Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Todos los empleados de su organización tienen acceso al entorno predeterminado de Power Platform. Como administrador de Power Platform, debe considerar formas de proteger ese entorno y mantenerlo accesible para los usos de productividad personal de los creadores.
Asignar roles de administrador de forma juiciosa
Piense en si es necesario que sus administradores tengan el rol de administrador de Power Platform. ¿Sería más apropiado el rol de administrador del entorno o el rol de administrador del sistema? Limite el rol de administrador de Power Platform más eficaz a unos pocos usuarios. Obtenga más información sobre la administración de entornos de Power Platform.
Evite el acceso permanente o continuo mediante el uso de las características Just-In-Time (JIT) de su proveedor de identidad. En situaciones de emergencia, siga un proceso de acceso de emergencia. Utilice Privileged Identity Management (PIM), una característica de Microsoft Entra ID para administrar, controlar y supervisar el uso de estos roles con privilegios elevados.
Para obtener más recomendaciones, consulte Configurar la administración de identidades y de acceso.
Intención de comunicar
Uno de los desafíos clave del equipo del Centro de excelencia (CoE) de Power Platform es comunicar los usos previstos del entorno predeterminado. Aquí ofrecemos algunas recomendaciones.
Cambiar el nombre del entorno predeterminado
El entorno predeterminado se crea con el nombre TenantName (predeterminado). Para indicar claramente la intención del entorno, cambie el nombre por algo más descriptivo, como Entorno de productividad personal.
Configurar contenido de bienvenida del creador
Configure un mensaje de bienvenida personalizado para ayudar a los creadores a empezar a usar Power Apps y Copilot Studio. El mensaje de bienvenida reemplaza la experiencia de ayuda inicial predeterminada de Power Apps para los creadores. Aproveche la oportunidad de compartir la intención del entorno predeterminado con todos los creadores tan pronto como lleguen al entorno predeterminado.
Usar el centro de Power Platform
El Centro de Microsoft Power Platform es una plantilla de sitio de comunicación de SharePoint. Proporciona un punto de partida para una fuente central de información para los creadores sobre el uso de su organización de Power Platform. El contenido inicial y las plantillas de página facilitan ofrecer a los creadores información como:
- Casos de uso de productividad personal
- Información sobre:
- Cómo crear aplicaciones y flujos
- Dónde crear aplicaciones y flujos
- Cómo contactar al equipo de soporte técnico del CoE
- Reglas sobre la integración con servicios externos
Agregue enlaces a cualquier otro recurso interno que sus creadores puedan encontrar útil.
Habilitar entorno administrado
Mantenga una seguridad y una gobernanza sólidas haciendo uso de las características del entorno administrado en el entorno predeterminado. Las características de entorno administrado proporcionan capacidades avanzadas, como supervisión, cumplimiento y controles de seguridad que son importantes para proteger los datos. Al habilitar esta característica, puede configurar límites de uso compartido, obtener más información de uso, limitar el acceso de usuario a Microsoft Dataverse solo desde ubicaciones IP permitidas y usar la página de acciones para obtener recomendaciones personalizadas para optimizar el entorno. Evalúe las características actuales de los entornos administrados y manténgase actualizado con la hoja de ruta del producto para mantener un entorno predeterminado seguro, conforme a las normas y bien gobernado.
Evitar el uso compartido excesivo
Power Platform se ha diseñado como plataforma con poco código que permite a los usuarios crear aplicaciones y flujos rápidamente. Sin embargo, esta facilidad de uso puede llevar a compartir en exceso aplicaciones y flujos, lo que puede plantear riesgos de seguridad.
Configurar límites de uso compartido
Para mejorar la seguridad y evitar que se comparta en exceso dentro del entorno predeterminado de Power Platform, limite el alcance con el que los usuarios pueden compartir aplicaciones de lienzo, flujos y agentes. Considere la posibilidad de configurar límites de uso compartido para mantener un control más estricto sobre el acceso. Estos límites reducen el riesgo de uso no autorizado, uso excesivo de información y uso excesivo sin los controles de gobernanza necesarios. La implementación de límites de uso compartido ayuda a proteger la información crítica al tiempo que promueve un marco de uso compartido más seguro y manejable dentro de Power Platform.
Limite compartir con todos
Los creadores pueden compartir sus aplicaciones con otros usuarios individuales y grupos de seguridad. De forma predeterminada, compartir con toda la organización, o Todos, está deshabilitado. Considere utilizar un proceso restringido en torno a aplicaciones ampliamente utilizadas para hacer cumplir las directivas y los requisitos. Por ejemplo:
- Directiva de revisión de seguridad
- Directiva de revisión de empresa
- Requisitos de administración del ciclo de vida de las aplicaciones (ALM)
- Experiencia de usuario y requisitos de marca
La característica Compartir con todos está deshabilitada de forma predeterminada en Power Platform. Le recomendamos que mantenga esta configuración deshabilitada para limitar la sobreexposición de aplicaciones de lienzo con usuarios no deseados. El grupo Todos de su organización contiene todos los usuarios que han iniciado sesión en su inquilino, lo que incluye invitados y miembros internos. No solo incluye a los empleados internos de su inquilino. Además, la pertenencia al grupo Todos no se puede editar ni ver. Más información sobre los grupos de identidad especial
Si desea compartir con todos los empleados internos o un grupo grande de personas, considere usar un grupo de seguridad existente o crear un grupo de seguridad para compartir su aplicación.
