Slides de mi sesión en el Global Power Platform Bootcamp 2024 de Euskadi donde traté un tema que no es muy habitual en la Power Platform: Que opciones tengo para securizarla, que necesito para utilizarlas y sobre todo como configurarlas. Estamos hablando de Acceso Condicional, Aislamiento de Tenant, IP Firewall, etc. Un tema si me lo permitís más que interesante y que iré desgranando en sucesivos videos en mi canal de YouTube: https://www.youtube.com/@jcgonzalezmartin
4. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
El panorama en la protección de datos está en
constante evolución
Requerimientos legales y
regulatorios en constante
evolución
Los ataques son cada
vez más y más
sofisticados
La explosión de
escenarios de IA
requiere asegurar un
acceso correcto y
seguro a los datos
Demanda de acceso a
datos por un número
creciente y dinámico de
usuarios
7. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Identidades
• Soporte completo de
identidades basadas en
Microsoft Entra ID +
Controles de acceso
• Integración nativa de
Grupos de Seguridad
• Bloqueo automático de
acceso si hay actividad
sospechosa
Autenticación
• Bloquear/Permitir el acceso
en base directicas
organizativas relativas a
pertenencia, direcciones IP,
dispositivo, detección de
riesgos, etc
Acceso
Condicional
• Restringir las conexiones
entrantes/salientes del
tenant en Aplicaciones y
Flows
• Permitir excepciones en
base a necesidades del
negocio
Aislamiento de
Tenant
• Forzar la re-autenticación
del usuario en respuesta a
eventos como:
reseteo/cambio de
contraseña, borrado de
cuenta, refresco de token
de autenticación
• En Preview para Dataverse
y Model Driven Apps
Evaluación
Continua de
Acceso
15. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Seguridad de Red
• Filtrar tráfico entrante y
saliente
Rangos de IP y
Nombres de
Host aprobados
• Uso en controles de acceso
en NSGs (Network Security
Groups) o Azure Firewall en
lugar de rangos de IP
aprobados
• Se minimiza la complejidad
de tener que actualizar
frecuentemente reglas de
seguridad en red
Etiquetas de
Servicio
• Prevenir el acceso a datos
fuera del rango de IP
permitido
• Permite prevenir ataques de
tipo “Token reply”
• Soporte actual: Dataverse
(Managed Environments,
OData EndPoints)
IP Firewall
• Prevenir el uso de cookies
para impersonar usuarios
autorizados
• Soporte actual: Dataverse
(Managed Environments)
IP Cookie
Binding
18. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Identidades y Seguridad de Red: En
resumen
• Flujo de autenticación y autorización a través de Microsoft Entra: Authenticating to Power Platform services - Power
Platform | Microsoft Learn
• Configura políticas de Acceso Condicional: Set up Microsoft Entra Conditional Access - Microsoft Power Platform - Power
Platform | Microsoft Learn
• Habilita el Aislamiento de Tenant: Restrict cross-tenant inbound and outbound access - Power Platform | Microsoft Learn
• Restringe el tráfico a recursos de Power Platform a un rango de IPs (Hasta 200 IPs): IP firewall in Power Platform
environments (preview) - Power Platform | Microsoft Learn
• Limitar/Filtrar los EndPoints a los que se puede conectar la Power Platform: Connector endpoint filtering (preview) -
Power Platform | Microsoft Learn
• Prevenir ataques de tipo “Cookie replay” con IP based cookie biding: Block cookie replay attacks in Dataverse - Power
Platform | Microsoft Learn
19. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Acceso a Datos x los Usuarios
• Sólo pueden acceder
usuarios gestionados en
Microsoft Entra ID y con las
licencias correspondientes
asignadas
Acceso al
Tenant
• Los entornos de Power
Platform establecen los
límites de seguridad y son
la unidad base en su
gobernanza
• Buena práctica: Asignar
Grupos de Seguridad a los
entornos como mecanismo
para la gestión de acceso
de los usuarios
Acceso a los
Entornos
• Acceso como
propietario/copropietario:
Editar/Compartir/Utilizar
• Acceso para ejecutar:
Utilizar, no Editar
Acceso a los
Recursos
20. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Acceso a Datos x Tipo de Usuario: Tips &
Recomendaciones
• Securiza el entorno Default
• Define una Estrategia de Entornos
• Limita compartir con todo el mundo
configurando límites específicos a nivel de
entorno (Managed Environments)
• Define Directivas de DLP
• Gobierna el uso de Conectores
personalizados
• Habilita tenant isolation
• Enrutado de Entornos como mecanismo para
asegurar que los Makers trabajen donde
corresponde
Gobierna el Acceso de los Makers
• Everyone incluye todos los Usuarios de
Microsoft Entra ID, también los invitados
• Un usuario invitado se trata como cualquier
otro usuario en el tenant
• Valida si se requiere que los invitados sean
Makers. Si no es así, deshabilita esta opción
• Administra el acceso de invitados a la Power
Platform usando Conditional Access
• Deshabilita compartir con todo el mundo
(Global vs. Managed Environments)
• Controla el acceso a través de roles y
permisos
• Gobierna la asignación de roles
administradores a invitados
Gobierna el Acceso de Invitados
21. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Acceso a Datos x Tipo de Usuario: Tips &
Recomendaciones
Authorization: Bearer eyJ0eXAiOi..
