Responder às solicitações de direitos do titular dos dados (DSR) para excluir dados do cliente do Power Apps

O "direito de apagar" pela remoção de dados pessoais dos dados do cliente de uma organização é uma proteção essencial no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE). A remoção de dados pessoais inclui a eliminação de logs gerados pelo sistema, mas não informações de log de auditoria.

O Power Apps permite que os usuários criem aplicativos de linha de negócios que são uma parte crítica das operações diárias da organização. Quando um usuário sair da organização, você precisará analisar manualmente e determinar se deve excluir certos dados e recursos que ele criou. Outros dados pessoais serão automaticamente excluídos sempre que a conta do usuário for excluída do Microsoft Entra.

Este é detalhamento entre dados pessoais que serão automaticamente excluídos e dados que exigirão revisão manual e exclusão:

Exige revisão manual a exclusão	Excluído automaticamente quando o usuário é excluído do Microsoft Entra
Ambiente**	Gateway
Permissões do ambiente***	Permissões de gateway
Aplicativo de tela/página personalizada**	Notificações do Power Apps
Permissões de aplicativo de tela	Configurações do usuário do Power Apps
Conexão**	Configurações do aplicativo de usuário do Power Apps
Permissões de conexão
Conector personalizado**
Permissões de conector personalizado

** Cada um desses recursos contém registros "Criado por" e "Modificado por" que incluem dados pessoais. Por motivos de segurança, esses registros serão mantidos até o recurso ser excluído.

*** Para ambientes que incluam um banco de dados do Microsoft Dataverse, as permissões do ambiente (ou seja, os usuários que são atribuídos às funções Criador de Ambiente e Administrador) são armazenadas como registros nesse banco de dados. Para obter orientações sobre como responder a DSRs para usuários do Dataverse, consulte Responder a solicitações de Direitos do Titular dos Dados (DSR) para dados do cliente do Dataverse.

Para os dados e recursos que exigem revisão manual, o Power Apps oferece as seguintes experiências para reatribuir (se necessário) ou excluir dados pessoais para um usuário específico:

• Acesso ao site: Site do Power Apps, Centro de administração da Power Platform e Portal de Confiança do Serviço do Microsoft 365

• Acesso ao PowerShell: cmdlets do Power Apps para criadores de aplicativos e administradores e cmdlets para gateways locais.

Veja o detalhamento das experiências disponíveis para excluir cada tipo de recurso que pode conter dados pessoais:

Recursos que contêm dados pessoais	Acesso ao site	Acesso ao PowerShell
Environment	Centro de administração do Power Platform	Cmdlets do Power Apps
Permissões do ambiente**	Centro de administração do Power Platform	Cmdlets do Power Apps
Aplicativo de tela/página personalizada	Centro de administração do Power Platform Power Apps	Cmdlets do Power Apps
Permissões de aplicativo de tela	Centro de administração do Power Platform	Cmdlets do Power Apps
Conexão		Criador de aplicativo: disponível Administrador: disponível
Permissões de conexão		Criador de aplicativo: disponível Administração: disponível
Conector personalizado		Criador de aplicativo: disponível Administração: disponível
Permissões de conector personalizado		Criador de aplicativo: disponível Administrador: disponível

** Com a introdução do Dataverse, se o banco de dados for criado no ambiente, as permissões do ambiente e as permissões de aplicativos baseados em modelo serão armazenadas como registros no ambiente desse banco de dados. Para obter orientações sobre como responder a DSRs para usuários do Dataverse, consulte Responder a solicitações de Direitos do Titular dos Dados (DSR) para dados do cliente do Dataverse.

Pré-requisitos

Para usuários

Qualquer usuário que tenha uma licença do Power Apps válida poderá realizar as operações de usuário descritas neste documento usando o Power Apps ou cmdlets do PowerShell para criadores de aplicativos.

Locatário não gerenciado

Se você for membro de um locatário não gerenciado, poderá seguir as etapas descritas nesta parte para remover seus próprios dados pessoais. Você deve seguir as instruções descritas em Etapa 13: excluir o usuário de Microsoft Entra para excluir sua própria conta do locatário.

