Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Administrar el acceso a información y recursos confidenciales es fundamental para los administradores de TI y los directores de seguridad de la información (CISO) de todos los sectores. Garantizar el acceso con el mínimo privilegio es esencial para mantener una seguridad sólida.
Power Platform se integra con Microsoft Entra ID para la administración de identidades y acceso, lo que permite a los administradores gestionar de forma segura a los usuarios y sus interacciones con los recursos de Power Platform. Microsoft Entra ID es fundamental para la autenticación de Microsoft y ayuda a protegerse frente al compromiso de identidad. Microsoft Entra ID proporciona visibilidad y control a los administradores de TI, y ofrece capacidades de seguridad como autenticación multifactor y acceso condicional. La seguridad administrada proporciona capacidades basadas en Microsoft Entra ID, lo que brinda a los administradores un control detallado para garantizar que solo los usuarios autorizados accedan a los datos y recursos.
Este artículo explica los controles de administración de identidades y acceso en cada capa.
Acceso a inquilinos
El acceso de nivel de inquilino es la primera capa de seguridad y utiliza Microsoft Entra ID. Garantiza que los usuarios tengan una cuenta de usuario activa y cumplan con todas las directivas de acceso condicional para iniciar sesión. Sin embargo, tener una cuenta activa y habilitada por sí sola no concede acceso a la plataforma. Sólo los usuarios con las licencias adecuadas pueden autenticarse y utilizar la plataforma.
Roles de administrador de servicios
Puede asignar dos roles de administrador de servicios relacionados con Power Platform para proporcionar un alto nivel de administración:
- Administrador de Power Platform: este rol puede realizar todas las funciones de administrador en Power Platform, con independencia de la pertenencia a grupos de seguridad en el nivel de entorno.
- Administrador de Dynamics 365: este rol puede realizar la mayoría de las funciones de administrador de Power Platform, pero solo en entornos donde pertenece al grupo de seguridad.
Estos roles no pueden administrar cuentas de usuario, suscripciones y configuraciones de acceso para otras aplicaciones de Microsoft 365. Necesita colaborar con otros administradores de su organización para realizar esas tareas. Para obtener más información sobre los privilegios de cada rol, revise la matriz de permisos del administrador de servicios.
Las identidades administrativas plantean riesgos de seguridad importantes porque sus tareas requieren acceso privilegiado a muchos sistemas y aplicaciones. La vulneración o el mal uso pueden perjudicar su negocio y sus sistemas de información. La seguridad de la administración es una de las áreas de seguridad más críticas.
Proteger el acceso privilegiado contra determinados adversarios requiere un enfoque completo y reflexivo para aislar los sistemas de los riesgos. Estas son algunas estrategias:
- Minimice el número de cuentas de impacto crítico.
- Use roles separados en lugar de elevar los privilegios para las identidades existentes.
- Evite el acceso permanente o continuo mediante el uso de las características Just-In-Time (JIT) de su proveedor de identidad. En situaciones de emergencia, siga un proceso de acceso de emergencia. Utilice Privileged Identity Management (PIM), una característica de Microsoft Entra ID para administrar, controlar y supervisar el uso de estos roles con privilegios elevados.
- Use protocolos de acceso modernos como autenticación sin contraseña o autenticación multifactor.
- Haga cumplir los atributos de seguridad clave mediante el uso de políticas de acceso condicional.
- Retire las cuentas administrativas que no se estén usando.
Acceso condicional
Acceso condicional, característica de Microsoft Entra ID que le permite aplicar directivas basadas en señales sobre la situación del usuario. Estas señales le ayudan a evaluar el nivel de riesgo y a aplicar las acciones adecuadas. Las directivas de acceso condicional, en su forma más sencilla, son instrucciones que definen lo que deben hacer los usuarios para obtener acceso a un recurso. Por ejemplo, puede exigir a los usuarios que usen la autenticación multifactor si quieren acceder a una aplicación de lienzo de Power Apps que rastrea un proceso de cumplimiento.
