Compartilhar via

Considerações sobre segurança e governança no Power Platform

Muitos clientes se perguntam como o Power Platform pode ser disponibilizado para seus amplos negócios e ter suporte da TI? Governança é a resposta. Ela visa habilitar grupos de negócios para se concentrar na solução de problemas de negócios de maneira eficiente e, ao mesmo tempo, de acordo com os padrões de conformidade de TI e da empresa. O conteúdo a seguir destina-se a estruturar os temas frequentemente associados a software de governança, além de trazer conhecimento sobre os recursos disponíveis para cada tema, conforme estejam relacionados à governança do Power Platform.

Tema Perguntas comuns relacionadas a cada tema respondidas por este conteúdo
Arquitetura
  • Quais são as construções e conceitos básicos do Power Apps, Power Automate e Microsoft Dataverse?

  • Como esses construtores se encaixam em tempo de design e de execução?
Segurança
  • Quais são as melhores práticas para considerações de design de segurança?

  • Como uso nossas soluções existentes de gerenciamento de usuários e grupos para gerenciar funções e direitos de acesso no Power Apps?
Alerta e ação
  • Como posso definir o módulo de governança entre desenvolvedores civis e serviços de TI gerenciados?

  • Como posso definir o módulo de governança entre administradores da TI central e da unidade de negócios?

  • Como devo abordar o suporte para ambientes não padrão em minha organização?
Monitorar
  • Como estamos capturando dados de conformidade/auditoria?

  • Como posso medir a adoção e o uso em minha organização?

Arquitetura

Primeiro, é melhor se familiarizar com os ambientes para construir a história de governança correta para a sua empresa. Ambientes são os contêineres para todos os recursos usados pelo Power Apps, Power Automate e Dataverse. Visão Geral dos Ambientes é uma boa introdução que deve ser seguida por O que é Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores e Gateways locais.

Segurança

Esta seção descreve mecanismos que existem para controlar quem pode acessar o Power Apps em um ambiente e acessar dados: licenças, ambientes, funções de ambiente, ID do Microsoft Entra, políticas de dados e conectores de administrador que podem ser usados com o Power Automate.

Licenciamento

O acesso ao Power Apps e ao Power Automate começa com uma licença. O tipo de licença que um usuário possui determina os ativos e dados que ele pode acessar. A tabela a seguir descreve as diferenças entre os recursos disponíveis para um usuário com base em seu tipo de plano, partindo de um nível alto. Os detalhes granulares de licenciamento podem ser encontrados em Visão geral de licenciamento.

Plano Descrição
Microsoft 365 incluído Permite aos usuários estender o SharePoint e outros ativos do Office que já possuem.
Dynamics 365 incluído Isso permite que os usuários personalizem e estendam os aplicativos do Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) que já possuem.
Plano do Power Apps Permite:
  • tornar os conectores corporativos e o Dataverse acessíveis para uso.
  • que os usuários usem uma lógica de negócios robusta entre tipos de aplicativos e recursos de administração.
Comunidade do Power Apps Isso permite que um usuário use o Power Apps, o Power Automate, o Dataverse e conectores personalizados em um único para uso individual. Não é possível compartilhar aplicativos.
Power Automate Gratuito Isso permite que os usuários criem fluxos ilimitados e façam 750 execuções.
Plano do Power Automate Consulte o Guia de Licenciamento do Microsoft Power Apps e do Microsoft Power Automate.

Ambientes

Depois que os usuários tiverem licenças, os ambientes existirão como contêineres para todos os recursos utilizados pelo Power Apps, Power Automate e Dataverse. Os ambientes podem ser usados para visar públicos-alvo diferentes e/ou para fins diferentes, como desenvolvimento, testes e produção. Mais informações podem ser encontradas em Visão geral dos ambientes.

Proteger seus dados e sua rede

  • O Power Apps e o Power Automate não fornecem aos usuários acesso a ativos de dados diferentes daqueles aos quais eles já têm acesso. Os usuários devem ter acesso apenas aos dados para os quais realmente necessitam de acesso.
  • Políticas de Controle de acesso à rede também podem ser aplicadas ao Power Apps e ao Power Automate. No ambiente, uma pessoa pode bloquear o acesso a um site na rede, bloqueando a página de entrada, a fim de impedir que conexões a esse site sejam criadas no Power Apps e no Power Automate.
  • Em um ambiente, o acesso é controlado em três níveis: Funções do ambiente, Permissões de recursos para Power Apps, Power Automate, etc. e Direitos de acesso do Dataverse (se um banco de dados do Dataverse for provisionado).
  • Quando o Dataverse é criado em um ambiente, as funções do Dataverse assumem o controle da segurança no ambiente (e todos os criadores e administradores de ambiente são migrados).

