Consideraciones sobre seguridad y gobernanza
¿Muchos clientes se preguntan cómo puede estar disponible Power Platform para su negocio más amplio y respaldado por TI? La gobernanza es la respuesta. Su objetivo es permitir que los grupos profesionales se centren en resolver problemas empresariales de forma eficaz mientras cumplen con estándares de cumplimiento de TI y negocios. El siguiente contenido está destinado a estructurar temas que a menudo se asocian con el software de control y dar a conocer las capacidades disponibles para cada tema en lo que respecta al gobierno de Power Platform.
Tema | Preguntas habituales relacionadas con cada tema para las que este contenido responde |
---|---|
Arquitectura |
|
Seguridad |
|
Alerta y acción |
|
Supervisar |
|
Arquitectura
Como primer paso para crear la historia de gobernanza adecuada para su empresa, lo mejor es familiarizarse con los entornos. Los entornos son los contenedores de todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Descripción general de entornos es una buena introducción, a la que se debe seguir ¿Qué es Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores y local Pasarelas.
Seguridad
En esta sección se describen los mecanismos que existen para controlar quién puede acceder a Power Apps en un entorno y a los datos: licencias, entornos, roles de entorno, Microsoft Entra ID, directivas de prevención de pérdida de datos y conectores del administradores que se pueden usar con Power Automate.
Licencias
El acceso a Power Apps y Power Automate comienza con tener una licencia. El tipo de licencia que tiene un usuario determina los activos y los datos a los que puede acceder un usuario. La siguiente tabla describe diferencias en los recursos disponibles para un usuario en función del tipo de plan, desde un nivel alto. Los detalles granulares de la licencia se encuentran en la Información general de licencias.
Planear | Descripción |
---|---|
Microsoft 365 incluido | Esto permite a los usuarios ampliar SharePoint y otros activos de Office que ya tienen. |
Dynamics 365 incluido | Esto permite a los usuarios personalizar y ampliar las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) que ya tienen. |
Plan de Power Apps | Esto permite:
|
Comunidad de Power Apps | Esto permite que un usuario utilice Power Apps, Power Automate, Dataverse y conectores personalizados en un solo producto para uso individual. No hay posibilidad de compartir aplicaciones. |
Power Automate gratis | Esto permite a los usuarios crear flujos ilimitados y realizar 750 ejecuciones. |
Plan de Power Automate | Consulte Manual de licencias de Microsoft Power Apps y Microsoft Power Automate. |
Ambientes
Una vez que los usuarios tengan licencias, los entornos existirán como contenedores para todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Los entornos se pueden utilizar para llegar a diferentes públicos y/o para diferentes propósitos, como desarrollo, pruebas y producción. Puede encontrar más información en Información general de los entornos.
Proteger los datos y la red
- Power Apps y no proporcione a los usuarios acceso a ningún activo de datos al que ya no tengan acceso. Power Automate Los usuarios solo deben tener acceso a los datos a los que realmente necesitan acceder.
- Las directivas de control de acceso a la red también pueden aplicarse a Power Apps y Power Automate. Para el entorno, se puede bloquear el acceso a un sitio desde dentro de una red bloqueando la página de inicio de sesión para evitar que se creen conexiones a ese sitio en Power Apps y Power Automate.
- En un entorno, el acceso se controla en tres niveles: Roles de entorno, Permisos de recursos para Power Apps, Power Automate, etc. y roles de seguridad de Dataverse (si una base de datos de Dataverse se proporciona).
- Cuando se crea Dataverse en un ambiente, los roles toman el control de la seguridad en el ambiente (y se migran todos los administradores y creadores de ambiente). Dataverse
Las siguientes entidades de seguridad están disponibles para cada tipo de rol.