No dé a todas las identidades el mismo nivel de acceso. Base sus decisiones en dos factores principales:
- Hora. Cuánto tiempo puede acceder la identidad a su entorno.
- Privilegio. El nivel de permisos.
Estos factores no se excluyen mutuamente. Una identidad comprometida con más privilegios y una duración de acceso ilimitada puede obtener más control sobre el sistema y los datos, o utilizar ese acceso para continuar cambiando el entorno. Limite estos factores de acceso como medida preventiva y para controlar la extensión afectada.
Los enfoques Just-In-Time (JIT) proporcionan los privilegios necesarios solo cuando los necesita.
Just Enough Access (JEA) proporciona solo los privilegios necesarios.
Aunque el tiempo y el privilegio son los factores principales, se aplican otras condiciones. Por ejemplo, también puede utilizar el dispositivo, la red y la ubicación desde donde se originó el acceso para establecer políticas.
Utilice controles sólidos que filtren, detecten y bloqueen el acceso no autorizado, incluidos parámetros como la identidad y ubicación del usuario, el estado del dispositivo, el contexto de la carga de trabajo, la clasificación de datos y las anomalías.
Por ejemplo, es posible que identidades de terceros, como proveedores, socios y clientes, deban tener acceso a su carga de trabajo. Necesitan el nivel de acceso adecuado en lugar de los permisos por defecto que usted proporciona a los empleados a tiempo completo. La clara diferenciación de cuentas externas facilita la prevención y detección de ataques que provienen de estos vectores.
Planee cómo usar directivas para aplicar las directrices de seguridad para Power Platform. Puede usar una directiva para limitar el acceso a Power Platform a usuarios o condiciones específicos, por ejemplo, dónde se encuentran, el dispositivo que usan y las aplicaciones que están instaladas en él, y si usan autenticación multifactor. El acceso condicional es flexible, pero esa flexibilidad puede permitirle crear directivas que tengan resultados no deseados, incluido el bloqueo de sus propios administradores. La guía de planificación puede ayudarle a planificar el uso del acceso condicional.
Más información:
- Bloquear el acceso por ubicación con el acceso condicional de Microsoft Entra
- Recomendaciones para el acceso condicional y la autenticación multifactor en Microsoft Power Automate (Flow)
Evaluación continua de acceso
La evaluación continua de acceso es una característica de Microsoft Entra ID que supervisa determinados eventos y cambios para determinar si un usuario debe mantener o perder el acceso a un recurso. La autenticación OAuth 2.0 tradicionalmente se basa en el vencimiento de token de acceso para revocar el acceso de un usuario a los servicios modernos en la nube. Los usuarios cuyos derechos de acceso se hayan terminado mantienen el acceso a los recursos hasta que expire el token de acceso; para Power Platform, esto puede ser hasta por una hora, por defecto. Sin embargo, con la evaluación continua del acceso, servicios de Power Platform, tales como Dataverse, evalúan continuamente los eventos críticos y cambios de ubicación de la red del usuario. Terminan de forma proactiva las sesiones de usuario activas, o requieren una nueva autenticación, y hacen cumplir los cambios en la política de inquilinos casi en tiempo real en lugar de esperar a que caduque un token de acceso.
A medida que las organizaciones continúan adoptando modelos de trabajo híbridos y aplicaciones en la nube, Microsoft Entra ID es un perímetro de seguridad principal clave que protege a los usuarios y los recursos. El acceso condicional extiende ese perímetro más allá del límite de la red para incluir la identidad del usuario y del dispositivo. El acceso continuo garantiza que se reevalúa el acceso a medida que cambian los eventos o las ubicaciones de los usuarios. Al usar Microsoft Entra ID con productos de Power Platform, puede aplicar una gobernanza de seguridad coherente en toda su cartera de aplicaciones.