Cuando Compartir con Todos está desactivado, solo los administradores de Dynamics 365, administradores de Power Platform y administradores globales pueden compartir una aplicación con todos en el entorno. Si usted es administrador, puede ejecutar el siguiente comando de PowerShell para permitir compartir con Todos:
Primero, abra PowerShell como administrador e inicie sesión en su cuenta de Power Apps ejecutando este comando:
Add-PowerAppsAccountEjecute el cmdlet Get-TenantSettings para obtener la lista de configuración del inquilino de su organización como un objeto.
El
powerPlatform.PowerAppsobjeto incluye tres banderas:
Ejecute los siguientes comandos de PowerShell para obtener el objeto de configuración y establezca la variable
disableShareWithEveryonecomo$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseEjecute el cmdlet
Set-TenantSettingscon el objeto de configuración para permitir que los creadores compartan sus aplicaciones con todos los miembros del inquilino.Set-TenantSettings $settingsPara deshabilitar el uso compartido con Todos, siga los mismos pasos pero establezca
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Establecimiento de una directiva de datos
Otra manera de proteger el entorno predeterminado es crear una directiva de datos para él. Tener una directiva de datos en vigor es especialmente fundamental para el entorno predeterminado, ya que todos los empleados de su organización tienen acceso a ella. Aquí hay algunas recomendaciones para ayudarlo a hacer cumplir la directiva.
Personalización del mensaje de gobernanza de directivas de datos
Personalice el mensaje de error que se muestra si un creador crea una aplicación que infringe la directiva de datos de la organización. Dirija al creador al centro de conectividad de Power Platform de su organización y proporcione la dirección de correo electrónico de su equipo CoE.
A medida que el equipo del CoE perfeccione la directiva de datos con el tiempo, es posible que estropee inadvertidamente algunas aplicaciones. Asegúrese de que el mensaje de infracción de la directiva de datos contiene detalles de contacto o un vínculo a más información para proporcionar una manera de avanzar a los creadores.
Use los siguientes cmdlets de PowerShell para personalizar el mensaje de directiva de gobernanza:
| Command | Descripción |
|---|---|
| Set-PowerAppDlpErrorSettings | Establecer mensaje de gobernanza |
| Set-PowerAppDlpErrorSettings | Actualizar mensaje de gobernanza |
Bloquear nuevos conectores en el entorno predeterminado
De forma predeterminada, todos los conectores nuevos se colocan en el grupo no empresarial de la directiva de datos. Siempre puede cambiar el grupo predeterminado a Negocios o Bloqueado. Para una directiva de datos que se aplica al entorno predeterminado, se recomienda configurar el grupo Bloqueado como valor predeterminado para asegurarse de que los nuevos conectores permanecen inutilizables hasta que uno de los administradores los revise.
Limitar los conectores preconstruidos a creadores
Restrinja los creadores a conectores básicos, no bloqueables, para bloquear el acceso a otros conectores.
- Mueva todos los conectores que no se pueden bloquear al grupo de datos profesionales.
- Mueva todos los conectores que no se pueden bloquear al grupo de datos bloqueados.
Limitar conectores personalizados
Los conectores personalizados integran una aplicación o un flujo con un servicio propio. Estos servicios están destinados a usuarios técnicos como desarrolladores. Es una buena idea reducir la superficie de las API creadas por su organización que se pueden invocar desde aplicaciones o flujos en el entorno predeterminado. Para evitar de que los creadores creen y usen conectores personalizados para las API en el entorno predeterminado, cree una regla para bloquear todos los patrones de URL.
Para permitir que los creadores accedan a algunas API (por ejemplo, un servicio que devuelve una lista de días festivos de la empresa), configure varias reglas que clasifiquen diferentes patrones de URL en grupos de datos comerciales y no comerciales. Asegúrese de que las conexiones siempre utilicen el protocolo HTTPS. Obtenga más información sobre las directivas de datos para conectores personalizados.
Proteja la integración con Exchange
El conector de Office 365 Outlook es uno de los conectores estándar que no se pueden bloquear. Permite a los creadores enviar, eliminar y responder mensajes de correo electrónico en los buzones a los que tienen acceso. El riesgo con este conector es también una de sus capacidades más eficaces; la capacidad de enviar un correo electrónico. Por ejemplo, un creador podría crear un flujo que envíe un correo electrónico masivo.
El administrador de Exchange de su organización puede configurar reglas en Exchange Server para evitar que se envíen correos electrónicos desde las aplicaciones. También es posible excluir flujos o aplicaciones específicos de las reglas configuradas para bloquear los correos electrónicos salientes. Puede combinar estas reglas con una lista permitida de direcciones de correo electrónico para asegurarse de que los correos de aplicaciones y flujos solo se puedan enviar desde un pequeño grupo de buzones.
