Ativando os Ambientes Gerenciados
Este white paper descreve os principais recursos e funcionalidades dos Ambientes Gerenciados e seus benefícios para organizações e administradores.
Observação
Você pode salvar ou imprimir este white paper selecionando Imprimir no seu navegador e, em seguida, selecionando Salvar como PDF.
Visão geral de Ambientes Gerenciados
Ambientes Gerenciados são um conjunto de recursos de governança premium que permitem aos administradores de TI gerenciar o Power Platform em escala com mais controle, mais visibilidade e menos esforço. Qualquer tipo de ambiente pode ser gerenciado. Quando um ambiente é gerenciado, ele libera mais recursos no Power Platform. Saiba como habilitar Ambientes Gerenciados.
neste white paper, você aprenderá sobre os recursos a seguir e verá exemplos baseados em organizações que ativaram Ambientes Gerenciados:
- Os pipelines no Power Platform aplicam a automação do gerenciamento do ciclo de vida de aplicativos (ALM) para agilizar os processos de desenvolvimento com esforço reduzido.
- O Conteúdo de boas-vindas para criadores cumprimenta os criadores na organização com uma mensagem personalizada para ajudá-los a começar a usar o Power Apps.
- Limitar compartilhamento adiciona uma proteção sobre a abrangência com que os usuários podem compartilhar aplicativos de tela.
- Insights de uso é um email de resumo semanal que mantém os administradores informados sobre o uso dos aplicativos e as atividades dos usuários.
- As políticas de dados podem ser facilmente exibidas e identificadas.
- A Imposição do verificador de solução verifica suas soluções em relação a um conjunto de regras de melhores práticas para identificar padrões problemáticos.
- O firewall de IP protege seus dados organizacionais limitando o acesso do usuário ao Dataverse a endereços IP permitidos.
- Associação de cookie IP impede explorações de sequestre de sessão no Dataverse com associação de cookies baseada em endereço IP.
- A Chave gerenciada pelo cliente oferece proteção de dados adicional para criptografar seus dados usando a chave de criptografia do seu próprio cofre de chaves.
- O Sistema de Proteção de Dados do Cliente fornece uma interface em que você pode aprovar solicitações de acesso de dados do Suporte da Microsoft.
- O backup estendido estende o período de retenção de backup estendido de 7 para até 28 dias.
- A DLP para fluxo da área de trabalho controla modelos de fluxo da área de trabalho e ações do modelo individual no Power Automate.
- Exportar dados para o Application Insights ajuda com o diagnóstico e a solução de problemas relacionados a erros e desempenho.
- O catálogo no Power Platform promove a colaboração e a produtividade por meio do compartilhamento de artefatos do Power Platform em escala.
- O Roteamento de ambiente padrão direciona automaticamente novos criadores para seus próprios ambientes de desenvolvedor pessoais.
Pipelines no Power Platform
Os pipelines no Power Platform trazem melhores práticas de ALM, automação e recursos de integração contínua e entrega contínua (CI/CD) para o Power Platform e para clientes do Dynamics 365 de uma maneira mais acessível.
É comum nas organizações que os administradores de TI ou membros da equipe de governança forneçam orientações sobre como as soluções devem ser implantadas em diferentes ambientes. Pipelines gerenciados e regidos centralmente proporcionam aos criadores experiências de usuário intuitivas e implantação mais fácil de suas soluções.
Para usar pipelines para implantar uma solução de um ambiente, normalmente especificado como ambiente de origem para outro, normalmente especificado como ambiente de destino, você precisa identificar quais ambientes fazem parte dos pipelines. Os pipelines mais comuns são compostos por ambientes de Desenvolvimento/Teste/Produção ou Desenvolvimento/Validação/Teste/Produção. Veja um exemplo de um pipeline:
Recomendamos tornar todos os ambientes em um pipeline de Ambientes Gerenciados, mas os ambientes de desenvolvimento podem ser usados em um pipeline sem serem gerenciados.
Como uma melhor prática, as soluções de produtividade pessoal devem ser desenvolvidas em um ambiente de desenvolvimento pessoal, do qual poderão ser implantadas nos ambientes de destino usando pipelines. Você também pode considerar a configuração de pipelines ao criar novos ambientes para facilitar o ALM para projetos liderados por cidadãos e pró-desenvolvimento em escala.
Conteúdo de boas-vindas para criadores
Em Ambientes Gerenciados, os administradores podem fornecer conteúdo de boas-vindas personalizado para ajudar seus criadores a começar a usar o Power Apps. A mensagem de boas-vindas personalizada pode informar os criadores, na primeira vez que acessarem o Power Apps, sobre as regras da empresa e o que podem fazer em cada ambiente ou grupo de ambientes.
