Configuración de la seguridad del usuario en un entorno
Microsoft Dataverse utiliza un modelo de seguridad basado en roles para controlar el acceso a una base de datos y sus recursos en un entorno. Use roles de seguridad para configurar el acceso a todos los recursos del entorno o a aplicaciones y datos específicos del entorno. Una combinación de permisos y niveles de acceso en un rol de seguridad determina qué aplicaciones y datos los usuairos pueden ver y cómo pueden interactuar con esas aplicaciones y datos.
Un entorno puede tener ninguna o una base de datos de Dataverse. Los roles de seguridad se asignan de manera diferente para entornos que no tienen base de datos de Dataverse y entornos que tienen una base de datos de Dataverse.
Más información sobre entornos en Power Platform.
Roles de seguridad predefinidos
Los entornos incluyen roles de seguridad predefinidos que reflejan las tareas comunes de los usuarios. Los roles de seguridad predefinidos siguen el procedimiento recomendado de seguridad de proporcionar el "acceso necesario mínimo": proporcionar el acceso mínimo a los datos empresariales que un usuario necesite para usar una aplicación. Estos roles de seguridad se pueden asignar a un usuario, al equipo propietario y al equipo de grupo. Los roles de seguridad predefinidos que están disponibles en un entorno dependen del tipo de entorno y de las aplicaciones que haya instalado en él.
Otro conjunto de roles de seguridad se asigna a los usuarios de aplicaciones. Esos roles de seguridad se instalan por nuestros servicios y no se pueden actualizar.
Entornos sin una base de datos de Dataverse
Creador de entornos y Administrador de entornos son los únicos roles predefinidos para entornos que no tienen base de datos de Dataverse. Estos roles se describen en la tabla siguiente.
| Rol de seguridad | Description |
|---|---|
| Administrador de entorno | El rol Administrador de entornos puede llevar a cabo todas las acciones administrativas en un entorno, incluido lo siguiente:
|
| Creador de entorno | Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas, puertas de enlace y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos en un entorno. Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. |
Entornos con una base de datos de Dataverse
Si el ambiente tiene una base de datos de Dataverse, a un usuario se le debe asignar el rol de Administrador del sistema en lugar del rol Administrador de entorno para obtener privilegios de administrador completos.
Los usuarios que crean aplicaciones que se conectan a la base de datos y necesitan crear o actualizar entidades y roles de seguridad deben tener el rol Personalizador del sistema además del rol Creador de entornos. El rol Creador de entornos no tiene privilegios sobre los datos del entorno.
La siguiente tabla describe los roles de seguridad predefinidos en un entorno que tiene una base de datos de Dataverse. No puede editar estos roles.
| Rol de seguridad | Description |
|---|---|
| Abridor de aplicaciones | Tiene privilegios mínimos para tareas comunes. Este rol se usa principalmente como plantilla para crear un rol de seguridad personalizado para aplicaciones basadas en modelos. No tiene privilegios para las tablas comerciales principales, como Cuenta, Contacto y Actividad. Sin embargo, tiene acceso de lectura a nivel de Organización a las tablas del sistema, como Proceso, para admitir la lectura de flujos de trabajo suministrados por el sistema. Tenga en cuenta que este rol de seguridad se utiliza cuando se crea un rol de seguridad nuevo y personalizado. |
| Usuario Basic | Solo para entidades listas para usar, se puede ejecutar una aplicación en el entorno y realizar tareas comunes para los registros que posee. Si tiene privilegios para las tablas comerciales principales, como Cuenta, Contacto y Actividad. Nota: el nombre del rol de seguridad Usuario de Common Data Service se ha cambiado a Usuario básico. Solo se cambió el nombre; los privilegios de usuario y la asignación de roles son los mismos. Si tiene una solución con el rol de seguridad de Usuario de Common Data Service, debe actualizar la solución antes de volver a importarla. De lo contrario, es posible que sin darse cuenta cambie el nombre rol de seguridad de nuevo a Usuario cuando importe la solución. |
| Delegado | Permite que el código se ejecute como otro usuario o lo suplante. Normalmente se usa con otro rol de seguridad para permitir el acceso a los registros. |