As entidades de segurança a seguir são suportadas para cada tipo de função.

Tipo de ambiente Função Tipo de Entidade de Segurança (Microsoft Entra ID)
Ambiente sem o Dataverse Função de ambiente Usuário, grupo, locatário
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão do recurso: Power Automate, Conector Personalizados, Gateways, Conexões1 Usuário, grupo
Ambiente com o Dataverse Função de ambiente User
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão do recurso: Power Automate, Conector Personalizados, Gateways, Conexões1 Usuário, grupo
Função do Dataverse (aplica-se a todos os componentes e aplicativos baseados em modelo) User

1 Somente determinadas conexões (como SQL) podem ser compartilhadas.

Nota

  • No ambiente padrão, todos os usuários em um locatário recebem acesso à função Criador de Ambiente.
  • Os usuários com a função de Administrador do Power Platform têm acesso de administrador a todos os ambientes.

Perguntas frequentes - Quais permissões existem em um nível de locatário do Microsoft Entra?

Hoje, os administradores do Microsoft Power Platform podem fazer o seguinte:

  1. Baixar o relatório de licenças do Power Apps & do Power Automate
  2. Criar uma política de dados com escopo apenas para 'Todos os Ambientes' ou com escopo para incluir/excluir ambientes específicos
  3. Gerenciar e atribuir licenças pelo centro de administração do Office
  4. Acesse todos os recursos de gerenciamento de ambiente, aplicativo e fluxo para todos os ambientes do locatário disponíveis por meio de:
    • Cmdlets do PowerShell do Administrador do Power Apps
    • Conectores de gerenciamento do Power Apps
  5. Acessar análises de administração do Power Apps e do Power Automate para todos os ambientes no locatário:

Considerar o Microsoft Intune

Os clientes com Microsoft Intune podem definir políticas de proteção de aplicativos móveis para aplicativos do Power Apps e do Power Automate no Android e no iOS. Esse passo a passo destaca como definir uma política via Intune para o Power Automate.

Considerar acesso condicional com base em localização

Para clientes com o Microsoft Entra ID P1 ou P2, é possível definir políticas de acesso condicionais no Azure para o Power Apps e o Power Automate. Isso permite conceder ou bloquear o acesso com base em: usuário/grupo, dispositivo, localização.

Como criar uma política de acesso condicional

  1. Entre no https://portal.azure.com.
  2. Selecione Acesso Condicional.
  3. Selecione + Nova Política.
  4. Selecione usuários e grupos selecionados.
  5. Selecione Todos os aplicativos em nuvem>Todos os aplicativos em nuvem>Common Data Service para controlar o acesso aos aplicativos do Customer Engagement.
  6. Aplique as condições (risco do usuário, plataformas do dispositivo, locais).
  7. Selecione Criar.

Evitar vazamento de dados com políticas de dados

As Políticas de dados impõe regras para quais conectores podem ser usados em conjunto por meio da classificação dos conectores como somente Dados Corporativos ou Nenhum Dado Corporativo permitido. Se você colocar um conector no grupo de somente dados corporativos, ele só poderá ser usado com outros conectores desse grupo no mesmo aplicativo. Os administradores do Power Platform podem definir políticas aplicáveis a todos os ambientes.

perguntas frequentes

P: Posso controlar, no nível do locatário, qual conector está disponível, por exemplo, Não para Dropbox ou Twitter, mas Sim para SharePoint?

R: Isso é possível utilizando os recursos de classificação de conectores e atribuindo o classificador Bloqueado a um ou mais conectores que você deseja impedir de serem usados. Há um conjunto de conectores que não podem ser bloqueados.

P: E o compartilhamento de conectores entre usuários? Por exemplo, o conector para o Teams é geral e pode ser compartilhado?

R: Os conectores estão disponíveis para todos os usuários, com exceção de conectores premium ou personalizados, que precisam de outra licença (conectores premium) ou que tenham de ser compartilhados explicitamente (conectores personalizados)

Alerta e ação

Além do monitoramento, muitos clientes desejam se inscrever para eventos de criação de software, uso ou integridade, de forma que saibam quando executar uma ação. Esta seção descreve alguns meios de observar eventos (de forma manual e programática) e executar as ações disparadas pela ocorrência de um evento.

