Considerações sobre segurança e governança

Muitos clientes se perguntam como o Power Platform é disponibilizado para seus negócios mais amplos e recebe suporte da TI? Governança é a resposta. Ela visa habilitar grupos de negócios para se concentrar na solução de problemas de negócios de maneira eficiente e, ao mesmo tempo, de acordo com os padrões de conformidade de TI e da empresa. O conteúdo a seguir destina-se a estruturar temas frequentemente associados ao software de governança e conscientizar os recursos disponíveis para cada tema no que se refere à governança do Power Platform.

Tema Perguntas comuns relacionadas a cada tema respondidas por este conteúdo
Arquitetura
  • O que são construtores e conceitos básicos do Power Apps, Power Automate e Microsoft Dataverse?

  • Como esses construtores se encaixam em tempo de design e de execução?
Segurança
  • Quais são as melhores práticas para considerações de design de segurança?

  • Como posso utilizar nossas soluções existentes de gerenciamento de usuários e grupos para gerenciar funções e direitos de acesso no Power Apps?
Alerta e ação
  • Como posso definir o módulo de governança entre desenvolvedores civis e serviços de TI gerenciados?

  • Como posso definir o módulo de governança entre administradores da TI central e da unidade de negócios?

  • Como devo abordar o suporte para ambientes não padrão em minha organização?
Monitorar
  • Como estamos capturando dados de conformidade/auditoria?

  • Como posso medir a adoção e o uso em minha organização?

Arquitetura

Primeiro, é melhor se familiarizar com os ambientes para construir a história de governança correta para a sua empresa. Ambientes são os contêineres para todos os recursos usados pelo Power Apps, Power Automate e Dataverse. Visão geral dos ambientes é uma boa introdução que deve ser seguida por O que é o Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores e Gateways locais.

Segurança

Esta seção descreve os mecanismos existentes para controlar quem pode acessar o Power Apps em um ambiente e acessar dados: licenças, ambientes, funções do ambiente, Microsoft Entra ID, políticas de prevenção contra perda de dados e conectores de administração que podem ser usados com o Power Automate.

Licenciamento

O acesso a Power Apps e Power Automate começa com uma licença. O tipo de licença que um usuário possui determina os ativos e dados que ele pode acessar. A tabela a seguir descreve as diferenças entre os recursos disponíveis para um usuário com base em seu tipo de plano, partindo de um nível alto. Os detalhes granulares de licenciamento podem ser encontrados em Visão geral de licenciamento.

Planejar Descrição
Microsoft 365 incluído Permite aos usuários estender o SharePoint e outros ativos do Office que já possuam.
Dynamics 365 incluído Isso permite que os usuários personalizem e estendam os aplicativos do Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) que já possuem.
Plano do Power Apps Permite:
  • tornar acessível o uso de conectores empresariais e do Dataverse.
  • que os usuários usem uma lógica de negócios robusta entre tipos de aplicativos e recursos de administração.
Power Apps Community Permite que um usuário utilize o Power Apps, o Power Automate, o Dataverse e conectores do cliente de forma única para uso individual. Não é possível compartilhar aplicativos.
Power Automate gratuito Isso permite que os usuários criem fluxos ilimitados e façam 750 execuções.
Plano do Power Automate Consulte o Guia de licenciamento do Microsoft Power Apps e Microsoft Power Automate.

Ambientes

Depois que os usuários tiverem licenças, os ambientes existirão como contêineres para todos os recursos utilizados pelo Power Apps, Power Automate e Dataverse. Os ambientes podem ser usados para visar públicos-alvo diferentes e/ou para fins diferentes, como desenvolvimento, testes e produção. Mais informações podem ser encontradas em Visão geral dos ambientes.

Proteger seus dados e sua rede

  • O Power Apps e o Power Automate não fornecem aos usuários acesso a ativos de dados diferentes daqueles aos quais eles já têm acesso. Os usuários devem ter acesso apenas aos dados para os quais realmente necessitam de acesso.
  • Políticas de controle de acesso à rede também podem ser aplicadas ao Power Apps e ao Power Automate. No ambiente, uma pessoa pode bloquear o acesso a um site na rede, bloqueando a página de entrada, a fim de impedir que conexões a esse site sejam criadas no Power Apps e no Power Automate.
  • Em um ambiente, o acesso é controlado em três níveis:Funções do ambiente, Permissões de recursos para Power Apps, Power Automate, etc. e Direitos de acesso do Dataverse (se um banco de dados do Dataverse for provisionado).
  • Quando o Dataverse é criado em um ambiente, as funções do Dataverse assumirão o controle da segurança no ambiente (e todos os administradores e criadores de ambiente serão migrados).