| Administrador de Dynamics 365 | Administrador de Dynamics 365 es un rol de administrador del servicio de Microsoft Power Platform. Este rol puede llevar a cabo funciones de administrador en Microsoft Power Platform porque tienen el rol de administrador del sistema. |
| Creador de entorno | Puede crear nuevos recursos asociados a un entorno incluyendo aplicaciones, conexiones, API personalizadas, puertas de enlace y flujos usando Microsoft Power Automate. Sin embargo, este rol no tiene ningún privilegio para acceder a los datos en un entorno. Los creadores de entornos también pueden distribuir las aplicaciones que crean en un entorno a otros usuarios de su organización. Pueden compartir la aplicación con usuarios individuales, grupos de seguridad o con todos los usuarios de la organización. |
| Administrador global | Administrador global es un rol de administrador de Microsoft 365. Una persona que compra la suscripción comercial de Microsoft es un Administrador global y tiene control ilimitado sobre los productos de la suscripción y acceso a la mayoría de los datos. |
| Lector global | El rol Lector global aún no es compatible con el Centro de administración de Power Platform. |
| Colaborador de Office | Tiene permiso de lectura para las tablas en las que se compartió un registro con la organización. No tiene acceso a ningún otro registro de las tablas principal y personalizada. Esta función se asigna al equipo de propietarios de Office Collaborators y no a un usuario individual. |
| Administrador de Power Platform | Administrador de Power Platform es un rol de administrador del servicio de Microsoft Power Platform. Este rol puede llevar a cabo funciones de administrador en Microsoft Power Platform porque tienen el rol de administrador del sistema. |
| Servicio eliminado | Tiene permiso de eliminación completo para todas las entidades, incluidas las entidades personalizadas. Este rol lo usa principalmente el servicio y requiere eliminar registros en todas las entidades. Este rol no se puede asignar a un usuario o equipo. |
| Lector de servicios | Tiene permisos plenos de lectura para todas las entidades, incluidas las personalizadas. Este rol lo usa principalmente el servicio y requiere leer todas las entidades. Este rol no se puede asignar a un usuario o equipo. |
| Redactor de servicio | Tiene permisos completos de creación, lectura y escritura para todas las entidades, incluidas las entidades personalizadas. Este rol lo usa principalmente el servicio y requiere crear y actualizar registros. Este rol no se puede asignar a un usuario o equipo. |
| Usuario de soporte técnico | Tiene permiso de lectura completo para la personalización y la configuración de administración de empresas, que permite al personal de soporte solucionar problemas de configuración del entorno. Este rol no tiene acceso a registros básicos. Este rol no se puede asignar a un usuario o equipo. |
| Administrador del sistema | Tiene permiso completo para personalizar o administrar el entorno, incluida la creación, modificación y asignación de roles de seguridad. Puede ver todos los datos del entorno. |
| Personalizador del sistema | Tiene permiso completo para personalizar el entorno. Puede ver todos los datos de tablas personalizadas en el entorno. Sin embargo, los usuarios con este rol solo pueden ver las filas que han creado en las tablas Cuenta, Contacto y Actividad. |
| Propietario de aplicación de sitio web | Un usuario que posee el registro de aplicación del sitio web en Azure Portal. |
| Propietario del sitio web | Usuario que creó el sitio web de Power Pages. Este rol se puede administrar y no se puede cambiar. |
Además de los roles de seguridad predefinidos que han descrito para Dataverse, podría haber otros roles de seguridad disponibles en su entorno según los componentes de Power Platform (Power Apps, Power Automate, Power Virtual Agents) que tenga. La siguiente tabla incluye enlaces a más información.
| Componente de Power Platform | Información |
|---|---|
| Power Apps | Roles de seguridad predefinidos para entornos con una base de datos de Dataverse |
| Power Automate | Seguridad y privacidad |
| Power Pages | Roles obligatorios para la administración de sitios web |
| Power Virtual Agents | Asignar roles de seguridad de entorno |
Dataverse for Teams entornos
Obtenga más información sobre los roles de seguridad predefinidos en entornos de Dataverse for Teams.
