Asegurar implementaciones
Un elemento clave de la administración de una implementación de Power Platform es tener en cuenta la seguridad. La seguridad es crucial para garantizar que todos tengan acceso solo a los datos que necesitan, pero también para garantizar que personas o aplicaciones no accedan a los datos comerciales a los que no deberían acceder.
Establecer de una estrategia de DLP
Una de las primeras cosas que debe tener en cuenta al implementar una solución de Power Platform es establecer una directiva de prevención de pérdida de datos (DLP). Las directivas de (DLP) actúan como medidas de seguridad para evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información del inquilino. La directivas DLP establecen qué conectores están habilitados para cada entorno y qué conectores se pueden usar juntos. Clasificación de los conectores: bloqueados, solo datos empresariales y no se permiten datos empresariales. Un conector del grupo de solo datos empresariales solo se puede usar en una aplicación o un flujo con otros conectores de ese grupo. Por ejemplo, supongamos que quiere crear una aplicación que aplique el conector de Microsoft Dataverse y un conector de terceros. Si clasifica el conector de Microsoft Dataverse como conector de datos empresariales, solo podrá aplicar el conector de terceros en la misma aplicación si también está clasificado como conector de datos empresariales.
La configuración de las directivas de DLP debe estar de acuerdo con la estrategia del entorno.
Clasificación de conectores
Los sectores empresariales y no empresariales trazan límites sobre los conectores y definen cuáles se pueden usar juntos en una aplicación o un flujo determinado. Los conectores se pueden clasificar en los siguientes grupos mediante directivas de DLP:
Empresarial: una Power App o un flujo de Power Automate puede usar uno o más conectores de un grupo empresarial. Si una Power App o un flujo de Power Automate utiliza un conector empresarial, no puede utilizar ningún conector que no sea empresarial.
No empresarial: una Power App o un flujo de Power Automate puede usar uno o más conectores de un grupo no empresarial. Si una Power App o un flujo de Power Automate utiliza un conector no empresarial, no puede utilizar ningún conector empresarial.
Bloqueado: ninguna Power App y ningún flujo de Power Automate puede usar un conector bloqueado. Todos los conectores premium propiedad de Microsoft y los conectores de terceros (estándar y premium) pueden ser del tipo bloqueado. Sin embargo, los conectores estándar propiedad de Microsoft y los conectores de Common Data Service no se pueden bloquear.
Estrategias para crear directivas de DLP
Como se mencionó anteriormente, las directivas de DLP deben ser una de las primeras cosas que configure un administrador que se hace cargo de un entorno o que comienza a admitir el uso de Power Apps y Power Automate. Esto garantizará que se implemente un conjunto básico de directivas. Después, puede centrarse en controlar las excepciones y crear directivas de DLP específicas que implementen excepciones aprobadas.
Recomendamos el siguiente punto de partida para las directivas de DLP para entornos de productividad de usuarios y equipos compartidos:
Cree una DLP que abarque todos los entornos excepto los seleccionados (por ejemplo, sus entornos de producción). En esa DLP, limite los conectores disponibles a Office 365 y otros microservicios estándar y bloquee el acceso del resto. Aplique este DLP a los entornos de formación predeterminados y a cualquier entorno nuevo que se cree.
Cree directivas de DLP más permisivas y adecuadas para su organización, para el usuario compartido y para los entornos de productividad de equipos. Estas DLP podrían permitir a los fabricantes utilizar conectores, como los servicios de Azure, además de los servicios de Office 365. Los conectores disponibles en estos entornos dependerán de su organización y de dónde almacene los datos empresariales.
Recomendamos el siguiente punto de partida para las directivas de DLP para entornos de producción (unidad de negocio y proyecto):
Excluya esos entornos de las directivas DLP de productividad de usuarios y equipos compartidos.
Trabaje con las unidades de negocio para establecer qué conectores y combinaciones de conectores usarán, y cree una directiva de inquilino para incluir solo los entornos seleccionados.
Los administradores de entornos pueden usar directivas DLP de entorno para categorizar conectores personalizados como "solo datos empresariales" (si fuera necesario).
