Uno de los temas que más preguntas genera cuando las empresas empiezan a usar SharePoint es el de los permisos. ¿Quién puede ver este documento? ¿Cómo hago para que el departamento de RRHH no vea los contratos de dirección? ¿Por qué mi compañero no puede editar este archivo?
Los permisos en SharePoint son potentes — quizás demasiado potentes si no se entienden bien. Este artículo explica cómo funcionan y cómo estructurarlos de forma sensata para una empresa mediana.
Cómo funciona el modelo de permisos
SharePoint tiene tres niveles donde puedes asignar permisos:
Sitio → Biblioteca o Lista → Carpeta o Documento
Por defecto, todo hereda los permisos del nivel superior. Si alguien tiene acceso al sitio, tiene acceso a todas las bibliotecas del sitio — a menos que rompas esa herencia en algún punto.
Los niveles de permiso básicos
SharePoint usa tres roles principales que cubren la mayoría de casos:
| Rol | Puede hacer |
|---|---|
| Propietario | Todo — gestionar permisos, eliminar, configurar |
| Miembro | Crear, editar y eliminar documentos |
| Visitante | Solo leer |
Para la mayoría de empresas, estos tres roles son suficientes. La tentación de crear permisos personalizados complicados suele crear más problemas de los que resuelve.
Si necesitas más granularidad, SharePoint tiene niveles de permiso adicionales:
| Nivel | Puede hacer |
|---|---|
| Control total | Todo, incluyendo gestión de permisos |
| Diseño | Ver, añadir, editar, eliminar, aprobar y personalizar |
| Edición | Añadir, editar y eliminar listas, documentos e ítems |
| Contribución | Ver, añadir, editar y eliminar documentos e ítems |
| Lectura | Ver y descargar documentos |
| Solo ver | Ver documentos pero no descargarlos |
En la práctica, Propietario, Miembro y Visitante cubren el 95% de los casos. Los niveles adicionales son útiles en situaciones muy concretas — por ejemplo, si necesitas que alguien pueda añadir documentos pero no eliminarlos.
Los permisos son visibles — o invisibles
Un concepto importante que muchas personas desconocen: en SharePoint, si no tienes acceso a algo, ese contenido es invisible para ti. No ves un mensaje de "acceso denegado" — simplemente no existe.
Un sitio de RRHH al que no tienes acceso no aparece en la navegación. Los documentos de ese sitio no aparecen en los resultados de búsqueda. Para ti, ese contenido no existe. Esto es una ventaja enorme para la privacidad y la seguridad — pero también significa que debes asegurarte de que las personas correctas tienen los permisos correctos, porque si no los tienen, tampoco sabrán que el contenido existe.
Grupos de SharePoint vs grupos de Microsoft 365
Puedes asignar permisos de dos formas:
Grupos de SharePoint — específicos de cada sitio. Útiles para gestionar quién accede a qué dentro de un sitio concreto.
Grupos de Microsoft 365 (o grupos de Entra ID) — se gestionan desde el centro de administración y se pueden usar en múltiples sitios. Más recomendables para empresas que quieren una gestión centralizada de accesos.
La recomendación general es usar grupos — nunca asignar permisos directamente a usuarios individuales. Si alguien se va de la empresa, lo eliminas del grupo y pierdes el acceso a todo de golpe. Si tienes permisos por usuario, tienes que ir sitio por sitio buscando dónde aparece.
Una cosa que no puedes hacer con los grupos
Los grupos de SharePoint no se pueden anidar — no puedes meter un grupo de SharePoint dentro de otro grupo de SharePoint. Sin embargo, sí puedes añadir dentro de un grupo de SharePoint:
- Grupos de Microsoft 365
- Grupos de seguridad de Entra ID
- Usuarios individuales
Esto significa que la forma correcta de gestionar equipos es a través de grupos de Microsoft 365 o Entra ID, no intentando crear jerarquías de grupos de SharePoint.
El uso compartido y sus consecuencias
Uno de los aspectos menos entendidos de SharePoint es lo que ocurre cuando los usuarios comparten contenido.
Compartir rompe la herencia
Cada vez que un usuario comparte un archivo o carpeta con alguien, SharePoint rompe automáticamente la herencia de permisos para ese elemento y crea permisos únicos. Con el tiempo, una biblioteca puede acabar con docenas de elementos con permisos distintos — muy difícil de auditar y gestionar.
Los Miembros pueden compartir con otros
Por defecto, los usuarios con rol de Miembro pueden compartir el sitio o el contenido con otras personas — añadiéndolas al grupo de Miembros sin que el propietario lo sepa. Si tienes un sitio con contenido sensible, configura los Ajustes de solicitud de acceso para evitar esto.
