Soberanía de datos en entornos de Dataverse y Power Platform
El Centro de administración de Microsoft Power Platform centraliza la administración de entornos y configuraciones para Power Platform y ayuda a administrar tanto la residencia de datos como los controles de acceso a los datos para respaldar sus requisitos soberanos. La configuración del inquilino en Centro de administración le permite controlar cómo se crean y administran los entornos en su inquilino. Esta configuración le permite regular qué administradores tienen la capacidad de crear nuevos entornos, limitando esta capacidad solo a los administradores de Global, Dynamics 365 y Power Platform. Esto mejora su control sobre la ubicación, el método y el personal que accede a sus activos de datos.
Habilitar entorno administrado
Los entornos administrados ofrecen amplias capacidades para ayudarle a configurar Dataverse y Power Platform y reducir el riesgo de fugas de datos involuntarias y ajustarse a sus requisitos de seguridad y soberanía. Estas capacidades incluyen vinculación de cookies de IP, caja de seguridad del cliente, firewall de IP, claves administradas por el cliente, etc.
En el Centro de administración puede administrar las directivas de datos de sus entornos administrados. Le recomendamos que use directivas de datos para proteger todos los entornos de su inquilino. Por ejemplo, la directiva de prevención de pérdida de datos
En el Centro de administración, puede configurar el comprobador de soluciones en entornos administrados para que aplique comprobaciones a sus soluciones con respecto a un conjunto de reglas de procedimientos recomendados e identifique patrones problemáticos. Esta comprobación puede ayudarle a evitar prácticas deficientes de administración de datos que den lugar a un acceso o distribución de datos que infrinja sus requisitos soberanos.
Entornos administrados también presenta una versión preliminar del enrutamiento del entorno predeterminado, una nueva característica que permite el control soberano, de modo que cuando un nuevo creador llega a Power Apps, se le enruta automáticamente a su propio espacio personal de desarrollador en lugar de a un entorno predeterminado compartido, donde puede crear sin riesgo de que otros creadores accedan a sus aplicaciones o datos.
Para obtener más información, consulte Habilitar Entornos administrados - Power Platform y Directivas de datos - Power Platform
Residencia de datos e implementaciones multigeográficas
Cuando se suscribe a los servicios de Power Platform, elige un país o región que se asigna a la geografía de Azure más adecuada donde existe una implementación de Power Platform.
Residencia de datos en Power Platform
La residencia de datos se ocupa de la ubicación física donde se almacenan y procesan los datos. La residencia de datos garantiza que los datos del cliente se almacenen en la geografía Azure asignada al inquilino (o geografía de origen).
Los requisitos de residencia de datos son una preocupación común para los clientes del sector público, quienes a menudo solicitan que Microsoft limite dónde se almacenan y procesan los diferentes tipos de datos. Power Platform proporciona controles y mecanismos para garantizar que tanto los datos personales como los datos de los clientes están protegidos para restringir los servicios y las regiones que los usuarios finales pueden usar y hacer cumplir la configuración del servicio para ayudar a los clientes a lograr sus necesidades de residencia de datos.
Selección de geografía
Si es una organización global, las implementaciones multigeográficas le permiten almacenar datos en regiones específicas para cumplir con las normativas locales. Cuando se suscribe a los servicios de Power Platform, el país o región seleccionados del inquilino se asignan a la geografía de Azure más adecuada donde existe una implementación de Power Platform. En el caso de los inquilinos de múltiples geografías, puede especificar la geoárea de un entorno. En las implementaciones multigeográficas, los metadatos permanecen en la geoárea de origen, mientras que los metadatos y los datos reales residen en la geoárea remota. Microsoft puede replicar datos en otras regiones para la resistencia de datos. Para obtener más información, consulte Almacenamiento de datos y gobernanza en Power Platform.
Aislamiento de inquilino
Para reducir la posibilidad de que se compartan datos sin autorización, Power Platform debe configurarse con el aislamiento de inquilino activado, para asegurarse de que solo un número limitado de inquilinos (o ninguno) pueda conectarse con su inquilino soberano. Sugerimos impedir las conexiones entrantes y salientes que vayan más allá de los límites de soberanía. Por ejemplo, sus controles de directiva pueden indicar que es aceptable que su inquilino esté conectado por otros tenant_ids que se encuentren en su límite soberano, pero no regiones fuera de ese límite. Para obtener más información sobre el aislamiento de inquilinos, consulte: Restringir el acceso entrante y saliente entre inquilinos - Power Platform.
Copia de seguridad/conmutación por error
Microsoft puede replicar los datos no personales, como la información de autenticación de los empleados, en otras regiones para la resiliencia de los datos. Sin embargo, los datos personales y de los clientes nunca se replican ni se mueven fuera de la geoárea. Las copias de seguridad del sistema de los entornos de producción se realizan automáticamente y son georredundantes para lograr resiliencia y disponibilidad. En algunos casos, la región de copia de seguridad puede estar fuera de su límite soberano.
Para obtener más información sobre los procesos de continuidad de la actividad/recuperación ante desastres, conmutación por error y alternativos para las aplicaciones de Dataverse y F&O, consulte: Continuidad de negocio y recuperación ante desastres para aplicaciones SaaS de Dynamics 365 - Power Platform.
Directivas de prevención de pérdida de datos
Power Platform Las políticas de prevención de pérdida de datos (DLP) pueden actuar como barreras de seguridad para ayudar a hacer cumplir los requisitos de residencia de datos. Las políticas DLP también pueden ayudar a determinar qué conectores pueden comunicarse entre sí para evitar que datos comerciales confidenciales se transfieran de manera inadvertida o deliberada fuera de la región soberana. De forma predeterminada, todos los conectores se asignan inicialmente al grupo de datos no profesionales (de uso personal).
Para reducir el riesgo de que se filtre información sensible fuera del entorno soberano, los conectores para datos sensibles deben asignarse al grupo de datos profesionales. Para proteger aún más los entornos de Dynamics 365, estos conectores también deben asignarse al grupo de datos profesionales. Para obtener más información sobre la administración de directivas de DLP, consulte: Administrar las directivas de prevención de pérdida de datos (DLP) - Power Platform.
Escritura dual
La escritura dual proporciona una integración bidireccional estrechamente acoplada entre prevención de pérdidas y Dataverse. Los cambios de datos en las aplicaciones de finanzas y operaciones pueden provocar escrituras en Dataverse y los cambios de datos en Dataverse pueden provocar escrituras en las aplicaciones de finanzas y operaciones. Este flujo de datos automatizado proporciona una experiencia de usuario integrada en todas las aplicaciones.
La escritura dual requiere roles de seguridad y permisos específicos para funcionar como se espera. Todos los usuarios de Microsoft Dataverse deben agregarse a los roles de seguridad de usuario de tiempo de ejecución de escritura dual y de usuario de aplicación de escritura dual. Si estos roles no se administran adecuadamente, podrían dar lugar a accesos no autorizados.
La residencia de los datos y los requisitos de cumplimiento podrían variar en función de la ubicación geográfica en la que se almacenen y procesen los datos. Es importante asegurarse de que el flujo de datos cumple todas las normativas regionales e internacionales pertinentes en materia de protección de datos. Para obtener más información, consulte Escritura dual y Configurar roles y permisos de seguridad de escritura dual.
Para obtener más información, consulte Configuración de la gobernanza para controlar el acceso anónimo a los datos de Dataverse en el sitio web de Power Pages.