Además, también recomendamos lo siguiente:
Crear un número mínimo de directivas DLP por entorno. No hay una jerarquía estricta entre las directivas de la organización y del entorno. Durante el diseño y el runtime, todas las directivas DLP para el entorno de una aplicación o un flujo se evalúan en conjunto para determinar si la aplicación o el flujo cumplen con las directivas DLP. Varias directivas DLP aplicadas a un entorno fragmentarán el espacio de su conector de maneras complicadas y podrían dificultar la comprensión de los problemas a los que se enfrentan sus creadores.
Siempre que sea posible, use directivas DLP en el nivel de inquilino para la administración central; use directivas de entorno solo para categorizar los conectores personalizados o como excepción.
Cuando haya tenido esto en cuenta, piense en cómo gestionará las excepciones. Puede hacer lo siguiente:
Denegar la solicitud.
Agregar el conector a la directiva DLP predeterminada.
Agregar el entorno a la lista "Todos excepto" para la DLP predeterminada global y crear una directiva DLP específica del caso de uso con la excepción incluida.
Ejemplo: estrategia de DLP de Contoso
Veamos cómo configura sus directivas DLP Contoso Corporation, una organización ficticia. La configuración de directivas DLP de Contoso se relaciona estrechamente con su estrategia de entorno. Los administradores de Contoso desean admitir escenarios de productividad de usuarios y equipos y aplicaciones empresariales, además de administrar actividades del Centro de excelencia (CoE).
La estrategia de entorno y DLP de Contoso consta de lo siguiente para crear una estrategia por niveles:
Una directiva DLP restrictiva para todo el inquilino que se aplica a todos los entornos del inquilino, excepto a algunos entornos específicos que han excluido. Esta directiva también se aplicará al entorno predeterminado. Los administradores de Contoso limitan los conectores disponibles en esta directiva a Office 365 y otros microservicios estándar, y bloquean el acceso a todo lo demás.
Los administradores de Contoso han creado un entorno compartido donde los usuarios pueden crear aplicaciones para casos de uso de productividad de usuarios y equipos. Este entorno tiene una directiva DLP en el nivel de inquilino asociada que no es tan restrictiva como la directiva predeterminada, y permite a los fabricantes usar conectores como los servicios de Azure, además de los servicios de Office 365. Como se trata de un entorno no predeterminado, los administradores pueden controlar activamente quién accede al entorno.
Además, para que las unidades de negocio creen aplicaciones de línea de negocios, han creado entornos de desarrollo, prueba y producción para sus subsidiarias de impuestos y auditoría en varios países. El acceso del creador del entorno a estos entornos se administra cuidadosamente y los conectores propios y de terceros apropiados están disponibles mediante directivas de DLP en el nivel de inquilino en consulta con las partes interesadas de la unidad de negocio.
De manera similar, los entornos de desarrollo/prueba/producción se han creado para que TI central desarrolle e implemente aplicaciones. Estos escenarios de aplicaciones empresariales suelen tener un conjunto bien definido de conectores que deben estar disponibles para los fabricantes, evaluadores y usuarios en estos entornos. El acceso a estos conectores se administra mediante una directiva de nivel de inquilino dedicada.
Contoso también tiene un entorno de finalidad especial dedicado a las actividades del CoE. La directiva DLP para este entorno sigue precisando de un nivel importante de intervención humana, debido a la naturaleza experimental del trabajo teórico del equipo. Los administradores de inquilinos han delegado la administración de DLP para este entorno directamente a un administrador de entorno de confianza del equipo del CoE, y lo han excluido de todas las directivas en el nivel del inquilino. Este entorno se administra solo mediante la directiva DLP en el nivel del entorno, que, en Contoso, es la excepción, no la regla.
Como era de esperar, cualquier entorno nuevo que se cree en Contoso se asignará a la directiva original para todos los entornos.
Esta configuración de directivas DLP centradas en inquilinos no impide que los administradores del entorno propongan sus propias directivas DLP en el nivel del entorno, si desean introducir otras restricciones o clasificar conectores personalizados.
Puede obtener más información sobre cómo crear directivas de DLP en Planificar y administrar un entorno de Microsoft Power Platform.