Compartir a través de

Establecer una estrategia de entorno

  • Artículo

Los entornos de Power Platform son contenedores que los administradores pueden usar para administrar aplicaciones, flujos, conexiones y otros activos; junto con los permisos para permitir que los miembros de la organización usen los recursos. Este artículo le guía a través de detalles importantes sobre los entornos en Microsoft Power Platform y analiza las formas recomendadas de beneficiarse de una administración proactiva de estos. Más información: Conocimientos generales de los entornos de Microsoft Power Platform

Desarrollar una estrategia de entorno significa configurar entornos y otras capas de seguridad de datos de manera que apoye el desarrollo productivo de su organización, al mismo tiempo que protege y organiza los recursos. Una estrategia para administrar el aprovisionamiento y el acceso al entorno, y controlar los recursos dentro de este, es importante para:

  • Proteger los datos y el acceso.
  • Saber cómo usar correctamente el entorno predeterminado.
  • Administrar la cantidad correcta de entornos para evitar la proliferación y conservar la capacidad.
  • Facilitar la administración del ciclo de vida de las aplicaciones (ALM).
  • Organizar los recursos en particiones lógicas.
  • Apoyar las operaciones (y el servicio de asistencia técnica) en la identificación de aplicaciones que están en producción al tenerlas en entornos dedicados.
  • Garantizar que los datos se almacenen y transmitan en regiones geográficas aceptables (por motivos de rendimiento y cumplimiento).
  • Garantizar el aislamiento de las aplicaciones que se están desarrollando.

Comprender entornos

Antes de empezar, veamos algunos aspectos clave de la seguridad y el entorno:

  • Los entornos están ligados a una ubicación geográfica que se configura en el momento que se crea el entorno.
  • Los entornos se pueden utilizar para dirigirse a diferentes públicos o para diferentes propósitos, como desarrollo, prueba y producción.
  • Se pueden aplicar directivas de prevención de pérdida de datos (DLP) a entornos individuales o al inquilino.
  • Cada inquilino tiene un entorno predeterminado.
  • Los usuarios con licencia de Power Apps, Power Automate y Dynamics 365 pueden crear entornos no predeterminados. La creación se puede restringir solo a administradores globales y de servicio a través de una configuración de inquilino.
  • Los entornos no predeterminados ofrecen más control en lo que respecta a los permisos.
  • Un entorno puede tener uno o cero instancias de Microsoft Dataverse.
  • Los entornos incluyen roles de seguridad predefinidos que reflejan tareas de usuario comunes con niveles de acceso definidos para que coincidan con el objetivo de seguridad recomendado de proporcionar acceso a la cantidad mínima de datos profesionales necesarios para usar la aplicación.
  • El enrutamiento del entorno predeterminado es una característica de gobernanza premium. Esta característica permite a los administradores Power Platform dirigir automáticamente a los nuevos creadores a sus propios entornos de desarrollo personales cuando visitan make.powerapps.com por primera vez.

Tipos de entornos

Antes de empezar a desarrollar una estrategia de entorno, asegúrese de entender los diferentes tipos de entornos.

Desarrollar una estrategia

Este es un punto de partida a tener en cuenta para su estrategia de entorno.

  • Asigne a sus administradores el rol Administrador de servicio de Microsoft Power Platform o Administrador de servicio de Dynamics 365.
    Estos roles proporcionan acceso administrativo a aplicaciones de lienzo, flujos, aplicaciones basadas en modelos, entornos, conectores personalizados, conexiones, puertas de enlace de Power Apps, portales de Power Apps, modelos de AI Builder y todas las instancias de Dataverse. Este rol debe asignarse a administradores que no necesitan acceso de administrador global de inquilinos y se dedican a administrar Microsoft Power Platform.

  • Restrinja la creación de nuevos entornos de producción en red a los administradores.
    Limitar la creación de entornos resulta beneficioso para mantener el control en general: tanto para evitar un consumo de capacidad no contabilizada como para reducir el número de entornos a administrar. Si los usuarios tienen que solicitar entornos de TI central, es más sencillo ver en qué están trabajando las personas si los administradores son los guardianes.

