Partilhar via

Considerações de segurança e governação

  • Artigo

Muitos clientes perguntam-se como é que o Power Platform pode ser disponibilizado ao seu negócio mais amplo e suportado por TI? O governação é a resposta. O objetivo é permitir que os grupos empresariais se foquem na resolução de problemas de negócio de forma eficiente, ao mesmo tempo que cumprem os padrões de conformidade de TI e empresariais. Os conteúdos que se seguem destinam-se a estruturar temas frequentemente associados ao software de governação e a consciencializar para as capacidades disponíveis para cada tema, uma vez que se refere à governação do Power Platform.

Tema Perguntas comuns relacionadas com cada tema a que este conteúdo responde
Arquitetura
  • Quais são as construções e os conceitos básicos do Power Apps, Power Automate e Microsoft Dataverse?

  • Como é que estas construções se encaixam a nível de tempo de design e runtime?
Segurança
  • Quais são as práticas recomendadas para considerações de design de segurança?

  • Como posso utilizar as nossas soluções de gestão de utilizadores e grupos existentes para gerir funções de acesso e segurança Power Apps?
Alerta e Ação
  • Como posso definir o modelo de governação entre os programadores do cidadão e os serviços de TI geridos?

  • Como posso definir o modelo de governação entre as TI centrais e os administradores das unidades empresariais?

  • Como devo abordar o suporte para ambientes não predefinidos na minha organização?
Monitorizar
  • Como estamos a capturar dados de conformidade/auditoria?

  • Como posso medir a adoção e utilização na minha organização?

Arquitetura

É melhor familiarizar-se com ambientes como o primeiro passo para criar a história de governação adequada para a sua empresa. Os ambientes são os contentores para todos os recursos utilizados por um Power Apps, Power Automate e Dataverse. Visão geral de ambientes é uma boa cartilha, que deve ser seguida por O que é Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores e no local Gateways.

Segurança

Esta secção descreve os mecanismos existentes para controlar quem pode aceder a Power Apps num ambiente e aceder aos dados: licenças, ambientes, funções de ambiente, ID do Microsoft Entra, políticas de prevenção de perda de dados e conectores de administração que podem ser utilizados com o Power Automate.

Licenciamento

O acesso ao Power Apps e ao Power Automate começa com possuir uma licença. O tipo de licença que um utilizador tem determina os recursos e os dados a que um utilizador pode aceder. A tabela seguinte descreve as diferenças nos recursos disponíveis para um utilizador com base no tipo de plano, a partir de um nível alto. É possível encontrar detalhes de licenciamento granulares na Descrição geral de licenciamento.

Planear Descrição
Microsoft 365 Incluído Isto permite que os utilizadores expandam o SharePoint e outros ativos do Office que já tenham.
Dynamics 365 incluído Isto permite aos utilizadores personalizar e ampliar as aplicações de interação com os clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), que já têm.
Plano Power Apps Isto permite:
  • Preparar conectores empresariais e Dataverse acessíveis para utilização.
  • os utilizadores utilizam uma lógica de negócio robusta nos tipos de aplicação e capacidades de administração.
Power Apps Community Isso permite que um utente use Power Apps, Power Automate, Dataverse, e conectores personalizados em um único para uso individual. Não há capacidade de partilhar aplicações.
Power Automate Livre Isto permite que os utilizadores criem fluxos ilimitados e efetuem 750 execuções.
Plano Power Automate Consulte Guia de Licenciamento do Microsoft Power Apps e do Microsoft Power Automate.

Ambientes

Depois de os utilizadores terem licenças, existem ambientes como contentores para todos os recursos utilizados pelo Power Apps, Power Automate e Dataverse. Os ambientes podem ser usados para atingir diferentes públicos e/ou para diferentes finalidades, como desenvolvimento, teste e produção. É possível encontrar mais informações na descrição geral de ambientes.

Proteger os seus dados e a rede

  • Power Apps e Power Automate não forneça aos usuários acesso a quaisquer ativos de dados aos quais eles ainda não tenham acesso. Os utilizadores só devem ter acesso aos dados a que necessitam realmente de aceder.
  • As políticas de controlo de acesso à rede também podem ser aplicadas a Power Apps e Power Automate. No caso de um ambiente, pode bloquear-se o acesso a um local a partir de uma rede bloqueando a página de início de sessão para impedir que as ligações a esse site sejam criadas no Power Apps e Power Automate.
  • Num ambiente, o acesso é controlado a três níveis: Funções de ambiente, Permissões de recursos para o Power Apps, Power Automate, etc. e Direitos de acesso do Dataverse (se for aprovisionada uma base de dados do Dataverse).
  • Quando Dataverse é criado em um ambiente, as Dataverse funções assumem o controle da segurança no ambiente (e todos os administradores e criadores de ambiente são migrados).

