Compartir a través de

Consideraciones de seguridad y gobernanza en Power Platform

Muchos clientes se preguntan cómo puede Power Platform recibir el soporte de TI y estar disponible para su negocio más amplio? La gobernanza es la respuesta. Su objetivo es permitir que los grupos profesionales se centren en resolver problemas empresariales de forma eficaz mientras cumplen con estándares de cumplimiento de TI y negocios. El siguiente contenido tiene por objeto estructurar los temas que a menudo se asocian a regir el software y para llevar el reconocimiento a las características disponibles para cada tema mientras está relacionada con regir Power Platform.

Theme Preguntas habituales relacionadas con cada tema para las que este contenido responde
Arquitectura
  • ¿Cuáles son las construcciones y conceptos básicos de Power Apps, Power Automate y Microsoft Dataverse?

  • ¿De qué modo encajan las construcciones juntas en el tiempo de diseño y el tiempo de ejecución?
Seguridad
  • ¿Cuáles son las prácticas recomendadas para las consideraciones de diseño de seguridad?

  • ¿Cómo uso nuestras soluciones de administración de grupos y usuarios existentes para administrar los roles de acceso y seguridad en Power Apps?
Alerta y acción
  • ¿Cómo defino el modelo de gobernanza entre los desarrolladores ciudadanos y los servicios de TI administrados?

  • ¿Cómo defino el modelo de gobernanza entre los administradores de la TI central y de la unidad de negocio?

  • ¿Cómo debo abordar el soporte para entornos no predeterminados en mi organización?
Supervisar
  • ¿Cómo estamos capturando los datos de cumplimiento/auditoría?

  • ¿Cómo puedo medir la adopción y el uso dentro de mi organización?

Arquitectura

Como primer paso para crear la historia de gobernanza adecuada para su empresa, lo mejor es familiarizarse con los entornos. Los entornos son los contenedores de todos los recursos usados por un Power Apps, Power Automate y Dataverse. Environments Overview es un buen primer, que debe ir seguido de ¿Qué es Dataverse?, Types of Power Apps, Microsoft Power Automate, Connectors y On-premises Gateways.

Seguridad

En esta sección se describen los mecanismos que existen para controlar quién puede acceder a Power Apps en un entorno y acceder a datos: licencias, entornos, roles de entorno, Microsoft Entra ID, directivas de datos y conectores de administración que se pueden usar con Power Automate.

Licencias

El acceso a Power Apps y Power Automate comienza por tener una licencia. El tipo de licencia que tiene un usuario determina los activos y los datos a los que puede acceder un usuario. La siguiente tabla describe diferencias en los recursos disponibles para un usuario en función del tipo de plan, desde un nivel alto. Los detalles granulares de la licencia se encuentran en la Información general de licencias.

Planificar Descripción
Microsoft 365 incluido Esto permite a los usuarios ampliar SharePoint y otros recursos de Office que ya tienen.
Dynamics 365 incluido Esto permite a los usuarios personalizar y ampliar las aplicaciones de involucración de clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, marketing de Dynamics 365 y Dynamics 365 Project Service Automation), ya tienen.
plan de Power Apps Esto permite:
  • Hacer que los conectores empresariales y Dataverse estén accesibles para su uso.
  • que los usuarios usen la robusta lógica de negocios en todos los tipos de aplicaciones y capacidades de administración.
Comunidad de Power Apps Esto permite a un usuario usar Power Apps, Power Automate, Dataverse y conectores personalizados en un solo uso individual. No hay posibilidad de compartir aplicaciones.
Power Automate gratis Esto permite a los usuarios crear flujos ilimitados y realizar 750 ejecuciones.
plan de Power Automate Consulte Microsoft Power Apps y Microsoft Power Automate Licensing Guide.

Entornos

Una vez que los usuarios tienen licencias, los entornos existen como contenedores para todos los recursos usados por Power Apps, Power Automate y Dataverse. Se pueden usar entornos para dirigirse a diferentes públicos o con distintos fines como desarrollo, prueba y producción. Puede encontrar más información en Información general de los entornos.

