Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
El análisis y los informes de Azure DevOps proporcionan información eficaz sobre los procesos de desarrollo, pero con esa capacidad se encarga de proteger los datos confidenciales y controlar el acceso a las métricas de la organización. En este artículo se describen los conceptos de seguridad, los controles de acceso y los procedimientos recomendados para proteger la implementación de análisis e informes.
Introducción al modelo de seguridad
La seguridad de análisis e informes funciona en un enfoque multicapa que incluye:
- Controlar la visibilidad de los datos: administre quién puede ver los datos de análisis y a qué proyectos pueden acceder.
- Implementar permisos de panel: controle el acceso a los paneles y sus datos subyacentes. Para obtener más información, consulte Establecimiento de permisos de panel.
- Configurar el acceso a nivel de proyecto: restrinja el acceso de análisis en función de la pertenencia al proyecto. Para obtener más información, consulte Permisos predeterminados y acceso para informes.
- Administración de la integración de Power BI: proteja las conexiones entre Azure DevOps y Power BI. Para más información, consulte Conexión al conector de datos de Power BI.
- Habilitar auditoría y cumplimiento: realice un seguimiento del acceso a los datos y mantenga los requisitos de cumplimiento. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Administración de identidades y acceso
Niveles de acceso para informes
Las funcionalidades de análisis e informes varían según el nivel de acceso. Para obtener información completa sobre los permisos predeterminados para cada nivel de acceso, consulte Permisos predeterminados y acceso para informes.
| Nivel de entrada | Funcionalidades de análisis e informes |
|---|---|
| Interesado | Visualización de paneles compartidos, vistas de análisis limitadas, widgets de gráfico básicos |
| Basic | Acceso total a vistas de Analytics, creación y edición de paneles, todos los widgets de gráfico |
| Básico + Planes de Prueba | Incluye acceso básico más análisis e informes de planes de prueba |
| Visual Studio Enterprise | Incluye todas las características básicas y las funcionalidades de análisis avanzadas |
Para obtener más información, vea Acerca de los niveles de acceso.
Autenticación para herramientas externas
Al conectar herramientas de informes externos a Azure DevOps, la autenticación segura es esencial:
- Usar tokens de Microsoft Entra: use la identidad de la organización para mejorar la seguridad y la administración centralizada. Para obtener más información, consulte Uso de tokens de Microsoft Entra.
- Configurar aplicaciones de OAuth: configure flujos de OAuth seguros para integraciones que no son de Microsoft. Para más información, consulte Autorización del acceso a las API REST con OAuth 2.0.
- Use tokens de acceso personal (PAT) cuando sea necesario: cree tokens con ámbitos mínimos necesarios solo cuando microsoft Entra ID no esté disponible. Para obtener más información, consulte Uso de tokens de acceso personal.
- Crear cuentas de servicio: use cuentas dedicadas para las conexiones de herramientas de informes.
- Configurar la autenticación de Windows: integre con Active Directory para obtener acceso sin problemas. Para más información, consulte Configuración de grupos para su uso en Azure DevOps Server.
- Usar autenticación alternativa: habilite la autenticación basada en tokens para herramientas externas. Para más información, consulte Guía de autenticación para las API REST.
Seguridad de análisis
Permisos de acceso a datos
La seguridad de análisis se basa en el principio de herencia de visibilidad de datos de los proyectos de origen:
- Acceso basado en proyectos: los usuarios solo pueden ver los datos de análisis de los proyectos a los que tienen acceso. Para obtener más información, consulte Cambio de permisos de nivel de proyecto.
- Visibilidad del elemento de trabajo: Analytics respeta los permisos de ruta de acceso del área de trabajo. Para obtener más información, consulte Establecimiento de permisos para el seguimiento del trabajo
- Acceso al repositorio: las métricas de código se filtran en función de los permisos del repositorio. Para más información, consulte Establecimiento de permisos de repositorio de Git.
- Visibilidad de la canalización: el análisis de compilación y versión sigue la configuración de seguridad de canalización. Para más información, consulte Establecimiento de permisos de canalización.
Vistas de análisis
Controle el acceso a conjuntos de datos específicos a través de vistas de Analytics. Para obtener más información sobre cómo crear y administrar vistas de Analytics, consulte Creación de una vista de Análisis.
| Tipo de vista | Características de seguridad |
|---|---|
| Vistas compartidas | Accesible para todos los miembros del proyecto con los permisos adecuados |
| Vistas privadas | Solo es accesible para el creador |
| Vistas de equipo | Restringido a miembros específicos del equipo |
Filtrado y privacidad de datos
Implemente el filtrado de datos para proteger la información confidencial:
- Configurar restricciones de ruta de acceso de área: limite los datos de análisis a áreas de trabajo específicas. Para obtener más información, consulte Establecimiento de permisos para el seguimiento del trabajo
- Aplicar seguridad de nivel de campo: oculte los campos de elementos de trabajo confidenciales del análisis. Para obtener más información, vea Agregar y modificar un campo.
- Administrar el acceso entre proyectos: controle la visibilidad en varios proyectos.
