Compartir a través de

Consideraciones de seguridad y gobernanza en Power Platform

Muchos clientes se preguntan cómo puede Power Platform recibir el soporte de TI y estar disponible para su negocio más amplio? La gobernanza es la respuesta. Su objetivo es permitir que los grupos profesionales se centren en resolver problemas empresariales de forma eficaz mientras cumplen con estándares de cumplimiento de TI y negocios. El siguiente contenido tiene por objeto estructurar los temas que a menudo se asocian a regir el software y para llevar el reconocimiento a las características disponibles para cada tema mientras está relacionada con regir Power Platform.

Theme Preguntas habituales relacionadas con cada tema para las que este contenido responde
Arquitectura
  • ¿Qué son los conceptos y construcciones básicos de Power Apps, Power Automate y Microsoft Dataverse?

  • ¿De qué modo encajan las construcciones juntas en el tiempo de diseño y el tiempo de ejecución?
Seguridad
  • ¿Cuáles son las prácticas recomendadas para las consideraciones de diseño de seguridad?

  • ¿Cómo uso nuestras soluciones existentes de administración de usuarios y grupos para administrar el acceso y los roles de seguridad en Power Apps?
Alerta y acción
  • ¿Cómo defino el modelo de gobernanza entre los desarrolladores ciudadanos y los servicios de TI administrados?

  • ¿Cómo defino el modelo de gobernanza entre los administradores de la TI central y de la unidad de negocio?

  • ¿Cómo debo abordar el soporte para entornos no predeterminados en mi organización?
Supervisar
  • ¿Cómo estamos capturando los datos de cumplimiento/auditoría?

  • ¿Cómo puedo medir la adopción y el uso dentro de mi organización?

Arquitectura

Como primer paso para crear la historia de gobernanza adecuada para su empresa, lo mejor es familiarizarse con los entornos. Los entornos son los contenedores de todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Descripción general de los entornos es una buena forma de empezar que debe ir seguida de ¿Qué es Dataverse, Tipos de Power Apps, Microsoft Power Automate, Conectores y Puertas de enlace locales.

Seguridad

En esta sección se describen los mecanismos que existen para controlar quién puede acceder a Power Apps en un entorno y acceder a datos: licencias, entornos, roles de entorno, id. de Microsoft Entra, directivas de datos y conectores de administración que se pueden usar con Power Automate.

Licencias

El acceso a Power Apps y Power Automate comienza con tener una licencia. El tipo de licencia que tiene un usuario determina los activos y los datos a los que puede acceder un usuario. La siguiente tabla describe diferencias en los recursos disponibles para un usuario en función del tipo de plan, desde un nivel alto. Los detalles granulares de la licencia se encuentran en la Información general de licencias.

Planificar Descripción
Microsoft 365 incluido Esto permite a los usuarios ampliar SharePoint y otros recursos de Office que ya tienen.
Dynamics 365 incluido Esto permite a los usuarios personalizar y ampliar las aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) que ya tienen.
Plan de Power Apps Esto permite:
  • Hacer que los conectores empresariales y Dataverse estén accesibles para su uso.
  • que los usuarios usen la robusta lógica de negocios en todos los tipos de aplicaciones y capacidades de administración.
Comunidad de Power Apps Esto permite que un usuario utilice Power Apps, Power Automate, Dataverse y conectores personalizados en un uso individual. No hay posibilidad de compartir aplicaciones.
Power Automate gratuita Esto permite a los usuarios crear flujos ilimitados y realizar 750 ejecuciones.
Plan de Power Automate Consulte Guía de licencias de Microsoft Power Apps y Microsoft Power Automate.

Entornos

Una vez que los usuarios tengan licencias, los entornos existirán como contenedores para todos los recursos utilizados por Power Apps, Power Automate y Dataverse. Se pueden usar entornos para dirigirse a diferentes públicos o con distintos fines como desarrollo, prueba y producción. Puede encontrar más información en Información general de los entornos.