As principais seguintes são suportadas para cada tipo de função.

Tipo de ambiente Função Tipo de principal (ID do Microsoft Entra)
Ambiente sem o Dataverse Função do ambiente Utilizador, grupo, inquilino
Permissão de recurso: aplicação Canvas Utilizador, grupo, inquilino
Permissão de recurso: Power Automate, conector personalizado, gateways, ligações1 Utilizador, grupo
Ambiente com o Dataverse Função do ambiente Utilizador
Permissão de recurso: aplicação Canvas Utilizador, grupo, inquilino
Permissão de recurso: Power Automate, conector personalizado, gateways, ligações1 Utilizador, grupo
Função de Dataverse (aplicável a todas as aplicações e componentes condicionados por modelo) Utilizador

1Apenas determinadas ligações (como SQL) podem ser partilhadas.

Nota

  • No ambiente predefinido, é concedido acesso a todos os utilizadores de um inquilino à função de criador do ambiente.
  • Os usuários com a Power Platform função Administrador têm acesso de administrador a todos os ambientes.

FAQ - Que permissões existem ao nível do Microsoft Entra inquilino?

Hoje, os admins do Microsoft Power Platform podem fazer o seguinte:

  1. Transferir o relatório de licenças de Power Apps e Power Automate
  2. Criar política DLP com foco apenas em "Todos os Ambientes" ou para incluir/excluir ambientes específicos
  3. Gerir e atribuir licenças através do centro de administração do Office
  4. Aceder a todas as capacidades de gestão de ambiente, aplicação e fluxo para todos os ambientes no inquilino disponíveis através de:
    • Power Apps Cmdlets do PowerShell para admin
    • Conectores de gestão Power Apps
  5. Aceda a análise de admin do Power Apps e Power Automate para todos os ambientes no inquilino:

Considere Microsoft o Intune

Os clientes com Microsoft o Intune podem definir políticas de proteção de aplicativos móveis para aplicativos Power Apps e Power Automate aplicativos em Android e iOS. Esta explicação passo a passo destaca a definição de uma política através do Intune para o Power Automate.

Considerar acesso condicional baseado na localização

Para clientes com ID do Microsoft Entra P1 ou P2, as políticas de acesso condicionais podem ser definidas no Azure para Power Apps e Power Automate. Isto permite conceder ou bloquear o acesso com base em: utilizador/grupo, dispositivo, localização.

Criar uma política de acesso condicional

  1. Iniciar sessão no https://portal.azure.com.
  2. Selecione Acesso Condicional.
  3. Selecione + Nova Política.
  4. Selecione usuários e grupos selecionados.
  5. Selecione Todas as aplicações de cloud>Todas as aplicações de cloud>Common Data Service para controlar o acesso a aplicações de cativação de clientes.
  6. Aplicar condições (risco de utilizador, plataformas de dispositivos, localizações).
  7. Selecione Criar.

Impedir a fuga de dados com políticas para impedir a perda de dados

As políticas de prevenção contra perda de dados (DLP) impõem regras para as quais os conectores podem ser usados juntos, classificando os conectores como Somente Dados Corporativos ou Sem Dados Corporativos permitidos. Simplesmente, se colocar um conector no grupo apenas de dados de negócio, ele só poderá ser utilizado com outros conectores desse grupo na mesma aplicação. Os administradores do Power Platform podem definir políticas aplicáveis a todos os ambientes.

FAQ

P: Posso controlar, ao nível do inquilino, qual o conector disponível, por exemplo, Não para Dropbox ou Twitter, mas Sim para o SharePoint?

R: Isto é possível utilizando as capacidades dos conectores de classificação e atribuindo o classificador Bloqueado a um ou mais conectores que pretende evitar que sejam utilizados. Note que há um conjunto de conectores que não podem ser bloqueados.

P: e quanto à partilha de conectores entre utilizadores? Por exemplo, o conector para o Teams é um conector general que pode ser partilhado?

R: Os conectores estão disponíveis para todos os usuários, exceto para conectores premium ou personalizados, que precisam de outra licença (conectores premium) ou precisam ser explicitamente compartilhados (conectores personalizados)

Alerta e ação

Além do monitoramento, muitos clientes querem se inscrever em eventos de criação, uso ou integridade de software para saber quando executar uma ação. Esta secção descreve alguns meios para observar eventos (manual e programaticamente) e efetuar ações acionadas pela ocorrência de um evento.