Host: api.bap.microsoft.com
Accept: application/json
POST https://api.bap.microsoft.com/providers/Microsoft.BusinessAppPlatform/listtenantsettings?api-version=2020-10-01
Settings para limitar quien puede
ser Maker y como compartir
22. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Acceso a Datos x Tipo de Usuario: Tips &
Recomendaciones
• Implementa Seguridad en el acceso utilizando
una aproximación por capas (Aplicación |
Formulario | Registro | Campo)
• Utiliza Autenticación Explícita para conexiones
compartidas
• Limpieza de usuarios eliminados/reasignación
de registros
• El licenciamiento no es un control de seguridad
• Sharing limits
• Utiliza Grupos de Seguridad de Microsoft Entra
• Verifica el acceso de usuario mediante
diagnostics and troubleshooting
Gobierna el Acceso de los Usuarios
• Limitar los roles Administradores de la Power
Platform
• Habilita los roles Administradores de Power Platform
cuando se necesite mediante Privilege Identity
Management:
• Se fuerza el acceso como administrador bajo
demanda cuando se requiere
• Se minimiza el número de Usuarios con
privilegios y la duración de acceso
• Se reduce el riesgo del impacto de acceso de
usuarios autorizados a datos sensibles
• Se reduce el riesgo de acceso malicioso por
usuarios no deseados
Gobierna el Acceso de los
Administradores
25. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Seguridad en el Dato
• La asignación de usuarios a
entornos puede ser directa o
mediante Grupos de
Seguridad
• El acceso a Apps, Datos y
Servicios es x asociación a 1
o + roles de seguridad
• Los roles de seguridad
pueden dar acceso a tablas
de Dataverse
Seguridad en
Dataverse
• Roles por defecto vs. Roles
personalizados
• Extensible y personalizable
• Controles de seguridad a
nivel de fila
• Controles de seguridad a
nivel de acción
• Niveles de acceso
granulares
Seguridad
basada en roles
• Compartir a nivel de registro
• Seguridad a nivel de
columna
• Auditoria de registros y de
acceso de usuario
Controles
granulares
• Escanear, clasificar y
etiquetar datos sensibles de
forma automática
• Definir políticas para
mantener los datos
seguros, reducir la
exposición de los datos y
protegerlos mejor
Integración con
Microsoft
Purview
28. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Prevención de Fuga de Datos
• Previene que los makers
puedan exponer información
corporativa
• 2 ámbitos/niveles de
aplicación: Global a nivel de
Tenant vs. A nivel de
Entorno
DLP
• Previene que los Makers
puedan crear Apps y Flujos
que se basen en conectores
bloqueados
• Extiende el soporte de las
directivas DLP a través de
prevenir la creación de
nuevas conexiones a
conectores bloqueados
DLP en tiempo
de diseño
• Proporciona un control
granular sobre qué
acciones de un conector se
permiten en un entorno
Control de
Acciones de
Conector
• El usuario consiente los
permisos específicos
requeridos para conectar
con el origen de datos
• Descripción precisa y
concisa de lo que hará el
conector previamente a
crear la conexión
Consentimiento
Granular de
Usuario
30. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Visibilidad de la actividad de Usuario, Apps y
Procesos
• Acceso de usuario y
actividad (cambios en
registros)
• Monitorización de Jobs del
Sistema
• Auditoría de Jobs de
borrado
• Gestión de registros de
Logs
Auditoría de
Dataverse
• Dataverse, Power Apps,
Power Automate, Power
Pages, Conectores, DLP
• Auditoría Interna y Externa
• Auditoría de cambios en
registros y acceso de
usuarios
Logging de
Actividad
• Actividades realizadas en
Entornos por
Administradores
• Actividades relativas a ciclo
de vida, cambios en
propiedades y
configuraciones, cambios
en seguridad y permisos
Logging de
