Consideraciones sobre seguridad y gobernanza

  • Artículo

¿Muchos clientes se preguntan cómo puede estar disponible Power Platform para su negocio más amplio y respaldado por TI? La gobernanza es la respuesta. Su objetivo es permitir que los grupos profesionales se centren en resolver problemas empresariales de forma eficaz mientras cumplen con estándares de cumplimiento de TI y negocios. El siguiente contenido está destinado a estructurar temas que a menudo se asocian con el software de control y dar a conocer las capacidades disponibles para cada tema en lo que respecta al gobierno de Power Platform.

Tema Preguntas habituales relacionadas con cada tema para las que este contenido responde
Arquitectura
  • ¿Qué son los conceptos y construcciones básicos de Power Apps, Power Automate y Microsoft Dataverse?

  • ¿De qué modo encajan las construcciones juntas en el tiempo de diseño y el tiempo de ejecución?
Seguridad
  • ¿Cuáles son las prácticas recomendadas para las consideraciones de diseño de seguridad?

  • ¿Cómo aprovecho nuestras soluciones existentes de administración de usuarios y grupos para administrar el acceso y los roles de seguridad en Power Apps?
Alerta y acción
  • ¿Cómo defino el modelo de gobernanza entre los desarrolladores ciudadanos y los servicios de TI administrados?

  • ¿Cómo defino el modelo de gobernanza entre los administradores de la TI central y de la unidad de negocio?

  • ¿Cómo debo abordar el soporte para entornos no predeterminados en mi organización?
Supervisar
  • ¿Cómo estamos capturando los datos de cumplimiento/auditoría?

  • ¿Cómo puedo medir la adopción y el uso dentro de mi organización?

Arquitectura

Como primer paso para crear la historia de gobernanza adecuada para su empresa, lo mejor es familiarizarse con los entornos. Los entornos son los contenedores de todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Descripción general de los entornos es una buena forma de empezar que debe ir seguida de ¿Qué es Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores y Puertas de enlace locales.

Seguridad

En esta sección se describen los mecanismos que existen para controlar quién puede acceder a Power Apps en un entorno y a los datos: licencias, entornos, roles de entorno, Microsoft Entra ID, directivas de prevención de pérdida de datos y conectores del administradores que se pueden usar con Power Automate.

Licencias

El acceso a Power Apps y Power Automate comienza con tener una licencia. El tipo de licencia que tiene un usuario determina los activos y los datos a los que puede acceder un usuario. La siguiente tabla describe diferencias en los recursos disponibles para un usuario en función del tipo de plan, desde un nivel alto. Los detalles granulares de la licencia se encuentran en la Información general de licencias.

Planear Descripción
Microsoft 365 incluido Esto permite a los usuarios ampliar SharePoint y otros activos de Office que ya tienen.
Dynamics 365 incluido Esto permite a los usuarios personalizar y ampliar las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) que ya tienen.
Plan de Power Apps Esto permite:
  • hacer que los conectores empresariales y Dataverse sean accesibles para su uso.
  • que los usuarios usen la robusta lógica de negocios en todos los tipos de aplicaciones y capacidades de administración.
Comunidad de Power Apps Esto permite al usuario utilizar Power Apps, Power Automate, Dataverse y conectores de clientes en un único lugar para uso individual. No hay posibilidad de compartir aplicaciones.
Power Automate gratis Esto permite a los usuarios crear flujos ilimitados y realizar 750 ejecuciones.
Plan de Power Automate Consulte Manual de licencias de Microsoft Power Apps y Microsoft Power Automate.

Ambientes

Una vez que los usuarios tengan licencias, los entornos existirán como contenedores para todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Se pueden usar entornos para dirigirse a diferentes públicos o con distintos fines como desarrollo, prueba y producción. Puede encontrar más información en Información general de los entornos.

Proteger los datos y la red

  • Power Apps y Power Automate no proporcionan a los usuarios acceso a activos de datos a los que ya no tienen acceso. Los usuarios solo deben tener acceso a los datos a los que realmente necesitan acceder.
  • Las directivas de control de acceso a la red también pueden aplicarse a Power Apps y Power Automate. Para el entorno, se puede bloquear el acceso a un sitio desde dentro de una red bloqueando la página de inicio de sesión para evitar que se creen conexiones a ese sitio en Power Apps y Power Automate.
  • En un entorno, el acceso se controla en tres niveles: Roles de entorno, Permisos de recursos para Power Apps, Power Automate, etc. y roles de seguridad de Dataverse (si una base de datos de Dataverse se proporciona).
  • Cuando Dataverse se crea en un entorno, los roles de Dataverse se encargarán de controlar la seguridad en el entorno (y se migran todos los administradores y creadores de entornos).

