Controlar el acceso de usuario a los entornos: grupos de seguridad y licencias
Si su compañía tiene varios entornos, puede usar grupos de seguridad para controlar qué usuarios con licencia pueden ser miembros de un entorno determinado.
Nota
Para obtener información sobre cómo funciona el acceso de usuarios en Microsoft Dataverse for Teams, vea Acceso de usuario a entornos de Dataverse for Teams.
Considere el siguiente escenario de ejemplo:
| Environment | Grupo de seguridad | Objetivo |
|---|---|---|
| Ventas de Coho Winery | Sales_SG | Proporcionar acceso al entorno que crea oportunidades de ventas, gestiona presupuestos y cierra tratos. |
| Marketing de Coho Winery | Marketing_SG | Proporcione acceso al entorno que controla los esfuerzos de marketing con campañas de marketing y publicidad. |
| Servicio de Coho Winery | Service_SG | Proporcionar acceso al entorno que procesa casos de clientes. |
| Desarrollo de Coho Winery | Developer_SG | Proporciona acceso al entorno de espacio aislado usado para desarrollo y pruebas. |
En este ejemplo, cuatro grupos de seguridad proporcionan acceso controlado a un entorno específico.
Tenga en cuenta la siguiente información sobre los grupos de seguridad:
Acerca de los grupos de seguridad anidados
Los miembros de un grupo de seguridad anidado en un grupo de seguridad del entorno no se aprovisionan previamente ni se agregan automáticamente al entorno. Sin embargo, se pueden agregar al entorno al crear un equipo de grupo de Dataverse para el grupo de seguridad anidado.
Un ejemplo de este escenario: asignó un grupo de seguridad para el entorno cuando se creó el entorno. Durante el ciclo de vida del entorno, desea agregar miembros al entorno que se administran mediante grupos de seguridad. Creó un grupo de seguridad en Microsoft Entra ID, por ejemplo, administradores, y asignó a todos sus administradores al grupo. A continuación, agregue este grupo de seguridad como secundario del grupo de seguridad del entorno, cree un equipo de grupo de Dataverse y asigne un rol de seguridad al equipo del grupo. Sus administradores ahora pueden acceder a Dataverse inmediatamente.
Un miembro de un grupo de seguridad anidado también se agrega al entorno en tiempo de ejecución cuando el miembro accede al entorno por primera vez. Pero el miembro no podrá ejecutar ninguna aplicación ni acceder a ningún dato hasta que se asigne un rol de seguridad.
Cuando se agregan usuarios al grupo de seguridad, estos se agregan al entorno.
Cuando se quitan usuarios del grupo, estos se deshabilitan en el entorno.
Cuando se asocia un grupo de seguridad a un entorno existente con usuarios, todos los usuarios del entorno que no sean miembros del grupo se deshabilitarán.
Si un entorno no tiene un grupo de seguridad asociado, todos los usuarios con una licencia de Dataverse (aplicaciones de interacción con los clientes Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation, Power Automate, Power Apps y otros) se crearán como usuarios y se habilitarán en el entorno.
Si un grupo de seguridad se asocia a un entorno, solo los usuarios con licencias de Dataverse o plan por aplicación que sean miembros del grupo de seguridad del entorno se crearán como usuarios en el entorno.
Si no especifica un grupo de seguridad, se agregarán al nuevo entorno todos los usuarios que tengan una licencia de Dataverse (aplicaciones de Customer Engagement, como Dynamics 365 Sales y Customer Service).
Nuevo: no se pueden asignar grupos de seguridad a los tipos de entorno predeterminado y de desarrollador. Si ya ha asignado un grupo de seguridad a su entorno predeterminado o de desarrollador, le recomendamos que lo elimine, ya que el entorno predeterminado está destinado a ser compartido con todos los usuarios del inquilino y el entorno del desarrollador está destinado a ser utilizado solo por el propietario del entorno.
Los entornos admiten la asociación de los siguientes tipos de grupos: Seguridad y Microsoft 365. No se permite asociar otros tipos de grupos.
Cuando seleccione un grupo de seguridad, asegúrese de seleccionar un grupo de seguridad de Microsoft Entra y no uno creado en Windows Active Directory local. Los grupos de seguridad de Windows AD local no son compatibles.
