Roles de seguridad y privilegios
Para controlar el acceso a los datos, debe configurar una estructura organizativa que proteja los datos confidenciales y, a la vez, permita la colaboración. Esto se realiza mediante la configuración de unidades empresariales, roles de seguridad y perfiles de seguridad de campo.
Roles de seguridad
Un rol de seguridad define cuántos usuarios distintos como, por ejemplo, el personal de ventas, tienen acceso a diferentes tipos de registros. Para controlar el acceso a los datos, puede modificar los roles de seguridad existentes, crear nuevos roles de seguridad o cambiar cuáles se asignan a los usuarios. Un usuario puede tener varios roles de seguridad. Consulte Roles de seguridad predefinidos.
Los privilegios de los roles de seguridad son acumulativos: tener más de un rol de seguridad otorga al usuario cada privilegio disponible en cada rol.
Un rol de seguridad se compone de privilegios a nivel de registro y privilegios basados en tareas.
Los privilegios a nivel de registro definen las tareas que puede realizar un usuario con acceso al registro, como por ejemplo Lectura, Crear, Eliminar, Escritura, Asignar, Compartir, Anexar y Anexar a. Anexar significa adjuntar otro registro, como una actividad o una nota, a un registro. Anexar a significa adjuntar a un registro. Más información: Privilegios de nivel de registro.
Privilegios variados (también llamados privilegios basados en tareas), en la parte inferior del formulario, dan al usuario privilegios para realizar tareas variadas (fuera de registro), como publicar artículos o activar reglas de negocio. Más información: Privilegios varios.
Los círculos coloreados de la página de configuración de roles de seguridad definen el nivel de acceso de ese privilegio. Los niveles de acceso determinan la profundidad o altura en la jerarquía organizativa de unidades de negocio en la que el usuario puede utilizar el privilegio especificado. En la siguiente tabla se enumeran los niveles de acceso en la aplicación, comenzando con el nivel que da a los usuarios el acceso más amplio.
| Icon | Description |
|---|---|
 |
Global. Este nivel de acceso permite a un usuario tener acceso a todos los registros de la organización, independientemente del nivel jerárquico de unidades de negocio al que pertenece el entorno o el usuario. Los usuarios con nivel de acceso Global, también tienen acceso Profundo, Local y Básico automáticamente. Debido a que este nivel de acceso permite obtener acceso a la información de toda la organización, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la organización. La aplicación hace referencia a este nivel de acceso como Organización. |
 |
Profundo. Este nivel de acceso le da al usuario acceso a los registros de la unidad de negocio del usuario y de todas las unidades de negocio subordinadas a la unidad de negocio del usuario. Los usuarios que tienen el nivel de acceso Profundo, automáticamente tienen también los niveles de acceso Local y Básico. Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio y las unidades de negocio subordinadas, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre las unidades de negocio. La aplicación hace referencia a este nivel de acceso como Primario: unidades de negocio secundarias. |
 |
Local. Este nivel de acceso le da al usuario acceso a los registros de la unidad de negocio del usuario. Los usuarios que tienen el nivel de acceso Local, automáticamente tienen también el nivel de acceso Básico. Debido a que este nivel de acceso permite obtener acceso a la información de toda la unidad de negocio, debe restringirse de modo que cumpla lo estipulado en el plan de seguridad de datos de la organización. Este nivel de acceso generalmente se reserva para directores con autoridad sobre la unidad de negocio. La aplicación hace referencia a este nivel de acceso como Unidad de negocio. |
 |
Básico. Este nivel de acceso le da al usuario acceso a los registros que el usuario posee, objetos que se comparten con la organización, los objetos que se comparten con el usuario y los objetos que se comparten con un equipo del que el usuario es miembro. Este es el nivel de acceso típico para representantes de ventas y servicios. La aplicación hace referencia a este nivel de acceso como Usuario. |
 |
Ninguno. No se permite ningún acceso. |
Importante
Para asegurarse de que los usuarios puedan ver y obtener acceso a todas las áreas de la aplicación web, como formularios de tabla, la barra de navegación o la barra de comandos, todos los roles de seguridad de la organización debe incluir el privilegio de Lectura sobre la tabla Web Resource. Por ejemplo, sin permisos de lectura, el usuario no podrá abrir un formulario que contenga un recurso web y verá un mensaje de error similar a este: "Faltan privilegios de prvReadWebResource”. Más información: Crear o editar un rol de seguridad
Privilegios de nivel de registro
PowerApps y las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) utilizan ocho privilegios diferentes a nivel de registro que determinan el nivel de acceso que tiene un usuario a un determinado registro o tipo de registro.