Veja algumas sugestões sobre como sua organização pode usar a mensagem de boas-vindas em cada tipo de ambiente. Incluir uma imagem que identifique o tipo de ambiente ou os proprietários para ajudar com a adoção do usuário e a prevenção de erros.
Ambiente padrão
O ambiente padrão costuma ser o ambiente mais restrito, com políticas DLP (prevenção contra perdas) e controles de compartilhamento. Criar uma mensagem de boas-vindas que avisa os criadores sobre restrições e possíveis limitações e incluir um link para o site ou o documento da política da sua organização.
Por exemplo, você pode querer informar aos criadores para usarem o ambiente padrão somente para as soluções relacionadas a aplicativos do Microsoft 365, para não usarem aplicativos de produção no ambiente padrão, e para compartilharem seus aplicativos de tela somente com um número limitado de pessoas. O exemplo a seguir mostra como criar essa mensagem nas configurações de Ambientes Gerenciados:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment
### Before you start, here are some considerations
Use this environment if you plan to build apps that integrate with Office 365.
Before you start, be aware of these limitations:
1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.
If you're not sure you're in the right place, follow [this guidance**](#).
Veja a mensagem de boas-vindas renderizada:
Ambientes de produção
Os ambientes de produção são normalmente usados para implantar soluções que dão suporte à empresa e à produtividade da equipe. É importante que os aplicativos e os dados estejam em conformidade com as políticas organizacionais. Como você precisa controlar quais usuários têm acesso ao ambiente de produção, é uma boa ideia informar os usuários se você tiver uma política de atualização de acesso. Você pode permitir mais conectores e aumentar os limites de compartilhamento em um ambiente de produção. Você também pode usar a mensagem de boas-vindas para informar os criadores para entrarem em contato para obter suporte. O exemplo a seguir mostra como criar essa mensagem:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment
### Before you start, here are some considerations
Use this environment if you're on the HR team and your data is located in Europe.
Before you start, be aware of these limitations:
1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Ambientes de desenvolvedor
Os ambientes de desenvolvimento são frequentemente mais usados, onde os desenvolvedores criam suas soluções. Como os desenvolvedores estão trabalhando nos aplicativos, eles não estão em produção e a escalabilidade é limitada. Normalmente os ambientes de desenvolvimento têm DLPs mais tranquilas devido à natureza dos criadores. Para evitar que os desenvolvedores usem ativos de produção em seus ambientes de desenvolvimento, limite o compartilhamento de recursos e use uma DLP específica para esse tipo de ambiente. Veja um exemplo de mensagem de boas-vindas para um ambiente de desenvolvimento:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment
### Before you start, here are some considerations
Use this environment if you're a developer and you're building solutions.
Before you start, be aware of these limitations:
1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Ambientes de área restrita
Normalmente, os ambientes de área restrita são usados para testar soluções. Como alguns testes envolvem um número significativo de usuários, esses ambientes são dimensionados até certo ponto e têm mais capacidade do que um ambiente de desenvolvedor. Os ambientes de área restrita também são normalmente usados como ambientes de desenvolvimento e normalmente são compartilhados por vários desenvolvedores. Veja um exemplo de mensagem de boas-vindas para esse ambiente:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment
### Before you start, here are some considerations
Use this environment only if you're testing solutions.
Before you start, be aware of these limitations:
1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Limitar compartilhamento
Em Ambientes Gerenciados, os administradores podem limitar a abrangência com que os usuários podem compartilhar aplicativos de tela. No entanto, o limite só se aplica ao futuro compartilhamento. Se você aplicar um limite de compartilhamento de 20 a um ambiente com aplicativos que já são compartilhados com mais de 20 usuários, esses aplicativos continuarão funcionando para todos os usuários com os quais os aplicativos foram compartilhados. Você deve ter um processo em vigor para informar os criadores sobre os aplicativos que são compartilhados com mais pessoas do que o novo limite para reduzir o número de usuários com os quais os aplicativos são compartilhados. Em alguns casos, você poderá decidir migrar a solução para outro ambiente. Os limites de compartilhamento se aplicam somente a aplicativos de tela.
Os administradores normalmente precisam controlar como os criadores compartilham seus aplicativos quando:
Os aplicativos são compartilhados em um ambiente de produtividade pessoal. Se você tiver um ambiente em que os usuários possam criar aplicativos para seu próprio trabalho, aplicativos sem valor comercial global os aplicativos sem suporte de TI, é importante que você não permita que os criadores compartilhe-os em toda a organização. Se os aplicativos começarem como aplicativos de produtividade pessoal, mas depois se tornarem populares e forem amplamente usados, esteja atento ao limite que você definiu para o compartilhamento. Um limite comum é entre 5 e 50 usuários.