Las siguientes entidades de seguridad están disponibles para cada tipo de rol.

Tipo de entorno Rol Tipo de entidad de seguridad (Microsoft Entra ID)
Entorno sin Dataverse Rol de entorno Usuario, grupo, inquilino
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 Usuario, grupo
Entorno con Dataverse Rol de entorno User
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 Usuario, grupo
Rol de Dataverse (se aplica a todos los componentes y aplicaciones basadas en modelos) User

1Solo se pueden compartir ciertas conexiones (como SQL).

Nota

  • En el entorno predeterminado, se concede acceso a todos los usuarios en un inquilino al rol Creador de entornos.
  • Los administradores globales de inquilinos de Microsoft Entra tienen acceso de administrador a todos los entornos.

Pregunta frecuente: ¿Qué permisos existen en el nivel de inquilino de Microsoft Entra?

Hoy, los administradores de Microsoft Power Platform pueden hacer lo siguiente:

  1. Descargar el informe de licencias de Power Apps y Power Automate
  2. Crear una directiva de DLP con el alcance limitado a "Todos los entornos" o con un alcance que permita incluir/excluir determinados entornos
  3. Administrar y asignar licencias a través del Centro de administración de Office
  4. Acceda a todas las aplicaciones del entrono y las funciones de administración de flujos para todos los entornos del inquilino disponibles a través de:
    • Cmdlets de PowerShell del administrador de Power Apps
    • Conectores de administración de Power Apps
  5. Acceder al análisis del administrador de Power Apps y Power Automate para todos los entornos en el inquilino:

Considerar Microsoft Intune

Los clientes con Microsoft Intune pueden definir directivas de protección de aplicaciones móviles para las aplicaciones de Power Apps y Power Automate en Android e iOS. En este tutorial se destaca cómo establecer una directiva a través de Intune para Power Automate.

Considerar el acceso condicional basado en la ubicación

Para los clientes con Microsoft Entra ID P1 o P2, directivas de acceso superiores condicionales, puede ser definido en el Azure para Power Apps y Power Automate. Esto permite conceder o bloqueo el acceso en función de: usuario/grupo, dispositivo, ubicación.

Crear una directiva de acceso condicional

  1. Inicie sesión en https://portal.azure.com.
  2. Seleccione Acceso condicional.
  3. Seleccione + Nueva directiva.
  4. Seleccione Usuarios y grupos seleccionados.
  5. Seleccione Todas las aplicaciones en la nube>Todas las aplicaciones en la nube>Common Data Service para controlar el acceso a las aplicaciones de interacción con el cliente.
  6. Aplicar condiciones (riesgo de usuario, plataformas de dispositivos, ubicaciones).
  7. Seleccione Crear.

Evitar filtraciones de datos con directivas de prevención de pérdida de datos

Las Directivas de prevención de pérdida de datos (DLP) aplique reglas para las que se pueden usar conectores juntos clasificando los conectores como Solo datos profesionales o No se permiten datos profesionales. Simplemente, si pone un conector en el grupo de solo datos profesionales, solo se puede usar con otros conectores de ese grupo en la misma aplicación. Los administradores de Power Platform pueden definir directivas que se apliquen a todos los entornos.

Preguntas más frecuentes

P: ¿Puedo controlar, a nivel de inquilino, qué conector está disponible, por ejemplo, No a Dropbox o Twitter, pero Sí a SharePoint?

R: Esto es posible utilizando las capacidades de clasificación de conectores y asignando el clasificador Bloqueado para uno o más conectores que desea evitar que se utilicen. Tenga en cuenta que hay un conjunto de conectores que no se pueden bloquear.

P: ¿Qué ocurre con el uso compartido de conectores entre los usuarios? Por ejemplo, ¿el conector para Teams es general y se puede compartir?

R: Los conectores están disponibles para todos los usuarios. A excepción de los conectores personalizados o de calidad que necesitan una licencia adicional (conectores de calidad) o tienen que compartirse explícitamente (conectores personalizados)

Alerta y acción

Además de la supervisión, muchos clientes desean suscribirse a eventos de creación, uso o estado de software para saber cuándo realizar una acción. En esta sección se describen algunas formas de observar eventos (de forma manual y mediante programación) y de realizar acciones desencadenadas por una instancia del evento.

