Asegurar implementaciones
Un elemento clave de la administración de una implementación de Power Platform es tener en cuenta la seguridad. La seguridad es crucial para garantizar que todos tengan acceso solo a los datos que necesitan, pero también para garantizar que personas o aplicaciones no accedan a los datos comerciales a los que no deberían acceder.
Establecer de una estrategia de DLP
Una de las primeras cosas que debe tener en cuenta al implementar una solución de Power Platform es establecer una estrategia de prevención de pérdida de datos (DLP). Las directivas de (DLP) actúan como medidas de seguridad para ayudar a evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información del inquilino. Las directivas de DLP imponen reglas que indican qué conectores están habilitados para cada entorno y qué conectores se pueden usar juntos. Los conectores se clasifican como solo datos comerciales, no se permiten datos comerciales o bloqueados. Un conector del grupo de solo datos comerciales solo se puede usar con otros conectores de ese grupo en la misma aplicación o el mismo flujo. Por ejemplo, alguien podría querer crear una aplicación que aplique el conector de Microsoft Dataverse y un conector de terceros. Si clasifica el conector de Microsoft Dataverse como conector de datos empresariales, solo podrá aplicar el conector de terceros si también está clasificado como conector de datos empresariales.
Establecer sus directivas de DLP irá de la mano con su estrategia de entorno.
Clasificación de conectores
Los sectores empresariales y no empresariales trazan límites sobre qué conectores se pueden usar juntos en una aplicación o flujo determinado. Los conectores se pueden clasificar en los siguientes grupos mediante directivas de DLP:
Empresarial: una Power App determinada o recurso de Power Automate puede usar uno o más conectores de un grupo empresarial. Si una Power App o recurso de Power Automate utiliza un conector empresarial, no puede utilizar ningún conector que no sea empresarial.
No empresarial: una Power App determinada o recurso de Power Automate puede usar uno o más conectores de un grupo no empresarial. Si una Power App o recurso de Power Automate utiliza un conector no empresarial, no puede utilizar ningún conector empresarial.
Bloqueado: ninguna aplicación de Power App o recurso de Power Automate puede usar un conector de un grupo bloqueado. Todos los conectores premium propiedad de Microsoft y los conectores de terceros (estándar y premium) se pueden bloquear. Ningún conector estándar propiedad de Microsoft y ni ningún conector de Common Data Service se puede bloquear.
Estrategias para crear directivas de DLP
Como se mencionó anteriormente, como administrador que se hace cargo de un entorno o comienza a admitir el uso de Power Apps y Power Automate, las directivas de DLP deben ser una de las primeras cosas que configure. Esto garantiza que se implemente un conjunto básico de directivas y, después, puede centrarse en gestionar las excepciones y crear directivas de DLP específicas que implementen estas excepciones una vez aprobadas.
Recomendamos el siguiente punto de partida para las directivas de DLP para entornos de productividad de usuarios y equipos compartidos:
Cree una directiva que abarque todos los entornos excepto los seleccionados (por ejemplo, sus entornos de producción), mantenga los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar, y bloquee el acceso a todo lo demás. Esta directiva se aplicará al entorno predeterminado y a los entornos de formación que tenga para ejecutar eventos de formación internos. Además, esta directiva también se aplicará a cualquier entorno nuevo que se cree.
Cree directivas de DLP apropiadas y más permisivas para sus entornos de productividad compartidos de usuarios y equipos. Estas directivas podrían permitir a los fabricantes utilizar conectores, como los servicios de Azure, además de los servicios de Office 365. Los conectores disponibles en estos entornos dependerán de su organización y de dónde almacene los datos comerciales.
Recomendamos el siguiente punto de partida para las directivas de DLP para entornos de producción (unidad de negocio y proyecto):
Excluya esos entornos de las directivas de productividad de usuarios y equipos compartidos.
Trabaje con la unidad de negocio y el proyecto para establecer qué conectores y combinaciones de conectores usarán y crear una directiva de inquilino para incluir solo los entornos seleccionados.
Los administradores de entornos de esos entornos pueden usar directivas de entorno para categorizar conectores personalizados solo como datos comerciales, si fuera necesario.