Para determinar se você é membro de um locatário não gerenciado, siga estas etapas:

1. Abra a seguinte URL em um navegador e substitua o seu endereço de email na URL: https://login.microsoftonline.com/common/userrealm/name@contoso.com?api-version=2.1

2. Se você for membro de um locatário não gerenciado, verá "IsViral": true na resposta.

{
  ...
  "Login": "name@unmanagedcontoso.com",
  "DomainName": "unmanagedcontoso.com",
  "IsViral": true,
  ...
}

3. Caso contrário, você pertence a um locatário gerenciado.

Para administradores

Para executar as operações administrativas descritas neste documento usando o centro de administração do Power Platform, o centro de administração do Power Automate ou cmdlets do PowerShell para administradores do Power Apps, você precisará dos seguintes itens:

• Um plano pago do Power Apps ou uma avaliação do plano do Power Apps. Você pode inscrever-se em uma avaliação de 30 dias em https://make.powerapps.com/trial. É possível renovar licenças de avaliação caso expirem.

• Permissões de Administrador global do Microsoft 365 ou Administrador global do Microsoft Entra se você precisar pesquisar os recursos de outro usuário. (Observe que os administradores de ambiente só têm acesso aos ambientes e recursos de ambientes para os quais eles têm permissões.)

Etapa 1: Excluir ou reatribuir todos os ambientes criados pelo usuário

Como administrador, você precisa tomar duas decisões ao processar uma solicitação de exclusão de DSR para cada ambiente que o usuário criou:

1. Se você determinar que o ambiente não está sendo usado por mais alguém na organização, você poderá optar por excluir o ambiente.

2. Se determinar que o ambiente ainda é necessário, você poderá optar por não excluir o ambiente e adicionar você mesmo (ou outro usuário da sua organização) como um administrador de ambiente.

Importante

Ao excluir um ambiente, você excluirá definitivamente todos os recursos do ambiente, inclusive todos os aplicativos, fluxos, conexões etc. Analise o conteúdo de um ambiente antes da exclusão.

Dar acesso aos ambientes de um usuário

Um administrador pode conceder acesso administrativo a um ambiente seguindo estas etapas:

1. No Centro de administração da Power Platform, selecione um ambiente para conceder privilégios de administrador a você ou a outro usuário em sua organização.

2. Se o ambiente foi criado pelo usuário a partir da solicitação de DSR, emAcesso, Administrador de ambiente, selecione Ver tudo.

Excluir ambientes criados por um usuário

Um administrador pode analisar e excluir os ambientes criados por um usuário específico seguindo estas etapas:

1. No Centro de administração da Power Platform, selecione um ambiente.

2. Se o ambiente tiver sido criado por solicitação DSR do usuário, selecione Excluir e prossiga com as etapas para excluir o ambiente.

Dê acesso aos ambientes de um usuário usando o PowerShell

Um administrador pode atribuir a ele mesmo (ou outro usuário da organização) o acesso a todos os ambientes criados por um usuário por meio da função Set-AdminPowerAppEnvironmentRoleAssignment nos cmdlets do PowerShell para administradores do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$myUserId = $global:currentSession.UserId

#Assign yourself as an admin to each environment created by the user
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Set-AdminPowerAppEnvironmentRoleAssignment -RoleName EnvironmentAdmin -PrincipalType User -PrincipalObjectId $myUserId

#Retrieve the environment role assignments to confirm
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Get-AdminPowerAppEnvironmentRoleAssignment

Importante

Isso funciona somente em ambientes que não têm um ambiente de banco de dados no Dataverse.

Exclua os ambientes criados por um usuário por meio do PowerShell

Um administrador pode excluir todos os ambientes criados por um usuário usando a função Remove-AdminPowerAppEnvironment nos cmdlets do PowerShell para administradores do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

# Retrieve all environments created by the user and then delete them
Get-AdminPowerAppEnvironment -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppEnvironment

Etapa 2: Exclua as permissões do usuário para todos os outros ambientes

Os usuários podem receber permissões (como Administrador de ambiente e Criador de ambiente) em um ambiente, que são armazenadas no serviço do Power Apps como uma "atribuição de função". Com a introdução do Dataverse, se um banco de dados for criado no ambiente, essas "designações de função" serão armazenadas como registros no ambiente desse banco de dados.