Os aplicativos são compartilhados com grupos de segurança ou com todos. Os aplicativos que são compartilhados com um grupo de segurança podem ser executados por todos os membros do grupo. Em um ambiente de desenvolvedor, talvez você queira que o desenvolvedor controle como os aplicativos são compartilhados, em vez de depender da associação ao grupo. Em outros cenários, talvez você queira permitir o compartilhamento com todos. Se a política da sua organização é que os aplicativos sejam compartilhados com um grupo de segurança que inclua todos os usuários autorizados a executar o aplicativo e seja gerenciado pelo departamento de TI, talvez você queira restringir que os criadores compartilhem com outros grupos de segurança.
Veja os limites de compartilhamento comuns para cada tipo de ambiente:
Padrão: selecione Excluir compartilhamento com grupos de segurança, selecione Limitar total de indivíduos com quem compartilhar e selecione 20 para o valor.
Desenvolvedor: selecione Excluir compartilhamento com grupos de segurança, selecione Limitar total de indivíduos com quem compartilhar e selecione 5 para o valor.
Área restrita: marque Excluir compartilhamento com grupos de segurança e deixe a caixa de seleção Limitar total de indivíduos com quem compartilhar desmarcada. Use essa opção se os aplicativos forem compartilhados com um grupo de segurança gerenciado pela TI que inclua os usuários autorizados a executar o aplicativo. Se o criador, o usuário ou a equipe puder gerenciar quais usuários têm permissão para testar a solução, selecione Não definir limites (padrão).
Produção: selecione Não definir limites (padrão). Para controlar o compartilhamento com base em um grupo de segurança específico, selecione Excluir compartilhamento com grupos de segurança e deixe a caixa de seleção Limitar total de indivíduos com quem compartilhar desmarcada.
Insights de uso
Administradores e usuários autorizados podem ficar informados sobre o que está acontecendo em seus Ambientes Gerenciados com insights de uso e análises, entregues em um email de resumo semanal. Descubra quais aplicativos e fluxos são mais populares e quais estão inativos e podem ser limpos com segurança. Os links no email vão diretamente para o recurso para uma análise aprofundada.
Equipes de TI descentralizadas normalmente usam esse email para informar os diferentes administradores sobre o que está acontecendo com seus Ambientes Gerenciados, tornando o gerenciamento de destinatários uma tarefa importante. O número de destinatários é limitado, por isso recomendamos usar uma lista de distribuição de email como HR_Admins@contoso.com em vez de endereços individuais.
Políticas de dados
Uma estratégia de ambiente bem planejada inclui políticas de dados robustas. Os DLPs determinam quais conectores estão disponíveis e quais podem ser usados entre si. Várias DLPs podem estar ativas no mesmo ambiente, mas a DLP mais restritiva terá precedência. Por exemplo, se uma DLP permitir o uso do conector A e outra DLP bloquear o uso do conector A, o conector será bloqueado.
É comum que os ambientes tenham várias DLPs aplicadas, especialmente quando as DLPs são aplicadas por país/região, departamento ou equipe no mesmo ambiente. É essencial ter uma visualização clara de todas as políticas de dados que se aplicam a um ambiente. A maneira mais fácil de conseguir isso é gerenciar o ambiente. Em Ambientes Gerenciados, os administradores podem identificar facilmente todas as DLPs aplicadas.
Imposição do verificador de solução
É comum que uma equipe do Centro de Excelência (CoE) estabeleça proteções para reduzir o risco de os usuários importar soluções que não estejam em conformidade para um ambiente. Nos Ambientes Gerenciados, os administradores podem facilmente impor verificações de análise estática avançada das soluções em relação a um conjunto de regras de melhores práticas para identificar padrões problemáticos. As organizações com CoEs descentralizados geralmente acham necessário ativar a aplicação do verificador de solução junto com o envio de um email para entrar em contato proativamente com os criadores para oferecer suporte.
A aplicação do verificador de solução oferece três níveis de controle: Nenhum, Avisar e Bloquear. Os administradores configuram o efeito da verificação, seja para fornecer um aviso, mas permitir a importação, ou para bloquear totalmente a importação, ao mesmo tempo que também fornece informações sobre o resultado da importação ao criador.
As organizações que usam esse recurso configuram o efeito de forma diferente dependendo do tipo de ambiente. É normal haver exceções e essas orientações devem estar sempre alinhadas às suas necessidades. No entanto, veja as configurações mais comuns para a aplicação do verificador de solução em cada tipo de ambiente:
Padrão: selecione Bloquear e Enviar emails.
Desenvolvedor: selecione Avisar e deixe Enviar emails desmarcada.
Área restrita: selecione Avisar e deixe Enviar emails desmarcada.
