Grupos de permisos de SharePoint

Entendiendo los grupos de SharePoint

Los grupos de Microsoft SharePoint te permiten gestionar conjuntos de usuarios en lugar de usuarios individuales. Un grupo puede incluir usuarios individuales de SharePoint, así como usuarios o grupos de cualquier sistema de identity management o de servicios de dominio, como Active Directory Domain Services (AD DS), directorios basados en LDAPv3, bases de datos específicas de aplicaciones y modelos de identidad como Windows Live ID.

Puede organizar a sus usuarios en cualquier número de grupos, dependiendo del tamaño y la complejidad de su organización o sitio. Sin embargo, los grupos de SharePoint no pueden contener otros grupos de SharePoint (es decir, no pueden estar anidados).

Existen dos formas de asignar permissions a un sitio de SharePoint a través de grupos: La primera es agregar un usuario a un grupo de SharePoint, y la segunda es dar acceso directo al sitio a un grupo de AD security o incluirlo en un grupo de SharePoint que tenga permisos en el sitio.

Grupos integrados de SharePoint

SharePoint incluye múltiples grupos integrados. Existen a nivel del sitio en SharePoint y pueden tener permisos asignados dentro de la colección de sitios a la que pertenecen. El conjunto de grupos predefinidos depende de la plantilla de sitio que estés utilizando. Por ejemplo, aquí están los grupos predefinidos para un sitio de equipo y sus permisos predeterminados para el sitio de SharePoint:

• Visitantes — Tienen permisos de Lectura
• Miembros — Tienen permisos de edición
• Propietarios — Tienen permisos de Control total
• Espectadores — Tienen permisos de solo visualización

Y aquí están los grupos predefinidos para la plantilla del sitio de noticias y sus permisos predeterminados:

• Lectores Empresariales — Tienen permisos de lectura y pueden ver páginas y documentos, así como descargar documentos
• Miembros de la empresa — Tienen permisos de contribución y pueden ver, abrir, agregar, actualizar y eliminar elementos de listas y documentos
• Diseñadores — Pueden ver, añadir, actualizar, eliminar, aprobar y personalizar el diseño de las páginas del sitio utilizando un navegador o SharePoint Designer
• Editores — Pueden añadir, editar y eliminar listas, y pueden ver, añadir, actualizar y eliminar elementos de listas y documentos de SharePoint
• Propietarios de la empresa — Tienen permiso de Control total en el sitio

Tenga en cuenta que todos estos grupos integrados pueden modificarse asignando diferentes niveles de permisos.

Mejores prácticas

Una mejor práctica para la gestión de permisos consiste en agregar a los usuarios regulares que solo necesitan leer información al grupo de Visitantes y agregar a los usuarios que necesitan crear o editar documentos al grupo de Miembros. Esto se debe a que los usuarios en el grupo de Miembros pueden agregar, cambiar o eliminar elementos o documentos, pero no pueden cambiar la estructura del sitio, la configuración o la apariencia. De manera similar, los usuarios en el grupo de Visitantes pueden ver páginas, documentos y elementos pero no pueden realizar operaciones de agregar o eliminar.

Creando un grupo de SharePoint

Para crear un grupo de SharePoint, vaya a Permisos del sitio en Configuración del sitio y haga clic en el botón “Crear grupo”. Ingrese un nombre y descripción para el grupo. Luego especifique el propietario del grupo; los usuarios que pueden ver y editar la membresía del grupo; si se permite a los usuarios solicitar la membresía o solicitar abandonar el grupo; y los permisos del grupo para el sitio. Luego haga clic en “Crear” para crear el grupo.

Eliminando un grupo de SharePoint

Para eliminar un grupo, utilice el menú “Personas y Grupos” en Configuración del sitio. Elija el grupo, haga clic en el botón “Editar” y luego haga clic en el botón “Eliminar”.

Cambiando la membresía de grupo

Para agregar miembros a un grupo de SharePoint, desde el menú “Personas y Grupos”, haga clic en el nombre del grupo en el panel izquierdo y luego haga clic en “Nuevo” y “Agregar Usuarios”, como se muestra a continuación. Ingrese uno o más nombres de usuario que desee agregar al grupo y luego haga clic en “Compartir”.

Para eliminar un usuario de un grupo, seleccione el usuario que desea borrar, haga clic en “Acciones” y luego haga clic en “Eliminar usuarios del grupo”.

Conclusión

Usar grupos de SharePoint es un método mucho más fácil y seguro para controlar el acceso que asignar permisos únicos a nivel de elemento a cuentas de usuario. Al configurar tus grupos adecuadamente y rastrear todos los cambios en permisos y membresía de grupo, puedes ayudar a mantener tus datos seguros.

FAQ

Cómo solucionar errores de acceso denegado en SharePoint?

Los errores de acceso denegado en SharePoint suelen resultar de problemas con la herencia de permisos, problemas de membresía de grupos o fallos de autenticación. Comience la resolución de problemas utilizando la función Check Permissions en Site Settings para verificar qué permisos tiene realmente el usuario frente a los que debería tener. Las causas comunes incluyen la herencia de permisos rota (donde permisos únicos bloquean el acceso) o usuarios eliminados de grupos de seguridad sin conocimiento del administrador. Limpie la caché del navegador e intente acceder desde una ventana de incógnito para eliminar problemas con el token de autenticación. Verifique si el usuario existe en la sección People and Groups del sitio y confirme que sus membresías de grupo son correctas. Para problemas persistentes, examine los registros de SharePoint para obtener información detallada del error y verifique el estado de la licencia del usuario en Microsoft 365. Recuerde que los cambios de permisos pueden tardar en propagarse, especialmente en entornos grandes. Al solucionar problemas de acceso, siempre comience con la verificación de identidad antes de examinar los permisos de grupo y la configuración de herencia.