Roles de seguridad específicos de aplicaciones
Si implementa aplicaciones de Dynamics 365 en su entorno, se agregan otros roles de seguridad. La siguiente tabla incluye enlaces a más información.
| Aplicación de Dynamics 365 | Documentos de rol de seguridad |
|---|---|
| Dynamics 365 Sales | Roles de seguridad predefinidos para Ventas |
| Dynamics 365 Marketing | Roles de seguridad agregados por Dynamics 365 Marketing |
| Dynamics 365 Field Service | Roles + definiciones de Dynamics 365 Field Service |
| Dynamics 365 Customer Service | Roles en Plataforma omnicanal para Customer Service |
| Dynamics 365 Customer Insights | Roles de Customer Insights |
| Administrador de perfiles de aplicación | Roles y privilegios asociados con el administrador de perfiles de la aplicación |
| Dynamics 365 Finance | Roles de seguridad en el sector público |
| Aplicaciones de finanzas y operaciones | Roles de seguridad en Microsoft Power Platform |
Resumen de recursos disponibles para roles de seguridad predefinidos
La siguiente tabla describe qué recursos puede crear cada rol de seguridad.
| Recurso | Creador de entorno | Administrador de entorno | Personalizador del sistema | Administrador del sistema |
|---|---|---|---|---|
| Aplicación de lienzo | X | X | X | X |
| Flujo de nube | X (no compatible con las soluciones) | X | X | X |
| Connector | X (no compatible con las soluciones) | X | X | X |
| Conexión* | X | X | X | X |
| Puerta de enlace de datos | X | X | - | X |
| Flujo de datos | X | X | - | X |
| Tablas de Dataverse | - | - | X | X |
| Aplicación basada en modelo | X | - | X | X |
| Marco de la solución | X | - | X | X |
| Flujo de escritorio** | - | - | X | X |
| AI Builder | - | - | X | X |
*Se usan conexiones en aplicaciones de lienzo y Power Automate.
**Los usuarios de Dataverse for Teams no obtienen acceso a los flujos de escritorio de forma predeterminada. Necesita actualizar su entorno para disfrutar de todas las capacidades de Dataverse y adquirir Planes de licencia de flujo de escritorio para usar flujos de escritorio.
Asignar roles de seguridad a usuarios en un entorno sin base de datos Dataverse
Para entornos sin base de datos de Dataverse, un usuario que tenga la función de administrador del entorno en el entorno puede asignar funciones de seguridad a usuarios individuales o grupos de Microsoft Entra ID.
Inicie sesión en el Centro de administración de Power Platform.
Seleccione Entornos> [seleccione un entorno].
En el mosaico Acceso, seleccione Ver todo para Administrador de entorno o Creador de entorno para agregar o eliminar personas para cualquiera de los roles.
Seleccione Añadir personas y luego especifique el nombre o la dirección de correo electrónico de uno o más usuarios o grupos de Microsoft Entra ID.
Seleccione Agregar.
Asignar roles de seguridad a usuarios en un entorno que tiene una base de datos Dataverse
Se pueden asignar roles de seguridad a usuarios individuales, equipos propietarios y equipos de grupo de Microsoft Entra. Antes de asignar una función a un usuario, verifique que la cuenta del usuario se haya agregado y esté habilitada en el entorno.
En general, un rol de seguridad se puede asignar únicamente los usuarios cuyas cuentas se habiliten en el entorno. Para asignar un rol de seguridad a una cuenta de usuario que está deshabilitada en el entorno, active allowRoleAssignmentOnDisabledUsers en OrgDBOrgSettings.
Inicie sesión en el Centro de administración de Power Platform.
Seleccione Entornos> [seleccione un entorno].
En el icono Acceso, seleccione Ver todo en Roles de seguridad.
Asegúrese de seleccionar la unidad de negocio correcta en la lista y luego seleccione un rol de la lista de roles en el entorno.
Seleccione Añadir personas y luego especifique el nombre o la dirección de correo electrónico de uno o más usuarios o grupos de Microsoft Entra ID.
Seleccione Agregar.
Cree, edite o copie un rol de seguridad usando la nueva y moderna interfaz de usuario
Puede crear, editar o copiar fácilmente un rol de seguridad y personalizarlo para satisfacer sus necesidades.
Vaya al centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.
Seleccione Configuración.