Seguridad del panel
Permisos en el panel
Controlar quién puede ver, editar y administrar paneles. Para obtener instrucciones paso a paso sobre cómo configurar permisos de panel, consulte Establecimiento de permisos de panel.
| Nivel de permiso | Capabilities |
|---|---|
| View | Visualización del panel y sus widgets |
| Edit | Modificación del diseño del panel y la configuración del widget |
| Administrar | Control total, incluida la administración de permisos y uso compartido |
| Eliminar | Quitar paneles y configuraciones asociadas |
Consideraciones sobre la seguridad del widget
Los distintos widgets tienen diferentes implicaciones de seguridad:
- Widgets basados en consultas: hereda la seguridad de las consultas de elementos de trabajo subyacentes. Para obtener más información, consulte Establecimiento de permisos en consultas.
- Widgets de análisis: siga los permisos de visualización de análisis y el acceso al proyecto.
- Widgets externos: puede requerir otras consideraciones de autenticación y uso compartido de datos. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Widgets personalizados: la seguridad depende de la implementación y de los orígenes de datos. Para obtener más información, vea Agregar, cambiar el nombre y eliminar paneles.
Paneles de equipo y proyecto
Administrar el acceso al panel en diferentes niveles organizativos:
- Paneles de equipo: accesible para los miembros del equipo y las partes interesadas del proyecto. Para obtener más información, consulte Adición de un equipo, traslado de un equipo predeterminado a varios equipos.
- Paneles del proyecto: disponible para todos los colaboradores del proyecto. Para obtener más información, consulte Cambio de permisos de nivel de proyecto.
- Paneles personales: privado para usuarios individuales
- Paneles de la organización: visibles en toda la organización. Para obtener más información, consulte Cambio de permisos en la organización o en el nivel de colección.
Para obtener más información sobre los tipos de panel y el acceso, vea Agregar, cambiar el nombre y eliminar paneles.
Seguridad de integración de Power BI
Seguridad del conector de datos
Al usar Power BI con Azure DevOps, implemente estas medidas de seguridad. Para obtener instrucciones de configuración detalladas, consulte Conexión al conector de datos de Power BI.
- Usar entidades de servicio con el identificador de Entra de Microsoft: implemente la autenticación basada en aplicaciones para la actualización automatizada con administración centralizada de identidades. Para obtener más información, consulte Uso de tokens de Microsoft Entra.
- Configuración de la seguridad de nivel de fila: filtrado de datos de Power BI en función de la identidad del usuario
- Administrar credenciales de actualización: almacene y rote de forma segura las credenciales del origen de datos mediante la autenticación de Id. de Microsoft Entra
- Aplicación de permisos de área de trabajo: control del acceso a áreas de trabajo de Power BI que contienen datos de Azure DevOps
Privacidad de datos en Power BI
Protección de datos confidenciales al compartir informes de Power BI:
- Configuración de etiquetas de confidencialidad de datos: aplicar la clasificación adecuada a informes y conjuntos de datos
- Implementar restricciones de uso compartido: controlar quién puede acceder y compartir contenido de Power BI
- Supervisión del uso de datos: seguimiento de patrones de acceso e identificación de posibles problemas de seguridad
- Aplicar restricciones de exportación: limitar las funcionalidades de exportación de datos en función de las directivas organizativas
Para más información sobre los procedimientos recomendados de seguridad de Power BI, consulte Línea de base de seguridad de Power BI.
Auditoría y cumplimiento
Registro de auditoría
Realice un seguimiento de las actividades de análisis e informes a través de registros de auditoría completos:
- Supervisar el acceso al panel: realice un seguimiento de quién ve y modifica los paneles. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
- Exportación de datos de auditoría: registro cuando los usuarios exportan datos de análisis
- Seguimiento de conexiones de Power BI: Supervisión de conexiones de herramientas externas y acceso a datos
- Revisión de los cambios de permisos: mantenimiento de registros de modificaciones de configuración de seguridad
Retención y cumplimiento de datos
Implemente las directivas de retención de datos adecuadas:
- Configuración de la retención de datos de análisis: establecimiento de períodos de retención adecuados para los datos históricos
- Administrar el ciclo de vida del panel: establecimiento de procesos para el archivado y eliminación del panel
- Linaje de datos de documento: mantener registros de orígenes de datos y transformaciones
- Implementación de informes de cumplimiento: generación de informes para requisitos normativos
Para obtener más información sobre la protección de datos, consulte Introducción a la protección de datos.
Procedimientos recomendados para la seguridad de análisis e informes
Administración de acceso
- Aplicar el principio de privilegios mínimos: conceda acceso mínimo necesario para las necesidades de análisis e informes.
- Realizar revisiones de acceso periódicas: auditar periódicamente los permisos de panel y análisis
- Uso de la administración basada en grupos: administración de permisos a través de grupos de seguridad en lugar de asignaciones individuales
- Implementación del acceso basado en roles: definir roles estándar para diferentes necesidades de informes
Protección de los datos
- Clasificación de la confidencialidad de los datos: identifique y proteja métricas e informes confidenciales. Para más información, consulte Introducción a la protección de datos.
