Consideraciones sobre seguridad y gobernanza en Power Platform
¿Muchos clientes se preguntan cómo puede estar disponible Power Platform para su negocio más amplio y respaldado por TI? La gobernanza es la respuesta. Su objetivo es permitir que los grupos profesionales se centren en resolver problemas empresariales de forma eficaz mientras cumplen con estándares de cumplimiento de TI y negocios. El siguiente contenido está destinado a estructurar temas que a menudo se asocian con el software de control y dar a conocer las capacidades disponibles para cada tema en lo que respecta al gobierno de Power Platform.
| Tema | Preguntas habituales relacionadas con cada tema para las que este contenido responde |
|---|---|
| Arquitectura |
|
| Seguridad |
|
| Alerta y acción |
|
| Supervisar |
|
Arquitectura
Como primer paso para crear la historia de gobernanza adecuada para su empresa, lo mejor es familiarizarse con los entornos. Los entornos son los contenedores de todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Descripción general de los entornos es una buena forma de empezar que debe ir seguida de ¿Qué es Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores y Puertas de enlace locales.
Seguridad
En esta sección se describen los mecanismos que existen para controlar quién puede acceder a Power Apps en un entorno y a los datos: licencias, entornos, roles de entorno, Microsoft Entra ID, directivas de prevención de pérdida de datos y conectores del administradores que se pueden usar con Power Automate.
Licencias
El acceso a Power Apps y Power Automate comienza con tener una licencia. El tipo de licencia que tiene un usuario determina los activos y los datos a los que puede acceder un usuario. La siguiente tabla describe diferencias en los recursos disponibles para un usuario en función del tipo de plan, desde un nivel alto. Los detalles granulares de la licencia se encuentran en la Información general de licencias.
| Planear | Descripción |
|---|---|
| Microsoft 365 incluido | Esto permite a los usuarios ampliar SharePoint y otros activos de Office que ya tienen. |
| Dynamics 365 incluido | Esto permite a los usuarios personalizar y ampliar las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) que ya tienen. |
| Plan de Power Apps | Esto permite:
|
| Comunidad de Power Apps | Esto permite al usuario utilizar Power Apps, Power Automate, Dataverse y conectores personalizados en un único lugar para uso individual. No hay posibilidad de compartir aplicaciones. |
| Power Automate gratis | Esto permite a los usuarios crear flujos ilimitados y realizar 750 ejecuciones. |
| Plan de Power Automate | Consulte Manual de licencias de Microsoft Power Apps y Microsoft Power Automate. |
Ambientes
Una vez que los usuarios tengan licencias, los entornos existirán como contenedores para todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Se pueden usar entornos para dirigirse a diferentes públicos o con distintos fines como desarrollo, prueba y producción. Puede encontrar más información en Información general de los entornos.
Proteger los datos y la red
- Power Apps y Power Automate no proporcionan a los usuarios acceso a activos de datos a los que ya no tienen acceso. Los usuarios solo deben tener acceso a los datos a los que realmente necesitan acceder.
- Las directivas de control de acceso a la red también pueden aplicarse a Power Apps y Power Automate. Para el entorno, se puede bloquear el acceso a un sitio desde dentro de una red bloqueando la página de inicio de sesión para evitar que se creen conexiones a ese sitio en Power Apps y Power Automate.
- En un entorno, el acceso se controla en tres niveles: Roles de entorno, Permisos de recursos para Power Apps, Power Automate, etc. y roles de seguridad de Dataverse (si una base de datos de Dataverse se proporciona).
- Cuando Dataverse se crea en un entorno, los roles de Dataverse se encargan de controlar la seguridad en el entorno (y se migran todos los administradores y creadores de entornos).