Criar fluxos Power Automate para alertar sobre eventos chave de auditoria

  1. Um exemplo de alerta que pode ser implementado é a inscrição nos registos de auditoria de segurança e conformidade do Microsoft 365.
  2. Isto pode ser conseguido através de uma subscrição webhook ou abordagem de consulta. No entanto, ao anexar o Power Automate a estes alertas, podemos fornecer aos administradores mais do que apenas alertas de correio eletrónico.

Criar as políticas necessárias com o Power Apps, Power Automate e o PowerShell

  1. Estes cmdlets do PowerShell colocam o controlo total nas mãos dos administradores para automatizar as políticas de governação necessárias.
  2. Os conectores de gerenciamento fornecem o mesmo nível de controle, mas com extensibilidade e facilidade de uso adicionais usando Power Apps e Power Automate.
  3. Existem os seguintes modelos Power Automate para conectores de administração para aumentar rapidamente:
    1. Listar novos Power Automate conectores
    2. Obter lista de novos Power Apps, Power Automate fluxos e conectores
    3. Envie-me um resumo semanal de Office 365 Centro de Mensagens avisos
    4. Aceda Office 365 aos registos de segurança e conformidade a partir de Power Automate
  4. Utilize este modelo de blogue e aplicação para ficar a par rapidamente dos conectores de administração.
  5. Além disso, vale a pena verificar o conteúdo partilhado na Galeria de aplicações da Comunidade, eis outro exemplo de uma experiência de administração criada com o Power Apps e os conectores de administração.

FAQ

Problema Atualmente, todos os usuários com Microsoft licenças E3 podem criar aplicativos no ambiente padrão. Como podemos ativar os direitos do Criador de Ambientes para um grupo selecionado, por exemplo. Dez pessoas para criar aplicativos?

Recomendação Os cmdlets do PowerShell e os conectores de gerenciamento fornecem total flexibilidade e controle aos administradores para criar as políticas que desejam para sua organização.

Monitorizar

É bem entendido que o monitoramento é um aspeto crítico do gerenciamento de software em escala. Esta secção destaca alguns meios para obter informações Power Apps , Power Automate desenvolvimento e uso.

Rever o registo de auditoria

O registo de atividades para Power Apps está integrado com o Centro de Conformidade e Segurança do Office para um registo abrangente em Microsoft serviços como Dataverse e Microsoft 365. O Office fornece uma API para consultar estes dados, que atualmente são utilizados por muitos fornecedores SIEM para utilizar os dados de registo de atividades para relatórios.

Ver o relatório de licenças do Power Apps e do Power Automate

  1. Aceda ao centro de administração do Power Platform.

  2. Selecione Análise>Power Automate ou Power Apps.

  3. Ver análise de admin do Power Apps e Power Automate

    Pode obter informações sobre o seguinte:

    • Utilizadores ativos e utilização de aplicações – quantos utilizadores estão a utilizar uma aplicação e com que frequência?
    • Localização - onde está a utilização?
    • Desempenho do serviço dos conectores
    • Relatório de erros – que são as aplicações mais sujeitas a erros
    • Fluxos em utilização por tipo e data
    • Fluxos criados por tipo e data
    • Auditoria a nível da aplicação
    • Estado de funcionamento do serviço
    • Conectores usados

Ver que utilizadores estão licenciados

Pode sempre olhar para o licenciamento individual dos utilizadores no centro de administração do Microsoft 365, entrando nos detalhes de utilizadores específicos.

Também pode utilizar o seguinte comando PowerShell para exportar licenças de utilizador atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de utilizador atribuídas (Power Apps e Power Automate) no seu inquilino para um ficheiro .csv de vista em tabela. O ficheiro exportado contém planos de avaliação internos de inscrição de serviço autónomo e planos originados do ID do Microsoft Entra. Os planos de avaliação internos não são visíveis para admins no centro de administração do Microsoft 365.

A exportação pode demorar algum tempo para os inquilinos com um grande número de utilizadores Power Platform.

Ver recursos da aplicação utilizados num ambiente

  1. No centro de administração do Power Platform, selecione os Ambientes no menu de navegação.
  2. Selecionar um ambiente.
  3. Opcionalmente, a lista de recursos usados em um ambiente pode ser baixada como um .csv.

Consulte também

Use as práticas recomendadas para proteger e controlar Power Automate ambientes
Microsoft Power Platform Kit Inicial do Centro de Excelência (CoE)