Produção: selecione Bloquear e Enviar emails.
Ambiente do Teams: selecione Bloquear e Enviar emails.
Firewall do IP
Por padrão, todos os dados do Dataverse podem ser acessados por meio da API a partir de qualquer endereço IP, protegido por autenticação. As organizações geralmente restringem o acesso às fontes permitidas para mitigar ameaças internas como a exfiltração de dados. O firewall de IP nos Ambientes Gerenciados ajuda a proteger seus dados organizacionais no Dataverse, limitando o acesso do usuário somente a endereços IP permitidos. O firewall de IP analisa o endereço IP de cada solicitação em tempo real e nega a qualquer endereço não permitido.
As organizações geralmente configuram o firewall de IP para permitir conexões de suas instalações de escritório e restringir conexões externas. A melhor prática é utilizá-lo em conjunto com o acesso condicional para evitar políticas e dependências inconsistentes.
Dica
Se você configurar incorretamente essas políticas, talvez seja necessário solicitar assistência ao Suporte da Microsoft. Você pode limitar o acesso no Power Apps de usuários fora dos IPs permitidos e limitar as ações do Power Automate que foram permitidas anteriormente.
Associações de cookies de IP (bloquear ataques de repetição de cookies)
A associação de cookies baseada em endereço IP evita explorações de cookies da sessão, como ataques de repetição de cookies em Ambientes Gerenciados. Se for feita uma tentativa de acesso ao Dataverse em um computador não autorizado usando um cookie de sessão roubado de um computador autorizado que tenha a associação de cookies IP habilitada, a tentativa será bloqueada e o usuário será solicitado a autenticar novamente. O usuário deve autenticar novamente quando:
- Qualquer cliente VPN for ativado ou desativado.
- Estiver se conectando-se a um ponto de acesso sem fio.
- A conexão for redefinida pelo provedor de serviços de Internet.
- Um roteador for redefinido ou reiniciado.
Chave gerenciada pelo cliente
Uma chave gerenciada pelo cliente (CMK) é como um cadeado que você coloca em sua unidade de armazenamento. Em vez de confiar na forma como a empresa de armazenamento protege as instalações, você mantém a chave do cadeado e decide quem tem acesso à unidade. As organizações que devem cumprir leis e regulamentos relativos à segurança e confidencialidade de dados podem proteger seus dados criptografando-os em repouso com sua própria chave. Se uma cópia dos dados for roubada, ela não poderá ser restaurada em um servidor diferente sem a chave de criptografia.
Ao usar uma CMK, você garante que somente você terá acesso à chave para descriptografar as informações. Ninguém mais poderá obter acesso aos seus dados criptografados sem a chave de criptografia, incluindo a Microsoft.
A CMK oferece vantagens em relação ao modelo Bring Your Own Key (BYOK). Você pode usar chaves de criptografia diferentes ou várias chaves para ambientes separados e pode gerenciar melhor sua chave de criptografia em seu próprio cofre de chaves. A atualização de BYOK para CMK também abre seus ambientes para todos os outros serviços do Power Platform que usam armazenamento não SQL, como insights de clientes e análises, tamanhos maiores de carregamento de arquivos, armazenamento de auditoria mais econômico com retenção de auditoria, serviços de tabela elástica, pesquisa do Dataverse e retenção de longo prazo. Se a sua organização usa BYOK, recomendamos migrar para CMK.
As organizações que usam CMK devem ter procedimentos rigorosos para proteger e renovar as chaves de criptografia gerenciadas pelo cliente.
Sistema de Proteção de Dados do Cliente
A maioria das operações, suporte e solução de problemas realizados pelo pessoal da Microsoft não exigem acesso a dados do cliente. No entanto, em raras situações, o pessoal da Microsoft precisa de acesso limitado a dados do cliente para fins de investigação. A Microsoft tem um processo de aprovação interno em várias camadas para conceder acesso aos dados dos clientes quando necessário, mas muitas organizações precisam ou desejam mais controle sobre como a Microsoft pode acessar seus dados. Com o Sistema de Proteção de Dados do Cliente do Power Platform, os clientes podem revisar, aprovar e rejeitar solicitações de acesso a dados da Microsoft.
Quando o Sistema de Proteção de Dados do Cliente é ativado e seu tíquete de suporte exige que tenhamos acesso limitado aos seus dados, os administradores do Power Platform da sua organização recebem uma solicitação. Se for aprovada, o pessoal da Microsoft que está trabalhando no seu tíquete terá acesso aos dados somente no ambiente solicitado e somente por um determinado período. Além disso, o acesso não é renovado automaticamente. Sempre que o acesso aos dados for necessário, os administradores receberão uma nova solicitação do Sistema de Proteção de Dados do Cliente. Todas as solicitações e atualizações são registradas automaticamente no log de auditoria.
