Compartilhar via

Configurar um conector para importar dados de badging físicos

Configure um conector de dados para importar dados de badging físicos, como eventos de acesso físico não processados de um funcionário ou quaisquer alarmes de acesso físico gerados pelo sistema de badging da sua organização. Exemplos de pontos de acesso físico são uma entrada para um edifício ou uma entrada na sala de servidores ou datacenter. A solução de Gestão de Riscos Internos do Microsoft Purview utiliza dados de má gestão física para ajudar a proteger a sua organização contra atividades maliciosas ou roubo de dados dentro da sua organização.

A configuração de um conector de badging físico consiste nas seguintes tarefas:

  • Crie uma aplicação no Microsoft Entra ID para aceder a um ponto final de API que aceite um payload JSON que contenha dados de badging físicos.
  • Crie o payload JSON com um esquema definido pelo conector de dados de badging físico.
  • Crie um conector de dados de desativação física no portal do Microsoft Purview.
  • Execute um script para emitir os dados de badging físicos para o ponto final da API.
  • Opcionalmente, agende o script para ser executado automaticamente para importar dados de má execução física atualmente.

Antes de configurar o conector

  • Atribua a função de Administração do Conector de Dados ao utilizador que cria o conector de badging físico no Passo 3. Esta função é necessária para adicionar conectores na página Conectores de dados no portal do Microsoft Purview. Vários grupos de funções incluem esta função por predefinição. Para obter uma lista destes grupos de funções, consulte Funções no Microsoft Defender para Office 365 e conformidade do Microsoft Purview. Em alternativa, um administrador na sua organização pode criar um grupo de funções personalizado, atribuir a função de Administração do Conector de Dados e adicionar os utilizadores adequados como membros. Para obter instruções, veja:

    Observação

    A função de Administração do Conector de Dados não é atualmente suportada em ambientes GCC High e DoD do Us Government. Por conseguinte, atribua a função Importar Exportação da Caixa de Correio no Exchange Online ao utilizador que cria o conector de RH em ambientes GCC High e DoD. Por predefinição, nenhum grupo de funções no Exchange Online tem esta função atribuída. Pode adicionar a função Importar Exportação da Caixa de Correio ao grupo de funções Gestão da Organização no Exchange Online. Em alternativa, pode criar um novo grupo de funções, atribuir a função Importar Exportação da Caixa de Correio e adicionar os utilizadores adequados como membros. Para obter mais informações, consulte as secções Criar grupos de funções ou Modificar grupos de funções no artigo "Gerir grupos de funções no Exchange Online".

  • Determine como obter ou exportar dados do sistema de badging físico da sua organização (diariamente) e crie um ficheiro JSON, conforme descrito no Passo 2. O script que executar no Passo 4 envia os dados no ficheiro JSON para o ponto final da API.

  • Compreenda que o script de exemplo que executa no Passo 4 envia os dados de badging físicos de um ficheiro JSON para a API do conector para que a solução de gestão de riscos internos possa utilizá-lo. Este script de exemplo não é suportado em nenhum programa ou serviço de suporte padrão da Microsoft. É fornecido como ESTÁ sem qualquer tipo de garantia. A Microsoft também se isenta de todas as garantias implícitas, incluindo, sem limitação, quaisquer garantias implícitas de comercialização ou adequação a uma finalidade específica. Assume todos os riscos resultantes da utilização ou desempenho do script de exemplo e da documentação. Em caso algum a Microsoft, os seus autores ou qualquer outra pessoa envolvida na criação, produção ou entrega dos scripts são responsáveis por quaisquer danos, incluindo danos por perda de lucros comerciais, interrupção da empresa, perda de informações comerciais ou outras perdas pecuniárias decorrentes da utilização ou incapacidade de utilizar os scripts ou documentação de exemplo, mesmo que a Microsoft tenha sido avisada da possibilidade de tais danos.

  • Saiba que este conector está disponível em ambientes GCC na cloud do Microsoft 365 US Government. As aplicações e serviços de terceiros podem envolver o armazenamento, a transmissão e o processamento dos dados de clientes da sua organização em sistemas de terceiros que estão fora da infraestrutura do Microsoft 365. Por conseguinte, os compromissos do Microsoft Purview e da proteção de dados não abrangem estes sistemas de terceiros. A Microsoft não representa que a utilização deste produto para ligar a aplicações de terceiros implica que essas aplicações de terceiros são compatíveis com FEDRAMP.