As entidades de segurança a seguir são suportadas para cada tipo de função.

Tipo de ambiente Função Tipo de entidade de segurança (Microsoft Entra ID)
Ambiente sem Dataverse Função de ambiente Usuário, grupo, locatário
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão do recurso: Power Automate, conector personalizado, gateways, conexões1 Usuário, grupo
Ambiente com Dataverse Função de ambiente User
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão do recurso: Power Automate, conector personalizado, gateways, conexões1 Usuário, grupo
Função do Dataverse (aplica-se a todos os componentes e aplicativos baseados em modelo) Usuário

1Somente determinadas conexões (como SQL) podem ser compartilhadas.

Nota

  • No ambiente padrão, todos os usuários em um locatário recebem acesso à função Criador de Ambiente.
  • Os Administradores Globais do locatário do Microsoft Entra têm acesso de administrador a todos os ambientes.

Perguntas frequentes - Quais permissões existem em um nível de locatário do Microsoft Entra?

Hoje, os administradores do Microsoft Power Platform podem fazer o seguinte:

  1. Baixar o relatório de licenças do Power Apps e do Power Automate
  2. Criar a política DLP com escopo definido apenas para "Todos os Ambiente" ou para incluir/excluir ambientes específicos
  3. Gerenciar e atribuir licenças pelo centro de administração do Office
  4. Acesse todos os recursos de gerenciamento de ambiente, aplicativo e fluxo para todos os ambientes do locatário disponíveis por meio de:
    • Cmdlets PowerShell de administração do Power Apps
    • Conectores de gerenciamento do Power Apps
  5. Acessar análises de administração do Power Apps e do Power Automate para todos os ambientes no locatário:

Considerar o Microsoft Intune

Os clientes com Microsoft Intune podem definir políticas de proteção de aplicativos móveis para aplicativos do Power Apps e do Power Automate em Android e iOS. Esse passo a passo destaca como definir uma política via Intune para o Power Automate.

Considerar acesso condicional com base em localização

Para clientes com o Microsoft Entra ID P1 ou P2, é possível definir políticas de acesso condicionais no Azure para o Power Apps e o Power Automate. Isso permite conceder ou bloquear o acesso com base em: usuário/grupo, dispositivo, localização.

Como criar uma política de acesso condicional

  1. Entre no https://portal.azure.com.
  2. Selecione Acesso Condicional.
  3. Selecione + Nova Política.
  4. Selecione usuários e grupos selecionados.
  5. Selecione Todos os aplicativos em nuvem>Todos os aplicativos em nuvem>Common Data Service para controlar o acesso aos aplicativos do Customer Engagement.
  6. Aplique as condições (risco do usuário, plataformas do dispositivo, locais).
  7. Selecione Criar.

Evitar vazamento de dados com políticas de prevenção contra perda de dados

As políticas DLP (Prevenção Contra Perda de Dados)impõe regras para quais conectores podem ser usados em conjunto por meio da classificação dos conectores como Apenas Dados Corporativos ou Nenhum Dado Corporativo Permitido. Se você colocar um conector no grupo de somente dados corporativos, ele só poderá ser usado com outros conectores desse grupo no mesmo aplicativo. Os administradores da Power Platform podem definir políticas que se aplicam a todos os ambientes.

Perguntas frequentes

P: Posso controlar, no nível do locatário, qual conector está disponível (por exemplo, Não para Dropbox ou Twitter, mas Sim para SharePoint)?

R: Isso é possível utilizando os recursos de classificação de conectores e atribuindo o classificador Bloqueado a um ou mais conectores que você deseja impedir de serem usados. Observe que há um conjunto de conectores que não podem ser bloqueados.

P: E o compartilhamento de conectores entre usuários? Por exemplo, o conector para o Teams é geral e pode ser compartilhado?

R: Os conectores estão disponíveis para todos os usuários. Com exceção de conectores premium ou personalizados, que precisam de uma licença adicional (conectores premium) ou que tenham de ser compartilhados explicitamente (conectores personalizados).

Alerta e ação

Além do monitoramento, muitos clientes desejam se inscrever para eventos de criação de software, uso ou integridade, de forma que saibam quando executar uma ação. Esta seção descreve alguns meios de observar eventos (de forma manual e programática) e executar as ações disparadas pela ocorrência de um evento.

