Considerações de segurança e governação no Power Platform

Muitos clientes perguntam-se como é que o Power Platform pode ser disponibilizado ao seu negócio mais amplo e suportado por TI? O governação é a resposta. O objetivo é permitir que os grupos empresariais se foquem na resolução de problemas de negócio de forma eficiente, ao mesmo tempo que cumprem os padrões de conformidade de TI e empresariais. Os conteúdos que se seguem destinam-se a estruturar temas frequentemente associados ao software de governação e a consciencializar para as capacidades disponíveis para cada tema, uma vez que se refere à governação do Power Platform.

Tema	Perguntas comuns relacionadas com cada tema a que este conteúdo responde
Arquitetura	Quais são as construções e os conceitos básicos do Power Apps, Power Automate e Microsoft Dataverse? Como é que estas construções se encaixam a nível de tempo de design e runtime?
Segurança	Quais são as práticas recomendadas para considerações de design de segurança? Como uso as nossas soluções de gestão de utilizadores e grupos existentes para gerir funções de acesso e de segurança no Power Apps?
Alerta e Ação	Como posso definir o modelo de governação entre os programadores do cidadão e os serviços de TI geridos? Como posso definir o modelo de governação entre as TI centrais e os administradores das unidades empresariais? Como devo abordar o suporte para ambientes não predefinidos na minha organização?
Monitorizar	Como estamos a capturar dados de conformidade/auditoria? Como posso medir a adoção e utilização na minha organização?

Arquitetura

É melhor familiarizar-se com ambientes como o primeiro passo para criar a história de governação adequada para a sua empresa. Os ambientes são os contentores para todos os recursos utilizados por um Power Apps, Power Automate e Dataverse. Descrição geral de Ambientes é um bom preparador que deve ser seguido pelo O que é o Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores e Gateways no Local.

Segurança

Esta secção descreve os mecanismos existentes para controlar quem pode aceder a Power Apps num ambiente e aceder aos dados: licenças, ambientes, funções de ambiente, ID do Microsoft Entra, políticas de prevenção de perda de dados e conectores de administração que podem ser utilizados com o Power Automate.

Licenciamento

O acesso ao Power Apps e ao Power Automate começa com possuir uma licença. O tipo de licença que um utilizador tem determina os recursos e os dados a que um utilizador pode aceder. A tabela seguinte descreve as diferenças nos recursos disponíveis para um utilizador com base no tipo de plano, a partir de um nível alto. É possível encontrar detalhes de licenciamento granulares na Descrição geral de licenciamento.

Planear	Descrição
Microsoft 365 Incluído	Isto permite que os utilizadores expandam o SharePoint e outros ativos do Office que já tenham.
Dynamics 365 incluído	Isto permite aos utilizadores personalizar e ampliar as aplicações de interação com os clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), que já têm.
Plano Power Apps	Isto permite: Preparar conectores empresariais e Dataverse acessíveis para utilização. os utilizadores utilizam uma lógica de negócio robusta nos tipos de aplicação e capacidades de administração.
Power Apps Community	Isto permite que um utilizador utilize Power Apps, Power Automate, Dataverse e os conectores personalizados num só para utilização individual. Não há capacidade de partilhar aplicações.
Power Automate Livre	Isto permite que os utilizadores criem fluxos ilimitados e efetuem 750 execuções.
Plano Power Automate	Consulte Guia de Licenciamento do Microsoft Power Apps e do Microsoft Power Automate.

Ambientes

Depois de os utilizadores terem licenças, existem ambientes como contentores para todos os recursos utilizados pelo Power Apps, Power Automate e Dataverse. Os ambientes podem ser utilizados para diferentes públicos-alvo e/ou para diferentes finalidades como, por exemplo, desenvolvimento, teste e produção. É possível encontrar mais informações na descrição geral de ambientes.

Proteger os seus dados e a rede

• Power Apps e Power Automate não fornecem aos utilizadores acesso a quaisquer ativos de dados aos quais não tenham acesso. Os utilizadores só devem ter acesso aos dados a que necessitam realmente de aceder.
• As políticas de controlo de acesso à rede também podem ser aplicadas a Power Apps e Power Automate. No caso de um ambiente, pode bloquear-se o acesso a um local a partir de uma rede bloqueando a página de início de sessão para impedir que as ligações a esse site sejam criadas no Power Apps e Power Automate.
• Num ambiente, o acesso é controlado a três níveis: Funções de ambiente, Permissões de recursos para o Power Apps, Power Automate, etc. e Direitos de acesso do Dataverse (se for aprovisionada uma base de dados do Dataverse).
• Quando o Dataverse é criado num ambiente, as funções Dataverse assumem o controlo para controlar a segurança no ambiente (e todos os administradores e criadores de ambiente são migrados).

