Gobernanza en Microsoft Dataverse: Checklist y recursos 2025
La gobernanza en Dataverse es el conjunto de políticas, procesos y reglas que aseguran un uso responsable, seguro y coherente de los datos dentro de esta plataforma de Microsoft. Su objetivo principal es garantizar que la información esté bien organizada, protegida y accesible para los usuarios adecuados, manteniendo siempre el cumplimiento normativo.
En Dataverse, la gobernanza incluye la definición de roles y permisos, la gestión de entornos de desarrollo y producción, el control sobre flujo de datos sensibles y la aplicación de normas de seguridad y privacidad. De esta forma, las organizaciones pueden evitar duplicidades, mejorar la calidad de los datos y reducir riesgos asociados a accesos no autorizados.
Una estrategia sólida de gobernanza en Dataverse también impulsa la productividad empresarial, ya que facilita la integración de datos entre aplicaciones como Power Apps, Power Automate o Dynamics 365. Al establecer estándares claros, los equipos logran mayor confianza en la información que utilizan para la toma de decisiones.
Como prometí ayer en mi sesión en el BizzSummit «El Expediente Warren: Entornos Sin Gobierno», aquí tenéis la presentación que utilicé con la checklist y los enlaces
Y aqui abajo os dejo mis notas clasificadas por tema, con el porqué de implantar cada control.
Material de referencia — Gobernanza Dataverse (2025)
1) Esenciales de Managed Environments
- Managed Environments — visión general
Por qué: paraguas de capacidades (control, menos esfuerzo, más insights) que desbloquea palancas clave de gobierno. - Limit sharing
Por qué: restringe lo ampliamente que se comparten apps y flows con solución para reducir sobreexposición accidental. - Usage insights (weekly digest)
Por qué: correo semanal con apps/flows top e inactivos; facilita limpieza y priorización. - Data policies (DLP)
Por qué: primera línea contra exfiltración: decide qué conectores se pueden usar y cómo combinarlos. - Maker welcome content
Por qué: muestra guías y normas de tu organización cuando un maker entra por primera vez; reduce “errores de novato”. - Solution Checker enforcement
Por qué: impone análisis estático y puede bloquear importaciones con violaciones críticas (seguridad/rendimiento). - IP Firewall
Por qué: allow‑lists de IP/red para controlar desde dónde se accede al entorno/Dataverse; incluye modo auditoría y ámbito por grupos de entornos. - IP cookie binding
Por qué: ata la cookie de sesión a la IP para mitigar cookie replay (robo/rehúso de sesión). - Customer Lockbox
Por qué: si Microsoft necesita acceder a tus datos (soporte crítico), tú apruebas/deniegas y queda auditado - Extended backup (retención ampliada)
Por qué: en managed prod sin apps Dynamics, permite extender retención de copias hasta 28 días vía PowerShell. - Control de apps permitidas (App access control)
Por qué: lista de apps cliente permitidas/bloqueadas a nivel de entorno (se valida el client app ID en autenticación).
2) Entornos & acceso
- Environment routing
Por qué: envía a los makers a su entorno personal en lugar del Default; ordena el “lobby” de la plataforma. - URLs e IPs de Power Platform
Por qué: rangos/URLs que debes permitir en red para que los servicios funcionen correctamente.
3) Conectores & políticas de datos
- DLP — visión general
Por qué: separa conectores de negocio/no negocio/bloqueados y controla combinaciones de datos. - Advanced Connector Policies (ACP) — preview
Por qué: nueva generación de control por entorno y grupos con granularidad moderna sobre conectores certificados. - Endpoint filtering — preview
Por qué: permite allow/deny por patrones de URL en conectores soportados para acotar destinos. - Tenant isolation
Por qué: restringe conexiones inbound/outbound entre tenants para conectores basados en Entra (evita puentes no autorizados).
4) Seguridad en Dataverse (roles, equipos, columnas)
- Modelo de seguridad (BU/Roles/Teams)
Por qué: base del principio de mínimo privilegio y separación de deberes. - Teams enlazados a grupos de Microsoft Entra
Por qué: gobierno escalable (permiso via pertenencia a grupos, just-in-time de usuarios). - Column‑level security (Field Security)
Por qué: protege PII/sensibles a nivel de columna, con opciones de ocultar/mostrar parcialmente. - Masking rules — preview
Por qué: ofusca patrones sensibles (p. ej., tarjetas, SSN, emails) sin exponer el dato completo
5) TDS endpoint (SQL de solo lectura)
- Controlar acceso al TDS endpoint
Por qué: habilita/inhabilita a nivel de entorno y controla por usuario con el privilegio “Allow user to access TDS endpoint”. - Usar SQL para consultar Dataverse (puertos)
Por qué: acceso read‑only vía SSMS/Power BI; ten en cuenta puertos 1433/5558.
6) Clasificación, etiquetado y cifrado
- Registrar/escANear Dataverse en Microsoft Purview
Por qué: inventario, escaneo y gobierno centralizado de activos Dataverse. - Sensitivity labels en Data Map (preview)
Por qué: aplica etiquetas de sensibilidad a activos para reforzar gobierno y privacidad. - Crear y publicar etiquetas de sensibilidad
Por qué: base de la protección de información (MIP) aplicada en toda la organización. - Customer‑Managed Key (CMK)
Por qué: controlas la clave en tu Azure Key Vault (rotación/revocación); refuerza soberanía. - Lock/Unlock por clave (CMK)
Por qué: bloquea o desbloquea entornos gestionados revocando/restaurando acceso a la clave.
7) Movimiento de datos para analítica
- Link to Microsoft Fabric (no‑copy)
Por qué: integra Dataverse con OneLake para analítica sin ETL/copia, manteniendo gobierno. - Azure Synapse Link for Dataverse
Por qué: exportación continua/near‑real‑time hacia ADLS/Synapse con estándares de seguridad de Power Platform.
8) Auditoría y observabilidad
- Auditoría en Dataverse
Por qué: registra accesos/cambios por entorno/tabla/columna con retención configurable - Power Apps activity logging (Microsoft Purview)
Por qué: búsqueda unificada de actividades (forense/compliance) en el portal de Purview. - Administrative logs en Purview
Por qué: auditoría de operaciones administrativas de Power Platform. - CoE Starter Kit — overview
Por qué: inventario, insights y automatizaciones para gobierno a escala.
9) ALM (ciclo de vida)
- Pipelines en Power Platform
Por qué: despliegues repetibles Dev→Test→Prod con gobernanza centralizada. - Power Platform Build Tools (Azure DevOps)
Por qué: CI/CD avanzado (export/import de soluciones, checker, aprovisionamiento). - GitHub Actions para Power Platform
Por qué: automatiza build/release desde repos GitHub con acciones oficiales.
10) Capacidad, límites y resiliencia
- Capacidad (DB/File/Log)
Por qué: visibilidad y gobierno de consumo para evitar bloqueos y costes sorpresa. - Service protection / API limits
Por qué: diseña integraciones respetando límites de protección del servicio. - Backups & restore
Por qué: copias automáticas y manuales; restauración según tipo de entorno/retención. - BCDR (continuidad y DR)
Por qué: cómo Microsoft asegura resiliencia y qué debes planificar tú (roles, procesos, RTO/RPO).
