Usar o Flow para governança de dados direcional

Concluído

Em algumas situações de negócios, os dados podem vir de fontes externas por meio de conectores e ser incluídos em serviços que também contêm informações de negócios importantes. Normalmente, esses conectores se comunicam entre si. Com as políticas de DLP (Prevenção contra Perda de Dados), o desafio é garantir que os conectores se comuniquem apenas em uma direção, evitando que seus valiosos dados de negócios sejam enviados acidentalmente a terceiros. O gerenciamento do fluxo de dados para garantir que eles sejam enviados apenas aos locais adequados é chamado de governança de dados direcional.

No momento, as políticas de DLP não lidam automaticamente com a governança de dados direcional. Porém, você pode usar o Power Automate para interceptar e impedir que qualquer fluxo envie seus dados de negócios a terceiros.

Aqui está um exemplo: suponha que sua organização queira usar o SharePoint para monitorar as postagens no X (antigo Twitter). Sem controles em vigor, suas informações de negócios podem fluir do SharePoint para o X.

Para garantir que os dados se movam apenas na direção correta (do X para seu SharePoint), siga estas etapas:

  1. Crie uma política de DLP no Centro de administração do Power Platform para incluir os conectores do SharePoint e do X no grupo de dados de Negócios. Isso permite que os criadores criem fluxos usando ambos os conectores.

    Captura de tela da Página de políticas de dados do Centro de administração do Microsoft Power Platform na etapa Atribuir conectores, mostrando os conectores do X e do SharePoint.

  2. Em seguida, entre no Power Automate Maker Portal usando sua conta de administrador para criar um fluxo de governança. Você cria um fluxo agendado que é executado a cada hora.

  3. No menu lateral esquerdo da Tela inicial, selecione +Criar e Fluxo da nuvem agendado. Dê um Nome de fluxo a seu fluxo, uma data e hora de início e selecione a repetição a cada 1 hora; depois, selecione Criar.

    Captura de tela de Criar um fluxo agendado com o Nome do fluxo definido como Detectar Ações do X.

    Um gatilho de recorrência será adicionado automaticamente ao fluxo.

  4. Em seguida, você cria uma variável que calcula o número de "tiques" de 60 minutos atrás até agora. (Um tique é uma pequena unidade de tempo.) Use a variável desta etapa mais adiante no fluxo para ver se algum fluxo foi criado ou modificado desde a última execução do fluxo, há 60 minutos.

  5. Selecione o sinal + sob o gatilho Recorrência, e o menu Adicionar uma ação será exibido. Em Pesquisar, digite Inicializar variável e role para baixo pelos resultados para encontrar a ação Inicializar variável. (Está nas ações de Variável.)

  6. Selecione o título Inicializar variável e renomeie a ação como Inicializar variável - Timestamp Hour Ago. Em Nome, nomeie-o como previousTimestamp. Em Tipo, selecione Inteiro. Coloque o cursor no campo Valor e você verá a opção de selecionar um raio (para adicionar conteúdo dinâmico de uma etapa anterior) ou fx (para adicionar uma expressão). Você vai inserir uma expressão, então, selecione fx.

    Insira esta fórmula, ticks(addMinutes(utcNow(),-60)), e selecione Adicionar.

    Captura de tela da página Meus fluxos do Power Automate com a propriedade Valor da ação Inicializar variável com a fórmula de tiques realçada.

    Em seguida, você cria outra variável. Use essa variável posteriormente em seu fluxo para detectar se outros fluxos incluem uma ação do X.

  7. Selecione o + abaixo da etapa que você acabou de criar para adicionar outra ação. Procure e adicione outra ação Inicializar variável. Selecione Inicializar variável e altere-a para Inicializar variável - o fluxo contém Ação do X. Em Nome, adicione isFlowAction e altere o Tipo para Booliano. Defina falso como valor padrão selecionando falso no menu suspenso em Valor. Use essa variável mais tarde em seu fluxo quando detectar que um fluxo inclui uma ação do X.

    Captura de tela de uma segunda ação Inicializar variável chamada O fluxo contém ação do X.

    Em seguida, você obtém uma lista de Ambientes. Use a lista de ambientes criada nesta etapa posteriormente no fluxo para verificar cada ambiente em busca de fluxos que incluem ações do X.

  8. Selecione + na etapa que você criou e procure por Listar Ambientes como Administrador; você encontra essa ação no Conector do PowerPlatform para Administradores. Não há necessidade de alterar nenhum parâmetro nessa etapa.

