Compartir vía

Estrategia de seguridad y separación del acceso al entorno

  • Artículo

Nota

Azure Active Directory es ahora Microsoft Entra ID. Más información.

El acceso a entornos y contenido debe estar restringido y, en general, seguir el principio de privilegios mínimos (PoLP). En Microsoft Power Platform, este acceso se puede gestionar en distintos niveles.

Como se indicó en las Guías de administración a través de entornos de Microsoft Power Platform y Power Apps, puede utilizar diferentes entornos de Microsoft Power Platform y roles de usuario que tengan acceso limitado para impulsar el cumplimiento en el ciclo de vida de una guía. Para implementar este enfoque, basta con otorgar acceso a los usuarios a los entornos requeridos y asignar solo roles de seguridad relevantes en estos entornos. Para obtener más información sobre roles de seguridad, vaya a Roles de seguridad y privilegios.

Cuando planifique la configuración, decida el alcance del acceso asignado automáticamente. Determine cómo debe integrarse el proceso con las prácticas existentes de la empresa para controlar la asignación de derechos de acceso y, por ejemplo, la integración con el sistema de administración de identidad y acceso (IAM).

Se recomienda que cree grupos de seguridad de Microsoft Entra para cada entorno y los asigne al entorno adecuado. La ventaja de este enfoque es que puede limitar el acceso a un entorno en función de la pertenencia a un grupo de seguridad específico. Este acceso basado en pertenencia se configura en el centro de administración de Power Platform. Para obtener más información, vaya a Restringir el acceso a un entorno en Dynamics 365 Guides mediante el uso de grupos de seguridad.

Después de la asignación, solo los usuarios que son miembros de los grupos de seguridad de Microsoft Entra pueden crearse en los entornos de Microsoft Power Platform correspondientes. Para obtener más información sobre cómo asignar grupos de seguridad de Microsoft Entra, vaya a Controlar el acceso de usuarios a entornos. Asegúrese de separar los entornos de prueba y de producción y cree grupos de seguridad separados para todos los entornos para controlar el acceso de manera específica.

Para administrar con efectividad la asignación de roles de seguridad, le recomendamos crear equipos propietarios que coincidan con los roles relevantes del sistema. Para obtener información sobre cómo administrar equipos, vaya a Administración de equipos de Microsoft Dataverse.

El uso de equipos propietarios ofrece dos ventajas principales:

  • Asigna roles de seguridad al aprovechar los grupos de seguridad de Microsoft Entra y vincularlos a los procesos IAM existentes.
  • Simplifica el proceso de asignación. Por ejemplo, para acceder a la funcionalidad requerida, un autor necesita tanto el rol de autor como el rol de usuario básico. Al asignar los roles de seguridad a un equipo de autores, puede otorgar a los nuevos autores los roles necesarios simplemente agregándolos al equipo propietario.

Diagrama que muestra un ejemplo de equipo propietario y roles de seguridad.

Si su organización utiliza la plataforma que tienen unidades de negocio, se creará automáticamente un equipo propietario por cada unidad de negocio. Si una unidad de negocio contiene usuarios solo para un rol (por ejemplo, autores), el equipo propietario se puede utilizar para asignar los roles de seguridad correctos. Sin embargo, en muchos casos, una sola unidad de negocio contiene usuarios para varios roles. Por lo tanto, se deben crear equipos de propietarios adicionales y asignarles roles de seguridad relevantes. De forma predeterminada, cada usuario se asigna a una unidad de negocio durante el proceso de creación de usuarios. Sin embargo, se puede otorgar acceso a otras unidades de negocio mediante la asignación a un equipo propietario específico.

Para una gestión efectiva necesita una configuración escalable. Se recomienda que automatice la administración de permisos en la medida de lo posible. El proceso debe estar preferentemente vinculado al sistema IAM. Aquí se muestra un ejemplo de proceso de alto nivel para crear un nuevo autor (en el que el usuario tiene una cuenta de usuario existente):

  1. Se inicia una solicitud para crear un autor a través del sistema IAM.

  2. La solicitud se enruta a través de una cadena de aprobación.

  3. Se asignan al usuario los grupos de Microsoft Entra correspondientes:

    • Un grupo que otorga al usuario las licencias correctas (por ejemplo, una licencia de Dynamics 365 Guides)
    • Grupos que dan al usuario acceso a entornos de Microsoft Power Platform relevantes
    • Grupos que otorgan al usuario pertenencia a equipos de Microsoft Power Platform relevantes, que conceden al usuario los roles de seguridad necesarios

  4. El usuario al que se asigna la unidad de negocio correcta. La asignación suele ser un proceso manual, pero se puede automatizar mediante Power Apps o Power Automate para garantizar una asignación uniforme y vincular IAM.

Para configuraciones que tienen varias unidades de negocio, debe crear grupos de seguridad de Microsoft Entra para cada rol en cada unidad de negocio a fin de agregar al usuario a los equipos correctos. Como alternativa, puede asignar equipos directamente en Microsoft Power Platform.

Si los pasos se completan directamente en Microsoft Power Platform, recomendamos que cree un proceso de soporte para facilitar y eliminar el error. Por ejemplo, implemente una aplicación de lienzo que ayude al administrador a asignar miembros a equipos y asignar al usuario a la unidad de negocio correcta.

Pasos siguientes