Backup estendido (7 a 28 dias)
Backups regulares e frequentes protegem seus dados no Power Platform e no Dataverse do risco de eventos adversos. Se você usar o Power Platform para criar ambientes de produção que tenham um banco de dados do Dataverse e aplicativos do Dynamics 365 instalados, será feito o backup desses ambientes automaticamente e ele será armazenado por até 28 dias. Se um ambiente de produção não tiver aplicativos do Dynamics 365 instalados, os backups serão armazenados por sete dias. No entanto, para Ambientes Gerenciados, os administradores podem usar o comando do PowerShell a seguir e estender o período de retenção do backup para 14, 21 ou 28 dias.
Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28
DLP para fluxos da área de trabalho
No Power Automate, você pode criar políticas de prevenção contra perda de dados que classificam módulos de fluxo de área da trabalho e ações de módulo individuais como Comerciais, Não Comerciais ou Bloqueados. Categorizá-las dessa maneira impede que os criadores combinem módulos e ações de diferentes categorias em um fluxo da área de trabalho ou entre um fluxo da nuvem e os fluxos da área de trabalho que ele usa, somente em Ambientes Gerenciados. Embora seja possível criar políticas DLP para fluxos da área de trabalho em ambientes não gerenciados, essas políticas não são aplicadas.
Por padrão, os grupos de ações de fluxos da área de trabalho não aparecem quando uma política de DLP está sendo criada. Um administrador deve ativar a configuração do locatário Mostrar ações de fluxo da área de trabalho em políticas DLP no centro de administração do Power Platform.
Qualquer pessoa na sua organização pode criar fluxos de área de trabalho do Windows no ambiente padrão. Ter uma estratégia DLP é tão importante para fluxos da área de trabalho quanto para fluxos da nuvem para garantir que os criadores cumpram as políticas organizacionais. Por exemplo, se as suas políticas bloquearem a execução de scripts nos PCs dos usuários, você deve impedir que os criadores criem fluxos da área de trabalho com uma ação Executar Script. Da mesma forma, se as suas políticas limitarem a utilização do conector HTTP em fluxos da nuvem, é uma boa ideia bloquear ações semelhantes nos fluxos da área de trabalho.
Se você não tiver certeza de como uma política DLP afetará os fluxos da área de trabalho dos seus criadores, use a ferramenta de análise de impacto de DLP no Kit de Automação.
Exportar dados para o Application Insights
O Application Insights pode receber diagnósticos e dados de desempenho do Dataverse que podem ser usados para diagnosticar e solucionar erros e problemas de desempenho. As organizações usam o Application Insights, um recurso do Azure Monitor, para obter mais controle sobre seus ativos.
Se tiver ambientes do Dataverse, você poderá usar o fluxo de dados para monitorar o desempenho de chamadas recebidas da API do Dataverse, chamadas de execução de plug-in do Dataverse e chamadas de SDK do Dataverse e para monitorar falhas em plug-ins e Operações do SDK do Dataverse. Você pode conectar seus aplicativos com o Application Insights para entender o que os usuários fazem com elas para a tomar melhores decisões de negócios e melhorar a qualidade de seus aplicativos. Por exemplo, a captura de tela a seguir mostra a contagem e a duração média de cada operação de um aplicativo baseado em modelo. Essas informações são úteis para identificar as operações que mais afetam os usuários do aplicativo.
Você pode usar o Application Insights junto com filtros para detectar qualquer fluxo que esteja com falhas e criar alertas. O exemplo a seguir mostra como criar um alerta personalizado e filtrar falhas em um fluxo da nuvem específico. Para obter mais exemplos, consulte Configurar a integração do Application Insights ao Power Automate.
let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false
Catálogo no Power Platform
O catálogo no Power Platform é um local central onde criadores e desenvolvedores podem descobrir e compartilhar soluções, modelos e componentes de código para reutilização em toda a organização. Ele também fornece um local central para os administradores armazenarem e manterem artefatos do Power Platform, com recursos de gerenciamento e fluxos de trabalho de aprovação para garantir a conformidade com os requisitos regulamentares e estatutários.
Os criadores e desenvolvedores enviam suas soluções, modelos e componentes para o catálogo para ajudar seus colegas a resolver problemas de negócios. Os administradores e aprovadores da linha de negócios revisam e aprovar esses envios. O catálogo serve como uma fonte única de verdade para artefatos do Power Platform, que podem ser selecionados e controlados para acelerar o valor para criadores e desenvolvedores. Ele simplifica o processo de localização, criação e compartilhamento de soluções e modelos, facilitando para as organizações aplicarem aplicativos a problemas de negócios e atingirem seus objetivos.