Tipo de entorno | Rol | Tipo de entidad de seguridad (Microsoft Entra ID) |
---|---|---|
Entorno sin Dataverse | Rol de entorno | Usuario, grupo, inquilino |
Permiso de recurso: Aplicación de lienzo | Usuario, grupo, inquilino | |
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 | Usuario, grupo | |
Entorno con Dataverse | Rol de entorno | User |
Permiso de recurso: Aplicación de lienzo | Usuario, grupo, inquilino | |
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 | Usuario, grupo | |
Rol de Dataverse (se aplica a todos los componentes y aplicaciones basadas en modelos) | User |
1Solo se pueden compartir ciertas conexiones (como SQL).
Nota
- En el entorno predeterminado, se concede acceso a todos los usuarios en un inquilino al rol Creador de entornos.
- Los usuarios con el rol Administrador tienen acceso de administrador a todos los entornos. Power Platform
Preguntas frecuentes: ¿Qué permisos existen a nivel de inquilino? Microsoft Entra
Hoy, los administradores de Microsoft Power Platform pueden hacer lo siguiente:
- Descargar el informe de licencias de Power Apps y Power Automate
- Crear una directiva de DLP con el alcance limitado a "Todos los entornos" o con un alcance que permita incluir/excluir determinados entornos
- Administrar y asignar licencias a través del Centro de administración de Office
- Acceda a todas las aplicaciones del entrono y las funciones de administración de flujos para todos los entornos del inquilino disponibles a través de:
- Cmdlets de PowerShell del administrador de Power Apps
- Conectores de administración de Power Apps
- Acceder al análisis del administrador de Power Apps y Power Automate para todos los entornos en el inquilino:
Considere Intune Microsoft
Los clientes con Intune pueden establecer políticas de protección de aplicaciones móviles tanto para aplicaciones Microsoft como Power Apps en Power Automate y Android . iOS En este tutorial se destaca cómo establecer una directiva a través de Intune para Power Automate.
Considerar el acceso condicional basado en la ubicación
Para los clientes con Microsoft Entra ID P1 o P2, directivas de acceso superiores condicionales, puede ser definido en el Azure para Power Apps y Power Automate. Esto permite conceder o bloqueo el acceso en función de: usuario/grupo, dispositivo, ubicación.
Crear una directiva de acceso condicional
- Inicie sesión en https://portal.azure.com.
- Seleccione Acceso condicional.
- Seleccione + Nueva directiva.
- Seleccionar usuarios y grupos seleccionados.
- Seleccione Todas las aplicaciones en la nube>Todas las aplicaciones en la nube>Common Data Service para controlar el acceso a las aplicaciones de interacción con el cliente.
- Aplicar condiciones (riesgo de usuario, plataformas de dispositivos, ubicaciones).
- Seleccione Crear.
Evitar filtraciones de datos con directivas de prevención de pérdida de datos
Las políticas de datos prevención de pérdidas (DLP) imponen reglas para las cuales los conectores se pueden usar juntos al clasificar los conectores como Solo datos comerciales o No se permiten datos comerciales. Simplemente, si pone un conector en el grupo de solo datos profesionales, solo se puede usar con otros conectores de ese grupo en la misma aplicación. Los administradores de Power Platform pueden definir directivas que se apliquen a todos los entornos.
Preguntas más frecuentes
P: ¿Puedo controlar, a nivel de inquilino, qué conector está disponible, por ejemplo, No a Dropbox o Twitter, pero Sí a SharePoint?
R: Esto es posible utilizando las capacidades de clasificación de conectores y asignando el clasificador Bloqueado para uno o más conectores que desea evitar que se utilicen. Tenga en cuenta que hay un conjunto de conectores que no se pueden bloquear.
P: ¿Qué ocurre con el uso compartido de conectores entre los usuarios? Por ejemplo, ¿el conector para Teams es general y se puede compartir?
R: Los conectores están disponibles para todos los usuarios excepto los conectores premium o personalizados, que necesitan otra licencia (conectores premium) o deben compartirse explícitamente (conectores personalizados).
Alerta y acción
Además del monitoreo, muchos clientes desean suscribirse a eventos de creación, uso o estado del software para saber cuándo realizar una acción. En esta sección se describen algunas formas de observar eventos (de forma manual y mediante programación) y de realizar acciones desencadenadas por una instancia del evento.
