Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Cada funcionário na organização tem acesso ao ambiente do Power Platform padrão. Como administrador do Power Platform, você precisa levar em consideração maneiras de proteger esse ambiente e, ao mesmo tempo, mantê-lo acessível para uso pessoal de produtividade dos criadores.
Atribuir funções de administrador criteriosamente
Considere se os administradores precisam ter a função Administrador do Power Platform. A função Administrador de ambiente ou Administrador do sistema seria mais apropriada? Limite a função Administrador do Power Platform mais eficiente a apenas alguns usuários. Saiba mais sobre administração de ambientes do Power Platform.
Evite o acesso permanente ou contínuo usando os recursos JIT (Just-In-Time) do provedor de identidade. Para situações de emergência, siga um processo de acesso de emergência. Use o PIM (Privileged Identity Management), um recurso do Microsoft Entra ID para gerenciar, controlar e monitorar o uso dessas funções de alto privilégio.
Analise Configurar gerenciamento de identidade e acesso para obter mais recomendações.
Comunicar a intenção
Um dos principais desafios da equipe do Centro de Excelência (CoE) do Power Platform é comunicar os usos pretendidos do ambiente padrão. Veja algumas recomendações.
Renomear o ambiente padrão
O ambiente padrão é criado com o nome TenantName (padrão). Para descrever claramente a intenção do ambiente, altere o nome para algo mais descritivo, como Ambiente de Produtividade Pessoal.
Configurar conteúdo de boas-vindas
Configure uma mensagem de boas-vindas personalizada para ajudar os criadores a começar o Power Apps e o Copilot Studio. A mensagem de boas-vindas substitui a experiência de ajuda inicial do Power Apps padrão para criadores. Aproveite a oportunidade para compartilhar a intenção do ambiente padrão com todos os criadores assim que eles chegarem ao ambiente padrão.
Use o hub do Power Platform
O hub do Microsoft Power Platform é um modelo de site de comunicação do SharePoint. Ele fornece um ponto de partida para uma fonte central de informações para criadores sobre o uso do Power Platform em sua organização. O conteúdo inicial e os modelos de página facilitam a oferta de informações aos criadores, como:
- Casos de uso de produtividade pessoal
- Informações sobre:
- Como criar aplicativos e fluxos
- Onde criar aplicativos e fluxos
- Como entrar em contato com a equipe de suporte do CoE
- Regras sobre integração com serviços externos
Adicione links para outros recursos internos que podem ser úteis para os criadores.
Habilitar ambientes gerenciados
Mantenha a segurança e a governança robustas fazendo uso dos recursos do ambiente gerenciado no ambiente padrão. Os recursos do ambiente gerenciado fornecem recursos avançados, como monitoramento, conformidade e controles de segurança, que são importantes para proteger seus dados. Ao habilitar esse recurso, você pode configurar limites de compartilhamento, obter mais insights de uso, limitar o acesso do usuário ao Microsoft Dataverse somente de locais IP permitidos e usar a página de ações para obter recomendações personalizadas para otimizar o ambiente. Avalie os recursos atuais de ambientes gerenciados e mantenha-se atualizado com o roteiro do produto para manter um ambiente padrão seguro, em conformidade e bem governado.
Evite o compartilhamento excessivo
O Power Platform foi projetado para ser uma plataforma low-code que permite aos usuários criar rapidamente aplicativos e fluxos. No entanto, essa facilidade de uso pode levar ao compartilhamento excessivo de aplicativos e fluxos, o que pode representar riscos à segurança.
Configurar limites de compartilhamento
Para aumentar a segurança e evitar o compartilhamento excessivo dentro do ambiente padrão do Power Platform, limite a abrangência com que usuários podem compartilhar aplicativos de tela, fluxos e agentes. Considere configurar limites de compartilhamento para manter um controle mais rígido do acesso. Esses limites reduzem o risco de uso não autorizado, compartilhamento excessivo e uso excessivo sem os controles de governança necessários. A implementação dos limites de compartilhamento ajuda a proteger informações críticas, ao mesmo tempo em que promove uma estrutura de compartilhamento mais segura e gerenciável dentro do Power Platform.
