1.1 Introducción al modelo de seguridad

Daniel Córdoba

Visión general de las capas de seguridad en Power Platform

Puedes leer esta unidad. Inicia sesión para inscribirte y guardar tu progreso.

Iniciar sesión Crear cuenta

En esta primera lección sentaremos las bases del modelo de seguridad, entendiendo cómo las diferentes capas trabajan juntas para proteger los datos en tu organización.

Objetivos de aprendizaje

Comprender las diferentes capas del modelo de seguridad de Microsoft Power Platform
Diferenciar claramente entre capas del modelo y niveles de acceso
Entender cómo interactúan las capas entre sí para proteger los datos
Reconocer la importancia de un enfoque de seguridad en profundidad

El rompecabezas de la seguridad

Cuando la gente me pregunta sobre seguridad en Dynamics 365 o Power Platform, a menudo esperan una respuesta simple: "configuras un rol y listo". La realidad es más interesante (y más robusta). Lo que Microsoft ha construido es un sistema de múltiples capas que trabajan en conjunto, donde cada capa añade un nivel adicional de protección.

Este enfoque se llama "defensa en profundidad". La idea es que no dependes de una única barrera que, si falla, deja todo expuesto. En su lugar, tienes múltiples barreras, cada una independiente de las otras. Si alguien encuentra la forma de superar una, todavía tiene que enfrentarse a las demás.

Antes de sumergirnos en los detalles de cada componente, necesitamos entender dos conceptos que a menudo se confunden:

Autenticación responde a la pregunta "¿quién eres?". Esto lo gestiona Microsoft Entra ID (anteriormente Azure Active Directory). Cuando inicias sesión con tu usuario y contraseña (y quizás un código de tu teléfono si tienes MFA habilitado), estás pasando por el proceso de autenticación.

Autorización responde a la pregunta "¿qué puedes hacer?". Esto es lo que gestiona Dataverse a través de roles de seguridad, unidades de negocio, equipos, y demás mecanismos que exploraremos en este curso.

Las capas del modelo de seguridad

El modelo de seguridad de Power Platform tiene varias capas, cada una con su propósito específico:

Capa 1: El entorno

El entorno es el contenedor de más alto nivel. Cada entorno es como un espacio aislado que tiene su propia base de datos Dataverse, sus propias aplicaciones, y sus propios usuarios. Un usuario que tiene acceso al entorno de Producción no necesariamente tiene acceso al entorno de Desarrollo, y viceversa.

Esta es tu primera línea de defensa: la separación de datos y configuración en contenedores independientes.

Capa 2: Roles de seguridad

Dentro de un entorno, los roles de seguridad definen qué puede hacer cada usuario. Un rol es una colección de privilegios: "puede leer cuentas", "puede crear oportunidades", "puede eliminar contactos". Los privilegios se configuran por entidad y cada uno tiene un nivel de acceso que determina el alcance.

Esta es la capa que dedicaremos más tiempo a explorar porque es donde hay más configuración y matices.

Capa 3: Unidades de negocio

Las unidades de negocio dividen tu organización en segmentos lógicos. Un usuario en la unidad de negocio "España" puede tener restricciones diferentes que uno en "México". Los niveles de acceso "Business Unit" y "Parent:Child" en los roles de seguridad interactúan con esta estructura.

Capa 4: Equipos

Los equipos agrupan usuarios para gestión colectiva de permisos. Un rol asignado a un equipo aplica a todos sus miembros. Los equipos también pueden ser propietarios de registros, permitiendo patrones de trabajo colaborativo.

Capa 5: Registro y campo

Finalmente, llegamos al nivel más granular. La propiedad de registros determina quién puede acceder a qué. El compartir (sharing) permite excepciones. Y Field Security permite controlar acceso a campos individuales dentro de un registro.

Un detalle importante: capas vs niveles

Una confusión muy común es mezclar las "capas del modelo de seguridad" con los "niveles de acceso de los privilegios". Son cosas diferentes:

Las capas son los componentes del sistema: entorno, roles, unidades de negocio, equipos, registros. Son como las piezas del rompecabezas.

Los niveles de acceso (User, Business Unit, Parent:Child, Organization) son una configuración específica dentro de los roles de seguridad. Determinan "hasta dónde llega" cada privilegio.

