Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Servicios de Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022
El análisis y los informes de Azure DevOps proporcionan información eficaz sobre los procesos de desarrollo. Con ese poder se ofrece la responsabilidad de proteger los datos confidenciales y controlar el acceso a las métricas de la organización. En este artículo se describen los conceptos de seguridad, los controles de acceso y los procedimientos recomendados para proteger la implementación de análisis e informes.
Introducción al modelo de seguridad
La seguridad de análisis e informes usa un enfoque multicapa que incluye:
- Controlar la visibilidad de los datos: administre quién puede ver los datos de análisis y a qué proyectos pueden acceder.
- Implementar permisos de tablero de control: controlar el acceso a los tableros de control y sus datos subyacentes. Para obtener más información, consulte Establecimiento de permisos de panel.
- Configurar el acceso a nivel de proyecto: restrinja el acceso de análisis en función de la pertenencia al proyecto. Para obtener más información, consulte Permisos predeterminados y acceso para informes.
- Administración de la integración de Power BI: proteja las conexiones entre Azure DevOps y Power BI. Para más información, consulte Conexión al conector de datos de Power BI.
- Habilitar auditoría y cumplimiento: realice un seguimiento del acceso a los datos y mantenga los requisitos de cumplimiento. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Administración de identidades y acceso
Niveles de acceso para informes
Las funcionalidades de análisis e informes varían según el nivel de acceso. Para obtener información completa sobre los permisos predeterminados para cada nivel de acceso, consulte Permisos predeterminados y acceso para informes.
| Nivel de acceso | Funcionalidades de análisis e informes |
|---|---|
| Interesado | Ver paneles compartidos, vistas de análisis limitadas, widgets de gráficos básicos |
| Basic | Acceso total a las vistas de análisis, creación y edición de paneles, todos los widgets de gráficos |
| Básico + Planes de Prueba | Incluye acceso básico más análisis e informes de planes de prueba |
| Visual Studio Enterprise | Incluye todas las características básicas y las funcionalidades de análisis avanzadas |
Para obtener más información, vea Acerca de los niveles de acceso.
Autenticación para herramientas externas
Al conectar herramientas de informes externos a Azure DevOps, la autenticación segura es esencial:
- Usar tokens de Microsoft Entra: use la identidad de la organización para mejorar la seguridad y la administración centralizada. Para obtener más información, consulte Usar tokens de Microsoft Entra.
- Configurar aplicaciones de OAuth: configure flujos de OAuth seguros para integraciones que no son de Microsoft. Para más información, consulte Autorización del acceso a las API REST con OAuth 2.0.
- Utilice tokens de acceso personal (PAT) cuando sea necesario: cree tokens con los mínimos ámbitos necesarios solo cuando Microsoft Entra ID no esté disponible. Para obtener más información, consulte Uso de tokens de acceso personal.
- Crear cuentas de servicio: use cuentas dedicadas para las conexiones de herramientas de informes.
- Configurar la autenticación de Windows: integre con Active Directory para obtener acceso sin problemas. Para más información, consulte Configuración de grupos para su uso en Azure DevOps Server.
- Usar autenticación alternativa: habilite la autenticación basada en tokens para herramientas externas. Para más información, consulte Guía de autenticación para las API REST.
Seguridad de análisis
Permisos de acceso a datos
La seguridad de análisis se basa en el principio de herencia de la visibilidad de los datos de los proyectos de origen.
- Acceso basado en proyectos: los usuarios solo pueden ver los datos de análisis de los proyectos a los que tienen acceso. Para más información, consulte Cambio de permisos de nivel de proyecto.
- Visibilidad del elemento de trabajo: Analytics respeta los permisos de la ruta de área del elemento de trabajo. Para obtener más información, consulte Configurar permisos de seguimiento de trabajo.
- Acceso al repositorio: las métricas de código se filtran en función de los permisos del repositorio. Para obtener más información, consulte Establecimiento de permisos de repositorios Git.