Si un usuario no forma parte del grupo de seguridad asignado al entorno, pero tiene el rol Global Administrador de arrendatario de Azure, el usuario seguirá apareciendo como un usuario activo y podrá iniciar sesión.
Si a un usuario se le asigna la función de administrador de servicios de Dynamics 365, el usuario debe ser parte del grupo de seguridad antes de que se habiliten en el entorno. No pueden acceder al entorno hasta que se agreguen al grupo de seguridad y se habiliten.
Nota
Todos los usuarios con licencia, independientemente de si son miembros de los grupos de seguridad, deben tener roles de seguridad asignados para tener acceso a los datos de los entornos. Puede asignar los roles de seguridad en la aplicación web. Si los usuarios no tienen un rol de seguridad, obtendrán un error de denegación de acceso a los datos cuando intenten ejecutar una aplicación. Los usuarios no pueden acceder a los entornos hasta que se les haya asignado al menos un rol de seguridad para ese entorno. Para obtener más información, consulte Configurar la seguridad del entorno La asignación automática de usuarios a un entorno no es compatible con los entornos de prueba. Para los entornos de prueba, los usuarios deben asignarse manualmente.
Crear un grupo de seguridad y agregar miembros a dicho grupo
Inicie sesión en el Centro de administración de Microsoft 365.
Seleccione Equipos y grupos>Equipos y grupos activos.
Seleccionar + Agregar un grupo.
Cambia el tipo a grupo de seguridad, agrega el grupo Nombre y Descripción y luego seleccione Agregar>Cerrar.
Seleccione el grupo que ha creado y luego junto Integrantes, seleccione Editar.
Seleccione + Agregar integrantes. Seleccione los usuarios para agregar al grupo de seguridad y, a continuación, seleccione Guardar>Cerrar varias veces para volver a la lista Grupos.
Para quitar un usuario del grupo de seguridad, seleccione el grupo de seguridad y luego, junto a Integrantes, seleccione Editar. Seleccione Quitar integrantes, y después seleccione X para cada integrante que desee quitar.
Nota
Si los usuarios que desea agregar al grupo de seguridad no se han creado, créelos y asígneles las licencias de Dataverse.
Para agregar varios usuarios, consulte: agregar en masa usuarios a grupos de Office365.
Crear un usuario y asignar una licencia
En el centro de administración de Microsoft 365, seleccione Usuarios>Usuarios activos>+ Agregar un usuario.
Especifique la información de usuario, seleccione licencias y luego seleccione Agregar.
Más información: Agregar usuarios y asignar licencias al mismo tiempo
O bien, compre y asigne pases por aplicación: Acerca de los planes por aplicación de Power Apps
Nota
Si un entorno tiene una instancia de Power Apps por plan de aplicación asignado, todos los usuarios se considerarán con licencia cuando intenten acceder al entorno, incluidos los usuarios que no tengan asignadas licencias individuales. La asignación del plan por aplicación en un entorno cumple el requisito de que los usuarios tengan licencia para acceder al entorno.
Asociar un grupo de seguridad a un entorno
Inicie sesión en el Centro de administración de Power Platform como administrador (administrador de Dynamics 365, administrador global o administrador de Microsoft Power Platform).
En el panel de navegación, seleccione Entorno.
Seleccione el nombre del entorno.
Seleccione Editar.
En el panel Editar detalles, seleccione el icono Editar en el área Grupo de seguridad.
Solo los primeros 200 grupos de seguridad se devolverán. Utilice Buscar para buscar un grupo de seguridad específico.
Seleccione un grupo de seguridad, seleccione Hecho y después lo seleccione Guardar.
El grupo de seguridad está asociado al entorno.
Nota
Los usuarios que ejecutan aplicaciones de lienzo cuando un grupo de seguridad está asociado con el entorno de la aplicación deben ser miembros del grupo de seguridad para poder ejecutar la aplicación de lienzo, independientemente de si la aplicación se ha compartido con ellos. De lo contrario, los usuarios verán este mensaje de error: "No puede abrir aplicaciones en este entorno. No es miembro del grupo de seguridad del entorno". Si su administrador de Power Platform ha establecido detalles de gobernanza para su organización, verá un contacto de gobernanza que puede contactar para ser miembro del grupo de seguridad.