Usar o Flow para governança de dados direcional
Em algumas situações comerciais, você pode ter dados provenientes de fontes externas por meio de conectores, e esses dados vão para serviços que contêm suas informações comerciais importantes. Quando se trata de políticas de Prevenção contra Perdas de Dados (DLP), eles geralmente exigem que ambos os conectores conversem entre si. A parte complicada é garantir que os conectores apenas falem em uma direção e que seus valiosos dados comerciais não acidentalmente saiam para um terceiro. Chamamos isso de gerenciamento do fluxo de dados: verificar se ele só vai para onde deve ir. Isso é chamado de governança de dados direcional.
No momento, as políticas de DLP não tratam automaticamente da governança de dados direcional. Mas não se preocupe, você pode usar o Power Automate para identificar e interromper quaisquer fluxos que tentem enviar seus dados comerciais para lugares externos.
Eis um exemplo: digamos que sua organização queira usar o SharePoint para controlar os dados do Twitter. A preocupação aqui é que informações privadas possam acabar indo do SharePoint para o Twitter.
Para garantir que seus dados só se movam na direção certa, você começa criando uma política DLP no centro de administração do Power Platform. Nessa política, você agrupa os conectores do SharePoint e do Twitter como Dados comerciais. Dessa forma, você permite que as pessoas criem fluxos usando esses dois conectores, mas você também está se certificando de que seus dados permaneçam seguros e não acabem acidentalmente em mãos erradas.
A primeira etapa da governança de dados direcionais é criar uma política DLP, no Centro de administração do Power Platform, que inclui conectores do SharePoint e do Twitter no grupo de dados corporativos. Ao usar essa configuração, você permite aos criadores desenvolver fluxos que incluam esses dois conectores.
A seguir, você fará a transição para o Maker Portal do Power Automate e entrará com uma conta de administrador para criar o fluxo de governança. Seu objetivo é criar um fluxo agendado que será executado a cada hora.
Um gatilho de recorrência será adicionado automaticamente ao fluxo. Adicione uma ação Inicializar variável ao fluxo. Atribua o nome previousTimestamp a essa variável e inclua uma expressão
ticks(addMinutes(utcNow(),-60))
. Essa expressão calculará o número de tiques nos últimos 60 minutos. Você inclui essa expressão para verificar se algum fluxo foi criado ou modificado desde sua última execução, ou seja, há 60 minutos.Adicione outra variável chamada isFlowAction, que seja do tipo booliano e que tenha um valor padrão falso. Você usará essa variável posteriormente no fluxo, quando detectar que um fluxo inclui uma ação do Twitter.
Use o conector do Power Platform for Admins e a ação Listar Ambientes como Administrador, que fornecerá o fluxo com uma lista completa de ambientes no locatário. Execute um loop em cada ambiente para procurar fluxos que incluam ações do Twitter.
Depois de listar todos os ambientes, adicione o conector de Flow management e use a ação Listar Fluxos como Administrador, que fornecerá uma listagem de todos os fluxos de determinado ambiente.
A ação Listar Fluxos como Administrador exige o nome de um ambiente como parâmetro de entrada. Use a coluna Nome, que é retornada na chamada Listar Ambientes como Administrador. Depois que você fornecer essa entrada, uma ação Aplicar a cada será adicionada automaticamente, permitindo iterar em todos os ambientes.
Como você tem interesse apenas em explorar os fluxos recém-modificados, adicione uma condição ao fluxo e compare os tiques do carimbo de data/hora da última modificação no fluxo com a variável definida no fluxo anteriormente. Para realizar essa tarefa, use uma expressão para calcular os tiques do carimbo de data/hora da última modificação. A instrução completa é
ticks(items('Apply_to_each_2')?['properties']?['lastModifiedTime']) is greater than previousTimestamp
.Se detectar que um fluxo foi modificado nos últimos 60 minutos, verifique se ele pertence ao administrador. Essa verificação ajudará a evitar erros quando você tentar adicionar o administrador como coproprietário de um fluxo em uma etapa futura. Para detectar se o fluxo atual pertence ao administrador, use o conector de Usuários do Office 365 e a ação Obter meu perfil (v2). Essa etapa retornará informações sobre o usuário que estabeleceu uma conexão com o conector que, nesse caso, é o administrador. Em seguida, adicione a ação Usuários do Office 365 à ramificação Se sim.