Solo los Propietarios pueden cancelar el acceso compartido
Los Miembros y Visitantes que han compartido contenido no pueden deshacer ese acceso. Solo los Propietarios del sitio pueden hacerlo. Asegúrate de que tus Propietarios están al tanto de esta responsabilidad.
Los enlaces de uso compartido — un riesgo que no siempre se ve
SharePoint ofrece distintos tipos de enlace cuando compartes un documento o carpeta:
| Tipo de enlace | Acceso |
|---|---|
| Solo personas de tu organización | Solo usuarios con cuenta en tu empresa |
| Personas específicas | Solo las personas que indiques explícitamente |
| Cualquier persona con el enlace | Cualquier persona en internet, sin necesidad de autenticarse |
El último tipo — "cualquier persona con el enlace" — es el más peligroso. Si alguien reenvía ese enlace por correo o lo publica en algún sitio, cualquier persona en el mundo puede acceder al documento sin ninguna barrera.
Para empresas que manejan información confidencial de clientes o datos personales, este tipo de enlace debería estar desactivado a nivel de tenant. Desde el Centro de administración de Microsoft 365, el administrador puede restringir qué tipos de enlace están disponibles para los usuarios.
La herencia de permisos — qué es y cuándo romperla
Este es uno de los conceptos más importantes para entender cómo funcionan los permisos en SharePoint.
¿Qué es la herencia?
Por defecto, todo en SharePoint hereda los permisos del nivel superior. Una biblioteca hereda los permisos del sitio. Una carpeta hereda los permisos de la biblioteca. Un documento hereda los permisos de la carpeta. Si das acceso a alguien al sitio, automáticamente tiene acceso a todo el contenido dentro de ese sitio.
¿Qué significa romper la herencia?
Romper la herencia significa desconectar un elemento del nivel superior y crear permisos únicos para ese elemento. A partir de ese momento, los cambios en los permisos del sitio ya no afectan a ese elemento — tiene su propia configuración de acceso independiente.
¿Cuándo es apropiado romper la herencia?
El caso más común y más justificado es a nivel de biblioteca — por ejemplo, una biblioteca de documentos de RRHH dentro de un sitio general que necesita ser visible solo para el equipo de RRHH. Romper la herencia en la biblioteca y asignar permisos específicos es la solución correcta aquí.
¿Por qué debe ser la excepción, no la regla?
Cuantos más elementos tienen herencia rota, más difícil es gestionar y auditar quién tiene acceso a qué. Imagina que alguien se va de la empresa — tienes que revisar no solo los grupos del sitio, sino también cada biblioteca, carpeta y documento con permisos únicos para asegurarte de que ese usuario ya no tiene acceso en ningún sitio. Con una herencia limpia, eliminas al usuario del grupo y listo. Con docenas de herencias rotas, tienes un trabajo de auditoría enorme.
La regla de oro: rompe la herencia solo cuando la estructura de sitios no puede resolver el problema por sí sola. Si necesitas separar el acceso de forma permanente, lo correcto es separar el contenido en sitios distintos desde el principio.
Los errores más comunes
Permisos únicos en demasiados niveles
Cuantos más elementos tienen herencia rota, más difícil es gestionar quién tiene acceso a qué. La regla de oro: mantén la herencia siempre que sea posible. Solo rómpela cuando realmente sea necesario y no haya otra solución.
Dar acceso de Miembro cuando debería ser Visitante
Por defecto, muchos administradores dan acceso de Miembro a todo el mundo "para que puedan trabajar". El resultado: cualquiera puede borrar o modificar documentos. Para contenido que solo necesita lectura, usa Visitante.
Permisos a nivel de documento
Romper la herencia a nivel de documento individual es técnicamente posible pero una pesadilla de mantenimiento. Si necesitas separar el acceso a nivel tan granular, lo más probable es que necesites una biblioteca separada.
Una estructura sensata para una empresa mediana
Para la mayoría de empresas, una estructura como esta funciona bien:
- Sitio de intranet general — acceso de Visitante a toda la empresa
- Sitio de cada departamento — acceso de Miembro solo a ese departamento
- Sitio de dirección — acceso restringido a dirección y administración
- Sitio de RRHH — acceso muy restringido, solo el equipo de RRHH
Cada sitio hereda internamente, sin romper permisos a nivel de biblioteca o documento salvo casos muy concretos.
Los permisos y el cumplimiento normativo
Si tu empresa maneja datos personales (clientes, empleados), los permisos de SharePoint son parte de tu cumplimiento con el RGPD. Los datos personales deben ser accesibles solo para quién los necesita. Una auditoría de permisos periódica no es opcional — es una obligación.
Microsoft Purview y las herramientas de administración de Microsoft 365 permiten auditar quién ha accedido a qué y cuándo.
¿Quieres aprender más sobre permisos?
He creado un módulo de formación gratuito sobre permisos en SharePoint que cubre todos estos conceptos paso a paso, con ejemplos prácticos.