Revise estos procedimientos recomendados de administración de identidades para obtener más consejos sobre cómo usar Microsoft Entra ID con Power Platform.
Acceso a entornos
Un entorno de Power Platform es un contenedor lógico y una unidad de administración de gobernanza que representa el límite de seguridad en Power Platform. Muchas características, como red virtual, Lockbox y grupos de seguridad, funcionan con una granularidad de nivel de entorno desde una perspectiva de administración. Esta granularidad permite implementar diferentes requisitos de seguridad en diferentes entornos dependiendo de las necesidades de su negocio. Los usuarios obtienen acceso a un entorno según un rol de seguridad que se les asigna. El simple hecho de tener una licencia y una identidad en el nivel de inquilino no es suficiente para conceder acceso a un entorno a menos que sea el entorno predeterminado.
Los entornos con Dataverse admiten modelos de seguridad avanzados para controlar el acceso a los datos y servicios en una base de datos de Dataverse.
Asignar grupos de seguridad a entornos
Utilice grupos de seguridad para controlar qué usuarios con licencia pueden ser miembros de un entorno determinado. Puede usar grupos de seguridad para controlar quién puede acceder a los recursos de entornos de Power Platform distintos del entorno predeterminado o de entornos de desarrollo. Vincule un grupo de seguridad a cada entorno que tenga al menos un usuario o grupo de seguridad anidado. El uso de un grupo de seguridad para cada entorno garantiza que solo los usuarios adecuados puedan acceder a él. Si automatiza el proceso de creación de entornos, también puede automatizar la creación del grupo de seguridad y asegurarse de que los administradores tengan acceso a cualquier entorno nuevo.
Los administradores de Power Platform tienen acceso a todos los entornos, incluso si no están en el grupo de seguridad del entorno. Los administradores de Dynamics 365 deben estar en el grupo de seguridad para acceder al entorno.
Administrar usuarios invitados
Es posible que deba permitir que los usuarios invitados accedan a entornos y recursos de Power Platform. Al igual que los usuarios internos, puede usar el acceso condicional de Microsoft Entra ID y la evaluación continua del acceso para garantizar que los usuarios invitados mantengan un nivel elevado de seguridad.
Para mejorar aún más la seguridad y reducir el riesgo de compartir en exceso incidentalmente, también puede bloquear o habilitar el acceso de invitados de Microsoft Entra a sus entornos respaldados por Dataverse cuando sea necesario. De forma predeterminada, el acceso de invitados está restringido para los entornos respaldados por Dataverse, lo que garantiza una configuración segura desde el principio. Puede aumentar aún más su puntuación de seguridad habilitando esta configuración también para los entornos existentes.
Dirigir a los creadores a sus propios entornos de desarrollo
Enrutamiento de entorno permite a los administradores de Power Platform dirigir automáticamente a los creadores nuevos o existentes a sus propios entornos de desarrollo personales cuando inician sesión en productos de Power Platform como Power Apps o Copilot Studio. La recomendamos configurar el enrutamiento de entorno para ofrecer a los creadores un espacio personal y seguro para desarrollar con Microsoft Dataverse sin el temor de que otras personas obtengan acceso a sus aplicaciones o datos.
Acceso a recursos
Los roles de seguridad controlan la capacidad de crear y ejecutar aplicaciones y flujos específicos en entornos. Por ejemplo, puede compartir aplicaciones de lienzo con un usuario o grupo de Microsoft Entra ID, pero se siguen aplicando los roles de seguridad de Dataverse. Sin embargo, solo se comparten aplicaciones basadas en modelo a través de roles de seguridad de Dataverse.
Asignar roles a las identidades según sus requisitos
Autorice acciones basadas en la responsabilidad de cada identidad. Asegúrese de que una identidad no haga más de lo necesario. Antes de establecer reglas de autorización, asegúrese de comprender quién o qué realiza las solicitudes, qué puede hacer ese rol y el alcance de sus permisos. Estos factores orientan decisiones que combinan identidad, rol y ámbito.