Proteger los datos y la red

  • Power Apps y Power Automate don't proporcionan a los usuarios acceso a los recursos de datos a los que aún no tienen acceso. Los usuarios solo deben tener acceso a los datos a los que realmente necesitan acceder.
  • Las directivas de control de acceso de red también se pueden aplicar a Power Apps y Power Automate. En el caso del entorno, se puede bloquear el acceso a un sitio desde una red bloqueando la página de inicio de sesión para evitar que las conexiones a ese sitio se creen en Power Apps y Power Automate.
  • En un entorno, el acceso se controla en tres niveles: Roles de entorno, Permisos de recursos para Power Apps, Power Automate, etc. y Roles de seguridad deDataverse (si se aprovisiona una base de datos de Dataverse).
  • Cuando se crea Dataverse en un entorno, los roles de Dataverse asumen el control de la seguridad en el entorno (y se migran todos los administradores y creadores del entorno).

Las siguientes entidades de seguridad están disponibles para cada tipo de rol.

Tipo de entorno Role Tipo de principal (Microsoft Entra ID)
Entorno sin Dataverse Rol de entorno Usuario, grupo, inquilino
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, conector personalizado, puertas de enlace, conexiones1 Usuario, grupo
Entorno con Dataverse Rol de entorno User
Permiso de recurso: Aplicación de lienzo Usuario, grupo, inquilino
Permiso de recurso: Power Automate, conector personalizado, puertas de enlace, conexiones1 Usuario, grupo
Rol de Dataverse (se aplica a todos los componentes y aplicaciones basados en modelo) User

1 Solo se pueden compartir ciertas conexiones (como SQL).

Nota

  • En el entorno predeterminado, se concede acceso a todos los usuarios en un inquilino al rol Creador de entornos.
  • Los usuarios con el rol Administrador de Power Platform tienen acceso de administrador a todos los entornos.

Preguntas más frecuentes: ¿Qué permisos existen en un nivel de inquilino de Microsoft Entra?

En la actualidad, Microsoft Power Platform administradores pueden hacer lo siguiente:

  1. Descargar el informe de licencias de Power Apps y Power Automate
  2. Crear una directiva de datos con ámbito de solo "Todos los entornos" o con ámbito para incluir o excluir entornos específicos
  3. Administrar y asignar licencias a través del Centro de administración de Office
  4. Acceda a todas las aplicaciones del entorno y las funciones de administración de flujos para todos los entornos del inquilino disponibles a través de:
    • Cmdlets de administración de Power Apps en PowerShell
    • conectores de administración de Power Apps
  5. Acceda a los análisis administrativos de Power Apps y Power Automate para todos los entornos del tenant:

Considere Microsoft Intune

Los clientes con Microsoft Intune pueden establecer directivas de protección de aplicaciones móviles para aplicaciones de Power Apps y Power Automate en Android e iOS. En este tutorial se resalta la configuración de una directiva a través de Intune para Power Automate.

Considerar el acceso condicional basado en la ubicación

Para los clientes con Microsoft Entra ID P1 o P2, las directivas de acceso condicional se pueden definir en Azure para Power Apps y Power Automate. Esto permite conceder o bloqueo el acceso en función de: usuario/grupo, dispositivo, ubicación.

Crear una directiva de acceso condicional

  1. Inicie sesión en .
  2. Seleccione Acceso condicional.
  3. Seleccione + Nueva directiva.
  4. Seleccione Usuarios y grupos seleccionados.
  5. Seleccione Todas las aplicaciones en la nubeTodas las aplicaciones en la nubeCommon Data Service para controlar el acceso a las aplicaciones de interacción con el cliente.
  6. Aplicar condiciones (riesgo de usuario, plataformas de dispositivos, ubicaciones).
  7. Seleccione Crear.

Evitar la pérdida de datos con directivas de datos

Las directivas de datos aplican reglas para las que se pueden usar conectores juntos clasificando los conectores como Solo datos profesionales o No se permiten datos profesionales. Simplemente, si pone un conector en el grupo de solo datos profesionales, solo se puede usar con otros conectores de ese grupo en la misma aplicación. Los administradores de Power Platform pueden definir las directivas que se aplican a todos los entornos.

Preguntas más frecuentes

P: ¿Puedo controlar, en el nivel de inquilino, qué conector está disponible, por ejemplo No a Dropbox o Twitter, pero Sí a SharePoint?

R: Esto es posible utilizando las capacidades de clasificación de conectores y asignando el clasificador Bloqueado para uno o más conectores que desea evitar que se utilicen. Hay un conjunto de conectores que no se pueden bloquear.

P: ¿Qué ocurre con el uso compartido de conectores entre los usuarios? Por ejemplo, ¿el conector para Teams es general y se puede compartir?

R: Los conectores están disponibles para todos los usuarios excepto para conectores personalizados o premium, que necesitan u otra licencia (conectores premium) o tienen que compartirse de manera explícita (conectores personalizados).

