Soberanía de datos en entornos de Dataverse y Power Platform

El Centro de administración de Microsoft Power Platform centraliza la administración de entornos y configuraciones para Power Platform y ayuda a administrar tanto la residencia de datos como los controles de acceso a los datos para respaldar sus requisitos soberanos. Configuración de inquilino en el Centro de administración le permite controlar cómo se crean y administran los entornos en su inquilino. Esta configuración le permite regular qué administradores tienen la capacidad de crear nuevos entornos, limitando esta capacidad solo a los administradores de Global, Dynamics 365 y Power Platform. Esto mejora su control sobre la ubicación, el método y el personal que accede a sus activos de datos.

Administrar usuarios y permisos

Actualmente puede usar el Centro de administración para administrar la configuración de la administración de usuarios y permisos. Por ejemplo, puede:

  • Equipos de Dataverse: recomendamos usar los equipos de grupo de Microsoft Entra, para simplificar la administración de usuarios y garantizar que los privilegios y permisos se aplican de forma coherente.

  • Asignar roles de seguridad a los usuarios: recomendamos usar la interfaz de usuario del Centro de administración para administrar a los usuarios mediante la creación de roles de seguridad.

  • Configurar la seguridad de los usuarios en un entorno: en el centro de administración, especifique los roles de seguridad en un entorno determinado para restringir qué pueden hacer los usuarios. Muchos roles preexistentes están configurados para ayudarle a agilizar este proceso. La directiva en el nivel de los inquilinos puede delimitarse para proporcionar controles de nivel superior que minimicen el riesgo de pérdida de datos debido a una configuración errónea de los entornos individuales, estableciendo el ámbito en todos los entornos. Para obtener más información, consulte Conceptos de seguridad en Microsoft Dataverse - Power Platform

Habilitar entorno administrado

Los entornos administrados ofrecen amplias capacidades para ayudarle a configurar Dataverse y Power Platform y reducir el riesgo de fugas de datos involuntarias y ajustarse a sus requisitos de seguridad y soberanía. Estas capacidades incluyen vinculación de cookies de IP, caja de seguridad del cliente, firewall de IP, claves administradas por el cliente, etc.

En el Centro de administración puede administrar las directivas de datos de sus entornos administrados. Le recomendamos que use directivas de datos para proteger todos los entornos de su inquilino. Por ejemplo, la directiva de prevención de pérdida de datos

En el Centro de administración, puede configurar el comprobador de soluciones en entornos administrados para que aplique comprobaciones a sus soluciones con respecto a un conjunto de reglas de procedimientos recomendados e identifique patrones problemáticos. Esta comprobación puede ayudarle a evitar prácticas deficientes de administración de datos que den lugar a un acceso o distribución de datos que infrinja sus requisitos soberanos.

Entornos administrados también presenta una versión preliminar del enrutamiento del entorno predeterminado, una nueva característica que permite el control soberano, de modo que cuando un nuevo creador llega a Power Apps, se le enruta automáticamente a su propio espacio personal de desarrollador en lugar de a un entorno predeterminado compartido, donde puede crear sin riesgo de que otros creadores accedan a sus aplicaciones o datos.

Para obtener más información, consulte Habilitar Entornos administrados - Power Platform y Directivas de datos - Power Platform

Residencia de datos en Power Platform

La residencia de datos se ocupa de la ubicación física donde se almacenan y procesan los datos. Los requisitos de residencia de datos son una preocupación común para los clientes del sector público, quienes a menudo solicitan que Microsoft limite dónde se almacenan y procesan los diferentes tipos de datos. Power Platform proporciona controles y mecanismos para garantizar que tanto los datos personales como los datos de los clientes están protegidos para restringir los servicios y las regiones que los usuarios finales pueden usar y hacer cumplir la configuración del servicio para ayudar a los clientes a lograr sus necesidades de residencia de datos.

