo necesiten leer, actualizar y adjuntar otros registros para que su rol de seguridad tenga privilegios de lectura, escritura y anexar.
  • Otros usuarios pueden necesitar todos los privilegios que tienen los usuarios de Tipo A, además de la capacidad de crear, agregar, eliminar y compartir. El rol de seguridad para estos usuarios tendrá privilegios para crear, leer, escribir, anexar, eliminar, asignar, anexar a y compartir.

Para obtener más información sobre los privilegios de acceso y de ámbito, consulte Roles de seguridad y privilegios.

  1. Inicie sesión en el Centro de administración de Power Platform y seleccione el entorno para el que desea actualizar un rol de seguridad.

  2. Seleccione la URL del entorno.

    Seleccionar URL del entorno

  3. Si ve aplicaciones y mosaicos publicados, seleccione el icono engranaje (Configuración) en la esquina superior derecha y luego seleccione Configuración avanzada.

  4. En la barra de menú, seleccione Configuración > Seguridad.

    Seleccione Roles de seguridad

  5. Seleccione Nuevo.

  6. Desde el diseñador rol de seguridad, introduzca un nombre de rol en la pestaña Detalles. En las otras pestañas seleccionará las acciones y el alcance para realizar esa acción.

  7. Seleccione una pestaña y busque su entidad. Por ejemplo, seleccione la pestaña Entidades personalizadas para establecer permisos en una entidad personalizada.

  8. Seleccione los privilegios Leer, Crear, Anexar.

  9. Seleccione Guardar y cerrar.

Privilegios mínimos para ejecutar una aplicación

Cuando crea un rol de seguridad personalizado, es necesario incluir un conjunto de privilegios mínimos en el rol de seguridad para que un usuario ejecute una aplicación. Hemos creado una solución que puede importar que proporciona un rol de seguridad con los privilegios mínimos requeridos.

Inicie mediante la descarga de la solución desde el Centro de descarga: Rol de seguridad de privilegio mínimo de Dataverse.

A continuación, siga las indicaciones para importar la solución: Importar, actualizar, y exportar soluciones.

Cuando importe la solución, crea el rol min pro apps use que puede copiar (consulte: Crear un rol de seguridad mediante Copiar rol). Cuando el proceso Copiar rol termine, vaya a cada pestaña—Registros principales, Administración de empresas, Personalización, etc.—y establezca los privilegios apropiados.

Importante

Debe probar la solución en un entorno de desarrollo antes de importar en un entorno de producción.

Vea también

Concesión de acceso a usuarios
Controlar el acceso de usuario a los entornos: grupos de seguridad y licencias
Cómo se determina el acceso a un registro