Proteger los datos y la red

  • Power Apps y Power Automate no proporcionan a los usuarios acceso a recursos de datos a los que ya no tienen acceso. Los usuarios solo deben tener acceso a los datos a los que realmente necesitan acceder.
  • Las directivas de control de acceso a la red también pueden aplicarse a Power Apps y Power Automate. Para el entorno, se puede bloquear el acceso a un sitio desde dentro de una red bloqueando la página de inicio de sesión para evitar que se creen conexiones a ese sitio en Power Apps y Power Automate.
  • En un entorno, el acceso se controla en tres niveles: Roles de entorno, Permisos de recursos para Power Apps, Power Automate, etc. y roles de seguridad de Dataverse (si se aprovisiona una base de datos de Dataverse).
  • Cuando se crea Dataverse en un entorno, los roles de Dataverse asumen el control de la seguridad en el entorno (y se migran todos los administradores y creadores del entorno).

Las siguientes entidades de seguridad están disponibles para cada tipo de rol.

Tipo de entorno Role Tipo de entidad de seguridad (Microsoft Entra ID)
Entorno sin Dataverse Rol de entorno Usuario, grupo, inquilino
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 Usuario, grupo
Entorno con Dataverse Rol de entorno User
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, Conector personalizado, Puertas de enlace, Conexiones1 Usuario, grupo
Rol de Dataverse (se aplica a todos los componentes y aplicaciones basados en modelo) User

1 Solo se pueden compartir ciertas conexiones (como SQL).

Nota

  • En el entorno predeterminado, se concede acceso a todos los usuarios en un inquilino al rol Creador de entornos.
  • Los usuarios con el rol Administrador de Power Platform tienen acceso de administrador a todos los entornos.

Pregunta frecuente: ¿Qué permisos existen en un nivel de inquilino de Microsoft Entra?

Hoy, los administradores de Microsoft Power Platform pueden hacer lo siguiente:

  1. Descargar el informe de licencias de Power Apps y Power Automate
  2. Crear una directiva de datos con ámbito de solo "Todos los entornos" o con ámbito para incluir o excluir entornos específicos
  3. Administrar y asignar licencias a través del Centro de administración de Office
  4. Acceda a todas las aplicaciones del entorno y las funciones de administración de flujos para todos los entornos del inquilino disponibles a través de:
    • Cmdlets de PowerShell de administración de Power Apps
    • Conectores de administración de Power Apps
  5. Acceder al análisis de administración de Power Apps y Power Automate para todos los entornos en el inquilino:

Considerar Microsoft Intune

Los clientes con Microsoft Intune pueden definir directivas de protección de la aplicación móvil para las aplicaciones Power Apps y Power Automate en Android e iOS. En este tutorial se destaca cómo establecer una directiva a través de Intune para Power Automate.

Considerar el acceso condicional basado en la ubicación

Para los clientes con Microsoft Entra ID P1 o P2, se pueden definir directivas de acceso condicionales en Azure para Power Apps y Power Automate. Esto permite conceder o bloqueo el acceso en función de: usuario/grupo, dispositivo, ubicación.

Crear una directiva de acceso condicional

  1. Inicie sesión en https://portal.azure.com.
  2. Seleccione Acceso condicional.
  3. Seleccione + Nueva directiva.
  4. Seleccione Usuarios y grupos seleccionados.
  5. Seleccione Todas las aplicaciones en la nube>Todas las aplicaciones en la nube>Common Data Service para controlar el acceso a las aplicaciones de interacción con el cliente.
  6. Aplicar condiciones (riesgo de usuario, plataformas de dispositivos, ubicaciones).
  7. Seleccione Crear.

Evitar la pérdida de datos con directivas de datos

Las directivas de datos aplican reglas para las que se pueden usar conectores juntos clasificando los conectores como Solo datos profesionales o No se permiten datos profesionales. Simplemente, si pone un conector en el grupo de solo datos profesionales, solo se puede usar con otros conectores de ese grupo en la misma aplicación. Los administradores de Power Platform pueden definir las directivas que se aplican a todos los entornos.

Preguntas más frecuentes

P: ¿Puedo controlar, a nivel de inquilino, qué conector está disponible, por ejemplo, No a Dropbox o Twitter, pero Sí a SharePoint?

R: Esto es posible utilizando las capacidades de clasificación de conectores y asignando el clasificador Bloqueado para uno o más conectores que desea evitar que se utilicen. Hay un conjunto de conectores que no se pueden bloquear.

P: ¿Qué ocurre con el uso compartido de conectores entre los usuarios? Por ejemplo, ¿el conector para Teams es general y se puede compartir?

R: Los conectores están disponibles para todos los usuarios excepto para conectores personalizados o premium, que necesitan u otra licencia (conectores premium) o tienen que compartirse de manera explícita (conectores personalizados).