Las siguientes entidades de seguridad están disponibles para cada tipo de rol.
| Tipo de entorno | Rol | Tipo de entidad de seguridad (Microsoft Entra ID) |
|---|---|---|
| Entorno sin Dataverse | Rol de entorno | Usuario, grupo, inquilino |
| Permiso de recurso: Aplicación de lienzo | Usuario, grupo, inquilino | |
| Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 | Usuario, grupo | |
| Entorno con Dataverse | Rol de entorno | User |
| Permiso de recurso: Aplicación de lienzo | Usuario, grupo, inquilino | |
| Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 | Usuario, grupo | |
| Rol de Dataverse (se aplica a todos los componentes y aplicaciones basadas en modelos) | User |
1Solo se pueden compartir ciertas conexiones (como SQL).
Nota
- En el entorno predeterminado, se concede acceso a todos los usuarios en un inquilino al rol Creador de entornos.
- Los usuarios con el rol Administrador de Power Platform tienen acceso de administrador a todos los entornos.
Pregunta frecuente: ¿Qué permisos existen en un nivel de inquilino de Microsoft Entra?
Hoy, los administradores de Microsoft Power Platform pueden hacer lo siguiente:
- Descargar el informe de licencias de Power Apps y Power Automate
- Crear una directiva de DLP con el alcance limitado a "Todos los entornos" o con un alcance que permita incluir/excluir determinados entornos
- Administrar y asignar licencias a través del Centro de administración de Office
- Acceda a todas las aplicaciones del entrono y las funciones de administración de flujos para todos los entornos del inquilino disponibles a través de:
- Cmdlets de PowerShell del administrador de Power Apps
- Conectores de administración de Power Apps
- Acceder al análisis del administrador de Power Apps y Power Automate para todos los entornos en el inquilino:
Considerar Microsoft Intune
Los clientes con Microsoft Intune pueden definir directivas de protección de aplicaciones móviles para las aplicaciones de Power Apps y Power Automate en Android e iOS. En este tutorial se destaca cómo establecer una directiva a través de Intune para Power Automate.
Considerar el acceso condicional basado en la ubicación
Para los clientes con Microsoft Entra ID P1 o P2, directivas de acceso superiores condicionales, puede ser definido en el Azure para Power Apps y Power Automate. Esto permite conceder o bloqueo el acceso en función de: usuario/grupo, dispositivo, ubicación.
Crear una directiva de acceso condicional
- Inicie sesión en https://portal.azure.com.
- Seleccione Acceso condicional.
- Seleccione + Nueva directiva.
- Seleccione Usuarios y grupos seleccionados.
- Seleccione Todas las aplicaciones en la nube>Todas las aplicaciones en la nube>Common Data Service para controlar el acceso a las aplicaciones de interacción con el cliente.
- Aplicar condiciones (riesgo de usuario, plataformas de dispositivos, ubicaciones).
- Seleccione Crear.
Evitar filtraciones de datos con directivas de prevención de pérdida de datos
Las Directivas de prevención de pérdida de datos (DLP) aplique reglas para las que se pueden usar conectores juntos clasificando los conectores como Solo datos profesionales o No se permiten datos profesionales. Simplemente, si pone un conector en el grupo de solo datos profesionales, solo se puede usar con otros conectores de ese grupo en la misma aplicación. Los administradores de Power Platform pueden definir directivas que se apliquen a todos los entornos.
Preguntas más frecuentes
P: ¿Puedo controlar, a nivel de inquilino, qué conector está disponible, por ejemplo, No a Dropbox o Twitter, pero Sí a SharePoint?
R: Esto es posible utilizando las capacidades de clasificación de conectores y asignando el clasificador Bloqueado para uno o más conectores que desea evitar que se utilicen. Hay un conjunto de conectores que no se pueden bloquear.
P: ¿Qué ocurre con el uso compartido de conectores entre los usuarios? Por ejemplo, ¿el conector para Teams es general y se puede compartir?
R: Los conectores están disponibles para todos los usuarios excepto para conectores personalizados o premium, que necesitan u otra licencia (conectores premium) o tienen que compartirse de manera explícita (conectores personalizados).
Alerta y acción
Además de la supervisión, muchos clientes desean suscribirse a eventos de creación, uso o estado de software para saber cuándo realizar una acción. En esta sección se describen algunas formas de observar eventos (de forma manual y mediante programación) y de realizar acciones desencadenadas por una instancia del evento.