Cuando una aplicación o flujo envía un correo electrónico usando el conector de Office 365 Outlook, inserta encabezados SMTP específicos en el mensaje. Puede usar frases reservadas en estos encabezados para identificar si el correo electrónico se originó en un flujo o en una aplicación.
El encabezado SMTP insertado en un correo electrónico enviado desde un flujo se parece al siguiente ejemplo:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Detalles de encabezado
x-ms-mail-application
La siguiente tabla describe los valores que pueden aparecer en el encabezado x-ms-mail-application según el servicio utilizado.
| Servicio | valor |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (flujo de trabajo <GUID>; versión <número de versión>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: Power Apps/ (; AppName= <nombre de aplicación>) |
x-ms-mail-operation-type
La tabla siguiente describe los valores que pueden aparecer en el encabezado x-ms-mail-operation-type según la acción que se realice.
| valor | Descripción |
|---|---|
| Reply | Para operaciones de correo electrónico de respuesta |
| Forward | Para operaciones de correo electrónico de reenvío |
| Send | Para enviar operaciones de correo electrónico, incluidas SendEmailWithOptions y SendApprovalEmail |
x-ms-mail-environment-id
El encabezado x-ms-mail-environment-id contiene el valor de ID del entorno. La presencia de este encabezado depende del producto que esté utilizando.
- En Power Apps, siempre estará presente.
- En Power Automate, estará presente solo en conexiones creadas después de julio de 2020.
- En Logic Apps, nunca estará presente.
Posibles reglas de Exchange para el entorno predeterminado
Estas son algunas acciones de correo electrónico que quizás desee bloquear mediante las reglas de Exchange.
Bloquear correos electrónicos salientes a destinatarios externos: bloquee todos los correos electrónicos salientes enviados a destinatarios externos desde Power Automate y Power Apps. Esta regla evita que los creadores envíen correos electrónicos a partners, proveedores o clientes desde sus aplicaciones o flujos.
Bloquear el reenvío saliente: bloquee todos los correos electrónicos salientes reenviados a destinatarios externos desde Power Automate y Power Apps donde el remitente no pertenece a una lista de buzones de correo permitidos. Esta regla evita que los creadores creen un flujo que reenviará automáticamente los correos electrónicos entrantes a un destinatario externo.
Excepciones a tener en cuenta con las reglas de bloqueo de correo electrónico
A continuación se incluyen algunas posibles excepciones a las reglas de Exchange para bloquear el correo electrónico para agregar flexibilidad:
Exenciones para flujos y aplicaciones específicas: agregue una lista de exenciones a las reglas sugeridas anteriores para que las aplicaciones o los flujos aprobados puedan enviar correos electrónicos a destinatarios externos.
Lista de permitidos a nivel de organización: en este escenario, tiene sentido trasladar la solución a un entorno dedicado. Si varios flujos en el entorno tienen que enviar correos electrónicos salientes, puede crear una regla de excepción general para permitir los correos electrónicos salientes de ese entorno. El permiso de creador y administrador en ese entorno debe estar estrictamente controlado y limitado.
Obtenga más información sobre cómo configurar las reglas de exfiltración adecuadas para tráfico de correo electrónico relacionado con Power Platform.
Aplicar aislamiento entre inquilinos
Power Platform tiene un sistema de conectores basado en Microsoft Entra que permite a los usuarios autorizados de Microsoft Entra conectar aplicaciones y flujos a almacenes de datos. El aislamiento de inquilinos controla el movimiento de datos desde orígenes de datos autorizadas de Microsoft Entra hacia y desde su inquilino.
El aislamiento de inquilino se aplica en el nivel de inquilino y afecta a todos los entornos del inquilino, incluido el entorno predeterminado. Dado que todos los empleados son creadores en el entorno predeterminado, configurar una directiva sólida de aislamiento de inquilinos es fundamental para proteger el entorno. Se recomienda configurar explícitamente los inquilinos a los que se pueden conectar sus empleados. Todos los demás inquilinos deben estar cubiertos por reglas predeterminadas que bloqueen el flujo de datos entrante y saliente.
El aislamiento de inquilinos de Power Platform difiere de la restricción de inquilinos a nivel de Microsoft Entra ID. No afecta al acceso basado en Microsoft Entra ID fuera de Power Platform. Solo se aplica a los conectores que usan autenticación basada en Microsoft Entra ID, como los conectores de SharePoint y Office 365 Outlook.
Más información:
- Restricciones cruzadas de acceso de entrada y salida de inquilinos
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Pasos siguientes
Revise los artículos detallados de esta serie para mejorar aún más su postura de seguridad:
- Detectar amenazas para su organización
- Establecer controles de privacidad y protección de datos
- Implementación de una estrategia de directiva de datos
- Configurar la administración de identidades y acceso
- Cumplir con los requisitos de cumplimiento.
Después de revisar los artículos, revise la lista de comprobación de seguridad para asegurarse de que las implementaciones de Power Platform sean sólidas, resistentes y estén alineadas con los procedimientos recomendados.