Expanda Usuarios y permisos.
Seleccione Roles de seguridad.
Complete la tarea adecuada:
Crear un rol de seguridad
Selecciones Nuevo rol desde la barra de comandos.
En el campo Nombre de rol, escriba un nombre descriptivo para el nuevo rol.
En el campo Unidad de negocio, seleccione la unidad de negocio a la que pertenece el rol.
Seleccione si los miembros del equipo deben heredar el rol.
Si esta configuración está habilitada y la función se asigna a un equipo, todos los miembros del equipo heredan todos los privilegios asociados con la función.
Seleccione Guardar.
Editar un rol de seguridad
Seleccione el nombre del rol o seleccione la fila y luego seleccione Editar. Luego defina los privilegios y propiedades de rol de seguridad.
Algunas funciones de seguridad predefinidas no se pueden editar. Si intenta editar estos roles, los botones Guardar y Guardar + Cerrar no estarán disponibles.
Copiar un rol de seguridad
Seleccione rol de seguridad y luego seleccione Copiar. Asigne un nuevo nombre al rol. Edite rol de seguridad según sea necesario.
Solo se copian los privilegios, no los miembros y equipos asignados.
Auditar roles de seguridad
Audite los roles de seguridad para comprender mejor los cambios realizados en la seguridad de su entorno Power Platform .
Crear o configurar un rol de seguridad personalizado
Si su aplicación usa una entidad personalizada, sus privilegios se deben conceder explícitamente en un rol de seguridad antes de que su aplicación pueda usarse. Puede agregar estos privilegios en un rol de seguridad existente o crear un rol de seguridad personalizado.
Cada rol de seguridad debe incluir un conjunto mínimo de privilegios. Más información sobre roles de seguridad y privilegios.
Propina
El entorno puede mantener registros que pueden usar varias aplicaciones. Es posible que necesite varios roles de seguridad que otorguen diferentes privilegios. Por ejemplo:
- Es posible que algunos de los usuarios (llamémoslos Editores) solo necesiten leer, actualizar y adjuntar otros registros para que su rol de seguridad tenga privilegios de lectura, escritura y anexar.
- Otros usuarios pueden necesitar todos los privilegios que tienen los Editores, además de la capacidad de crear, agregar, eliminar y compartir. El rol de seguridad para estos usuarios tendrá privilegios para crear, leer, escribir, anexar, eliminar, asignar, anexar a y compartir.
Cree un rol de seguridad personalizado con privilegios mínimos para ejecutar una aplicación
Inicie sesión en el centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.
Seleccione Configuración>Usuarios y permisos>Roles de seguridad.
Seleccione la función Abridor de aplicaciones y luego Copiar.
Especifique el nombre del rol personlaizado y después seleccione Copiar.
En la lista de roles de seguridad, seleccione el nuevo rol y luego seleccione Más acciones (…) >Editar.
En el editor de funciones, seleccione la pestaña Entidades personalizadas.
Busque la tabla personalizada en la lista y seleccione los privilegios Lectura, Escritura y Anexar.
Seleccione Guardar y cerrar.
Crear un rol de seguridad personalizado desde cero
Inicie sesión en el centro de administración de Power Platform, seleccioneEntornos en el panel de navegación y luego seleccione un entorno.
Seleccione Configuración>Usuarios y permisos>Roles de seguridad.
Seleccione Nuevo rol.
Escriba el nombre del nuevo rol en la pestaña Detalles.
En las otras pestañas, busque su entidad y luego seleccione las acciones y el alcance para realizarlas.
Seleccione una pestaña y busque su entidad. Por ejemplo, seleccione la pestaña Entidades personalizadas para establecer permisos en una entidad personalizada.
Seleccione los privilegios Leer, Escribir, Anexar.
Seleccione Guardar y cerrar.
Privilegios mínimos para ejecutar una aplicación
Cuando crea un rol de seguridad personalizado, el rol debe tener un conjunto de privilegios mínimos para que un usuario ejecute una aplicación. Obtenga más información sobre los privilegios mínimos requeridos.
Consulte también
Concesión de acceso a usuarios
Controlar el acceso de usuario a los entornos: grupos de seguridad y licencias
Cómo se determina el acceso a un registro