Para ambientes sem um banco de dados do Dataverse

Centro de administração da Power Platform

Um administrador pode excluir permissões de um usuário começando pelo centro de administração do Power Platform, seguindo estas etapas:

1. No Centro de administração da Power Platform, selecione um ambiente.

   Você deve ser um administrador global do Microsoft 365 ou um administrador global do Microsoft Entra para poder revisar todos os ambientes que foram criados na sua organização.

2. Se o seu ambiente não tiver um banco de dados do Dataverse, você verá uma seção Acesso. Em Acesso, selecione Administrador de ambiente ou Criador de ambiente e selecione Ver tudo.

   

3. Selecione um usuário, selecione Remover para remover sua permissão e, em seguida, selecione Continuar.

PowerShell

Um administrador poderá excluir todas as atribuições de função de ambiente para um usuário em todos os ambientes sem um banco de dados do Dataverse, usando a função Remove-AdminPowerAppEnvironmentRoleAssignment nos cmdlets do PowerShell para administradores do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all environment role assignments for the user for environments without a Dataverse database and delete them
Get-AdminPowerAppEnvironmentRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppEnvironmentRoleAssignment

Importante

Isso funciona somente para ambientes que não têm um ambiente de banco de dados no Dataverse.

Para ambientes COM um banco de dados do Dataverse

Com a introdução do Dataverse, se um banco de dados for criado no ambiente, essas "atribuições de função" serão armazenadas como registros no ambiente desse banco de dados. Consulte a seguinte documentação sobre como remover dados pessoais de um ambiente de banco de dados no Dataverse: remoção de dados pessoais de usuário do Common Data Service

Etapa 3: Excluir ou reatribuir todos os aplicativos de tela pertencentes a um usuário

Reatribuir aplicativos de tela de um usuário usando cmdlets PowerShell de administração do Power Apps

Se um administrador optar por não excluir aplicativos de tela de um usuário, ele poderá reatribuir os aplicativos pertencentes a um usuário usando a função AdminPowerAppOwner nos cdmlets PowerShell de administração do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"
$newAppOwnerUserId = "72c272b8-14c3-4f7a-95f7-a76f65c9ccd8"

#find all apps owned by the DSR user and assigns them a new owner
Get-AdminPowerApp -Owner $deleteDsrUserId | Set-AdminPowerAppOwner -AppOwner $newAppOwnerUserId

Exclua um aplicativo de tela de usuário usando o site do Power Apps

Um usuário pode excluir um aplicativo do site do Power Apps. Para saber as etapas completas sobre como excluir um aplicativo, consulte como excluir um aplicativo.

Exclua um aplicativo de tela de usuário usando o centro de administração do Power Platform

Um administrador pode excluir aplicativos criados por um usuário seguindo estas etapas:

1. No Centro de administração da Power Platform, selecione um ambiente.

   Você deve ser um administrador global do Microsoft 365 ou um administrador global do Microsoft Entra para poder revisar todos os ambientes que foram criados na sua organização.

2. Em Recursos, selecione Power Apps.

3. Selecione um aplicativo e, em seguida, selecione Excluir>Excluir da nuvem.

Excluir um aplicativo de tela de usuário usando cmdlets do PowerShell de administração do Power Apps

Se um administrador optar por excluir todos os aplicativos de tela de um usuário, ele poderá fazer isso usando a função Remove-AdminApp nos cdmlets PowerShell de administração do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all apps owned by the DSR user and deletes them
Get-AdminPowerApp -Owner $deleteDsrUserId | Remove-AdminPowerApp

Etapa 4: Exclua as permissões do usuário para aplicativos de tela

Sempre que um aplicativo é compartilhado com um usuário, o Power Apps armazena um registro chamado "atribuição de função" que descreve as permissões do usuário (CanEdit ou CanUse) para o aplicativo. Para obter mais informações, consulte Compartilhar um artigo de aplicativo.

Nota

As atribuições de função do aplicativo serão excluídas quando o aplicativo for excluído. A atribuição de função do proprietário de aplicativo só pode ser excluída atribuindo um novo proprietário para o aplicativo.

