Roles de seguridad y privilegios

Para controlar el acceso a los datos, debe configurar una estructura organizativa que proteja los datos confidenciales y, a la vez, permita la colaboración. Esto se realiza mediante la configuración de unidades empresariales, roles de seguridad y perfiles de seguridad de campo.

Sugerencia

Consulte el vídeo siguiente: Cómo configurar roles de seguridad.

Roles de seguridad

Un rol de seguridad define cuántos usuarios distintos como, por ejemplo, el personal de ventas, tienen acceso a diferentes tipos de registros. Para controlar el acceso a los datos, puede modificar los roles de seguridad existentes, crear nuevos roles de seguridad o cambiar cuáles se asignan a los usuarios. Un usuario puede tener varios roles de seguridad. Consulte Roles de seguridad predefinidos.

Los privilegios de los roles de seguridad son acumulativos: tener más de un rol de seguridad otorga al usuario cada privilegio disponible en cada rol.

Un rol de seguridad se compone de privilegios a nivel de registro y privilegios basados en tareas.

Los privilegios a nivel de registro definen las tareas que puede realizar un usuario con acceso al registro, como por ejemplo Lectura, Crear, Eliminar, Escritura, Asignar, Compartir, Anexar y Anexar a. Anexar significa adjuntar otro registro, como una actividad o una nota, a un registro. Anexar a significa adjuntar a un registro. Más información: Privilegios a nivel de registro.

Los privilegios basados en tareas, en la parte inferior del formulario, dan al usuario privilegios para realizar tareas específicas, como publicar artículos.

Los círculos coloreados de la página de configuración de roles de seguridad definen el nivel de acceso de ese privilegio. Los niveles de acceso determinan la profundidad o altura en la jerarquía organizativa de unidades de negocio en la que el usuario puede utilizar el privilegio especificado. En la siguiente tabla se enumeran los niveles de acceso en la aplicación, comenzando con el nivel que da a los usuarios el acceso más amplio.

Icon Descripción
Nivel de acceso global. Global. Este nivel de acceso permite a un usuario tener acceso a todos los registros de la organización, independientemente del nivel jerárquico de unidades de negocio al que pertenece el entorno o el usuario. Los usuarios con nivel de acceso Global, también tienen acceso Profundo, Local y Básico automáticamente.

Debido a que este nivel de acceso permite obtener acceso a la información de toda la organización, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la organización.

La aplicación hace referencia a este nivel de acceso como Organización.
Profundidad del nivel de acceso. Profundo. Este nivel de acceso le da al usuario acceso a los registros de la unidad de negocio del usuario y de todas las unidades de negocio subordinadas a la unidad de negocio del usuario.

Los usuarios que tienen el nivel de acceso Profundo, automáticamente tienen también los niveles de acceso Local y Básico.

Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio y las unidades de negocio subordinadas, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre las unidades de negocio.

La aplicación hace referencia a este nivel de acceso como Primario: unidades de negocio secundarias.
Nivel de acceso local. Local. Este nivel de acceso le da al usuario acceso a los registros de la unidad de negocio del usuario.

Los usuarios que tienen el nivel de acceso Local, automáticamente tienen también el nivel de acceso Básico.

Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la unidad de negocio.

La aplicación hace referencia a este nivel de acceso como Unidad de negocio.
Nivel de acceso básico. Básico. Este nivel de acceso le da al usuario acceso a los registros que el usuario posee, objetos que se comparten con la organización, los objetos que se comparten con el usuario y los objetos que se comparten con un equipo del que el usuario es miembro.

Este es el nivel de acceso típico para representantes de ventas y servicios.

La aplicación hace referencia a este nivel de acceso como Usuario.
Ningún nivel de acceso. Ninguno. No se permite ningún acceso.

Importante

Para asegurarse de que los usuarios puedan ver y obtener acceso a todas las áreas de la aplicación web, como formularios de tabla, la barra de navegación o la barra de comandos, todos los roles de seguridad de la organización debe incluir el privilegio de Lectura sobre la tabla Web Resource. Por ejemplo, sin permisos de lectura, el usuario no podrá abrir un formulario que contenga un recurso web y verá un mensaje de error similar a este: "Faltan privilegios de prvReadWebResource”. Más información: Creación o edición de roles de seguridad

Privilegios de nivel de registro

PowerApps y las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) utilizan ocho privilegios diferentes a nivel de registro que determinan el nivel de acceso que tiene un usuario a un determinado registro o tipo de registro.

Privilegio Descripción
Crear Requerido para crear un registro nuevo. Los registros que se pueden crear dependen del nivel de acceso del permiso definido en su rol de seguridad.
Lectura Requerido para abrir un registro para ver el contenido. Los registros que se pueden leer dependen del nivel de acceso del permiso definido en su rol de seguridad.
Escribir Requerido para realizar cambios en un registro. Los registros que se pueden cambiar dependen del nivel de acceso del permiso definido en su rol de seguridad.
Eliminar Requerido para quitar un registro de forma permanente. Los registros que se pueden eliminar dependen del nivel de acceso del permiso definido en su rol de seguridad.
Anexar Necesario para asociar el registro actual a otro registro. Por ejemplo, se puede anexar una nota a una oportunidad si el usuario tiene el derecho Anexar para la nota. Los registros que se pueden anexar dependen del nivel de acceso del permiso definido en su rol de seguridad.
En el caso de las relaciones de varios a varios, es necesario tener el privilegio Anexar para poder asociar o desasociar las dos tablas.
Anexar a Necesario para asociar un registro al registro actual. Por ejemplo, si un usuario tiene el derecho Anexar a en una oportunidad, puede agregar una nota a la oportunidad. Los registros que se pueden anexar dependen del nivel de acceso del permiso definido en su rol de seguridad.
Asignar Requerido para conceder la propiedad de un registro a otro usuario. Los registros que se pueden asignar dependen del nivel de acceso del permiso definido en su rol de seguridad.
Compartir Requerido para dar acceso a un registro a otro usuario manteniendo su propio acceso. Los registros que se pueden compartir dependen del nivel de acceso del permiso definido en su rol de seguridad.