Considere las preguntas siguientes:
- ¿La identidad necesita acceso de lectura o escritura a los datos? ¿Qué nivel de acceso de escritura se requiere?
- Si la identidad se ve comprometida por un mal actor, ¿cuál sería el impacto en el sistema en términos de confidencialidad, integridad y disponibilidad?
- ¿La identidad necesita acceso permanente o se puede considerar el acceso condicional?
- ¿Realiza la identidad acciones que requieren permisos administrativos o elevados?
- ¿Cómo interactuará la carga de trabajo con los servicios de terceros?
Un rol es un conjunto de permisos asignados a una identidad. Asigne roles que solo permitan a la identidad completar la tarea, y nada más. Cuando los permisos del usuario están restringidos a los requisitos de su trabajo, es más fácil identificar comportamientos sospechosos o no autorizados en el sistema.
Haga preguntas como estas:
- ¿La identidad necesita permisos para eliminar recursos?
- ¿El rol solo necesita acceso a los registros que creó?
- ¿Se requiere acceso jerárquico basado en la unidad de negocio en la que se encuentra el usuario?
- ¿El rol necesita permisos administrativos o elevados?
- ¿El rol necesita acceso permanente a estos permisos?
- ¿Qué pasa si el usuario cambia de trabajo?
Si se limita el nivel de acceso que tienen los usuarios, se reduce la superficie de ataque potencial. Si concede solo los permisos mínimos necesarios para realizar tareas específicas, se reduce el riesgo de un ataque exitoso o de acceso no autorizado. Por ejemplo, los desarrolladores solo necesitan acceso de creador al entorno de desarrollo, pero no al entorno de producción. Necesitan acceso para crear recursos, pero no para cambiar las propiedades del entorno. Es posible que necesiten acceso para leer y escribir datos de Dataverse, pero no para cambiar el modelo de datos o los atributos de la tabla de Dataverse.
Evite permisos dirigidos a usuarios individuales. Los permisos pormenorizados y personalizados crean complejidad y confusión. Pueden resultar difíciles de mantener a medida que los usuarios cambian los roles y se mueven por la empresa, o a medida que los nuevos usuarios con requisitos de autenticación similares se unen al equipo. Esta situación puede crear una configuración heredada compleja que es difícil de mantener y afecta negativamente tanto a la seguridad como a la fiabilidad.
Conceda roles que comiencen con privilegios mínimos y agregue más en función de sus necesidades operativas o de acceso a datos. Sus equipos técnicos deben tener una guía clara para implementar permisos.
Establezca procesos para administrar el ciclo de vida de la identidad
El acceso a las identidades no debe durar más que los recursos a los que acceden las identidades. Asegúrese de que tiene un proceso para deshabilitar o eliminar identidades cuando se producen cambios en la estructura del equipo o los componentes de software.
Establezca un proceso de gobernanza de identidades para administrar el ciclo de vida de las identidades digitales, los usuarios con privilegios elevados, los usuarios externos o invitados y los usuarios de cargas de trabajo. Implemente revisiones de acceso para garantizar que cuando las identidades abandonen la organización o el equipo, se eliminen sus permisos de carga de trabajo.
Configurar límites de uso compartido
A medida que se prioriza la carrera por adoptar la IA en todos los sectores, los administradores buscan abordar el riesgo de compartir demasiado recursos. La seguridad administrada admite límites de uso compartido granulares para aplicaciones de lienzo y flujos de nube compatibles con soluciones, lo que evita que los creadores compartan flujos con grupos de seguridad e individuos.
Para los escenarios de agente de Copilot Studio, los administradores tienen controles detallados sobre los permisos de editor y de visor por entorno o grupo de entornos. También pueden restringir a los espectadores a grupos de seguridad específicos o personas o establecer un número determinado de espectadores.