Limite o compartilhamento com todos
Os criadores podem compartilhar seus aplicativos com outros usuários individuais e grupos de segurança. Por padrão, o compartilhamento com toda a organização, ou com Todos está desabilitado. Use um processo controlado em torno de aplicativos amplamente utilizados para impor políticas e requisitos. Por exemplo:
- Política de revisão de segurança
- Política de revisão de negócios
- Requisitos do ALM (Gerenciamento do Ciclo de Vida do Aplicativo)
- Experiência do usuário e requisitos de identidade visual
O recurso Compartilhar com Todos está desabilitado por padrão no Power Platform. Recomendamos que você mantenha essa configuração desabilitada para limitar a superexposição de aplicativos de tela com usuários indesejados. O grupo Todos da organização contém todos os usuários que já entraram no locatário, o que inclui convidados e membros internos. Ele não inclui apenas funcionários internos do seu locatário. Além disso, a associação do grupo Todos não pode ser editada nem visualizada. Saiba mais sobre grupos de identidades especiais.
Se você quiser compartilhar com todos os funcionários internos ou com um grande grupo de pessoas, use um grupo de segurança existente ou crie um grupo de segurança para compartilhar seu aplicativo.
Quando a opção Compartilhar com Todos está desativada, somente administradores do Dynamics 365, administradores do Power Platform e administradores globais podem compartilhar um aplicativo com todos no ambiente. Se for um administrador, você poderá executar o seguinte comando do PowerShell para permitir o compartilhamento com Todos:
Primeiro, abra o PowerShell como administrador e entre na conta do Power Apps executando este comando:
Add-PowerAppsAccountExecute o cmdlet Get-TenantSettings para ver a lista de configurações de locatário da sua organização como um objeto.
O objeto
powerPlatform.PowerAppsinclui três sinalizadores:
Execute os seguintes comandos do PowerShell para obter o objeto de configurações e definir a variável
disableShareWithEveryonecomo$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseExecute o cmdlet
Set-TenantSettingscom o objeto de configurações para permitir que os criadores compartilhem seus aplicativos com todos no locatário.Set-TenantSettings $settingsPara desativar o compartilhamento com Todos, siga as mesmas etapas, mas defina.
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true
Estabelecer uma política de dados
Outra maneira de proteger o ambiente padrão é criar uma política de dados para ele. Ter uma política de dados em vigor é especialmente crítico para o ambiente padrão porque todos os funcionários da sua organização têm acesso a ela. Veja algumas recomendações para ajudar a aplicar a política.
Personalizar a mensagem de governança de política de dados
Personalize a mensagem de erro exibida se um criador criar um aplicativo que viole a política de dados da sua organização. Direcione o criador para o Hub do Power Platform da sua organização e forneça o endereço de email da sua equipe do CoE.
À medida que a equipe do CoE refina a política de dados ao longo do tempo, você pode quebrar inadvertidamente alguns aplicativos. Verifique se a mensagem de violação de política de dados contém detalhes de contato ou um link para obter mais informações para fornecer um caminho a seguir para os criadores.
Use os seguintes cmdlets do PowerShell para personalizar a mensagem da política de governança:
| Command | Descrição |
|---|---|
| Set-PowerAppDlpErrorSettings | Definir mensagem de governança |
| Set-PowerAppDlpErrorSettings | Atualizar mensagem de governança |
Bloquear novos conectores no ambiente padrão
Por padrão, todos os novos conectores são colocados no grupo não comercial da política de dados. Você sempre pode alterar o grupo padrão para Comercial ou Bloqueado. Para uma política de dados aplicada ao ambiente padrão, recomendamos que você configure o grupo Bloqueado como o padrão para garantir que os novos conectores permaneçam inutilizáveis até que sejam revisados por um de seus administradores.
Limitar os criadores a conectores predefinidos
Restrinja os criadores a conectores básicos e não bloqueáveis para bloquear o acesso a outros conectores.
- Mova todos os conectores que não podem ser bloqueados para o grupo de dados corporativos.
- Mova todos os conectores que podem ser bloqueados para o grupo de dados bloqueados.