  • Trate el entorno predeterminado como entorno de productividad de usuarios y equipos para sus grupos profesionales.
    Se recomienda cambiar el nombre del entorno a través del centro de administración para que el propósito de ese entorno se explique por sí mismo. Comunique claramente que Predeterminado se utiliza para escenarios de productividad de usuarios y equipos, pero no para aplicaciones importantes para el negocio o de misión crítica. Este entorno no se puede deshabilitar ni eliminar porque hospeda la integración con productos como SharePoint y Project. Recomendamos un enfoque por niveles para entornos de productividad de usuarios y equipos.

  • Establezca un proceso de solicitud de acceso o creación de entornos.
    Con la creación de entornos bloqueada y reservada de forma predeterminada para aplicaciones de integración propias, deje claro en su organización que se debe iniciar un proyecto de desarrollo adecuado solicitando un nuevo entorno dedicado donde exista una clara comunicación de intención y soporte entre desarrolladores y administradores. La siguiente sección tiene más detalles sobre la creación de entornos automatizados, que es solo una forma de implementar un proceso de solicitud formal sencillo.

  • Entornos de desarrollo, pruebas y producción para aplicaciones o grupos empresariales específicos.
    Tener entornos almacenados provisionalmente garantiza que los cambios durante el desarrollo no interrumpan a los usuarios en la producción y que los datos no se corrompan. Cuando los recursos sean limitados, céntrese en este patrón para aplicaciones importantes y de misión crítica, o en unidades de negocio que tengan la mayor necesidad de su propio espacio dedicado.

  • Entornos de uso individual para pruebas de conceptos y talleres de formación.
    Para organizar talleres, hackatones y eventos de formación interna, como Aplicación en un día o Flujo en un día, cree un entorno nuevo e independiente para el evento a fin de mantener a todos organizados. Pida a los usuarios que guarden los recursos que necesitan a corto plazo después del evento y limpien el entorno, o lo reinicien para otros eventos. Utilice entornos de prueba que no consuman capacidad para este tipo de actividades.

  • Establezca directivas de prevención de pérdida de datos (DLP) a nivel de inquilino y de entorno
    Las directivas de prevención de pérdida de datos (DLP) actúan como medidas de seguridad para ayudar a evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información en el inquilino. Una parte esencial del rol Administrador de Power Platform será establecer y mantener directivas de DLP a nivel de inquilino y entorno.

Enfoque por niveles para entornos de productividad de equipos y usuarios

Para admitir integraciones, reducir la cantidad de entornos necesarios y acelerar la incorporación, recomendamos crear varios entornos compartidos que puedan ser utilizados por personas y equipos.

Entorno predeterminado

Todos los miembros de su inquilino tienen permisos para crear aplicaciones y flujos aquí. Actualmente, no existe forma de bloquear la asignación de roles de Creador de entorno en este entorno. Este es también el entorno que se utiliza para integraciones propias, como crear una aplicación a partir de una lista de SharePoint. Más información: El entorno predeterminado

Para reducir el riesgo para los datos, los tipos de conectores utilizados en sus aplicaciones y flujos deben limitarse a una directiva de prevención de pérdida de datos (DLP) menos permisiva. Esta directiva debe abarcar casos de uso comunes de productividad individual y de equipos pequeños, como trabajar con datos SharePoint, enviar correos electrónicos y tener un flujo de trabajo de aprobación.

Entorno de usuarios avanzados

Aunque el entorno predeterminado cubre muchos casos de uso, algunos usuarios avanzados tendrán mayores necesidades para sus aplicaciones y flujos, como la integración con Microsoft Teams, Microsoft Entra ID o Azure DevOps.

Con este fin, recomendamos crear un entorno de usuario avanzado. Este entorno compartido debería utilizar políticas de DLP más permisivas y los administradores deberían controlar la lista de creadores de este entorno.

Algunas consideraciones para el entorno de usuarios avanzados:

  • Revise los conectores disponibles en este entorno para asegurarse de que sea el adecuado para sus usuarios.
  • Documente claramente la finalidad y los conectores disponibles en este entorno, por ejemplo, en un sitio o wiki de SharePoint.
  • Cree un proceso automatizado para que los creadores soliciten acceso al entorno de usuario avanzado, por ejemplo, utilizando Microsoft Forms, un sitio de SharePoint o una aplicación. Si es necesario, este proceso podría incluir la aprobación del superior inmediato o el departamento de TI.