Además de estos límites de uso compartido detallado, limite también la capacidad de los creadores de usar la abreviatura Todos para compartir aplicaciones con todos los miembros de la organización.
Más información:
- Compartir una aplicación de lienzo
- Compartir una aplicación de lienzo con usuarios invitados
- Compartir un flujo de nube
- Compartir agentes con otros usuarios
Conectarse a recursos de Azure que admiten identidad administrada
Para minimizar el riesgo asociado al acceso a recursos externos, la compatibilidad de identidad administrada con complementos de Dataverse proporciona autenticación segura y sin problemas. Esta compatibilidad elimina la necesidad de credenciales codificadas de forma rígida y simplifica la administración del acceso a los recursos.
Acceso de Dataverse
Dataverse usa un modelo de seguridad enriquecido para proteger la integridad de los datos y la privacidad del usuario, al tiempo que promueve el acceso y la colaboración eficaces de los datos. Puede combinar unidades de negocio, seguridad basada en roles, seguridad basada en filas y seguridad basada en columnas para definir el acceso general a la información que los usuarios tienen en un entorno de Power Platform. El control de acceso basado en roles (RBAC) le permite definir permisos de acceso y administrar el acceso a los datos de manera escalable. Mediante el uso de varios roles de seguridad integrados o personalizados, puede conceder permisos en el nivel de base de datos, tabla o registro específico.
Dataverse habilita controles de acceso detallados para administrar la autorización y los roles de seguridad de nivel de datos. Estos roles definen la protección de filas, campos, jerarquías y grupos, lo que proporciona la granularidad y la flexibilidad necesarias para proteger datos empresariales altamente confidenciales en las aplicaciones.
Mapa de datos de Microsoft Purview es una solución unificada y automatizada que puede detectar, clasificar y etiquetar datos confidenciales en diferentes orígenes de datos y dominios, incluido Dataverse. El etiquetado con el Mapa de datos de Microsoft permite a las organizaciones clasificar automáticamente los datos e identificar fácilmente los datos confidenciales. Con la integración del Mapa de datos de Purview, puede reducir el esfuerzo manual y los errores humanos que conlleva el etiquetado de datos en Dataverse mediante el uso de reglas y directivas predefinidas que se ajusten a sus necesidades empresariales y de cumplimiento.
Comprender los requisitos de administración de identidad y acceso
Como cliente, usted es responsable de:
- Administración de cuentas e identidades
- Crear y configurar directivas de acceso condicional
- Crear y asignar roles de seguridad
- Habilitar y configurar auditoría y supervisión
- Autenticación y seguridad de los componentes a los que Power Platform podría conectarse
Comprenda los requisitos clave para la carga de trabajo de Power Platform que está implementando. Hágase las siguientes preguntas para ayudar a identificar las características de administración de identidades y acceso que debe configurar.
- ¿Cómo implementar mecanismos de control de acceso y autenticación para garantizar que solo los usuarios autorizados puedan acceder a la carga de trabajo?
- ¿Cómo se garantiza una autenticación de usuario segura y sin problemas?
- ¿Cómo se controla qué aplicaciones pueden interactuar con la IA generativa (agente) y qué medidas garantizan que estas restricciones sean efectivas?
- ¿Cómo se integra de forma segura la carga de trabajo con otros sistemas internos y externos?
- ¿Desde dónde acceden los usuarios a esta solución? Por ejemplo, ¿están utilizando un dispositivo móvil o un navegador web?
- ¿Sus usuarios son internos, externos o ambos?
Recomendaciones
Gobernar eficazmente a creadores, usuarios e invitados es esencial para mantener la seguridad, el cumplimiento y la eficiencia operativa en entornos de Power Platform. A continuación se presentan recomendaciones detalladas para administrar el acceso y los permisos:
Enrutar a los creadores a sus propios entornos de desarrollo personales: utilice enrutamiento de entornos para animar a los creadores a utilizar sus propios entornos de desarrollo personales para crear y probar aplicaciones. Este enfoque aísla las actividades de desarrollo de los entornos de producción, lo que reduce el riesgo de cambios o interrupciones accidentales. Los entornos de desarrollo personales proporcionan un espacio seguro para la experimentación y la innovación sin afectar a las operaciones empresariales críticas.