Organizações que incentivam desenvolvedores e criadores a criar e compartilhar componentes e modelos no catálogo podem obter mais valor sobre seu investimento no Power Platform. Apenas criar não é suficiente. Compartilhar os artefatos, em grande escala, promove comunidades e dá suporte a grupos que podem liberar valor de um conjunto diversificado de pessoas na organização. Na verdade, as organizações mais bem-sucedidas com o Power Platform adotam um modelo de equipe de fusão em que pró-desenvolvedores, criadores e administradores trabalham juntos para ajudar seus colegas de trabalho a obter o maior valor possível da plataforma, reutilizando soluções, modelos e componentes.
Roteamento de ambiente padrão
O roteamento do ambiente padrão é um recurso de governança, premium que os administradores do Power Platform podem usar para direcionar automaticamente novos criadores para seus próprios ambientes de desenvolvimento pessoais quando acessarem o Power Apps pela primeira vez. O roteamento de ambiente padrão oferece aos novos criadores um espaço pessoal e seguro para construir Microsoft Dataverse, sem medo de que outras pessoas acessem seus aplicativos ou dados.
Considerações para usar Ambientes Gerenciados
Você deve ter alguns tópicos em mente ao considerar o uso de Ambientes Gerenciados.
Governança: Ambientes Gerenciados, Kit de início do CoE ou ambos?
Ambientes Gerenciados são um conjunto de recursos projetados para tornar a governança do Power Platform mais fácil, proporcionando mais controle e exigindo menos esforço dos administradores, algo que muitas organizações aguardam ansiosamente. Os processos de governança de muitas organizações foram influenciados pelo Kit de início do CoE. Outros são baseados nos recursos prontos para uso do kit, estendidos para atender às necessidades específicas de uma organização. Outros ainda utilizam o Kit de início do CoE para expandir os recursos de governança dos Ambientes Gerenciados.
A equipe de engenharia para Ambientes Gerenciados trabalhou em estreita colaboração com o Power CAT, a equipe responsável pelo Kit de início do CoE, para identificar os recursos mais usados no kit e adicioná-los a Ambientes Gerenciados. Como resultado, alguns recursos estão disponíveis em ambos os produtos. Quando você usa Ambientes Gerenciados, os recursos do produto são gerenciados e têm suporte da Microsoft. Você não precisa atualizá-los ou mantê-los. Eles são atualizados automaticamente com os ciclos de lançamentos do Power Platform. Se a sua organização usa o Kit de início do CoE, é importante estabelecer e manter um processo interno para atualizá-lo mensalmente. Siga as sugestões apresentadas no Office Hours do Kit de início do CoE.
A abordagem recomendada é usar ambos: comece com Ambientes Gerenciados e preencha quaisquer lacunas com o Kit de início. Como decidir sobre usar Ambientes Gerenciados com o Kit de início do CoE.
Como o kit é voltado à comunidade, ele não está sujeito aos mesmos contratos de nível de serviço que nossos produtos licenciados. Acesse o site do GitHub para relatar bugs, fazer perguntas e solicitar novos recursos.
Se você planeja desativar Ambientes Gerenciados
É importante entender o que acontece se a sua organização parar de usar Ambientes Gerenciados. A tabela a seguir descreve os efeitos para criadores e administradores.
| Recurso | Impacto nos criadores | Impacto nos administradores |
|---|---|---|
| Boas-vindas para criadores | Indireto: eles deixarão de ver a mensagem de boas-vindas quando entrarem no ambiente. | Indireto: eles não poderão definir mensagens de boas-vindas personalizadas nos ambientes. |
| Limitar compartilhamento | Direto: eles poderão compartilhar seus aplicativos com qualquer grupo de segurança e usuário. | Indireto: eles não poderão controlar como os aplicativos no ambiente estão sendo compartilhados. |
| Insights de uso | Nenhum | Direto: eles e quaisquer outros destinatários deixarão de receber o resumo semanal por email. |
| Políticas de dados | Nenhum | Indireto: as DLPs serão aplicadas, mas os administradores não poderão aplicar várias DLPs ao ambiente. |
| Pipelines no Power Platform | Direto: eles não poderão usar os pipelines para implantar suas soluções. | Nenhum |
| Imposição do verificador de solução | Indireto: eles poderão importar qualquer solução sem verificar erros, segurança e ativos que que não estejam em conformidade. | Nenhum |
| Chave gerenciada pelo cliente | Nenhum | Indireto: o recurso é limitado. |
| Firewall do IP | Nenhum | Indireto: o recurso é limitado. |
| Sistema de Proteção de Dados do Cliente | Nenhum | Indireto: o recurso é limitado. |