Alerta y acción

Además de la supervisión, muchos clientes desean suscribirse a eventos de creación, uso o estado de software para saber cuándo realizar una acción. En esta sección se describen algunas formas de observar eventos (de forma manual y mediante programación) y de realizar acciones desencadenadas por una instancia del evento.

Crear flujos de Power Automate para alertar sobre eventos clave de auditoría

  1. Un ejemplo de alerta que se puede implementar es suscribirse a los registros de auditoría de seguridad y cumplimiento de Microsoft 365.
  2. Esto se puede lograr a través de una suscripción a webhook o de un enfoque de sondeo. Sin embargo, al asociar Power Automate a estas alertas, podemos dotar a los administradores de algo más que unas simples alertas por correo electrónico.

Crear las directivas que necesita con Power Apps, Power Automate y PowerShell

  1. Estos cmdlets de PowerShell poner el control total en manos de los administradores para automatizar las directivas de gobernanza necesarias.
  2. Los conectores de Power Platform for Admins V2 (versión preliminar) y Administración de Power Automate ofrecen el mismo nivel de control, pero con extensibilidad y facilidad-de usos agregadas al usar Power Apps y Power Automate.
  3. Revise los procedimientos recomendados de administración y gobernanza de Power Platform y considere la posibilidad de configurar el Kit de inicio del Centro de excelencia (CoE).
  4. Use esta plantilla de blogs y aplicaciones para ponerse en marcha rápidamente con los conectores de administración.
  5. Además, merece la pena comprobar el contenido compartido en la Galería de aplicaciones de la comunidad. Aquí se muestra otro ejemplo de una experiencia administrativa creada que usa Power Apps y conectores de administrador.

Preguntas más frecuentes

Problema Actualmente, todos los usuarios con licencias de Microsoft E3 pueden crear aplicaciones en el ambiente predeterminado. ¿Cómo podemos habilitar los derechos del creador de entornos para un grupo seleccionado, por ejemplo, ¿10 personas para crear aplicaciones?

Recomendación

Los cmdlets de PowerShell y los conectores de administración brindan total flexibilidad y control a los administradores para crear las directivas que desean para su organización.

Supervisar

Es bien sabido que la supervisión es un aspecto crítico de la gestión de software a escala. Esta sección destaca un par de maneras para obtener información en el uso y desarrollo de Power Apps y Power Automate.

Revisar la traza de auditoría

El registro de actividad para Power Apps está integrado con el centro de seguridad y cumplimiento de Office para un registro completo en todos los servicios de Microsoft como Dataverse y Microsoft 365. Office proporciona una API para consultar estos datos, que es utilizada actualmente por muchos proveedores de SIEM que usan los datos de registro de actividad para generar informes.

Ver el informe de licencias de Power Apps y Power Automate

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Licencias.
  3. En el panel Licencias, seleccione Power Automate o Power Apps para revisar la información.

Puede obtener información sobre lo siguiente:

  • Usuario activo y uso de la aplicación: ¿cuántos usuarios están usando una aplicación y con qué frecuencia?
  • Ubicación: ¿dónde está el uso?
  • Rendimiento de servicio de conectores
  • Informe de errores: ¿cuáles son las aplicaciones más propensas a error?
  • Flujos en uso por tipo y fecha
  • Flujos creados por tipo y fecha
  • Auditoría a nivel de aplicación
  • Estado del servicio
  • Conectores usados

Ver qué usuarios tienen licencia

Puede buscar siempre un usuario determinado con licencia en el Centro de administración de Microsoft 365 profundizando en usuarios específicos.

También puede utilizar el siguiente comando de PowerShell para exportar las licencias de usuario asignadas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas las licencias de usuario asignadas (Power Apps and Power Automate) en su inquilino en un archivo .csv de vista tabular. El archivo exportado contiene planes de prueba internos de registro de autoservicio y planes con origen en Microsoft Entra ID. Los planes de prueba internos no son visibles para los administradores en el centro de administración de Microsoft 365.

La exportación puede tardar bastante tiempo para los inquilinos con un gran número de usuarios de Power Platform.

Ver recursos de aplicación que se usan en un entorno

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Administrar.
  3. En el panel Administrar, seleccione Entornos.
  4. Seleccione un entorno en la página Entornos.
  5. En la sección Recursos, revise la lista de aplicaciones utilizadas en el entorno.

Contenido relacionado

  • Last updated on