Además de lo anterior, también recomendamos:
Crear un número mínimo de directivas por entorno. No hay una jerarquía estricta entre las directivas de inquilino y de entorno, y en el diseño y el runtime, todas las directivas que sean aplicables al entorno en el que reside la aplicación o el flujo se evalúan conjuntamente para decidir si el recurso cumple o infringe las directivas DLP. Varias directivas de DLP aplicadas a un entorno fragmentarán el espacio de su conector de maneras complicadas y podrían dificultar la comprensión de los problemas a los que se enfrentan sus creadores.
Administrar de forma centralizada las directivas de DLP mediante directivas de nivel de inquilino y de entorno solo para categorizar conectores personalizados o en casos excepcionales.
Con esto solucionado, planee cómo gestionar las excepciones. El usuario puede:
Denegar la solicitud.
Agregar el conector a la directiva de DLP predeterminada.
Agregar los entornos a la lista Todos excepto para el DLP predeterminado global y crear una directiva de DLP específica del caso de uso con la excepción incluida.
Ejemplo: estrategia de DLP de Contoso
Veamos cómo Contoso Corporation, nuestra organización de muestra para esta guía, configura sus directivas de DLP. La configuración de sus directivas de DLP se relaciona estrechamente con su estrategia de entorno. Los administradores de Contoso desean admitir escenarios de productividad de usuarios y equipos y aplicaciones comerciales, además de la administración de actividades del Centro de excelencia (CoE).
El entorno y la estrategia de DLP que los administradores de Contoso han aplicado aquí consisten en:
Una directiva de DLP restrictiva para todo el inquilino que se aplica a todos los entornos del inquilino, excepto a algunos entornos específicos que han excluido del ámbito de la directiva. Los administradores tienen la intención de mantener los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar al bloquear el acceso a todo lo demás. Esta directiva también se aplicará al entorno predeterminado.
Los administradores de Contoso han creado otro entorno compartido para que los usuarios creen aplicaciones para casos de uso de productividad de usuarios y equipos. Este entorno tiene una directiva de DLP en el nivel de inquilino asociada que no es tan reacia al riesgo como una directiva predeterminada y permite a los fabricantes usar conectores como los servicios de Azure, además de los servicios de Office 365. Debido a que este es un entorno no predeterminado, los administradores pueden controlar activamente la lista de creadores de entornos para el mismo. Este es un enfoque escalonado para el entorno de productividad compartido de usuarios y equipos y la configuración de DLP asociada.
Además, para que las unidades de negocios creen aplicaciones de línea de negocios, han creado entornos de desarrollo, prueba y producción para sus subsidiarias de impuestos y auditoría en varios países. El acceso del creador del entorno a estos entornos se administra cuidadosamente y los conectores propios y de terceros apropiados están disponibles mediante directivas de DLP en el nivel de inquilino en consulta con las partes interesadas de la unidad de negocio.
De manera similar, los entornos de desarrollo/prueba/producción se crean para que la TI central los use para desarrollar e implementar aplicaciones relevantes o correctas. Estos escenarios de aplicaciones empresariales suelen tener un conjunto bien definido de conectores que deben estar disponibles para los fabricantes, evaluadores y usuarios en estos entornos. El acceso a estos conectores se administra mediante una directiva de nivel de inquilino dedicada.
Contoso también tiene un entorno de propósito especial dedicado a sus actividades del Centro de excelencia. En Contoso, la directiva de DLP para el entorno de propósito especial seguirá siendo de alto nivel dada la naturaleza experimental del libro de equipos teóricos. En este caso, los administradores de inquilinos delegaron la administración de DLP para este entorno directamente a un administrador de entorno de confianza del equipo del CoE y lo excluyeron de un grupo de directivas en el nivel de todo el inquilino. Este entorno se administra solo mediante la directiva de DLP en el nivel de entorno, que es una excepción y no la regla en Contoso.
Como era de esperar, cualquier entorno nuevo que se cree en Contoso se asignará a la directiva original para todos los entornos.
Esta configuración de directivas de DLP centradas en inquilinos no impide que los administradores del entorno propongan sus propias directivas de DLP en el nivel de entorno, si desean introducir otras restricciones o clasificar conectores personalizados.
Puede obtener más información sobre cómo crear directivas de DLP aquí: Planificar y administrar un entorno de Microsoft Power Platform.