Para excluir permissões de usuário para um aplicativo de tela, consulte Versão preliminar: compartilhar um aplicativo baseado em modelo. Para a etapa 5, remova em vez de adicionar uma função da lista.

Cmdlets PowerShell para administradores

Um administrador pode excluir todas as atribuições de função de aplicativo de tela do usuário por meio da função Remove-AdminPowerAppRoleAssignment em cmdlets do PowerShell do administrador do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#find all app role assignments for the DSR user and deletes them
Get-AdminPowerAppRoleAssignment -UserId $deleteDsrUserId | Remove-AdminPowerAppRoleAssignment

Etapa 5: Excluir conexões criadas por um usuário

Conexões são usadas junto com conectores ao estabelecer a conectividade com outras APIs e sistemas SaaS. As conexões não incluem referências ao usuário que as criou e, como resultado, podem ser excluídas para remover referências ao usuário.

Cmdlets PowerShell de criadores do aplicativo

Um usuário pode excluir todas as suas conexões usando a função Remove-AdminPowerAppConnection nos cmdlets do PowerShell para criadores de aplicativos:

Add-PowerAppsAccount

#Retrieves all connections for the calling user and deletes them
Get-AdminPowerAppConnection | Remove-AdminPowerAppConnection

Cmdlets PowerShell de administradores do Power Apps

Um administrador pode excluir todas as conexões de um usuário por meio da função Remove-AdminPowerAppConnection nos cmdlets do PowerShell do administrador do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connections for the DSR user and deletes them
Get-AdminPowerAppConnection -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnection

Etapa 6: Exclua as permissões do usuário para conexões compartilhadas

Cmdlets PowerShell de criadores do aplicativo

Um usuário pode excluir todas as suas atribuições de função de conexão para conexões compartilhadas usando a função Remove-AdminPowerAppConnectionRoleAssignment nos cmdlets do PowerShell para criadores de aplicativos:

Add-PowerAppsAccount

#Retrieves all connection role assignments for the calling users and deletes them
Get-AdminPowerAppConnectionRoleAssignment | Remove-AdminPowerAppConnectionRoleAssignment

Nota

As atribuições de função de proprietário não podem ser excluídas sem excluir o recurso de conexão.

Cmdlets PowerShell para administradores

Um administrador pode excluir todas as atribuições de função de conexão do usuário por meio da função Remove-AdminPowerAppConnectionRoleAssignment em cmdlets do PowerShell do administrador do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all connection role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectionRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectionRoleAssignment

Etapa 7: Excluir conectores personalizados criados pelo usuário

Os conectores personalizados complementam os conectores existentes prontos para uso e permitem a conectividade a outras APIs, SaaS e sistemas desenvolvidos personalizados. Talvez você queira transferir a propriedade do conector personalizado para outros usuários da organização ou excluir o conector personalizado.

Cmdlets PowerShell de criadores do aplicativo

Um usuário pode exibir todos os conectores personalizados por meio da função Remove-AdminPowerAppConnector nos cmdlets do PowerShell para criadores de aplicativos:

Add-PowerAppsAccount

#Retrieves all custom connectors for the calling user and deletes them
Get-AdminPowerAppConnector | Remove-AdminPowerAppConnector

Cmdlets PowerShell para administradores

Um administrador pode excluir todos os conectores personalizados criados por um usuário por meio da função Remove-AdminPowerAppConnector nos cmdlets do PowerShell do administrador do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connectors created by the DSR user and deletes them
Get-AdminPowerAppConnector -CreatedBy $deleteDsrUserId | Remove-AdminPowerAppConnector

Etapa 8: Excluir as permissões do usuário para conectores personalizados compartilhados

Cmdlets PowerShell de criadores do aplicativo

Um usuário pode excluir todas as atribuições de função de conector para conectores personalizados compartilhados com a função Remove-AdminPowerAppConnectorRoleAssignment nos cmdlets do PowerShell para criadores do aplicativo:

Add-PowerAppsAccount

#Retrieves all connector role assignments for the calling users and deletes them
Get-AdminPowerAppConnectorRoleAssignment | Remove-AdminPowerAppConnectorRoleAssignment

Nota

As atribuições de função de proprietário não podem ser excluídas sem excluir o recurso de conexão.