Criar fluxos do Power Automate para alertar em caso de eventos importantes de auditoria

  1. Um exemplo de alerta que pode ser implementado é a assinatura dos logs de auditoria de conformidade e segurança do Microsoft 365.
  2. Isso pode ser feito por meio da assinatura de um webhook ou de uma abordagem de sondagem. Entretanto, ao anexar o Power Automate a esses alertas, nós podemos fornecer aos administradores mais do que apenas alertas por email.

Criar as políticas de que você necessita com o Power Apps, o Power Automate e o PowerShell

  1. Os cmdlets PowerShell colocam todo o controle nas mãos dos administradores para automatizar as políticas de governança necessárias.
  2. Os conectores do Power Platform for Admins V2 (Versão preliminar) e Gerenciamento do Power Automate fornecem o mesmo nível de controle, mas com extensibilidade e facilidade de uso adicionais, aproveitando o Power Apps e o Power Automate.
  3. Analise as Melhores práticas de administração e governança do Power Platform e considere a configuração do Kit de Início do Centro de Excelência (CoE).
  4. Use este modelo de aplicativo e blog para acelerar rapidamente os conectores de administração.
  5. Além disso, vale a pena conferir o conteúdo compartilhado na Galeria de Aplicativos da Comunidade, e esse é outro exemplo de experiência administrativa criada usando o Power Apps e conectores de administração.

perguntas frequentes

Problema Atualmente, todos os usuários com licenças Microsoft E3 podem criar aplicativos no ambiente Padrão. Como podemos habilitar os direitos do Criador de Ambiente para um grupo selecionado, por exemplo. 10 pessoas para criar aplicativos?

Recomendação

Os cmdlets do PowerShell e os Conectores de gerenciamento oferecem flexibilidade e controle completos para que os administradores possam criar as políticas que desejem para a organização.

Monitorar

É bem entendido que o monitoramento é um aspecto crítico do gerenciamento de software em escala. Esta seção destaca alguns meios para obter informações no desenvolvimento e uso do Power Apps e do Power Automate.

Revisar a trilha de auditoria

O Log de atividades para o Power Apps está integrado ao centro de Conformidade e Segurança do Office para registro abrangente em serviços Microsoft, como o Dataverse e o Microsoft 365. O Office fornece uma API para consultar esses dados e, atualmente, ela é usada por vários fornecedores de SIEM para obter dados de registro em log de atividades para fins de relatório.

Exibir o relatório de licenças do Power Apps e do Power Automate

  1. Entre no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Licenciamento.
  3. No painel Licenciamento, selecione Power Automate ou Power Apps para revisar as informações.

É possível obter informações sobre:

  • Usuário Ativo e Uso do Aplicativo - quantos usuários estão usando um aplicativo e com que frequência?
  • Local – onde ele é usado?
  • Desempenho do serviço de conectores
  • Relatório de erros – quais são os aplicativos mais sujeitos a erros
  • Fluxos em uso por tipo e data
  • Fluxos criados por tipo e data
  • Auditoria de nível de aplicativo
  • Integridade do Serviço
  • Conectores utilizados

Veja quais usuários são licenciados

Você sempre pode procurar por licenciamento de usuário individual na central de administração do Microsoft 365 entrando nos usuários específicos.

Você também pode usar o seguinte comando do PowerShell para exportar licenças de usuário atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de usuário atribuídas (Power Apps e Power Automate) no seu locatário em um arquivo .csv de exibição tabular. O arquivo exportado contém planos de avaliação interna de inscrição de autoatendimento e planos originados do Microsoft Entra ID. Os planos de avaliação internos não são visíveis para os administradores no centro de administração do Microsoft 365.

A exportação pode demorar um pouco para locatários com um grande número de usuários do Power Platform.

Exibir recursos do aplicativo usados em um Ambiente

  1. Entre no Centro de administração do Power Platform.
  2. No painel de navegação, selecione Gerenciar.
  3. No painel Gerenciar, selecione Ambientes.
  4. Na página Ambientes, selecione um ambiente.
  5. Na seção Recursos, revise a lista de aplicativos usados no ambiente.

Conteúdo relacionado

  • Last updated on