Actividad de
Administradore
s
• Capturar, registrar, descubrir y retener información del Log de Auditoría
Auditoría de Microsoft Purview
32. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Gestión de Acceso a Datos, Seguridad en el Dato y
Prevención de Fuga de Datos: En Resumen
Securizar tu despliegue de Power Platform
Limita compartir
El licenciamiento
Dirige a los Makers a entornos de desarrollo dedicados
Asigna grupos de Seguridad
• Administra y gobierna con una estrategia adecuada de entornos, directivas DLP& ALM
solution checker
maker welcome content
34. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Datos encriptados a todos los niveles
• Encriptado: Última (y más
fuerte) línea de defensa en
una estrategia de seguridad
de datos multi-capa
• Disponible por defecto para
todos los tios de
datos/almacenamiento
Microsoft
Managed Key
• Clave de encriptación auto-
gestionada
• Impide el acceso a los
datos corporativos a todo el
mundo “ajeno” a la
organización
Customer
Managed Key
• Asegura la integridad de las
transacciones y protege que
se intercepte las
comunicaciones del usuario
• Protege contra escenarios
de interceptar datos de
forma masiva
Protección de
datos en
tránsito
35. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Nivel de Cumplimiento de Estándares
• El acceso a datos es
temporal y siempre desde
un puesto seguro y con
autorización
• Múltiples capas de
aprobación
• Auditoría
Directivas de
acceso JIT
• Extiende el acceso JIT con
un nivel de aprobación x
cliente
• Ligado a un entorno,
usuario y duración
específicas
• Auditoria de serie para el
usuario final
Customer
Lockbox
• Por defecto zona geográfica
del tenant
• Soporte multi-geo a nivel de
entornos (Escenarios
multinacionales)
• Resiliencia de los datos
garantizada en cada zona
geográfica
Ubicación de
los datos
36. #GlobalPowerPlatformBootcamp
#GPPB2024
#PowerPlatformEuskadi
CO-ORGANIZA
PATROCINAN
Nivel de Cumplimiento de Estándares
• Cumplimiento GDPR
• Microsoft Trust Center
Privacidad
Datos
• Se adapta los
requerimientos cambiantes
en el sector publico
• Disponibilidad basada en
criterios de elegibilidad
• Restricciones de acceso
adicionales a los datos
Hosting para
Gobierno
• Regulaciones nacionales,
regionales y de la industria
para la recogida y uso de
datos
• Ejemplos: FedRamp,
FERPA, HIPAA, SOC, IRS
1075, SEC Regulation,
FISC (Japan), FACT (UK),
etc
Cumplimiento
de Estándares
Growing sophistication of attacks
Drive to leverage data to unlock AI-driven scenarios
Data access demands from an increasingly dynamic workforce
Evolving regulatory and legal requirement
How can I control and limit access to data?
How can I prevent data exfiltration?
How can I stay compliant with regulations?
How can I protect my data from external threats?
How can I gain visibility into user activity?
How can I assess the risk?
How can I protect my data from external threats?
Identity management
Network Security
How can I control and limit access to data?
How can I prevent data exfiltration?
How can I gain visibility into user activity?
User access management
Data level security
Prevent data exfiltration
Increased visibility
How can I stay compliant with regulations?
Data encryption
Compliance
How can I assess the risk?
Authentication:
Full support for Microsoft Entra-based identities and access controls
Security group native integration
Automatically block access if suspicious activities are detected
Conditional Access
Make decisions and enforce organization policies regarding user/group membership, IP location, device, risk detection, etc.
Tenant Isolation
Restrict to/from cross tenant connections established via Power Platform applications and flows.