Cmdlets PowerShell para administradores

Um administrador pode excluir todas as atribuições de função de conector personalizado para um usuário por meio da função Remove-AdminPowerAppConnectorRoleAssignment em cmdlets do PowerShell do administrador do Power Apps:

Add-PowerAppsAccount
$deleteDsrUserId = "0ecb1fcc-6782-4e46-a4c4-738c1d3accea"

#Retrieves all custom connector role assignments for the DSR user and deletes them
Get-AdminPowerAppConnectorRoleAssignment -PrincipalObjectId $deleteDsrUserId | Remove-AdminPowerAppConnectorRoleAssignment

Etapa 9: Excluir dados pessoais do usuário no Power Automate

As licenças do Power Apps sempre incluem recursos do Power Automate. Além de ser incluído em licenças do Power Apps, o Power Automate também está disponível como um serviço autônomo. Para obter orientações sobre como responder a DSRs para usuários que usam o serviço do Power Automate, consulte Responder a Solicitações do Titular dos Dados (RGPD) para o Power Automate.

Importante

É recomendável que os administradores executem essa etapa para um usuário do Power Apps.

Etapa 10: Excluir dados pessoais do usuário no Microsoft Copilot Studio

Recursos do Power Apps criados no Microsoft Copilot Studio. O Microsoft Copilot Studio também está disponível como um serviço autônomo. Para obter orientações sobre como responder a solicitações de DSR para dados de serviço do Microsoft Copilot Studio, consulte Responder às Solicitações do Titular dos Dados do Microsoft Copilot Studio.

Importante

É recomendável que os administradores executem essa etapa para o usuário do Power Apps.

Etapa 11: Encontrar dados pessoais do usuário no centro de administração do Microsoft 365

Alguns mecanismos de comentários no Power Apps estão integrados ao centro de administração do Microsoft 365. Para obter orientações sobre como excluir dados de comentários armazenados pelo centro de administração do Microsoft 365, consulte Como posso ver os comentários do meu usuário?. Um administrador global do Microsoft Entra pode gerenciar esses dados no centro de administração do Microsoft 365 sem a necessidade de licenças do Microsoft 365 ou do Office.

Importante

É recomendável que os administradores executem essa etapa para um usuário do Power Apps.

Etapa 12: Excluir dados pessoais do usuário em ambientes do Dataverse

Certas licenças do Power Apps, incluindo o plano para desenvolvedores do Power Apps, oferece aos usuários de sua organização a possibilidade de criar ambientes do Dataverse e para criar e compilar aplicativos no Dataverse. O plano para desenvolvedores do Power Apps é uma licença gratuita que permite aos usuários experimentar o Dataverse em um ambiente individual. Consulte a página de preços do Power Apps para a qual os recursos são incluídos em cada licença do Power Apps.

Para obter orientações sobre como responder a DSRs para usuários que usam o Dataverse, consulte Responder a solicitações de Direitos do Titular dos Dados (DSR) para dados do cliente do Dataverse.

Importante

É recomendável que os administradores executem essa etapa para o usuário do Power Apps.

Etapa 13: Excluir o usuário do Microsoft Entra

Ao concluir as etapas anteriores, a etapa final será excluir a conta do usuário do Microsoft Entra.

Locatário gerenciado

Como um administrador de locatário do Microsoft Entra gerenciado, você pode excluir a conta de usuário seguindo as etapas descritas na documentação de solicitação de titular de dados do Azure (RGPD) que pode ser encontrada no Portal de Confiança do Serviço do Microsoft 365.

Locatário não gerenciado

Se você for membro de um locatário não gerenciado, precisará cumprir as seguintes etapas para excluir a sua conta do locatário do Microsoft Entra:

Nota

Consulte a seção de locatário não gerenciada anterior para verificar como detectar se você é membro de um locatário não gerenciado ou gerenciado.

1. Conecte-se com a sua conta Microsoft Entra.

2. Selecione Fechar conta e siga as instruções para excluir sua conta do locatário do Microsoft Entra.