As principais seguintes são suportadas para cada tipo de função.

Tipo de ambiente	Função	Tipo de principal (ID do Microsoft Entra)
Ambiente sem o Dataverse	Função do ambiente	Utilizador, grupo, inquilino
	Permissão de recurso: aplicação Canvas	Utilizador, grupo, inquilino
	Permissão de recurso: Power Automate, conector personalizado, gateways, ligações1	Utilizador, grupo
Ambiente com o Dataverse	Função do ambiente	Utilizador
	Permissão de recurso: aplicação Canvas	Utilizador, grupo, inquilino
	Permissão de recurso: Power Automate, conector personalizado, gateways, ligações1	Utilizador, grupo
	Função de Dataverse (aplicável a todas as aplicações e componentes condicionados por modelo)	Utilizador

¹Apenas determinadas ligações (como SQL) podem ser partilhadas.

Nota

• No ambiente predefinido, é concedido acesso a todos os utilizadores de um inquilino à função de criador do ambiente.
• Os utilizadores com a função de Administrador do Power Platform têm acesso de administrador a todos os ambientes.

FAQ — Quais as permissões existentes a um nível de inquilino do Microsoft Entra?

Hoje, os admins do Microsoft Power Platform podem fazer o seguinte:

1. Transferir o relatório de licenças de Power Apps e Power Automate
2. Criar política DLP com foco apenas em "Todos os Ambientes" ou para incluir/excluir ambientes específicos
3. Gerir e atribuir licenças através do centro de administração do Office
4. Aceder a todas as capacidades de gestão de ambiente, aplicação e fluxo para todos os ambientes no inquilino disponíveis através de:
   • Power Apps Cmdlets do PowerShell para admin
   • Conectores de gestão Power Apps
5. Aceda a análise de admin do Power Apps e Power Automate para todos os ambientes no inquilino:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Considere o Microsoft Intune

Os clientes com o Microsoft Intune podem definir políticas de proteção de aplicação móvel para as aplicações Power Apps e Power Automate no Android e iOS. Esta explicação passo a passo destaca a definição de uma política através do Intune para o Power Automate.

Considerar acesso condicional baseado na localização

Para clientes com ID do Microsoft Entra P1 ou P2, as políticas de acesso condicionais podem ser definidas no Azure para Power Apps e Power Automate. Isto permite conceder ou bloquear o acesso com base em: utilizador/grupo, dispositivo, localização.

Criar uma política de acesso condicional

1. Iniciar sessão no https://portal.azure.com.
2. Selecione Acesso Condicional.
3. Selecione + Nova Política.
4. Selecione utilizadores e grupos selecionados.
5. Selecione Todas as aplicações de cloud>Todas as aplicações de cloud>Common Data Service para controlar o acesso a aplicações de cativação de clientes.
6. Aplicar condições (risco de utilizador, plataformas de dispositivos, localizações).
7. Selecione Criar.

Impedir a fuga de dados com políticas para impedir a perda de dados

As políticas de prevenção de perda de dados (DLP) impõem regras para as quais conectores podem ser utilizados em conjunto, classificando os conectores como Apenas Dados de Negócio ou Sem Dados de Negócio Permitidos. Simplesmente, se colocar um conector no grupo apenas de dados de negócio, ele só poderá ser utilizado com outros conectores desse grupo na mesma aplicação. Os administradores do Power Platform podem definir políticas aplicáveis a todos os ambientes.

FAQ

P: Posso controlar, ao nível do inquilino, qual o conector disponível, por exemplo, Não para Dropbox ou Twitter, mas Sim para o SharePoint?

R: Isto é possível utilizando as capacidades dos conectores de classificação e atribuindo o classificador Bloqueado a um ou mais conectores que pretende evitar que sejam utilizados. Há um conjunto de conectores que não podem ser bloqueados.

P: e quanto à partilha de conectores entre utilizadores? Por exemplo, o conector para o Teams é um conector general que pode ser partilhado?

R: Os conectores estão disponíveis para todos os utilizadores, com a exceção de conectores premium ou personalizados, que necessitam de uma outra licença (conectores Premium) ou que têm de ser partilhados explicitamente (conectores personalizados)

Alerta e ação

Para além da monitorização, muitos clientes querem subscrever eventos de criação de software, utilização ou funcionamento, para que saibam quando efetuar uma ação. Esta secção descreve alguns meios para observar eventos (manual e programaticamente) e efetuar ações acionadas pela ocorrência de um evento.