- Visibilidad de la canalización: los análisis de compilación y lanzamiento siguen la configuración de seguridad de la canalización. Para más información, consulte Establecimiento de permisos de canalización.
Vistas de análisis
Controle el acceso a conjuntos de datos específicos a través de vistas de Analytics. Para obtener más información sobre cómo crear y administrar vistas de Analytics, consulte Creación de una vista de Análisis.
| Tipo de vista | Características de seguridad |
|---|---|
| Vistas compartidas | Accesible para todos los miembros del proyecto con los permisos adecuados |
| Vistas privadas | Solo es accesible para el creador |
| Visualizaciones de equipo | Restringido a miembros específicos del equipo |
Filtrado y privacidad de datos
Implemente el filtrado de datos para proteger la información confidencial:
- Configurar restricciones de ruta del área: Limite los datos analíticos a áreas de trabajo específicas. Para obtener más información, consulte Configurar permisos de seguimiento de trabajo.
- Aplicar seguridad de nivel de campo: ocultar los campos confidenciales de elementos de trabajo en los análisis. Para obtener más información, vea Agregar y modificar un campo.
- Administrar el acceso entre proyectos: controle la visibilidad en varios proyectos.
Seguridad del tablero de control
Permisos en el panel
Controlar quién puede ver, editar y administrar paneles. Para obtener instrucciones paso a paso sobre cómo configurar permisos de panel, consulte Establecimiento de permisos de panel.
| Nivel de Permisos | Capabilities |
|---|---|
| View | Visualización del panel y sus widgets |
| Edit | Modificación del diseño del panel y la configuración del widget |
| Administrar | Control total, incluida la administración de permisos y uso compartido |
| Eliminar | Quitar paneles de control y configuraciones asociadas |
Consideraciones sobre la seguridad del widget
Los distintos widgets tienen diferentes implicaciones de seguridad:
- Widgets basados en consultas: heredan la seguridad de las consultas de elementos de trabajo subyacentes. Para obtener más información, vea Establecimiento de permisos en consultas.
- Widgets de análisis: siga los permisos de visualización de análisis y el acceso al proyecto.
- Widgets externos: puede requerir otras consideraciones de autenticación y uso compartido de datos. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Widgets personalizados: la seguridad depende de la implementación y de los orígenes de datos. Para obtener más información, consulte Adición, cambio de nombre y eliminación de paneles.
Paneles de equipo y de proyecto
Administrar el acceso al panel en diferentes niveles organizativos:
- Paneles de equipo: los miembros del equipo y las partes interesadas del proyecto pueden acceder a estos paneles. Para obtener más información, consulte Agregar un equipo, pasar de un equipo predeterminado a varios equipos.
- Paneles del proyecto: todos los colaboradores del proyecto pueden acceder a estos paneles. Para más información, consulte Cambio de permisos de nivel de proyecto.
- Paneles personales: los usuarios individuales mantienen estos paneles privados.
- Paneles de la organización: toda la organización puede ver estos paneles. Para obtener más información, consulte Cambio de permisos en el nivel de organización o recopilación.
Para obtener más información sobre los tipos de panel y el acceso, vea Agregar, cambiar el nombre y eliminar paneles.
Seguridad de integración de Power BI
Seguridad del conector de datos
Al usar Power BI con Azure DevOps, implemente estas medidas de seguridad. Para obtener instrucciones de configuración detalladas, consulte Conexión al conector de datos de Power BI.
- Usar entidades de servicio con Microsoft Entra ID: implementar la autenticación basada en aplicaciones para la actualización automatizada con administración centralizada de identidades. Para obtener más información, consulte Usar tokens de Microsoft Entra.
- Configurar la seguridad de nivel de fila: filtre los datos de Power BI en función de la identidad del usuario.
- Administrar credenciales de actualización: almacenar y rotar de forma segura las credenciales del origen de datos mediante la autenticación de Microsoft Entra ID.