Entornos personalizados

Aunque los entornos compartidos abarcan muchos casos de uso para aplicaciones, los equipos y proyectos podrían beneficiarse de tener un entorno personalizado para apoyar sus casos de uso específicos de la unidad de negocio o escenarios de administración del ciclo de vida de las aplicaciones.

Algunas consideraciones para entornos personalizados:

  • Trabaje con los equipos de proyecto o las unidades de negocio para establecer si requieren entornos dedicados de desarrollo, prueba y producción, o si un entorno de desarrollo dedicado y entornos de prueba y producción compartidos son más adecuados para su caso de uso.
  • Considere entornos dedicados para cargas de trabajo y proyectos críticos. Los desarrolladores tienen acceso de Creador de entorno en el entorno de desarrollo, pero solo acceso de usuario en los entornos de prueba y producción. Los usuarios finales solo tienen acceso de usuario final a la solución de producción, por lo que nadie puede modificar las aplicaciones de producción.
  • Considere compartir entornos de prueba y producción entre aplicaciones importantes pero de complejidad media. Los proyectos individuales y las unidades de negocio tienen su propio entorno de desarrollo para proteger los datos, pero las soluciones se implementan en entornos compartidos de prueba y producción. Los desarrolladores son usuarios finales en el entorno de prueba, y los usuarios finales solo tienen acceso de usuario básico a soluciones y datos en el entorno de producción.
  • Trabaje con la unidad de negocio para establecer qué conectores son necesarios y cree una directiva de excepción.
  • Trabaje con la unidad de negocio para establecer quién será el creador en este entorno y quién será el administrador del entorno.
  • Cada entorno consume 1 GB de capacidad de datos, así que administre los entornos personalizados de forma inteligente.

Además de las recomendaciones anteriores, establecer su estrategia de entorno también modelará y dirigirá su estrategia de DLP.

  • Todos somos creadores. Explíquele a todo el mundo que la configuración predeterminada no debe usarse en el desarrollo de aplicaciones esenciales.
  • Solo un usuario tiene acceso. Los entornos de Desarrollador están completamente bloqueados para cualquier otro usuario, excepto para el usuario que se suscribió al plan de la comunidad. Si es necesario, las aplicaciones se pueden mover fuera del entorno.
  • Los usuarios aprobados tienen acceso. Entornos compartidos escenarios de productividad de usuarios y equipos, con una lista de creadores aprobados.
  • Entornos dedicados para cargas de trabajo y proyectos críticos. Los desarrolladores tienen acceso de creador de entorno en el entorno de desarrollo, pero solo acceso de usuario en los entornos de prueba y producción. Los usuarios finales solo tienen acceso de usuario final a la solución de producción, por lo que nadie puede modificar las aplicaciones de producción.
  • Entornos compartidos de prueba y producción para aplicaciones importantes pero de complejidad media. Los proyectos individuales y las unidades de negocio tienen su propio entorno de desarrollo para proteger los datos, pero las soluciones se implementan en entornos compartidos de prueba y producción. Los desarrolladores son usuarios finales en el entorno de prueba, y los usuarios finales solo tienen acceso de usuario básico a soluciones y datos en el entorno de producción.

Recomendaciones adicionales para administrar entornos

En función de la experiencia exitosa con la involucración de clientes, aquí se muestra una lista de recomendaciones adicionales que pueden ayudar a facilitar la administración de entornos.

  • Utilizar una cuenta de servicio para implementar soluciones de producción: cree una cuenta de servicio que la TI central administre para implementar en entornos de prueba y producción. Esto es beneficios por muchas razones:

    • Permite a todos los miembros de TI administrar los recursos de administración (como entornos de prueba y producción).
    • Solo la cuenta de servicio tiene permisos de administrador en el entorno.
    • Todos los demás usuarios tienen permisos de usuario final y no pueden crear nuevos recursos; esto es importante porque si los usuarios tienen acceso a una conexión de datos, pueden crear una nueva interfaz para interactuar con los datos que no hayan sido previsto por el desarrollador.
    • La TI conoce las aplicaciones de nivel de producción que se están implementando, ya que están involucradas en la implementación.
    • Las cuentas de servicio necesitarán permiso de administrador de servicio de Microsoft Power Platform o de Dynamics 365 en PIM. Asigne licencias adicionales según sea necesario en función de los conectores que se deben utilizar en el proceso de solicitud (por ejemplo, si se utilizan Dataverse y Outlook, asigne un plan Premium de Power Apps y Office Enterprise).
    • Al mostrar los detalles de una aplicación, aparecerá la cuenta de servicio como el creador y no como el autor. Esto ayudará a los usuarios finales a saber a quién contactar en caso de problemas con la aplicación.