- Implementar enmascaramiento de datos: oculte o ofusque información confidencial en informes compartidos. Para obtener más información, vea Agregar y modificar un campo.
- Control de la exportación de datos: restrinja las funcionalidades de exportación masiva de datos en función de los roles de usuario. Para obtener más información, consulte Cambio de los niveles de acceso.
- Supervisión del acceso anómalo: observe si hay patrones inusuales en el acceso a los datos y los informes. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Seguridad de integración
- Protección de conexiones externas: use conexiones cifradas para todas las herramientas de informes externos. Para obtener más información, consulte Uso de tokens de Microsoft Entra.
- Validar herramientas de terceros: asegúrese de que las herramientas de análisis externos cumplen los requisitos de seguridad. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Administrar la autenticación de Microsoft Entra: use la administración de identidades de la organización para integraciones externas en lugar de tokens individuales. Para obtener más información, consulte Uso de tokens de Microsoft Entra.
- Supervisar el uso de la integración: realice un seguimiento del acceso a los datos a través de las API y las conexiones externas. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Gobernanza de la organización
- Establecer estándares de informes: defina las herramientas y prácticas aprobadas para los informes de la organización. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Crear directivas de gobernanza de datos: implemente directivas para la precisión, la privacidad y el uso de los datos. Para más información, consulte Introducción a la protección de datos.
- Entrenar a los usuarios sobre la seguridad: informe a los equipos sobre prácticas de informes seguras y posibles riesgos. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Procedimientos de seguridad de documentos: mantenga up-todocumentación de fecha de las configuraciones y procesos de seguridad. Para obtener más información, consulte Acerca de los permisos y los grupos de seguridad.
Escenarios de seguridad comunes
Análisis de varios proyectos
Al implementar análisis en varios proyectos, establezca límites de seguridad claros:
Escenario de ejemplo: una organización con varios equipos de productos necesita informes consolidados al tiempo que mantiene el aislamiento del proyecto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
En esta configuración:
- Los miembros del equipo solo pueden acceder al análisis para sus proyectos asignados. Para obtener más información, consulte Cambio de permisos de nivel de proyecto.
- Las métricas de servicios compartidos son visibles para todos los equipos para el seguimiento de dependencias.
- El panel ejecutivo proporciona métricas de alto nivel sin exponer detalles confidenciales del proyecto. Para obtener más información, consulte Establecimiento de permisos de panel.
- Las consultas entre proyectos están restringidas en función de los permisos de usuario. Para más información, consulte Creación de una vista de Análisis.
Informes de partes interesadas externas
Administrar la seguridad al compartir informes con partes interesadas externas:
- Creación de paneles específicos de las partes interesadas: diseño de vistas que muestran métricas relevantes sin detalles confidenciales
- Uso del acceso de solo lectura: proporcionar permisos de solo vista para usuarios externos
- Implementación del acceso limitado por tiempo: establecimiento de fechas de expiración para el acceso de usuarios externos
- Aplicar filtrado de datos: asegúrese de que los usuarios externos solo ven información aprobada.
Para obtener instrucciones sobre cómo administrar usuarios externos, consulte Incorporación de usuarios externos a su organización.
Informes de cumplimiento normativo
Para las organizaciones con requisitos de cumplimiento:
- Implementar seguimientos de auditoría: mantenga registros detallados de todos los datos de acceso y modificaciones. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
- Aplicar directivas de retención de datos: asegúrese de que los datos de análisis cumplen los requisitos de retención normativos. Para más información, consulte Introducción a la protección de datos.
- Controlar la ubicación de los datos: en el caso de las instancias en la nube, comprenda dónde se almacenan los datos de análisis. Para más información, consulte Ubicaciones de datos para Azure DevOps.
- Generar informes de cumplimiento: cree informes estandarizados para envíos normativos. Para obtener más información, consulte Exportación de la lista de usuarios con niveles de acceso.
Lista de comprobación de configuración de seguridad
Configuración inicial
- [ ] Configurar los niveles de acceso adecuados para los usuarios de análisis
- [ ] Configurar grupos de seguridad alineados con las necesidades de informes
- [ ] Configuración de permisos de proyecto para el acceso de análisis
- [ ] Establecer permisos de panel para paneles de equipo y proyecto
- [ ] Configuración de vistas de Analytics con controles de acceso adecuados
- [ ] Establecer permisos de seguimiento de trabajo para controlar la visibilidad de los datos
Integraciones externas
- [ ] Configurar la autenticación de Microsoft Entra para herramientas de informes externos
- [ ] Configuración de conexiones de Power BI con autenticación de Id. de Entra de Microsoft
- [ ] Configuración de la seguridad de nivel de fila en Power BI para escenarios multiinquilino
- [ ] Documente y apruebe todas las conexiones de herramientas externas
Administración continua
- [ ] Realizar auditorías periódicas de permisos para el análisis y el acceso al panel
- [ ] Supervisión de registros de auditoría para actividades de análisis inusuales
- [ ] Revisar y actualizar los permisos del panel a medida que cambian los equipos
- [ ] Administración de la autenticación de Microsoft Entra y rotación de credenciales para integraciones externas
- [ ] Validar que el filtrado de datos de análisis funciona correctamente