Allow rules based on business needs
Continuous Access Evaluation
Force user re-authentication as response to events such: password change/reset, user account deleted , auth token refresh, MFA enabled, etc.
Current scope: Dataverse, model driven apps
Acceso Condicional
Aislamiento de Tenant
Evaluación continua de acceso
Approved host names & IP ranges
Filter inbound and outbound traffic
Service tags
Use in network access controls on Network Security Groups (NSGs) or Azure Firewall instead of approved IP ranges
Minimize the complexity of frequent updates to network security rules
IP Firewall
Prevents malicious users, outside allowed IP ranges, from accessing your data –
Mitigate insider threats like data exfiltration: A malicious user who tries to download data from Dataverse using a client tool like Excel or Power BI from a disallowed IP location is blocked from doing so in real time.
Prevent token replay attacks: If a user steals an access token and tries to use it to access Dataverse from outside allowed IP ranges, Dataverse denies the attempt in real time.
Current scope: Dataverse
IP Cookie Binding
Prevents attackers using cookies to impersonate an authorized user
Current scope: Dataverse
Filtrado de Tráfico Entrante & Saliente
IP Cookie Binding
Use Microsoft Entra identities
Configure Conditional Access policies
Enable tenant isolation
Restrict traffic to Power Platform resources to a specified IP range
Govern with specific endpoints Power Platform resources can connect to with connection endpoint filtering
Prevent cookie replay attacks with IP based cookie binding
Tenant Access
Only licensed users with a valid Microsoft Entra ID can log into the system.
Environment Access
Environment is the security boundary and the unit of governance management
Recommended to assign security groups to environments to manage user access
Resources Access:
Access to co-own components – edit, share, use
Access to run components – use only no edit
Govern Maker Access
Secure the default environment
Establish an environment strategy
Limit sharing with everyone, configure specific limits
Establish data loss prevention policies. Don’t forget about the new connectors.
Govern custom connectors usage.
Enable tenant isolation.
Route makers to dedicated environments.
Share best practices with maker onboarding.
Govern Guests Access
Everyone includes all users in Entra ID, including guests
Guests are treated as any other users in the tenant
Assess if guests making apps in your organization is required. Disable if guests are not expected to be makers.
Disable guest access to Power Platform resources using Conditional Access
Disable share with everyone
Control access using roles and permissions
Govern administrator roles assignment to guests
Gobern User Access
Implement security access using a layered approach
Use explicit authentication for shared connections
Cleanup of deleted users/reassign owned records
Licensing is not a security control
Sharing limits
Microsoft Entra security groups
User access diagnostics and troubleshooting
Diagnose user access related issues by invoking ‘Run diagnostics’ in PPAC
Identify license, security role, security group or Microsoft Entra related issues
Get appropriate pointers to resolve the underlying problem
Auto-synchronization of user information in Microsoft Entra
Deshabilitar Invitados sean Makers – No OK
Configuración de PIM para PP Admin:
Demo de uso de PIM con tenant de FLC
Diganostics & Troubleshooting:
Demo en entorno Ricoh - Troubleshoot common user access issues for environments - Power Platform | Microsoft Learn
Tb demo en uno de los entornos de Contoso
Dataverse Security
Users are associated with an environment either directly or just in-time via an Azure AD Group
Access to apps, data and services is by association with one or more security roles
Each security role grants discrete privileges to tables in Dataverse
Dataverse data can be secured down to the column-level and records can be shared
Role based security
OOB and custom roles
Extensible and customizable
Row-level controls
Action-based controls
Granular level of access
Fine-Grain Controls
Record level sharing
Hierarchical and matrix data access structure
Column level security
Segregate data in ‘folder’ business unit
Collaborate with Teams
Record and user access auditing
Microsoft Purview Integration
Automatically scan, classify and label sensitive data within your data estate and allows you define policies to prevent loss
Define policies to keep data estate secure, reduce data exposure, and better protect sensitive data.
Empower data consumers to discover valuable, trustworthy data.
DLP
Environment / tenant-wide guardrails to prevent makers from exposing organizational data
DLP in design Time
Prevent makers from building apps and flows that leverage blocked connectors.
Extended DLP to support prevent creating new connections to blocked connectors.
Connector Action Control
Providing admins fine grain control over which actions within a connector are permitted within the environment.
User Granular Consent
Users consents to specific permissions required to establish connections to data sources.
