ASP.NET MVC авторизация поддерживается на уровне контроллера через AuthorizeAttribute.
Вкладка должна выполнять усечение безопасности и не отображать вкладки, которые переходят к методам действий, к которым у текущего пользователя нет доступа.
Сетка не будет скрывать команды редактирования / удаления / вставки. Если неавторизованный пользователь попытается выполнить операцию, он получит пустой экран (при использовании привязки сервера) или вызовет событие на стороне клиента OnError (для сценариев привязки ajax). Код ошибки 401 - неавторизован.