Crear flujos de Power Automate para alertar sobre eventos clave de auditoría

  1. Un ejemplo de alertar que se puede implementar es suscribirse a registros de auditoría de seguridad y cumplimiento de Microsoft 365.
  2. Esto se puede lograr a través de una suscripción a webhook o de un enfoque de sondeo. Sin embargo, al adjuntar Power Automate a estas alertas, podemos dotar a los administradores de algo más que unas simples alertas por correo electrónico.

Crear las directivas que necesita con Power Apps, Power Automate y PowerShell

  1. Estos cmdlets de PowerShell poner el control total en manos de los administradores para automatizar las directivas de gobernanza necesarias.
  2. Los conectores de administración brindan el mismo nivel de control pero con extensibilidad y facilidad-de usos agregadas al aprovechar Power Apps y Power Automate.
  3. Para ponerse en marcha rápidamente, existen las siguientes plantillas de Power Automate para conectores de administración:
    1. Enumerar los conectores nuevos de Power Automate
    2. Obtener lista de Power Apps, flujos de Power Automate y conectores nuevos
    3. Enviarme un resumen semanal de avisos del Centro de mensajes de Office 365
    4. Acceder a registros de seguridad y cumplimiento de Office 365 desde Power Automate
  4. Use esta plantilla de blogs y aplicaciones para ponerse en marcha rápidamente con los conectores de administración.
  5. Además, merece la pena comprobar el contenido compartido en la Galería de aplicaciones de la comunidad. Aquí se muestra otro ejemplo de una experiencia administrativa creada que usa Power Apps y conectores de administrador.

Preguntas frecuentes

Problema Actualmente, todos los usuarios con licencias de Microsoft E3 pueden crear aplicaciones en el ambiente predeterminado. ¿Cómo podemos habilitar los derechos del creador de entornos para un grupo seleccionado, por ejemplo, para que 10 personas para creen aplicaciones?

Recomendación Los cmdlets de PowerShell y los Conectores de administración brindan total flexibilidad y control a los administradores para crear las directivas que desean para su organización.

Supervisar

Se entiende que la supervisión es un aspecto crucial de la administración de software a escala. En esta sección se destacan un par de formas para tener una idea clara del desarrollo y el uso de Power Apps y Power Automate.

Revisar la traza de auditoría

El Registro de actividad para Power Apps se integra con el Centro de seguridad y cumplimiento de Office para registros completos a través de servicios de Microsoft como Dataverse y Microsoft 365. Office proporciona una API para consultar estos datos, que es utilizada actualmente por muchos proveedores de SIEM que usan los datos de registro de actividad para generar informes.

Vea el informe de licencia de Power Apps y Power Automate

  1. Vaya al Centro de administración de Power Platform.

  2. Seleccione Análisis>Power Automate o Power Apps.

  3. Vea los análisis del administrador de Power Apps y Power Automate

    Puede obtener información sobre lo siguiente:

    • Usuario activo y uso de la aplicación: ¿cuántos usuarios están usando una aplicación y con qué frecuencia?
    • Ubicación: ¿dónde está el uso?
    • Rendimiento de servicio de conectores
    • Informe de errores: ¿cuáles son las aplicaciones más propensas a error?
    • Flujos en uso por tipo y fecha
    • Flujos creados por tipo y fecha
    • Auditoría a nivel de aplicación
    • Estado del servicio
    • Conectores usados

Ver qué usuarios tienen licencia

Siempre puede consultar las licencias de usuario individuales en el centro de administración de Microsoft 365 profundizando en usuarios específicos.

También puede utilizar el siguiente comando de PowerShell para exportar las licencias de usuario asignadas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas las licencias de usuario asignadas (Power Apps y Power Automate) en su inquilino en un archivo .csv de vista tabular. El archivo exportado contiene tanto planes de prueba internos de registro de autoservicio como planes que con origen en Microsoft Entra ID. Los planes de prueba internos no son visibles para los administradores en el centro de administración de Microsoft 365.

La exportación puede tardar bastante tiempo para los inquilinos con un gran número de usuarios de Power Platform.

Ver recursos de aplicación que se usan en un entorno

  1. En el Centro de administración de Power Platform, seleccione Entornos en el menú de navegación.
  2. Seleccione un entorno.
  3. Como alternativa, la lista de recursos que se usan en un entorno se puede descargar como archivo .csv.

Consultar también

Usar los procedimientos recomendados para proteger y controlar entornos de Power Automate
Starter Kit del Centro de excelencia (CoE) de Microsoft Power Platform