Criar fluxos Power Automate para alertar sobre eventos chave de auditoria

1. Um exemplo de alerta que pode ser implementado é a inscrição nos registos de auditoria de segurança e conformidade do Microsoft 365.
2. Isto pode ser conseguido através de uma subscrição webhook ou abordagem de consulta. No entanto, ao anexar o Power Automate a estes alertas, podemos fornecer aos administradores mais do que apenas alertas de correio eletrónico.

Criar as políticas necessárias com o Power Apps, Power Automate e o PowerShell

1. Estes cmdlets do PowerShell colocam o controlo total nas mãos dos administradores para automatizar as políticas de governação necessárias.
2. Os conectores de Power Platform for Admins V2 (Pré-visualização) e Gestão do Power Automate fornecem o mesmo nível de controlo, mas com extensibilidade adicional e facilidade de utilização ao usar o Power Apps e o Power Automate.
3. Reveja as melhores práticas de administração e governação do Power Platform e considere configurar o Kit de Iniciação do Centro de Excelência (CoE).
4. Utilize este modelo de blogue e aplicação para ficar a par rapidamente dos conectores de administração.
5. Além disso, vale a pena verificar o conteúdo partilhado na Galeria de aplicações da Comunidade, eis outro exemplo de uma experiência de administração criada com o Power Apps e os conectores de administração.

FAQ

Problema Atualmente, todos os utilizadores com licenças Microsoft E3 podem criar aplicações no Ambiente predefinido. Como podemos ativar os direitos do Criador de Ambientes para um grupo selecionado, por exemplo. Dez pessoas para criar aplicações?

Recomendação

Os cmdlets do PowerShell e os Conectores de gestão fornecem flexibilidade e controlo completos aos administradores para criarem as políticas pretendidas para a sua organização.

Monitorizar

É bem entendido que a monitorização é um aspeto crítico da gestão de software em escala. Esta secção destaca algumas formas de obter informações no desenvolvimento e utilização do Power Apps e Power Automate.

Rever o registo de auditoria

O registo de atividade para Power Apps está integrado com o centro de conformidade e segurança do Office para registo abrangente em todos os serviços da Microsoft, como o Dataverse e o Microsoft 365. O Office fornece uma API para consultar estes dados, que atualmente são utilizados por muitos fornecedores SIEM para utilizar os dados de registo de atividades para relatórios.

Ver o relatório de licenças do Power Apps e do Power Automate

1. Aceda ao centro de administração do Power Platform.

2. Selecione Análise>Power Automate ou Power Apps.

3. Ver análise de admin do Power Apps e Power Automate

   Pode obter informações sobre o seguinte:

   • Utilizadores ativos e utilização de aplicações – quantos utilizadores estão a utilizar uma aplicação e com que frequência?
   • Localização - onde está a utilização?
   • Desempenho do serviço dos conectores
   • Relatório de erros – que são as aplicações mais sujeitas a erros
   • Fluxos em utilização por tipo e data
   • Fluxos criados por tipo e data
   • Auditoria a nível da aplicação
   • Estado de funcionamento do serviço
   • Conectores usados

Ver que utilizadores estão licenciados

Pode sempre olhar para o licenciamento individual dos utilizadores no centro de administração do Microsoft 365, entrando nos detalhes de utilizadores específicos.

Também pode utilizar o seguinte comando PowerShell para exportar licenças de utilizador atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de utilizador atribuídas (Power Apps e Power Automate) no seu inquilino para um ficheiro .csv de vista em tabela. O ficheiro exportado contém planos de avaliação internos de inscrição de serviço autónomo e planos originados do ID do Microsoft Entra. Os planos de avaliação internos não são visíveis para admins no centro de administração do Microsoft 365.

A exportação pode demorar algum tempo para os inquilinos com um grande número de utilizadores Power Platform.

Ver recursos da aplicação utilizados num ambiente

1. No centro de administração do Power Platform, selecione os Ambientes no menu de navegação.
2. Selecionar um ambiente.
3. Opcionalmente, é possível transferir a lista de recursos utilizados num ambiente como uma .csv.

Informações relacionadas

• Utilizar as melhores práticas para proteger e governar os ambientes do Power Automate
  
• Kit de Iniciação do Centro de Excelência (CoE) do Microsoft Power Platform