Crear flujos de Power Automate para alertar sobre eventos clave de auditoría
- Un ejemplo de alertar que se puede implementar es suscribirse a registros de auditoría de seguridad y cumplimiento de Microsoft 365.
- Esto se puede lograr a través de una suscripción a webhook o de un enfoque de sondeo. Sin embargo, al adjuntar Power Automate a estas alertas, podemos dotar a los administradores de algo más que unas simples alertas por correo electrónico.
Crear las directivas que necesita con Power Apps, Power Automate y PowerShell
- Estos cmdlets de PowerShell poner el control total en manos de los administradores para automatizar las directivas de gobernanza necesarias.
- Los conectores de Power Platform for Admins V2 (versión preliminar) y de Administración de Power Automate ofrecen el mismo nivel de control, pero con extensibilidad y facilidad-de usos agregadas al usar Power Apps y Power Automate.
- Revise los procedimientos recomendados de administración y gobernanza de Power Platform y considere la posibilidad de configurar el Kit de inicio del Centro de excelencia (CoE).
- Use esta plantilla de blogs y aplicaciones para ponerse en marcha rápidamente con los conectores de administración.
- Además, merece la pena comprobar el contenido compartido en la Galería de aplicaciones de la comunidad. Aquí se muestra otro ejemplo de una experiencia administrativa creada que usa Power Apps y conectores de administrador.
Preguntas frecuentes
Problema Actualmente, todos los usuarios con licencias de Microsoft E3 pueden crear aplicaciones en el ambiente predeterminado. ¿Cómo podemos habilitar los derechos del creador de entornos para un grupo seleccionado, por ejemplo, ¿10 personas para crear aplicaciones?
Recomendación
Los cmdlets de PowerShell y los conectores de administración brindan total flexibilidad y control a los administradores para crear las directivas que desean para su organización.
Supervisar
Es bien sabido que la supervisión es un aspecto crítico de la gestión de software a escala. Esta sección destaca un par de maneras para obtener información en el uso y desarrollo de Power Apps y Power Automate.
Revisar la traza de auditoría
El Registro de actividad para Power Apps se integra con el Centro de seguridad y cumplimiento de Office para registros completos a través de servicios de Microsoft como Dataverse y Microsoft 365. Office proporciona una API para consultar estos datos, que es utilizada actualmente por muchos proveedores de SIEM que usan los datos de registro de actividad para generar informes.
Vea el informe de licencia de Power Apps y Power Automate
Seleccione Análisis>Power Automate o Power Apps.
Vea los análisis del administrador de Power Apps y Power Automate
Puede obtener información sobre lo siguiente:
- Usuario activo y uso de la aplicación: ¿cuántos usuarios están usando una aplicación y con qué frecuencia?
- Ubicación: ¿dónde está el uso?
- Rendimiento de servicio de conectores
- Informe de errores: ¿cuáles son las aplicaciones más propensas a error?
- Flujos en uso por tipo y fecha
- Flujos creados por tipo y fecha
- Auditoría a nivel de aplicación
- Estado del servicio
- Conectores usados
Ver qué usuarios tienen licencia
Siempre puede consultar las licencias de usuario individuales en el centro de administración de Microsoft 365 profundizando en usuarios específicos.
También puede utilizar el siguiente comando de PowerShell para exportar las licencias de usuario asignadas.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exporta todas las licencias de usuario asignadas (Power Apps y Power Automate) en su inquilino en un archivo .csv de vista tabular. El archivo exportado contiene planes de prueba internos de registro de autoservicio y planes con origen en Microsoft Entra ID. Los planes de prueba internos no son visibles para los administradores en el centro de administración de Microsoft 365.
La exportación puede tardar bastante tiempo para los inquilinos con un gran número de usuarios de Power Platform.
Ver recursos de aplicación que se usan en un entorno
- En el Centro de administración de Power Platform, seleccione Entornos en el menú de navegación.
- Seleccione un entorno.
- Como alternativa, la lista de recursos que se usan en un entorno se puede descargar como archivo .csv.