- Aplicar permisos de área de trabajo: controle el acceso a las áreas de trabajo de Power BI que contienen datos de Azure DevOps.
Privacidad de datos en Power BI
Protección de datos confidenciales al compartir informes de Power BI:
- Configurar etiquetas de confidencialidad de datos: aplique la clasificación adecuada a informes y conjuntos de datos.
- Implementar restricciones de uso compartido: controle quién puede acceder y compartir contenido de Power BI.
- Supervisión del uso de datos: realice un seguimiento de los patrones de acceso e identifique posibles problemas de seguridad.
- Aplicar restricciones de exportación: limite las funcionalidades de exportación de datos en función de las directivas de la organización.
Para más información sobre los procedimientos recomendados de seguridad de Power BI, consulte la baseline de seguridad de Power BI.
Auditoría y cumplimiento
Registro de auditoría
Realice un seguimiento de las actividades de análisis e informes a través de registros de auditoría completos:
- Supervisar el acceso al panel: realice un seguimiento de quién ve y modifica los paneles. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
- Exportaciones de datos de auditoría: registro cuando los usuarios exportan datos de análisis.
- Seguimiento de las conexiones de Power BI: supervise las conexiones de herramientas externas y el acceso a datos.
- Revisar los cambios de permisos: mantenga los registros de modificaciones de configuración de seguridad.
Retención y cumplimiento de datos
Implemente las directivas de retención de datos adecuadas:
- Configurar la retención de datos de análisis: establezca los períodos de retención adecuados para los datos históricos.
- Administrar el ciclo de vida del panel: establezca procesos para el archivado y eliminación del panel.
- Linaje de datos de documento: mantenga registros de orígenes de datos y transformaciones.
- Implementar informes de cumplimiento: genere informes para los requisitos normativos.
Para obtener más información sobre la protección de datos, consulte Introducción a la protección de datos.
Procedimientos recomendados para la seguridad de análisis e informes
Administración de acceso
- Aplicar el principio de privilegios mínimos: conceda acceso mínimo necesario para las necesidades de análisis e informes.
- Realizar revisiones de acceso periódicas: audite periódicamente los permisos de panel y análisis.
- Usar la administración basada en grupos: administre permisos a través de grupos de seguridad en lugar de asignaciones individuales.
- Implementar el acceso basado en función de roles: definir roles estándar para diferentes necesidades de informes.
Protección de los datos
- Clasificación de la confidencialidad de los datos: identifique y proteja métricas e informes confidenciales. Para obtener más información,consulte Información general sobre la protección de datos.
- Implementar enmascaramiento de datos: oculte o ofusque información confidencial en informes compartidos. Para obtener más información, vea Agregar y modificar un campo.
- Control de la exportación de datos: restrinja las funcionalidades de exportación masiva de datos en función de los roles de usuario. Para obtener más información, consulte Cambio de los niveles de acceso.
- Supervisión del acceso anómalo: observe si hay patrones inusuales en el acceso a los datos y los informes. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Seguridad de integración
- Protección de conexiones externas: use conexiones cifradas para todas las herramientas de informes externos. Para obtener más información, consulte Usar tokens de Microsoft Entra.
- Validar herramientas de terceros: asegúrese de que las herramientas de análisis externos cumplen los requisitos de seguridad. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Administrar la autenticación de Microsoft Entra: use la administración de identidades de la organización para integraciones externas en lugar de tokens individuales. Para obtener más información, consulte Usar tokens de Microsoft Entra.
- Supervisar el uso de la integración: realice un seguimiento del acceso a los datos a través de las API y las conexiones externas. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
Gobernanza de la organización
- Establecer estándares de informes: defina las herramientas y prácticas aprobadas para los informes de la organización. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Crear directivas de gobernanza de datos: implemente directivas para la precisión, la privacidad y el uso de los datos. Para obtener más información,consulte Información general sobre la protección de datos.