    Captura de tela da nova ação do PowerPlatform para Administradores com a opção Listar Ambientes como Administrador realçada.

    Após listar os ambientes, você obterá uma lista dos fluxos em cada ambiente.

  9. Selecione + na etapa que você criou e procure por Listar Fluxos como Administrador (V2). (Se houver uma versão posterior à V2, use a mais recente.) Você encontra essa ação no Conector de Gerenciamento do Power Automate.

    Captura de tela de Escolher uma etapa de ação com Flow management e Listar Fluxos como Administrador realçadas.

  10. A ação Listar Fluxos como Administrador exige o nome de um ambiente como parâmetro de entrada. Coloque o cursor no campo Ambiente e selecione Valores personalizados no menu suspenso. O raio e o fx serão exibidos novamente. Desta vez, você deseja usar o conteúdo dinâmico que foi gerado na etapa Listar Ambientes como Administrador, então, selecione o raio.

  11. Você verá uma lista de saídas disponíveis para uso das etapas anteriores que criou em seu fluxo. Role para baixo e encontre a etapa Listar Ambientes como Administrador; nessa etapa, selecione a coluna Nome. Quando você fornecer essa entrada, uma ação Aplicar a cada será adicionada automaticamente e iterará por todos os seus ambientes.

    Captura de tela da ação Aplicar a cada com Listar Fluxos como Administrador com Nome de conteúdo dinâmico.

Você está interessado apenas em explorar fluxos que foram modificados desde a última vez que esse fluxo foi executado; portanto, você adicionará uma condição a seu fluxo para comparar os tiques do último carimbo de data/hora modificado de cada fluxo com a variável Timestamp Hour Ago que você estabeleceu anteriormente nesse fluxo.

  1. Para isso, primeiro você calculará os tiques do último carimbo de data/hora modificado. A instrução completa é ticks(items('Apply_to_each_2')?['properties']?['lastModifiedTime']) is greater than previousTimestamp.

    Captura de tela da condição com o número de tiques maior que o anterior, com as opções Se sim e Se não.

  2. Ao detectar que um fluxo foi modificado nos últimos 60 minutos, você deve garantir que ele não pertence a você, como administrador. Essa verificação ajudará a evitar erros quando você tentar adicionar o administrador como coproprietário de um fluxo em uma etapa futura.

    Use o Conector de Usuários do Office 365 e a ação Obter meu perfil (v2) e adicione-o à ramificação Se sim. Essa etapa retorna informações sobre o usuário que estabeleceu uma conexão com o conector, que, nesse caso, é o administrador.

    A captura de tela de usuários do Office 365 na condição Se sim com a ação Obter meu perfil realçada.

  3. Agora, você adiciona outra condição que verifica se a ID do objeto Criador (da ação Listar Fluxos como Administrador) é igual à ID (da ação Obter meu perfil (V2)).

    Na ramificação Se sim, adicione a ação Editar Função de Proprietário do Fluxo como Administrador que pertence ao conector do Power Automate para Administradores. Você adicionará seu administrador como coproprietário do fluxo e ajudará a extrair a definição do fluxo, o que exige que você seja coproprietário do fluxo.

    Você recupera a definição do fluxo em uma etapa posterior, mas, por enquanto, forneça o Nome do Ambiente atual e o Nome do Fluxo atual. Expanda a seção Body/put e adicione estes detalhes sobre o usuário administrador: endereço de email, nome de exibição e ID. Esses valores podem ser acessados no conteúdo dinâmico de sua ação Obter meu perfil (V2).

    Captura de tela de Editar Função do Proprietário do Fluxo como Administrador com propriedades realçadas.

  4. Depois de adicionar uma conta de administrador como coproprietário do fluxo, você pode chamar a ação Obter Fluxo como Administrador no conector de Flow management.

    Captura de tela do Flow management com Obter Fluxo como Administrador realçado.

  5. As entradas da ação Obter Fluxo como Administrador incluem o Nome do Ambiente e o Nome do Fluxo atuais. A saída dessa ação inclui a definição de fluxo que permitirá determinar se uma ação do X existe.

    Captura de tela da condição Se sim com Obter Fluxo como Administrador adicionado, com Ambiente definido como Nome e Fluxo definido como Nome do fluxo.