Passo 1: Criar uma aplicação no ID do Microsoft Entra

Primeiro, crie e registe uma nova aplicação no Microsoft Entra ID. A aplicação corresponde ao conector de badging físico que cria no Passo 3. Quando cria a aplicação, Microsoft Entra ID pode autenticar o pedido push para um payload JSON que contém dados de badging físicos. Durante a criação desta aplicação Microsoft Entra, guarde as seguintes informações. Utilize estes valores em passos posteriores.

  • Microsoft Entra ID da aplicação (também denominado ID da aplicação ou ID de cliente)
  • Microsoft Entra segredo da aplicação (também denominado segredo do cliente)
  • ID do inquilino (também denominado ID do diretório)

Para obter instruções passo a passo para criar uma aplicação no Microsoft Entra ID, veja Registar uma aplicação com o plataforma de identidade da Microsoft.

Passo 2: Preparar um ficheiro JSON com dados de badging físicos

Neste passo, vai criar um ficheiro JSON que contém informações sobre os dados de acesso físico dos funcionários. Conforme explicado na secção antes de começar, tem de determinar como gerar este ficheiro JSON a partir do sistema de badging físico da sua organização.

Observação

Não adicione carateres não ingleses ao ficheiro JSON. O conector suporta apenas carateres em inglês. Se o JSON contiver carateres não ingleses, a ingestão de dados poderá falhar.

O ficheiro JSON tem de estar em conformidade com a definição de esquema exigida pelo conector. A tabela seguinte descreve as propriedades de esquema necessárias para o ficheiro JSON:

Propriedade Descrição Tipo de dados
UserId Um funcionário pode ter múltiplas identidades digitais em todos os sistemas. A entrada tem de ter o ID de Microsoft Entra já resolvido pelo sistema de origem. ENDEREÇO UPN ou endereço de e-mail
AssetId O ID de referência do elemento físico ou do ponto de acesso físico. Cadeia alfanumérica
AssetName O nome amigável do elemento físico ou do ponto de acesso físico. Cadeia alfanumérica
EventTime O carimbo de data/hora do acesso. Data e hora, no formato UTC
AccessStatus Valor de Success ou Failed Cadeia de caracteres

O exemplo seguinte mostra um ficheiro JSON em conformidade com o esquema necessário:

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

Também pode transferir a definição de esquema para o ficheiro JSON a partir do fluxo de trabalho quando criar o conector de mau funcionamento físico no Passo 3.

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

Passo 3: criar o conector de mau estado físico

Neste passo, vai criar um conector de badging físico no portal do Microsoft Purview. Quando executa o script no Passo 4, este processa o ficheiro JSON que criou neste passo e envia-o para o ponto final da API que configurou no Passo 1. Certifique-se de que copia o JobId gerado quando cria o conector. Irá utilizar o JobId quando executar o script.

  1. Inicie sessão no portal do Microsoft Purview.

  2. Selecione Definições>Conectores de dados.

  3. Selecione Os meus conectores e, em seguida, selecione Adicionar conector.

  4. Na lista, selecione Badging físico.

  5. Na página Credenciais de autenticação , introduza as seguintes informações e, em seguida, selecione Seguinte:

    1. Introduza ou cole o ID da aplicação Microsoft Entra para a aplicação do Azure que criou no Passo 1.

    2. Transfira o esquema de exemplo da referência para criar o ficheiro JSON.

    3. Introduza um nome exclusivo para o conector de badging físico.

  6. Na página Rever , reveja as suas definições e selecione Concluir para criar o conector.

  7. Veja a página status que confirma que o conector foi criado. Esta página também contém o ID da tarefa. Pode copiar o ID da tarefa a partir desta página ou da página de lista de opções do conector. Precisa deste ID de tarefa ao executar o script.

    A página status também contém uma ligação para o script. Veja este script para compreender como publicar o ficheiro JSON no ponto final da API.