| Privilegio | Descripción |
|---|---|
| Crear | Requerido para crear un registro nuevo. Los registros que se pueden crear dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Lectura | Requerido para abrir un registro para ver el contenido. Los registros que se pueden leer dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Escribir | Requerido para realizar cambios en un registro. Los registros que se pueden cambiar dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Eliminar | Requerido para quitar un registro de forma permanente. Los registros que se pueden eliminar dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Anexar | Necesario para asociar el registro actual a otro registro. Por ejemplo, se puede anexar una nota a una oportunidad si el usuario tiene el derecho Anexar para la nota. Los registros que se pueden anexar dependen del nivel de acceso del permiso definido en su rol de seguridad. En el caso de las relaciones de varios a varios, es necesario tener el privilegio Anexar para poder asociar o desasociar las dos tablas. |
| Anexar a | Necesario para asociar un registro al registro actual. Por ejemplo, si un usuario tiene el derecho Anexar a en una oportunidad, puede agregar una nota a la oportunidad. Los registros que se pueden anexar dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Asignar | Requerido para conceder la propiedad de un registro a otro usuario. Los registros que se pueden asignar dependen del nivel de acceso del permiso definido en su rol de seguridad. |
| Compartir | Requerido para dar acceso a un registro a otro usuario manteniendo su propio acceso. Los registros que se pueden compartir dependen del nivel de acceso del permiso definido en su rol de seguridad. |
Reemplazar roles de seguridad
El propietario de un registro o una persona que tenga el privilegio Compartir en un registro pueden compartirlo con otros usuarios o equipos. Al compartir, se pueden agregar los privilegios Leer, Escribir, Eliminar, Anexar, Asignar y Compartir para registros específicos.
Los equipos se usan principalmente para compartir registros a los que los miembros del equipo no podrían tener acceso normalmente. Más información: Administrar seguridad, usuarios y equipos.
No es posible quitar el acceso a un registro en particular. Cualquier cambio en los privilegios de un rol de seguridad se aplica a todos los registros de ese tipo de registro.
Herencia de privilegios del miembro de equipo
Privilegios de usuario y equipo
- Privilegios de usuario: estos privilegios se conceden al usuario directamente cuando se asigna un rol de seguridad al usuario. El usuario puede crear registros y tiene acceso a los registros creados/propiedad del usuario cuando se le dio el nivel de acceso Básico para Crear y Leer. Esta es la configuración predeterminada para los nuevos roles de seguridad.
- Privilegios de equipo: estos privilegios se concede a un usuario como miembro del equipo. Para miembros del equipo que no tienen sus propios privilegios de usuario, estos solo pueden crear registros con el equipo como el propietario y tienen acceso a los registros que son propiedad del equipo cuando se brinda el nivel de acceso Básico para Creación y Lectura.
Un rol de seguridad puede establecerse para brindar privilegios de usuario de acceso directo de nivel Básico a un miembro del equipo. Un miembro del equipo puede crear registros de su propiedad y registros que tenga el equipo como propietario cuando se brinde el nivel de acceso Básico para Creación. Cuando se proporcione el nivel de acceso Básico para Lectura, el miembro del equipo puede acceder a registros que son propiedad tanto de ese miembro del eqiupo como del equipo.
Este rol de herencia de privilegios del miembro se aplica al Propietario y al equipo de grupo de Azure Active Directory (Azure AD).
Nota
Antes del lanzamiento de la herencia de privilegios del miembro del equipo en mayo de 2019, los roles de seguridad se comportaban como Privilegios de equipo. Los roles de seguridad creados antes de esta versión se establecen como Privilegios de equipo y los roles de seguridad creados después de esta versión se establecen de forma predeterminada como Privilegios de usuario.
Crear un rol de seguridad con la herencia de privilegios de un miembro del equipo
Requisitos previos
Estas opciones de configuración se pueden encontrar en el Centro de administración de Power Platform, en Entornos> [seleccione un entorno] >Configuración>Usuarios y permisos>Roles de seguridad.
Compruebe que tiene el rol de seguridad de Administrador del sistema o permisos equivalentes.
Compruebe su rol de seguridad:
- Siga los pasos de la sección Visualización del perfil de usuario.
- ¿No tiene los permisos adecuados? Póngase en contacto con el administrador del sistema.
Seleccione un entorno y vaya a Configuración>Usuarios y permisos>Roles de seguridad.
En la barra de comandos, seleccione Nuevo.
Introduzca un nombre de rol.
Seleccione la lista desplegable Herencia de privilegios del miembro.
Seleccione Nivel de acceso directo de usuario/Básico y privilegios del equipo.
Vaya a cada pestaña y establezca los privilegios adecuados en cada tabla.
Para cambiar el nivel de acceso de un privilegio, seleccione el símbolo de nivel de acceso hasta que vea el símbolo que desee. Los niveles de acceso disponibles dependen de si el tipo de registro es propiedad de la organización o propiedad del usuario.
Nota
También puede establecer esta propiedad de herencia de priviegios para todos los roles de seguridad disponibles, excepto para el rol de Administrador del sistema. Cuando un rol de seguridad de herencia de privilegios se asigna a un usuario, el usuario obtiene todos los privilegios directamente, así como un rol de seguridad sin herencia de privilegios.
Solo puede seleccionar privilegios de nivel básico en la herencia de privilegios del miembro. Si necesita proporcionar acceso a una unidad de negocio secundaria, deberá elevar el privilegio a Deep; por ejemplo, debe asignar un rol de seguridad al equipo del grupo y se recomienda que los miembros de este grupo puedan utilizar Anexar a la cuenta. Configure el rol de seguridad con la herencia de privilegios del miembro en nivel básico y en el privilegio Anexar a la cuenta, lo establece en Profundo. Esto se debe a que los privilegios de nivel básico solo son aplicables a la unidad de negocio del usuario.
Consultar también
Vídeo: Administrar usuarios de aplicaciones, roles de seguridad, equipos y usuarios en el centro de administración de Power Platform
Vídeo: característica de comprobación de acceso