Selección de geografía

Cuando se suscribe a los servicios de Power Platform, el país o región seleccionados del inquilino se asignan a la geografía de Azure más adecuada donde existe una implementación de Power Platform. En el caso de los inquilinos de múltiples geografías, puede especificar la geoárea de un entorno. Los metadatos y datos de productos de su entorno se almacenan en la ubicación geográfica remota. Para obtener más información, consulte Almacenamiento de datos y gobernanza en Power Platform.

Aislamiento de inquilino

Para reducir la posibilidad de que se compartan datos sin autorización, Power Platform debe configurarse con el aislamiento de inquilino activado, para asegurarse de que solo un número limitado de inquilinos (o ninguno) pueda conectarse con su inquilino soberano. Sugerimos impedir las conexiones entrantes y salientes que vayan más allá de los límites de soberanía. Por ejemplo, sus controles de directiva pueden indicar que es aceptable que su inquilino esté conectado por otros tenant_ids que se encuentren en su límite soberano, pero no regiones fuera de ese límite. Para obtener más información sobre el aislamiento de inquilinos, consulte: Restringir el acceso entrante y saliente entre inquilinos - Power Platform.

Copia de seguridad/conmutación por error

Microsoft puede replicar los datos no personales, como la información de autenticación de los empleados, en otras regiones para la resiliencia de los datos. Sin embargo, los datos personales y de los clientes nunca se replican ni se mueven fuera de la geoárea. Las copias de seguridad del sistema de los entornos de producción se producen automáticamente y tienen redundancia geográfica para garantizar la resistencia y la disponibilidad. En algunos casos, la región de copia de seguridad puede estar fuera de su límite soberano.

Para obtener más información sobre los procesos de continuidad de la actividad/recuperación ante desastres, conmutación por error y alternativos para las aplicaciones de Dataverse y F&O, consulte: Continuidad de negocio y recuperación ante desastres para aplicaciones SaaS de Dynamics 365 - Power Platform.

Directivas de prevención de pérdida de datos

Las directivas de prevención de pérdida de datos (DLP) de Power Platform pueden actuar como barreras de seguridad para ayudar al cumplimiento de los requisitos de residencia de datos. Las directivas de DLP también pueden ayudar a imponer qué conectores pueden comunicarse entre sí para evitar que datos profesionales confidenciales se transfieran de forma accidental o deliberada fuera de la región soberana. De forma predeterminada, todos los conectores se asignan inicialmente al grupo de datos no profesionales (de uso personal).

Para reducir el riesgo de que se filtre información sensible fuera del entorno soberano, los conectores para datos sensibles deben asignarse al grupo de datos profesionales. Para proteger aún más los entornos de Dynamics 365, estos conectores también deben asignarse al grupo de datos profesionales. Para obtener más información sobre la administración de directivas de DLP, consulte: Administrar las directivas de prevención de pérdida de datos (DLP) - Power Platform.

Escritura dual

La escritura dual ofrece una integración estrecha y bidireccional entre las aplicaciones de finanzas y operaciones y Dataverse. Los cambios de datos en las aplicaciones de finanzas y operaciones pueden provocar escrituras en Dataverse y los cambios de datos en Dataverse pueden provocar escrituras en las aplicaciones de finanzas y operaciones. Este flujo de datos automatizado proporciona una experiencia de usuario integrada en todas las aplicaciones.

La escritura dual requiere roles de seguridad y permisos específicos para funcionar como se espera. Todos los usuarios de Microsoft Dataverse deben agregarse a los roles de seguridad de usuario de tiempo de ejecución de escritura dual y de usuario de aplicación de escritura dual. Si estos roles no se administran adecuadamente, podrían dar lugar a accesos no autorizados.

La residencia de los datos y los requisitos de cumplimiento podrían variar en función de la ubicación geográfica en la que se almacenen y procesen los datos. Es importante asegurarse de que el flujo de datos cumple todas las normativas regionales e internacionales pertinentes en materia de protección de datos. Para obtener más información, consulte Escritura dual y Configurar roles y permisos de seguridad de escritura dual.

Para obtener más información, consulte Configuración de la gobernanza para controlar el acceso anónimo a los datos de Dataverse en el sitio web de Power Pages.

Consulte también