  8. Selecione Concluído.

    O novo conector aparece na lista no separador Conectores .

  9. Selecione o conector de badging físico que acabou de criar para apresentar a página de lista de opções, que contém propriedades e outras informações sobre o conector.

Passo 4: executar o script para PUBLICAR o ficheiro JSON que contém dados de má execução física

Para configurar um conector de badging físico, execute um script que emita os dados de badging físicos no ficheiro JSON (criado no Passo 2) para o ponto final da API (criado no Passo 1). Fornecemos um script de exemplo para a sua referência. Pode optar por utilizá-lo ou criar o seu próprio script para publicar o ficheiro JSON no ponto final da API.

Depois de executar o script, o ficheiro JSON que contém os dados de badging físicos é enviado para a sua organização do Microsoft 365, onde a solução de gestão de riscos internos pode aceder ao mesmo. Recomendamos que publique diariamente dados de badging físicos. Pode automatizar o processo para gerar o ficheiro JSON todos os dias a partir do seu sistema de badging físico e, em seguida, agendar o script para emitir os dados.

Observação

A API pode processar um ficheiro JSON com até 50 000 registos.

  1. Aceda a este site do GitHub para aceder ao script de exemplo.

  2. Selecione o botão Raw para apresentar o script na vista de texto.

  3. Copie todas as linhas no script de exemplo e guarde-as num ficheiro de texto.

  4. Modifique o script de exemplo para a sua organização, se necessário.

  5. Guarde o ficheiro de texto como um ficheiro de script Windows PowerShell com um sufixo de nome de ficheiro de .ps1; por exemplo, PhysicalBadging.ps1.

  6. Abra uma Linha de Comandos no seu computador local e aceda ao diretório onde guardou o script.

  7. Execute o seguinte comando para emitir os dados de badging físicos no ficheiro JSON para a microsoft cloud; Por exemplo:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"

    A tabela seguinte descreve os parâmetros a utilizar com este script e os respetivos valores necessários. Utilize as informações que obteve nos passos anteriores para estes valores.

    Parâmetro Descrição
    tenantId Este é o ID da sua organização do Microsoft 365 que obteve no Passo 1. Também pode obter o tenantId da sua organização no painel Descrição geral no centro de administração do Microsoft Entra. Este valor identifica a sua organização.
    appId Este é o ID da aplicação Microsoft Entra para a aplicação que criou no Microsoft Entra ID no Passo 1. Microsoft Entra ID utiliza este valor para autenticação quando o script tenta aceder à sua organização do Microsoft 365.
    appSecret Este é o segredo da aplicação Microsoft Entra para a aplicação que criou no Microsoft Entra ID no Passo 1. Microsoft Entra ID também utiliza este valor para autenticação.
    jobId Este é o ID da Tarefa do conector de badging físico que criou no Passo 3. O script utiliza este valor para associar os dados de badging físicos que envia para a cloud da Microsoft ao conector de badging físico.
    JsonFilePath Este é o caminho do ficheiro no computador local (aquele que está a utilizar para executar o script) para o ficheiro JSON que criou no Passo 2. Este ficheiro tem de seguir o esquema de exemplo descrito no Passo 3.

    Eis um exemplo da sintaxe para o script do conector de badging físico com valores reais para cada parâmetro:

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'

    Se o carregamento for efetuado com êxito, o script apresenta a mensagem Carregar Com Êxito .

    Se tiver vários ficheiros JSON, execute o script para cada ficheiro.

Passo 5: Monitorizar o conector de mau funcionamento físico

Depois de criar o conector de badging físico e emitir os seus dados físicos de badging, pode ver o conector e carregar status no portal do Microsoft Purview. Se agendar o script para ser executado automaticamente regularmente, também pode ver o status atual após a última execução do script.

  1. Inicie sessão no portal do Microsoft Purview.

  2. Selecione Definições>Conectores de dados.

  3. Selecione Os meus conectores e, em seguida, selecione o conector de mau estado físico que criou para apresentar a página de lista de opções. Esta página contém as propriedades e informações sobre o conector.

  4. Em Última importação, selecione a ligação Transferir registo para abrir (ou guardar) o registo de status do conector. Este registo contém informações sobre cada vez que o script é executado e carrega os dados do ficheiro JSON para a cloud da Microsoft.