Cuando alguien dice "nivel de seguridad", puede estar refiriéndose a cualquiera de los dos conceptos dependiendo del contexto, lo cual genera confusión. En este curso seremos cuidadosos de usar "capa" para los componentes del modelo y "nivel de acceso" para la configuración de privilegios.

Cómo se evalúa la seguridad

Cuando un usuario intenta hacer algo (ver un registro, crear una oportunidad, eliminar un contacto), el sistema recorre todas las capas en orden:

¿Tiene licencia válida? Si no, se rechaza inmediatamente
¿Está habilitado en este entorno? Si no, no puede acceder
¿Tiene un rol que incluye este privilegio? Si no, se rechaza
¿El nivel de acceso del privilegio cubre este registro específico? Si no, se rechaza
¿Hay restricciones de Field Security en algún campo involucrado? Si sí, se aplican

Solo si pasa todas las verificaciones, la operación se permite.

Los privilegios son acumulativos

Un detalle crucial del modelo: cuando un usuario tiene múltiples roles (ya sea asignados directamente o heredados de equipos), los privilegios se acumulan. El sistema no usa el rol "más restrictivo"; usa la unión de todos los privilegios.

Si el Rol A te da Read en Accounts a nivel User, y el Rol B te da Read en Accounts a nivel Organization, tienes Read en Accounts a nivel Organization. Siempre gana el privilegio más amplio.

Esto significa que añadir roles solo puede expandir lo que alguien puede hacer, nunca restringir. Si quieres quitar privilegios a alguien, tienes que modificar o remover los roles que los otorgan.

El principio de mínimo privilegio

Una filosofía que guiará todo lo que hagamos en este curso: el principio de mínimo privilegio. La idea es simple: otorga solo los permisos estrictamente necesarios para que cada usuario realice su trabajo, nada más.

Es tentador dar más permisos "por si acaso" para evitar tickets de soporte. Pero cada permiso extra es una superficie de ataque adicional, un riesgo de fuga de datos, y potencialmente una violación de regulaciones de privacidad.

Siempre empieza restrictivo y expande según necesidad demostrada, no al revés.

Puntos clave

El modelo de seguridad tiene 5 capas principales: Entorno, Roles, BUs, Equipos, Registro/Campo
Los 5 niveles de acceso (None, User, BU, Parent:Child, Org) se configuran dentro de los roles
No confundir capas del modelo (componentes) con niveles de acceso (configuración)
Los permisos son acumulativos: un usuario obtiene la unión de todos sus roles
La evaluación de seguridad sigue un orden específico, desde licencia hasta campo
Diseña la seguridad siguiendo el principio de mínimo privilegio

Para profundizar

Seguridad en Microsoft Power Platform - Microsoft Learn

Inicia sesión e inscríbete para guardar tu progreso.

Siguiente tema →

← Volver al curso

En este curso

Módulo 1: Fundamentos del Modelo de Seguridad
1.1 Introducción al modelo de seguridad
1.2 Arquitectura de seguridad en Dataverse
1.3 Licencias y su impacto en seguridad
Examen: Fundamentos de Seguridad Examen
Módulo 2: Roles de Seguridad
2.1 Anatomía de un rol de seguridad
2.2 Roles predefinidos del sistema
2.3 Creación de roles personalizados
2.4 Privilegios y niveles de acceso
Examen: Roles de Seguridad Examen
Módulo 3: Unidades de Negocio y Equipos
3.1 Estructura de unidades de negocio
3.2 Tipos de equipos
3.3 Estrategias de asignación de roles
Examen: Unidades de Negocio y Equipos Examen
Módulo 4: Seguridad a Nivel de Registro
4.1 Propiedad de registros
4.2 Compartir registros (Sharing)
4.3 Seguridad de jerarquía
Examen: Seguridad a Nivel de Registro Examen
Módulo 5: Seguridad Avanzada
5.1 Seguridad a nivel de campo
5.2 Seguridad a nivel de columna con Dataverse
5.3 Auditoría y cumplimiento
5.4 Troubleshooting de seguridad
Examen Final: Seguridad Avanzada Examen

Volver al curso

¿Te ha resultado útil?