Criar fluxos do Power Automate para alertar em caso de eventos importantes de auditoria

  1. Um exemplo de alerta que pode ser implementado é a assinatura de Logs de Auditoria de Segurança e Conformidade do Microsoft 365.
  2. Isso pode ser feito por meio da assinatura de um webhook ou de uma abordagem de sondagem. Entretanto, ao anexar o Power Automate a esses alertas, nós podemos fornecer aos administradores mais do que apenas alertas por email.

Criar as políticas de que você necessita com o Power Apps, o Power Automate e o PowerShell

  1. Os cmdlets PowerShell colocam todo o controle nas mãos dos administradores para automatizar as políticas de governança necessárias.
  2. Os conectores de gerenciamento fornecem o mesmo nível de controle, mas com extensibilidade e facilidade de uso adicionais, aproveitando o Power Apps e o Power Automate.
  3. Há os seguintes modelos do Power Automate para conectores de administração para crescer rapidamente:
    1. Listar novos conectores do Power Automate
    2. Obter a lista dos novos fluxos e conectores do Power Apps, Power Automate
    3. Enviar um email para mim semanalmente com um resumo das notícias do Centro de Mensagens do Office 365
    4. Acessar logs de segurança e conformidade do Office 365 por meio do Power Automate
  4. Use este modelo de aplicativo e blog para acelerar rapidamente os conectores de administração.
  5. Além disso, vale a pena conferir o conteúdo compartilhado na Galeria de aplicativos da comunidade, e esse é outro exemplo de experiência administrativa criada usando o Power Apps e conectores de administração.

Perguntas frequentes

Problema Atualmente, todos os usuários com licenças Microsoft E3 podem criar aplicativos no ambiente Padrão. Como podemos habilitar os direitos do Environment Maker para um grupo selecionado, por exemplo. 10 pessoas para criar aplicativos?

Recomendação Os cmdlets PowerShell e os conectores de gerenciamento oferecem flexibilidade e controle completos para que os administradores possam criar as políticas que desejem para a organização.

Monitorar

Já se sabe que o monitoramento é um aspecto crítico do gerenciamento de software em escala, e esta seção destaca algumas maneiras de compreender melhor o desenvolvimento e a utilização do Power Apps e do Power Automate.

Revisar a trilha de auditoria

O registro em log de atividades do Power Apps está integrado ao Centro de Conformidade e Segurança do Office para oferecer um registro em log abrangente entre os serviços da Microsoft, como o Dataverse e o Microsoft 365. O Office fornece uma API para consultar esses dados e, atualmente, ela é usada por vários fornecedores de SIEM para obter dados de registro em log de atividades para fins de relatório.

Veja o relatório de licença do Power Apps e do Power Automate

  1. Vá para o centro de administração da Power Platform.

  2. Selecione Análise>Power Automate ou Power Apps.

  3. Exibir a análise do administrador do Power Apps e do Power Automate

    É possível obter informações sobre:

    • Usuário Ativo e Uso do Aplicativo - quantos usuários estão usando um aplicativo e com que frequência?
    • Local – onde ele é usado?
    • Desempenho do serviço de conectores
    • Relatório de erros – quais são os aplicativos mais sujeitos a erros
    • Fluxos em uso por tipo e data
    • Fluxos criados por tipo e data
    • Auditoria de nível de aplicativo
    • Integridade do Serviço
    • Conectores utilizados

Veja quais usuários são licenciados

Você sempre poderá consultar o licenciamento de usuário individual no centro de administração do Microsoft 365 ao analisar usuários específicos.

Você também pode usar o seguinte comando do PowerShell para exportar licenças de usuário atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de usuário atribuídas (Power Apps e Power Automate) no seu locatário em um arquivo .csv de exibição tabular. O arquivo exportado contém planos de avaliação internos de inscrição de autoatendimento e planos originados no Microsoft Entra ID. Os planos de avaliação internos não são visíveis para os administradores no centro de administração do Microsoft 365.

A exportação pode demorar um pouco para locatários com um grande número de usuários do Power Platform.

Exibir recursos do aplicativo usados em um Ambiente

  1. No centro de administração do Power Platform, selecione Ambientes no menu de navegação.
  2. Selecione um Ambiente.
  3. Opcionalmente, a lista de recursos usados em um Ambiente pode ser baixada como um arquivo .csv.

Consulte também

Use as melhores práticas para proteger e administrar ambientes do Power Automate
Kit de início do CoE (Centro de Excelência) do Microsoft Power Platform