    Considere si los riesgos de tener una cuenta de servicio son importantes para usted. Algunas organizaciones no se sienten cómodas con una cuenta de servicio porque, por ejemplo, un recurso compartido con privilegios de administrador no puede realizar un seguimiento a una sola persona. Esto es válido, pero se puede mitigar con medidas como aplicar el acceso condicional basado en la ubicación, realizar un seguimiento los registros de auditoría a una IP o métodos más extensos como mantener una estación de trabajo de acceso seguro que requiere la identificación del usuario durante el uso y restringir el acceso de la cuenta de servicio a ese dispositivo.

  • Reducir la cantidad de entornos de desarrollo compartidos

    Tenga entornos separados para el desarrollo de proyectos independientes, especialmente cuando se trata de datos seguros. Los entornos son contenedores de recursos, como conexiones a datos, y puede que en los entornos de desarrollo haya varias personas con acceso de creador del entorno. Si los creadores tienen acceso a una conexión de datos compartida y pueden crear aplicaciones y flujos, existe el riesgo de que alguien cree una nueva interfaz para leer, actualizar y eliminar los datos a los que se les haya dado acceso. Es especialmente importante tener esto en cuenta para el entorno predeterminado: siempre debe tener conexiones de datos importantes, conectores personalizados y otros activos que necesitan seguridad en entornos aislados para protegerlos.

  • Compartir recursos con grupos de seguridad de Microsoft Entra

    Se puede utilizar grupos de seguridad para administrar el acceso a Power Apps, flujos, roles de seguridad de Dataverse y otros servicios de Office 365 como SharePoint Online. Esto elimina la carga del administrador de actualizar el acceso a usuarios finales individuales para cada componente (especialmente si hay varios involucrados); los propietarios de la aplicación pueden modificar eso a nivel del grupo de seguridad sin necesidad del departamento de TI (a menos que el departamento de TI restrinja el acceso a la administración del grupo de seguridad).

  • Automatizar la creación de entornos

    Los conectores de administrador (Microsoft Power Platform for Admins) hacen posible crear un flujo de aprobación donde los usuarios solicitan entornos cuando el departamento de TI ha restringido la creación de entornos a los administradores. La TI central puede revisar una solicitud y aprobar o rechazar la creación del entorno, sin ser responsable de ir manualmente al centro de administración y crear el entorno para el usuario, solo para validar los detalles de la solicitud, la justificación comercial, los requisitos de DLP y si la capacidad disponible es suficiente.

  • Crear entornos de desarrollo temporales

    Como ya se ha mencionado, se recomienda separar los entornos de desarrollo tanto como sea posible y evitar específicamente el desarrollo simultáneo de aplicaciones para soluciones críticas en el entorno predeterminado. Si los entornos se crean con fines de desarrollo, ponga una fecha límite sobre el tiempo que el entorno debe estar disponible para los desarrolladores y tenga un proceso para realizar copias de seguridad y eliminarlo.

  • Menos es mejor

    Aunque es importante asegurarse de que los recursos estén razonablemente divididos entre los proyectos y las unidades de negocio que utilizan entornos, sigue siendo importante encontrar un buen equilibrio entre seguridad y viabilidad. La administración de entornos compartidos de prueba y producción es una buena forma de facilitar un mayor número de soluciones importantes al mismo tiempo que se conserva la capacidad y se siguen las prácticas recomendadas. Esto mantiene los permisos restringidos porque la prueba y la producción tienen permisos de entorno restringidos y, por lo tanto, los usuarios finales no pueden modificar las aplicaciones.