Crear flujos de Power Automate para alertar sobre eventos clave de auditoría
- Un ejemplo de alertar que se puede implementar es suscribirse a registros de auditoría de seguridad y cumplimiento de Microsoft 365.
- Esto se puede lograr a través de una suscripción a webhook o de un enfoque de sondeo. Sin embargo, al adjuntar Power Automate a estas alertas, podemos dotar a los administradores de algo más que unas simples alertas por correo electrónico.
Crear las directivas que necesita con Power Apps, Power Automate y PowerShell
- Estos cmdlets de PowerShell poner el control total en manos de los administradores para automatizar las directivas de gobernanza necesarias.
- Los conectores de administración proporcionan el mismo nivel de control pero con mayor extensibilidad y facilidad de uso mediante el uso de Power Apps y Power Automate.
- Para ponerse en marcha rápidamente, existen las siguientes plantillas de Power Automate para conectores de administración:
- Use esta plantilla de blogs y aplicaciones para ponerse en marcha rápidamente con los conectores de administración.
- Además, merece la pena comprobar el contenido compartido en la Galería de aplicaciones de la comunidad. Aquí se muestra otro ejemplo de una experiencia administrativa creada que usa Power Apps y conectores de administrador.
Preguntas frecuentes
Problema Actualmente, todos los usuarios con Microsoft licencias E3 pueden crear aplicaciones en el ambiente predeterminado. ¿Cómo podemos habilitar los derechos del creador de entornos para un grupo seleccionado, por ejemplo, ¿Diez personas para crear aplicaciones?
Recomendación Los cmdlets de PowerShell y los conectores de administración proporcionan total flexibilidad y control a los administradores para crear las políticas que desean para su organización.
Supervisar
Se entiende bien que la supervisión es un aspecto fundamental de la gestión de software a escala. En esta sección se destacan un par de medios para obtener información sobre el desarrollo y el uso. Power Apps Power Automate
Revisar la traza de auditoría
El registro de actividades está integrado con el Centro de seguridad y cumplimiento de Office para un registro completo en servicios como Power Apps y Microsoft . Dataverse Microsoft 365 Office proporciona una API para consultar estos datos, que es utilizada actualmente por muchos proveedores de SIEM que usan los datos de registro de actividad para generar informes.
Vea el informe de licencia de Power Apps y Power Automate
Seleccione Análisis>Power Automate o Power Apps.
Vea los análisis del administrador de Power Apps y Power Automate
Puede obtener información sobre lo siguiente:
- Usuario activo y uso de la aplicación: ¿cuántos usuarios están usando una aplicación y con qué frecuencia?
- Ubicación: ¿dónde está el uso?
- Rendimiento de servicio de conectores
- Informe de errores: ¿cuáles son las aplicaciones más propensas a error?
- Flujos en uso por tipo y fecha
- Flujos creados por tipo y fecha
- Auditoría a nivel de aplicación
- Estado del servicio
- Conectores usados
Ver qué usuarios tienen licencia
Siempre puede consultar las licencias de usuario individuales en el centro de administración de Microsoft 365 profundizando en usuarios específicos.
También puede utilizar el siguiente comando de PowerShell para exportar las licencias de usuario asignadas.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exporta todas las licencias de usuario asignadas (Power Apps y Power Automate) en su inquilino en un archivo .csv de vista tabular. El archivo exportado contiene planes de prueba internos de registro de autoservicio y planes con origen en Microsoft Entra ID. Los planes de prueba internos no son visibles para los administradores en el centro de administración de Microsoft 365.
La exportación puede tardar bastante tiempo para los inquilinos con un gran número de usuarios de Power Platform.
Ver recursos de aplicación que se usan en un entorno
- En el Centro de administración de Power Platform, seleccione Entornos en el menú de navegación.
- Seleccione un entorno.
- Opcionalmente, la lista de recursos utilizados en un ambiente se puede descargar como .csv.
Consulte también
Utilice las mejores prácticas para proteger y gobernar entornos Power Automate
Microsoft Power Platform Kit de inicio del Centro de Excelencia (CoE)