    O ficheiro de registo do conector de badging físico apresenta o número de objetos do ficheiro JSON que foram carregados.

    O campo RecordsSaved mostra o número de registos no ficheiro JSON que o script carrega. Por exemplo, se o ficheiro JSON contiver quatro registos, o valor dos campos RecordsSaved é 4 quando o script carrega com êxito todos os registos no ficheiro JSON. O campo RecordsSkipped mostra o número de registos no ficheiro JSON que o script ignora. Antes de carregar registos no ficheiro JSON, o script valida os IDs de Email. Qualquer registo com um ID de Email inválido é ignorado e o ID de Email correspondente é apresentado no campo EmailIdsNotSaved.

Se não tiver executado o script no Passo 4, é apresentada uma ligação para transferir o script em Última importação. Pode transferir o script e, em seguida, seguir os passos no Passo 4 para executá-lo.

(Opcional) Passo 6: Agendar a execução automática do script

Para garantir que ferramentas como a solução de gestão de riscos internos têm sempre os dados de badging físicos mais recentes da sua organização, agende o script para ser executado automaticamente de forma periódica, como uma vez por dia. Esta agenda requer a atualização dos dados de badging físicos para o ficheiro JSON numa agenda semelhante (se não igual), para que contenha as informações mais recentes sobre os funcionários que saem da sua organização. O objetivo é carregar os dados de badging físicos mais atuais para que o conector de badging físico possa disponibilizá-lo para a solução de gestão de riscos internos.

Utilize a aplicação Programador de Tarefas no Windows para executar automaticamente o script todos os dias.

  1. No seu computador local, selecione o botão Iniciar do Windows e, em seguida, escreva Programador de Tarefas.

  2. Selecione a aplicação Programador de Tarefas para abri-la.

  3. Na secção Ações , selecione Criar Tarefa.

  4. No separador Geral , escreva um nome descritivo para a tarefa agendada, como Script do conector de mau estado físico. Também pode adicionar uma descrição opcional.

  5. Em Opções de segurança, faça o seguinte:

    1. Decida se pretende executar o script apenas quando tiver sessão iniciada no computador ou se o executa quando tiver sessão iniciada ou não.

    2. Certifique-se de que a caixa de verificação Executar com os privilégios mais altos está selecionada.

  6. Selecione o separador Acionadores , selecione Novo e, em seguida, efetue as seguintes ações:

    1. Em Definições, selecione a opção Diariamente e, em seguida, escolha uma data e hora para executar o script pela primeira vez. O script é executado todos os dias ao mesmo tempo especificado.

    2. Em Definições avançadas, certifique-se de que a caixa de verificação Ativado está selecionada.

    3. Selecione Ok.

  7. Selecione o separador Ações , selecione Novo e, em seguida, efetue as seguintes ações:

    Definições de ação para criar uma nova tarefa agendada para o script do conector de badging físico.

    1. Na lista pendente Ação , certifique-se de que a opção Iniciar um programa está selecionada.

    2. Na caixa Programa/script , selecione Procurar, aceda à seguinte localização e selecione-a para que o caminho seja apresentado na caixa: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. Na caixa Adicionar argumentos (opcional), cole o mesmo comando de script que executou no Passo 4. Por exemplo, .\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json"

    4. Na caixa Iniciar em (opcional ), cole a localização da pasta do script que executou no Passo 4. Por exemplo, C:\Users\contosoadmin\Desktop\Scripts.

    5. Selecione Ok para guardar as definições da nova ação.

  8. Na janela Criar Tarefa , selecione Ok para guardar a tarefa agendada. Poderá ser-lhe pedido que introduza as credenciais da sua conta de utilizador.

    A nova tarefa é apresentada na Biblioteca do Programador de Tarefas.

    A nova tarefa é apresentada na Biblioteca do Programador de Tarefas.

A última vez que o script foi executado e a próxima vez que estiver agendado para execução é apresentada. Pode selecionar duas vezes a tarefa para editá-la.

Também pode verificar a última vez que o script foi executado na página de lista de opções do conector de badging físico correspondente no centro de conformidade.

  • Last updated on