  • Aprovisionar entornos con instancias de Dataverse en la región apropiada

    En empresas donde los empleados trabajan en varios países o regiones, puede que haya algunas consideraciones de cumplimiento en lo que respecta a dónde se almacenan y envían los datos entre países o regiones. Si el entorno tiene una instancia de Dataverse, los datos se almacenan físicamente en la región. Revise la lista de regiones de entornos compatibles.

Factores que influyen en el aprovisionamiento

Algunos factores influyen en cuándo aprovisionar qué tipos de entornos:

  • Niveles definidos de compatibilidad de aplicaciones

    El nivel de complejidad, lo crítica que es la aplicación y los usuarios afectados por la aplicación (por ejemplo, usuarios activos mensuales o usuarios totales en una organización) son medidas importantes de cómo aprovisionar entornos para admitir todos los escenarios.

    Los diferentes tipos de aplicaciones deben separarse en distintos entornos según la importancia de cada una.

       
    Aplicaciones críticas. Escenarios de misión crítica o alta complejidad o uso en toda la organización. Soporte que pertenece a la TI. Sólido proceso de ALM (desarrollo/prueba/producción). Ciclo de desarrollo más largo, a menudo más de 3 meses para un producto mínimo viable.
    Aplicaciones importantes. Importante pero no crítica o de complejidad media o limitada a la unidad de negocio. Soporte que pertenece al propietario de la aplicación o la unidad de negocios, bendecido por la TI. Se recomiendan entornos que utilizan ALM, pero es posible que no sean necesarios. El desarrollo suele ser inferior a tres meses hasta un producto mínimo viable.
    Aplicaciones de productividad. Aplicación de productividad que no necesita un alto nivel de gobernanza. Soporte por parte del desarrollador de la aplicación. Normalmente, no es necesaria la administración del ciclo de vida de las aplicaciones. Menos de dos semanas para un producto mínimo viable.

  • Capacidad

    Cada entorno (además de los entornos de prueba y de desarrollador) consumirá 1 GB para el aprovisionamiento inicial. Esto podría ser una limitación para los entornos de aprovisionamiento si su organización no paga por las licencias Premium de Power Apps o de Dynamics 365, y también es una capacidad compartida entre los inquilinos que debe asignarse a quienes la necesitan.

    Conserve la capacidad de la siguiente manera:

    • Administrando entornos de prueba y de producción compartidos. A diferencia de los entornos de desarrollo compartidos, los permisos en los entornos de prueba y producción deben limitarse al acceso del usuario final para realizar pruebas.
    • Automatizando la limpieza de los entornos de desarrollo temporales y fomentando el uso de entornos de prueba para pruebas o trabajos de prueba de concepto.

  • Participación del administrador

    No siempre es posible tener la TI central involucrada en todos los proyectos de desarrollo que se producen en todo el inquilino, especialmente si el equipo de TI es más pequeño o es necesario administrar una empresa más grande.

    Reduzca la carga del administrador de la siguiente manera:

    • Automatizando la creación del entorno para que el administrador de inquilinos solo tenga que aprobar la solicitud.
    • Automatizando la limpieza del entorno de desarrollo con entornos temporales.

Comunicar claramente la estrategia del entorno de su organización a los creadores

Configure un sitio o wiki de SharePoint que comunique claramente:

  • El propósito de su entorno predeterminado.
  • El propósito de los entornos compartidos de productividad de usuarios y equipos, además de otros entornos compartidos a los que los creadores pueden tener acceso (por ejemplo, entornos de formación) y el proceso de cómo solicitar acceso a esos entornos.
  • El propósito de los entornos de prueba y cómo solicitarlos.
  • El propósito de los entornos de desarrollador y cómo crearlos.
  • El proceso de solicitar entornos personalizados para unidades de negocio o proyectos específicos.
  • Las responsabilidades de un creador:
    • Mantener limpio el inquilino. Eliminar sus entornos, aplicaciones y flujos si ya no los necesita. Utilizar entornos de prueba si está experimentando.
    • Compartir sabiamente. Tener en cuenta el uso compartido excesivo de sus entornos, aplicaciones, flujos y conexiones compartidas.
    • Proteger los datos de la organización. Evitar mover datos de orígenes de datos altamente confidenciales o confidenciales a almacenamiento externo o no protegido.

Asimismo, comunique claramente las directivas de DLP a los creadores.