| Backup estendido (7 a 28 dias) | Nenhum | Indireto: o recurso é limitado. |
| DLP para fluxos da área de trabalho | Direto: eles poderão executar ações bloqueadas anteriormente. | Nenhum |
| Exportar para o Application Insights | Nenhum | Indireto: o recurso é limitado. |
| Catálogo no Power Platform | Nenhum | Indireto: o recurso é limitado. |
Configurações comuns de Ambientes Gerenciados
Se estiver pensando em ativar Ambientes Gerenciados, você poderá achar úteis os seguintes exemplos de configurações para cada tipo de ambiente:
Ambiente padrão
- Limitar compartilhamento: exclui o compartilhamento com grupos, limita o compartilhamento a 20 pessoas
- Imposição do verificador de solução: bloqueia e envia emails
- Insights de uso: ativado
- Conteúdo de boas-vindas para criadores: personalizado, incluindo o link para saber mais
Ambiente de desenvolvedor
- Limitar compartilhamento: não definir limites
- Imposição do verificador de solução: avisa e não envia emails
- Insights de uso: desativado
- Conteúdo de boas-vindas para criadores: personalizado, incluindo o link para saber mais
Ambiente de área restrita
- Limitar compartilhamento: não definir limites
- Imposição do verificador de solução: avisa e não envia emails
- Insights de uso: ativado
- Conteúdo de boas-vindas para criadores: personalizado, incluindo o link para saber mais
Ambiente de produção
- Limitar compartilhamento: não definir limites
- Imposição do verificador de solução: bloqueia e envia emails
- Insights de uso: ativado
- Conteúdo de boas-vindas para criadores: personalizado, incluindo o link para saber mais
Ambiente do Teams
- Limitar compartilhamento: não definir limites
- Imposição do verificador de solução: bloqueia e envia emails
- Insights de uso: ativado
- Conteúdo de boas-vindas para criadores: nenhum conteúdo ou link "saiba mais"
Como decidir sobre usar Ambientes Gerenciados com o Kit de início do CoE
O Kit de início do CoE oferece um conjunto abrangente de recursos para administrar, governar e desenvolver a adoção do Power Platform. É um produto de nossa experimentação e inovação com um modelo de código aberto e low-code, fortemente influenciado pelos comentários dos clientes. Alguns de seus recursos se sobrepõem aos recursos de Ambientes Gerenciados, e está planejado para Ambientes Gerenciados eventualmente substituir alguns recursos do kit. À medida que Ambientes Gerenciados evoluem, continuamos adicionando novos recursos ao kit para avaliar o interesse. O Kit de início do CoE não se destina a duplicar recursos existentes em Ambientes Gerenciados. Ele se concentra na inovação e no atendimento às solicitações não atendidas dos clientes à medida que avaliamos os comentários sobre o que é necessário a seguir.
Você pode usar Ambientes Gerenciados sozinhos ou com o Kit de início do CoE para administrar e controlar sua adoção do Power Platform. Como saber qual opção escolher?
Nossa recomendação é começar com os recursos padrão do centro de administração do Power Platform e Ambientes Gerenciados. Eles são robustos e tem suporte total. Se você descobrir que precisa de mais recursos para administrar seu locatário, verifique se o Kit de início do CoE pode complementar o que você obtém pronto para uso em Ambientes Gerenciados. Cada organização precisa encontrar o melhor modelo híbrido que atenda às suas necessidades.
Kit de início do CoE versus Ambientes Gerenciados
Algumas diferenças importantes entre o Kit de início do CoE e Ambientes Gerenciados devem ser consideradas.
O Kit de início do CoE usa APIs e ações disponíveis publicamente para aplicar proteções à governança. Os processos de governança são assíncronos e acontecem de forma reativa. Digamos que sua organização precise restringir o compartilhamento de aplicativos a 20 usuários. O CoE só poderá reagir depois que o limite for excedido, resultando possivelmente em ativos que não estejam em conformidade. Por outro lado, Ambientes Gerenciados usam APIs privadas, integradas ao produto, que aplicam limites de compartilhamento antes que eles sejam ultrapassados.
Ambientes Gerenciados evoluem continuamente com base nos comentários dos clientes e no aprendizado dos clientes que usam o Kit de início do CoE. Alguns recursos se sobrepõem total ou parcialmente. Por outro lado, o Kit de início tem recursos que as organizações podem usar para fazer coisas que ainda não são possíveis com Ambientes Gerenciados e vice-versa. Recomendamos que você revise a Visão geral do Centro de Excelência (CoE).
A comparação a seguir dos recursos de Ambientes Gerenciados e do Kit de início do CoE deve ajudar a orientar suas decisões.