Adicione outra condição para verificar se a ID de objeto do Criador (na ação Listar Fluxos como Administrador) não é igual a ID (na ação Obter meu perfil (V2)). Na ramificação Se sim, adicione a ação Editar Função do Proprietário do Fluxo como Administrador que pertence ao conector do Microsoft Flow for Admins. Essa ação adicionará o usuário administrador como coproprietário do fluxo e ajudará a extrair a definição do fluxo, o que exige que você seja um coproprietário do fluxo. Você recuperará a definição do fluxo em uma etapa posterior; por enquanto, preencha o Nome do Ambiente atual, o Nome do Fluxo atual e detalhes sobre o usuário administrador, como endereço de email, nome de exibição e ID. Esses valores ficam acessíveis na ação Obter meu perfil (V2).
Depois de adicionar uma conta de administrador como coproprietário do fluxo, você pode chamar a ação Obter Fluxo como Administrador no conector de Flow management.
As entradas da ação Obter Fluxo como Administrador incluem o Nome do Ambiente e o Nome do Fluxo atuais. A saída dessa ação inclui a definição do fluxo, que permite determinar se existe uma ação do Twitter.
Para verificar se uma ação do Twitter está em uso, adicione uma condição ao fluxo e verifique se o nome da API de Ações (na ação Obter Fluxo como Administrador) é igual a shared_twitter. Depois que você adicionar essa condição, um loop Aplicar a cada será aplicado porque o atributo de nome da API de Ações faz parte de uma matriz, já que cada fluxo pode ter várias ações.
Na ramificação Se sim, atualize a variável isFlowAction para defini-la como verdadeiro porque agora você encontrou um fluxo que inclui uma ação do Twitter. Você usará essa variável posteriormente no fluxo para determinar se é necessário desabilitar um fluxo e enviar um email para o respectivo proprietário.
Fora da variável Aplicar a cada, que permite iterar em todas as ações do fluxo, adicione outra condição. Essa condição verificará se o valor da variável isFlowAction é verdadeiro.
Na ramificação Se sim, adicione o conector do Microsoft Flow for Admins e selecione a ação Desativar Fluxo como Administrador. Com essa ação, você pode desabilitar o fluxo para que as informações não sejam enviadas ao Twitter. Para chamar essa ação, inclua o Nome do Ambiente e o Nome do Fluxo atuais.
Ao desabilitar o fluxo de um usuário, o ideal é enviar um email para que ele saiba que o fluxo não estará mais em execução. Para obter o endereço de email do proprietário do fluxo, use o conector de Usuários do Office 365 e a ação Obter perfil do usuário (V2) para retornar o endereço de email do proprietário. Para obter o endereço de email dele, adicione a ID de objeto do criador, que pode ser recuperada na ação Listar Fluxos como Administrador.
Envie um email para o proprietário do fluxo usando o conector do Office 365 Outlook e a ação Enviar um email (V2). Use as informações retornadas da ação Obter perfil do usuário (V2) para enviar esse email, incluindo os atributos Email e Nome Fornecido. Além disso, você pode incluir o nome do fluxo adicionando o atributo Nome de Exibição do Fluxo, encontrado na saída Listar Fluxos como Administrador.
Como você está executando um loop em todos os fluxos do locatário, defina a variável isFlowAction como falso para poder procurar outros fluxos que possam ter uma ação do Twitter. Você já pode salvar o fluxo administrativo.
Para testar o fluxo, entre no Maker Portal do Power Automate usando uma conta diferente. Crie um fluxo que inclua um gatilho do SharePoint e uma ação do Twitter. Esse cenário não será bloqueado pela política DLP, mas ele deve ser detectado pelo fluxo administrativo que você criou.
Você pode executar o fluxo Detectar Ações do Twitter que você criou anteriormente como administrador. Quando esse fluxo é executado, ele deve detectar se um fluxo foi modificado recentemente e se inclui uma ação do Twitter. Como resultado, um email é enviado para o proprietário do fluxo.
Se examinar o fluxo do SharePoint para o Twitter, você notará que ele foi desabilitado, como resultado da desabilitação do fluxo pelo administrador.
No entanto, a recuperação de informações do Twitter e o envio para o SharePoint não violam as regras de governança. Como resultado, você pode criar outro fluxo usando a conta do criador do fluxo, que inclui um gatilho do Twitter e uma ação do SharePoint. Quando você executa o fluxo de governança Detectar Ações do Twitter, ele permanece funcional e não é desabilitado por se tratar de um caso de uso permitido.