¿Cómo crear y gestionar grupos de SharePoint de manera efectiva?

Crear grupos en SharePoint requiere una planificación cuidadosa para evitar la proliferación de permisos y brechas de seguridad. Acceda a Configuración del sitio y haga clic en Personas y grupos para crear nuevos grupos, definiendo convenciones de nombres claras que reflejen funciones empresariales en lugar de nombres individuales. Asigne niveles de permiso apropiados (Control total, Contribuir, Leer) basados en los principios de privilegio mínimo, asegurando que los usuarios solo tengan el acceso mínimo necesario para sus roles. Evite crear demasiados grupos, ya que esto conduce a una complejidad en la gestión y riesgos de seguridad. En su lugar, utilice Active Directory security groups sincronizados con SharePoint cuando sea posible para una gestión centralizada. Documente los propósitos de los grupos y las responsabilidades de propiedad para mantener la rendición de cuentas. Audite regularmente las membresías de los grupos para identificar cuentas no utilizadas o permisos excesivos. Para entornos grandes, implemente procesos automatizados de aprovisionamiento y desaprovisionamiento para asegurar que las membresías de los grupos se mantengan actualizadas. Recuerde que una gestión efectiva de grupos de SharePoint comienza por entender quién necesita acceso a qué datos y por qué.

¿Cómo cambiar los permisos de SharePoint de forma segura?

Cambiar los permisos de SharePoint requiere un enfoque sistemático para evitar interrumpir el acceso o crear vulnerabilidades de seguridad. Antes de realizar cambios, documente los permisos actuales utilizando herramientas como el informe de permisos o scripts de PowerShell. Siempre pruebe los cambios de permisos primero en un entorno de desarrollo, especialmente al romper la herencia o modificar los niveles de permisos. Al romper la herencia, revise cuidadosamente qué permisos se perderán y planifique cómo restaurar el acceso necesario. Utilice grupos de SharePoint en lugar de permisos individuales de usuario siempre que sea posible, para facilitar la gestión y mejorar la seguridad. Realice los cambios durante horas de menor actividad para minimizar el impacto en los usuarios y comunique los cambios a los usuarios afectados con anticipación. Después de modificar los permisos, verifique que los usuarios aún puedan acceder a los recursos necesarios y que se cumplan los requisitos de seguridad. Monitoree los registros de SharePoint en busca de errores de acceso denegado que puedan indicar problemas de permisos. Implemente un proceso de aprobación de cambios para las modificaciones de permisos, a fin de mantener la gobernanza de seguridad y cumplir con los requisitos de conformidad.

Cómo auditar los permisos de SharePoint para el cumplimiento?

Auditar los permisos de SharePoint requiere tanto herramientas integradas como soluciones de terceros para lograr una visibilidad completa de los derechos de acceso. Utilice los informes de permisos nativos de SharePoint a través de la Configuración del Sitio para generar informes básicos de permisos para sitios individuales. Para entornos empresariales, implemente scripts de PowerShell o herramientas especializadas que puedan auditar permisos en múltiples colecciones de sitios simultáneamente. Enfóquese en identificar usuarios con permisos excesivos, cuentas huérfanas y sitios con herencia rota que puedan tener derechos de acceso no intencionados. Documente quién tiene acceso a datos sensibles y verifique que dicho acceso esté alineado con los requisitos empresariales y los mandatos de cumplimiento. Establezca calendarios de auditoría regulares, típicamente trimestrales para entornos de alto riesgo y anuales para sitios empresariales estándar. Busque anomalías en los permisos, como permisos de usuario individuales que evitan los controles de grupo o usuarios externos con niveles de acceso inapropiados. Cree procedimientos de remediación para abordar violaciones de permisos y mantenga pistas de auditoría para informes de cumplimiento. Recuerde que una auditoría efectiva de SharePoint va más allá de solo verificar permisos para comprender los patrones de acceso a datos y los posibles riesgos de seguridad.

¿Cuáles son las mejores prácticas para la herencia de permisos de SharePoint?

Se debe mantener la herencia de permisos de SharePoint siempre que sea posible para simplificar la gestión y reducir los riesgos de seguridad. Rompa la herencia solo cuando los requisitos comerciales exijan absolutamente permisos únicos, ya que esto crea una sobrecarga de gestión adicional y posibles brechas de seguridad. Cuando deba romper la herencia, documente la justificación comercial y establezca una propiedad clara para la gestión continua de permisos. Evite romper los permisos en cascada a lo largo de las jerarquías del sitio, ya que esto crea estructuras de permisos complejas que son difíciles de auditar y mantener. Utilice grupos de SharePoint de manera consistente en lugar de asignar permisos individuales, incluso en sitios con herencia rota. Implemente revisiones regulares de sitios con permisos únicos para asegurarse de que aún cumplan con los requisitos comerciales y los estándares de seguridad. Considere usar sub-sitios o bibliotecas con diferentes requisitos de permisos en lugar de romper la herencia en niveles superiores. Capacite a los propietarios de los sitios sobre las implicaciones de seguridad de romper la herencia y requiera procesos de aprobación para las modificaciones de permisos. Recuerde que las estructuras de permisos más simples son más seguras y fáciles de gestionar que las jerarquías complejas con múltiples rupturas de herencia.