Recurso de Ambientes Gerenciados: Boas-vindas para o criador Disponível no Kit de início do CoE: parcialmente
- Em Ambientes Gerenciados, os administradores podem fornecer conteúdo de boas-vindas personalizado para cumprimentar os criadores em seu primeiro acesso ao Power Apps com informações sobre como começar. O Kit de início do CoE oferece um email de boas-vindas que é enviado aos novos criadores somente depois que eles criam seu primeiro aplicativo, fluxo ou bot.
- Ambientes Gerenciados se comunica com novos criadores diretamente no estúdio de criação. O Kit de início do CoE se comunica somente por email.
- Ambientes Gerenciados permitem que os administradores personalizem a mensagem de boas-vindas em cada ambiente. O Kit de início do CoE tem uma mensagem de boas-vindas em todos os ambientes.
Recurso de Ambientes Gerenciados: Limitar o compartilhamento Disponível no Kit de início do CoE: não em tempo real (reativo)
Os administradores podem definir limites de compartilhamento no Kit de início, mas eles não podem ser aplicados de forma proativa. Os limites de compartilhamento no kit são usados somente para enviar notificações e lembretes de conformidade para os criadores.
Recurso de Ambientes Gerenciados: Insights de uso Disponível no Kit de início do CoE: sim
- Ambas as soluções possuem boa visualização do inventário e insights de uso.
- O Kit de início do CoE combina seus dados de diagnóstico e de estoque com dados sobre seu locatário do Microsoft Entra ID, permitindo que você encontre seus criadores mais ativos por departamento, cidade ou país/região.
- Os relatórios do Kit de início usam o Power BI, o que significa que você pode "segmentar e dividir" os dados com base em seus requisitos e usar a segurança em nível de linha do Power BI para compartilhar painéis com outros grupos de administradores. Saiba como obter insights mais detalhados sobre a adoção do Power Platform com o painel do Power BI do CoE
Recurso de Ambientes Gerenciados: Políticas de dados Disponível no Kit de início do CoE: sim
O Kit de início do CoE inclui uma ferramenta de impacto de DLP que é útil para compreender o efeito em um ambiente da ativação ou desativação de DLPs específicas.
Recurso de Ambientes Gerenciados: Resumo semanal Disponível no Kit de início do CoE: parcialmente
- O Kit de início do CoE não tem um resumo semanal para administradores. Em vez disso, os administradores obtêm informações de um painel do Power BI.
- Em Ambientes Gerenciados, os aplicativos e fluxos inativos são destacados no email de resumo semanal. O Kit de início do CoE tem um processo de notificação de inatividade, que notifica os criadores sobre seus recursos inativos e solicita aprovação para excluí-los.
- Um dos principais objetivos de Ambientes Gerenciados e do Kit de início do CoE é fornecer mais insights que permitam que os administradores tomem medidas. O Kit de início do CoE leva vantagem aqui. Ele tem funcionalidades que direcionam o gerenciamento de recursos para os criadores, tornando-os responsáveis pelos seus próprios recursos e reduzindo a carga dos administradores.
Recurso de Ambientes Gerenciados: Pipelines no Power Platform Disponível no Kit de início do CoE: parcialmente
Parte do Kit de início do CoE contém outro kit chamado ALM Accelerator for Power Platform que tem recursos semelhantes a pipelines, incluindo alguma extensibilidade para integração entre ambas as soluções.
Recurso de Ambientes Gerenciados: Imposição do verificador de solução Disponível no Kit de início do CoE: não
Como essas soluções estão totalmente integradas ao produto, não há como o Kit de início do CoE verificá-las.
Recurso de Ambientes Gerenciados: Firewall de IP Disponível no Kit de início do CoE: não
Recurso de Ambientes Gerenciados: Bloquear ataques de repetição de cookies Disponível no Kit de início do CoE: não
Recurso de Ambientes Gerenciados: Chaves gerenciadas pelo cliente Disponível no Kit de início do CoE: não
Recurso de Ambientes Gerenciados: Sistema de Proteção de Dados do Cliente Disponível no Kit de início do CoE: não
Conclusão
Ambientes Gerenciados com recursos de governança premium são uma solução essencial para administradores de TI encarregados de gerenciar e governar a adoção do Power Platform em escala. Ao fornecer um conjunto robusto de ferramentas e controles, eles capacitam as equipes de governança a manter um equilíbrio delicado entre inovação e segurança. Com controles de acesso granulares, implantação simplificada de soluções e aplicação de políticas, Ambientes Gerenciados oferecem a base para que as organizações aproveitem com segurança todo o potencial do Power Platform garantindo conformidade, integridade de dados e desempenho ideal. Em uma era em que a governança de dados é fundamental, torne o Power Platform uma base nas estratégias de TI empresariais modernas, promovendo a eficiência e a tranquilidade tanto para administradores como para os stakeholders.