No permitir permisos de creador en entornos de prueba y producción: restrinja los permisos a los creadores en entornos de prueba y producción para evitar cambios no autorizados y garantizar que solo se implementen aplicaciones aprobadas y probadas exhaustivamente. Esta separación de funciones ayuda a mantener la integridad y la estabilidad de los sistemas de producción, lo que minimiza el riesgo de errores y vulnerabilidades de seguridad.
Controlar el acceso utilizando roles de seguridad con privilegios mínimos: implemente control de acceso basado en roles (RBAC) para asignar permisos basados en el principio de privilegio mínimo. Conceda a los usuarios solo el acceso que necesitan para realizar sus tareas específicas. Al limitar los permisos, reduce la superficie de ataque y minimiza el impacto potencial de las infracciones de seguridad.
Diagnosticar los problemas de acceso de los usuarios invocando "Ejecutar diagnósticos": utilice el comando Ejecutar diagnósticos para solucionar y diagnosticar problemas de acceso de los usuarios. Esta herramienta ayuda a identificar y resolver problemas relacionados con los permisos, garantizando que los usuarios tengan el acceso adecuado para realizar sus tareas. Los diagnósticos periódicos también pueden ayudar a detectar y abordar posibles brechas de seguridad.
Limite el uso compartido con Todos y evalúe la configuración de límites específicos: evite los permisos de uso compartido amplios que permitan que todos accedan a un recurso. Configure límites de uso compartido específicos para controlar con cuántos usuarios los creadores pueden compartir sus aplicaciones y datos.
Aplicar directivas de datos a los entornos predeterminados y para desarrolladores: aplique directivas de datos a los entornos predeterminados y de desarrollador para restringir el acceso solo a los conectores que los creadores necesitan. Este enfoque ayuda a evitar transferencias de datos no autorizadas y garantiza que la información confidencial esté protegida. Revise y actualice periódicamente las directivas de datos para alinearse con los requisitos de seguridad cambiantes.
Utilice grupos de Microsoft Entra ID para proteger el acceso al entorno: utilice grupos de Microsoft Entra ID para administrar y proteger el acceso a los entornos de Power Platform. Al agrupar a los usuarios según sus roles y responsabilidades, puede asignar y administrar permisos de manera eficiente. Los grupos de Microsoft Entra ID también simplifican el proceso de actualización de los controles de acceso a medida que evolucionan las necesidades de la organización.
Use Dataverse para tener un modelo de seguridad RBAC flexible integrado: Dataverse proporciona un modelo de seguridad de control de acceso basado en rol integrado que permite administrar los permisos de usuario y el acceso a los datos de forma eficaz. Este modelo permite definir roles personalizados y asignar permisos específicos en función de las funciones y responsabilidades del trabajo. Asegúrese de que los usuarios solo tengan el acceso necesario para realizar sus tareas. Con características como permisos granulares, seguridad jerárquica y acceso basado en equipos, el modelo RBAC de Dataverse mejora la protección de datos, ayuda en el cumplimiento de requisitos normativos y simplifica la gestión del acceso de los usuarios dentro de los entornos de Power Platform.
Pasos siguientes
Revise los artículos detallados de esta serie para mejorar aún más su postura de seguridad:
- Detectar amenazas para su organización
- Establecer controles de privacidad y protección de datos
- Implementación de una estrategia de directiva de datos
- Cumplir con los requisitos de cumplimiento.
- Proteger el entorno predeterminado
Después de revisar los artículos, revise la lista de comprobación de seguridad para asegurarse de que las implementaciones de Power Platform sean sólidas, resistentes y estén alineadas con los procedimientos recomendados.