Reemplazar roles de seguridad

El propietario de un registro o una persona que tenga el privilegio Compartir en un registro pueden compartirlo con otros usuarios o equipos. Al compartir, se pueden agregar los privilegios Leer, Escribir, Eliminar, Anexar, Asignar y Compartir para registros específicos.

Los equipos se usan principalmente para compartir registros a los que los miembros del equipo no podrían tener acceso normalmente. Más información: Administrar seguridad, usuarios y equipos.

No es posible quitar el acceso a un registro en particular. Cualquier cambio en los privilegios de un rol de seguridad se aplica a todos los registros de ese tipo de registro.

Herencia de privilegios del miembro de equipo

Privilegios de usuario y equipo

  • Privilegios de usuario: estos privilegios se conceden al usuario directamente cuando se asigna un rol de seguridad al usuario. El usuario puede crear registros y tiene acceso a los registros creados/propiedad del usuario cuando se le dio el nivel de acceso Básico para Crear y Leer. Esta es la configuración predeterminada para los nuevos roles de seguridad.
  • Privilegios de equipo: estos privilegios se concede a un usuario como miembro del equipo. Para miembros del equipo que no tienen sus propios privilegios de usuario, estos solo pueden crear registros con el equipo como el propietario y tienen acceso a los registros que son propiedad del equipo cuando se brinda el nivel de acceso Básico para Creación y Lectura.

Un rol de seguridad puede establecerse para brindar privilegios de usuario de acceso directo de nivel Básico a un miembro del equipo. Un miembro del equipo puede crear registros de su propiedad y registros que tenga el equipo como propietario cuando se brinde el nivel de acceso Básico para Creación. Cuando se proporcione el nivel de acceso Básico para Lectura, el miembro del equipo puede acceder a registros que son propiedad tanto de ese miembro del eqiupo como del equipo.

Este rol de herencia de privilegios del miembro se aplica al Propietario y al equipo de grupo de Azure Active Directory (Azure AD).

Nota

Antes del lanzamiento de la herencia de privilegios del miembro del equipo en mayo de 2019, los roles de seguridad se comportaban como Privilegios de equipo. Los roles de seguridad creados antes de esta versión se establecen como Privilegios de equipo y los roles de seguridad creados después de esta versión se establecen de forma predeterminada como Privilegios de usuario.

Crear un rol de seguridad con la herencia de privilegios de un miembro del equipo

Requisitos previos

Estas opciones de configuración se pueden encontrar en el Centro de administración de Power Platform, en Entornos > [seleccione un entorno] > Configuración > Usuarios y permisos > Roles de seguridad.

Compruebe que tiene el rol de seguridad de Administrador del sistema o de Personalizador del sistema o permisos equivalentes.

Compruebe su rol de seguridad:

  1. Seleccione un entorno y vaya a Configuración > Usuarios y permisos > Roles de seguridad.

  2. En la barra de comandos, seleccione Nuevo.

  3. Introduzca un nombre de rol.

  4. Seleccione la lista desplegable Herencia de privilegios del miembro.

  5. Seleccione Nivel de acceso directo de usuario/Básico y privilegios del equipo.

  6. Vaya a cada pestaña y establezca los privilegios adecuados en cada tabla.

    Para cambiar el nivel de acceso de un privilegio, seleccione el símbolo de nivel de acceso hasta que vea el símbolo que desee. Los niveles de acceso disponibles dependen de si el tipo de registro es propiedad de la organización o propiedad del usuario.

Nota

También puede establecer esta propiedad de herencia de priviegios para todos los roles de seguridad disponibles, excepto para el rol de Administrador del sistema. Cuando un rol de seguridad de herencia de privilegios se asigna a un usuario, el usuario obtiene todos los privilegios directamente, así como un rol de seguridad sin herencia de privilegios.

Solo puede seleccionar privilegios de nivel básico en la herencia de privilegios del miembro. Si necesita proporcionar acceso a una unidad de negocio secundaria, deberá elevar el privilegio a Deep; por ejemplo, debe asignar un rol de seguridad al equipo del grupo y se recomienda que los miembros de este grupo puedan utilizar Anexar a la cuenta. Configure el rol de seguridad con la herencia de privilegios del miembro en nivel básico y en el privilegio Anexar a la cuenta, lo establece en Profundo. Esto se debe a que los privilegios de nivel básico solo son aplicables a la unidad de negocio del usuario.

Consultar también

Vídeo: Administre usuarios de aplicaciones, roles de seguridad, equipos y usuarios en el centro de administración Power Platform