Alerta y acción

Además de la supervisión, muchos clientes desean suscribirse a eventos de creación, uso o estado de software para saber cuándo realizar una acción. En esta sección se describen algunas formas de observar eventos (de forma manual y mediante programación) y de realizar acciones desencadenadas por una instancia del evento.

Creación de flujos de Power Automate para alertar sobre eventos de auditoría clave

  1. Un ejemplo de alerta que se puede implementar es suscribirse a los registros de auditoría de seguridad y cumplimiento de Microsoft 365.
  2. Esto se puede lograr a través de una suscripción a webhook o de un enfoque de sondeo. Sin embargo, al adjuntar Power Automate a estas alertas, podemos proporcionar a los administradores más que solo alertas por correo electrónico.

Compile las directivas que necesita con Power Apps, Power Automate y PowerShell.

  1. Estos cmdlets de PowerShell poner el control total en manos de los administradores para automatizar las directivas de gobernanza necesarias.
  2. Los conectores Power Platform para administradores V2 (versión preliminar) y Power Automate Management proporcionan el mismo nivel de control, pero con extensibilidad y facilidad de uso agregados mediante Power Apps y Power Automate.
  3. Revise los procedimientos recomendados de administración y gobernanza de Power Platform y considere la posibilidad de configurar el Kit de inicio del Centro de excelencia (CoE).
  4. Use esta plantilla de blogs y aplicaciones para ponerse en marcha rápidamente con los conectores de administración.
  5. Además, merece la pena consultar el contenido compartido en la Galería de Aplicaciones de la Comunidad, donde se muestra otro ejemplo de una experiencia administrativa creada con Power Apps y conectores de administración.

Preguntas más frecuentes

Problema Actualmente, todos los usuarios con licencias de Microsoft E3 pueden crear aplicaciones en el ambiente predeterminado. ¿Cómo podemos habilitar los derechos del creador de entornos para un grupo seleccionado, por ejemplo, ¿10 personas para crear aplicaciones?

Recomendación

Los cmdlets de PowerShell y los conectores de administración brindan total flexibilidad y control a los administradores para crear las directivas que desean para su organización.

Supervisar

Es bien sabido que la supervisión es un aspecto crítico de la gestión de software a escala. En esta sección se destacan un par de medios para obtener información sobre el desarrollo y uso de Power Apps y Power Automate.

Revisar la traza de auditoría

El registro de actividad para Power Apps se integra con el Centro de Seguridad y Cumplimiento de Office para un registro integral en los servicios de Microsoft, como Dataverse y Microsoft 365. Office proporciona una API para consultar estos datos, que es utilizada actualmente por muchos proveedores de SIEM que usan los datos de registro de actividad para generar informes.

Visualización del informe de licencias de Power Apps y Power Automate

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Licencias.
  3. En el panel Licensing, seleccione Power Automate o Power Apps para revisar la información.

Puede obtener información sobre lo siguiente:

  • Usuario activo y uso de la aplicación: ¿cuántos usuarios están usando una aplicación y con qué frecuencia?
  • Ubicación: ¿dónde está el uso?
  • Rendimiento de servicio de conectores
  • Informe de errores: ¿cuáles son las aplicaciones más propensas a error?
  • Flujos en uso por tipo y fecha
  • Flujos creados por tipo y fecha
  • Auditoría a nivel de aplicación
  • Estado del servicio
  • Conectores usados

Ver qué usuarios tienen licencia

Siempre puede examinar las licencias de usuarios individuales en el centro de administración de Microsoft 365 mediante la exploración en profundidad de usuarios específicos.

También puede utilizar el siguiente comando de PowerShell para exportar las licencias de usuario asignadas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas las licencias de usuario asignadas (Power Apps y Power Automate) de tu inquilino en un archivo .csv con vista tabular. El archivo exportado contiene tanto planes de evaluación internos de registro de autoservicio como planes de prueba procedentes de Microsoft Entra ID. Los planes de prueba internos no son visibles para los administradores del centro de administración de Microsoft 365.

La exportación puede tardar bastante tiempo para los inquilinos con un gran número de usuarios de Power Platform.

Ver recursos de aplicación que se usan en un entorno

  1. Inicie sesión en el Centro de administración de Power Platform.
  2. En el panel de navegación, seleccione Administrar.
  3. En el panel Administrar, seleccione Entornos.
  4. Seleccione un entorno en la página Entornos.
  5. En la sección Recursos, revise la lista de aplicaciones utilizadas en el entorno.

Contenido relacionado

  • Last updated on