Accurate and concise description of what the connector will be executing prior to connection creation specific to actions executed in the application.
Dataverse Audit
User access and activity (records changes)
Monitor system jobs
Audit delete jobs
Manage log records
Activity Logging
Dataverse, Power Apps, Power Automate, Connector*, DLP activity
Internal and external audit
Audit changes to records and user access
Admin Activity Logging
Activities performed on Environments by the Power Platform Administrator
Lifecycle operations, property and setting change activities, security and permission change activities
Microsoft 365 Purview Audit
Capture, record, discover and retain your organization's unified audit log
Log de Auditoria en el Microsoft Purview Center
Secure Your Power Platform Deployment best practices
Limit sharing to business users that need to access the app
Licensing is not a security control
Route makers to dedicated developer environments
Assign security groups to environments
Mange @scale with proper environment strategy and corresponding data exfiltration prevention policies & ALM
Configure solution checker to automate analysis against best practices rules and identify solution issues
Educate makers regarding organization’s best practices with maker welcome content
Leverage Dataverse fine grain security controls
Assign administrator roles judiciously
Leverage analytics, audit and threat detection solutions to get deep visibility into activity on the platform
Secure Your Power Platform Deployment best practices
Limit sharing to business users that need to access the app
Licensing is not a security control
Route makers to dedicated developer environments
Assign security groups to environments
Mange @scale with proper environment strategy and corresponding data exfiltration prevention policies & ALM
Configure solution checker to automate analysis against best practices rules and identify solution issues
Educate makers regarding organization’s best practices with maker welcome content
Leverage Dataverse fine grain security controls
Assign administrator roles judiciously
Leverage analytics, audit and threat detection solutions to get deep visibility into activity on the platform
Microsoft Managed Key
Encryption - last and strongest line of defense in a multi-layered data security strategy
Available out of the box for all data/storage types
Customer Managed Key
Self-manage the encryption key
Maintain control over your data
Prevent access to customer content when you revoke the key access to our services, at any time
Private link
Azure managed-HSM
Automatic key rotation
Protection for data in transit
Protects user from interception of their communication and helps ensure transaction integrity
Protects from bulk interception of data
Protects from interception or loss of data in transit between users
JIT access policies
Time bound access from secured station by personnel with security clearance
Multiple layers of approval
Audit
Customer Lockbox
Extendss JIT with customer approval
Bound to specific environment, user and duration
OOB audit available to end user
Data residency:
Tenant home geo default
Multi-geo support (at environment level) to enable global presence
Data resiliency ensured within geo
Data Privacy:
GDPR compliant
Microsoft Trust Center
Government Hosting
Address evolving requirements of the public sector
Available based on eligibility criteria
Additional restrictions to data access
Compliance standards
National, regional and industry-specific regulations for data collection and use
E.g., FedRamp, FERPA, HIPAA, SOC, IRS 1075, SEC Regulation, FISC (Japan), FACT (UK), etc.
JIT access policies
Time bound access from secured station by personnel with security clearance
Multiple layers of approval
Audit
Customer Lockbox
Extendss JIT with customer approval
Bound to specific environment, user and duration
OOB audit available to end user
Data residency:
Tenant home geo default
Multi-geo support (at environment level) to enable global presence
Data resiliency ensured within geo
Data Privacy:
GDPR compliant
Microsoft Trust Center
Government Hosting
Address evolving requirements of the public sector
Available based on eligibility criteria
Additional restrictions to data access
Compliance standards
National, regional and industry-specific regulations for data collection and use
E.g., FedRamp, FERPA, HIPAA, SOC, IRS 1075, SEC Regulation, FISC (Japan), FACT (UK), etc.
Use Power Platform Trust Center for latest on security, privacy, compliance, and transparency.
Govern Microsoft access to sensitive data with CMK and Lockbox
Govern AI access to sensitive data using Dataverse security controls
Customer Lockbox
Use Power Platform Trust Center for latest on security, privacy, compliance, and transparency.
Govern Microsoft access to sensitive data with CMK and Lockbox
Govern AI access to sensitive data using Dataverse security controls
Use Power Platform Trust Center for latest on security, privacy, compliance, and transparency.
Govern Microsoft access to sensitive data with CMK and Lockbox
Govern AI access to sensitive data using Dataverse security controls