  6. Para verificar se uma ação do X está sendo usada, adicione uma condição a seu fluxo e verifique se o Nome da API de Ação (da ação Obter Fluxo como Administrador) é igual a shared_twitter. Depois que você adicionar essa condição, será aplicado um loop Aplicar a cada. Isso acontece porque o atributo de Nome da API de Ações faz parte de uma matriz, pois cada fluxo pode ter muitas ações.

  7. Na ramificação Se sim, atualize a variável isFlowAction para defini-la como verdadeiro porque agora você encontrou um fluxo que inclui uma ação do Twitter. Use essa variável posteriormente em seu fluxo para determinar se é necessário desabilitar um fluxo e enviar um email ao proprietário do fluxo.

    Captura de tela da condição com Se sim com a opção Definir variável – a ação do Twitter existe realçada.

  8. Fora da variável Aplicar a cada, que permite iterar em todas as ações do fluxo, adicione outra condição. Essa condição verifica se o valor de sua variável isFlowAction é verdadeiro.

    Captura de tela da condição 3 – A ação do Twitter existe realçada.

  9. Na ramificação Se sim, adicione o conector do Microsoft Flow for Admins e selecione a ação Desativar Fluxo como Administrador. Isso permite que você desabilite o fluxo para que as informações não possam ser enviadas ao X. Para chamar essa ação, inclua o Nome do Ambiente e o Nome do Fluxo atuais.

    Captura de tela da condição Se sim contendo Desabilitar Fluxo como Administrador com Nome do Ambiente definido como Nome e Nome do Fluxo como Nome do Fluxo.

  10. Ao desabilitar o fluxo de alguém, você deve enviar um email para que essa pessoa saiba que o fluxo não está mais em execução. Para obter o endereço de email do proprietário do fluxo, use o conector de Usuários do Office 365 e a ação Obter perfil do usuário (V2) para retornar o endereço de email do proprietário. Para obter o endereço de email, você precisa adicionar a ID de objeto do criador, que pode ser recuperada na ação Listar Fluxos como Administrador.

    Captura de tela de Obter perfil do usuário – criador do fluxo com usuário (UPN) definido como a ID de objeto do criador.

  11. Envie um email para o proprietário do fluxo usando o conector do Office 365 Outlook e a ação Enviar um email (V2). Use as informações retornadas da ação Obter perfil do usuário (V2) para enviar esse email, incluindo os atributos Email e Nome Fornecido. Além disso, você pode incluir o nome do fluxo adicionando o atributo Nome de Exibição do Fluxo, encontrado na saída Listar Fluxos como Administrador.

    Captura de tela de Enviar um email com Para definido como Email, texto no Assunto e texto no corpo com os campos Nome Fornecido de Nome de Exibição do Fluxo.

  12. Como você está percorrendo todos os fluxos em seu locatário, é necessário definir sua variável isFlowAction novamente como falsa, para que você possa procurar outros fluxos que possam ter uma ação do Twitter. Você já pode salvar o fluxo administrativo.

    Captura de tela de Definir variável – Redefinir Sinalizador do Twitter com Nome definido como isFlowAction e o Valor definido como falso.

  13. Para testar seu fluxo, entre no Power Automate maker portal usando uma conta diferente. Crie um fluxo que inclua um gatilho do SharePoint e uma ação do X. Esse cenário não será bloqueado pela política DLP, mas ele deve ser detectado pelo fluxo administrativo que você criou.

    Captura de tela do Power Automate na página Meus Fluxos criando um fluxo com a ação do Twitter com as etapas

  14. Agora, você pode executar o fluxo Detectar Ações do X (antigo Twitter) que criou anteriormente como administrador. Quando esse fluxo é executado, ele deve detectar se um fluxo foi modificado recentemente e se inclui uma ação do Twitter. Como resultado, um email é enviado ao proprietário do fluxo.

    Captura de tela do email com o assunto Seu fluxo foi desabilitado e a mensagem

  15. Se você examinar o fluxo do SharePoint para o X, descobrirá que ele foi desabilitado, pois seu administrador desabilitou o fluxo.

    Captura de tela da página Fluxos do Power Automate com o fluxo SharePoint > Twitter desabilitado.

No entanto, recuperar informações do X e enviá-las ao SharePoint não viola suas regras de governança. Como resultado, você pode criar outro fluxo usando a conta do criador de fluxo, que inclui um gatilho do X e uma ação do SharePoint. Quando você executa seu fluxo de governança Detectar Ações do X, ele permanece funcional e não é desabilitado, pois esse é um caso de uso permitido.

Captura de tela do Power Automate na página Meus Fluxos criando um fluxo com a ação do X, com as etapas