- Entrenar a los usuarios sobre la seguridad: informe a los equipos sobre prácticas de informes seguras y posibles riesgos. Para obtener más información, consulte Procedimientos recomendados de seguridad.
- Procedimientos de seguridad de documentos: mantener la documentación actualizada de las configuraciones y procesos de seguridad. Para obtener más información, consulte Acerca de los permisos y los grupos de seguridad.
Escenarios de seguridad comunes
Análisis de varios proyectos
Al implementar análisis en varios proyectos, establezca límites de seguridad claros:
Escenario de ejemplo: una organización con varios equipos de productos necesita informes consolidados al tiempo que mantiene el aislamiento del proyecto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
En esta configuración:
- Los miembros del equipo solo pueden acceder al análisis para sus proyectos asignados. Para más información, consulte Cambio de permisos de nivel de proyecto.
- Las métricas de servicios compartidos son visibles para todos los equipos para el seguimiento de dependencias.
- El panel ejecutivo proporciona métricas de alto nivel sin exponer detalles confidenciales del proyecto. Para obtener más información, consulte Establecimiento de permisos de panel.
- Las consultas entre proyectos están restringidas en función de los permisos de usuario. Para obtener más información, consulte Creación de una vista de Análisis.
Informes de partes interesadas externas
Administrar la seguridad al compartir informes con partes interesadas externas:
- Crear paneles específicos de las partes interesadas: diseñe vistas que muestren métricas relevantes sin detalles confidenciales.
- Usar acceso de solo lectura: Provea permisos de solo lectura para usuarios externos.
- Implementación del acceso limitado por tiempo: establezca fechas de expiración para el acceso de usuarios externos.
- Aplicar filtrado de datos: asegúrese de que los usuarios externos solo ven información aprobada.
Para obtener instrucciones sobre cómo administrar usuarios externos, consulte Incorporación de usuarios externos a su organización.
Informes de cumplimiento normativo
Para las organizaciones con requisitos de cumplimiento:
- Implementar seguimientos de auditoría: mantener registros detallados de todos los accesos a datos y modificaciones. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.
- Aplicar directivas de retención de datos: asegúrese de que los datos de análisis cumplen los requisitos de retención normativos. Para obtener más información,consulte Información general sobre la protección de datos.
- Controlar la ubicación de los datos: en el caso de las instancias en la nube, comprenda dónde se almacenan los datos de análisis. Para obtener más información, consulte Ubicaciones de datos para Azure DevOps.
- Generar informes de cumplimiento: cree informes estandarizados para envíos normativos. Para obtener más información, consulte Exportación de la lista de usuarios con niveles de acceso.
Lista de comprobación de configuración de seguridad
Configuración inicial
- [ ] Configure los niveles de acceso adecuados para los usuarios de análisis.
- [ ] Configure grupos de seguridad alineados con las necesidades de informes.
- [ ] Configurar permisos de proyectos para el acceso a analítica.
- [ ] Establezca los permisos del panel para los paneles de equipo y proyecto.
- [ ] Configure las vistas de Analytics con los controles de acceso adecuados.
- [ ] Establezca permisos de seguimiento de trabajo para controlar la visibilidad de los datos.
Integraciones externas
- [ ] Configure la autenticación de Microsoft Entra para herramientas de informes externos.
- [ ] Configure las conexiones de Power BI con la autenticación de Microsoft Entra ID.
- [ ] Configurar la seguridad a nivel de fila en Power BI para escenarios multicliente.
- [ ] Documente y apruebe todas las conexiones de herramientas externas.
Administración continua
- [ ] Realice auditorías periódicas de permisos para el acceso de análisis y paneles.
- [ ] Monitorizar los registros de auditoría en busca de actividad analítica inusual.
- [ ] Revise y actualice los permisos del panel a medida que cambian los equipos.
- [ ] Administre la autenticación de Microsoft Entra y rote las credenciales para las integraciones externas.
- [ ] Valide que el filtrado de datos de análisis funciona correctamente.