Limitar os conectores personalizados
Os conectores personalizados integram um aplicativo ou fluxo com um serviço desenvolvido internamente. Esses serviços destinam-se a usuários técnicos, como desenvolvedores. É uma boa ideia reduzir a pegada de APIs criadas pela organização que podem ser chamadas de aplicativos ou fluxos no ambiente padrão. Para evitar que os criadores criem e usem conectores personalizados para APIs no ambiente padrão, crie uma regra para bloquear todos os padrões de URL.
Para permitir que os criadores acessem algumas APIs (por exemplo, um serviço que gera uma lista de feriados da empresa), configure várias regras que classificam diferentes padrões de URL nos grupos de dados comerciais e não comerciais. As conexões devem sempre usar o protocolo HTTPS. Saiba mais sobre políticas de dados para conectores personalizados.
Proteger a integração com o Exchange
O conector do Office 365 Outlook é um dos conectores padrão que não pode ser bloqueado. Com ele, os criadores podem enviar, excluir e responder a mensagens de email nas caixas de correio às quais têm acesso. O risco desse conector também é um de recursos mais poderosos: a capacidade de enviar um email. Por exemplo, um criador pode criar um fluxo que envia e-mails em massa.
O administrador do Exchange da sua organização pode configurar regras no Exchange Server para impedir o envio de emails de aplicativos. Também é possível excluir fluxos ou aplicativos específicos das regras definidas para bloquear emails de saída. Você pode associar essas regras a uma "lista permitida" de endereços de email para garantir que emails de aplicativos e fluxos só possam ser enviados de um pequeno grupo de caixas de correio.
Sempre que um aplicativo ou fluxo envia um email por meio do conector do Office 365 Outlook, ele insere cabeçalhos SMTP específicos na mensagem. Você pode usar frases reservadas nos cabeçalhos para identificar se a origem do email foi um fluxo ou um aplicativo.
O cabeçalho SMTP inserido em um email enviado de um fluxo é semelhante ao exemplo a seguir:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Detalhes do cabeçalho
x-ms-mail-application
A tabela a seguir descreve os valores que podem ser exibidos no cabeçalho x-ms-mail-application dependendo do serviço usado.
| Service | Valor |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; version <version number>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <nome do aplicativo>) |
x-ms-mail-operation-type
A tabela a seguir descreve os valores que podem ser exibidos no cabeçalho x-ms-mail-operation-type dependendo da ação que está sendo realizada.
| Valor | Descrição |
|---|---|
| Responder | Para operações de email de resposta |
| Encaminhar | Para operações de email encaminhado |
| Enviar | Para enviar operações de email, incluindo SendEmailWithOptions e SendApprovalEmail |
x-ms-mail-environment-id
O cabeçalho x-ms-mail-environment-id contém o valor de ID do ambiente. A presença desse cabeçalho depende do produto que você está usando.
- No Power Apps, ele sempre está presente.
- No Power Automate, ele está presente apenas em conexões criadas após julho de 2020.
- Em Aplicativos Lógicos, ele nunca está presente.
Possíveis regras do Exchange para o ambiente padrão
Veja algumas ações de email que talvez você deseje bloquear usando regras do Exchange.
Bloquear emails de saída para destinatários externos: bloqueia todos os emails de saída enviados para destinatários externos pelo Power Automate e Power Apps. Essa regra impede que os criadores enviem e-mails para parceiros, fornecedores ou clientes usando os respectivos aplicativos ou fluxos.
Bloquear encaminhamento de saída: bloqueia todos os emails de saída encaminhados para destinatários externos pelo Power Automate e pelo Power Apps nos quais o remetente não seja de uma lista permitida de caixas de correio. Essa regra impede que os criadores criem um fluxo que encaminhe automaticamente emails de entrada para um destinatário externo.
Exceções a serem consideradas com regras de bloqueio de email
Estas são possíveis exceções às regras do Exchange para bloquear email para adicionar flexibilidade:
Isentar aplicativos e fluxos específicos: adiciona uma lista de isenções às regras sugeridas anteriormente para que aplicativos ou fluxos aprovados possam enviar emails para destinatários externos.
Lista de permissões no nível da organização: neste cenário, faz sentido migrar a solução para um ambiente dedicado. Se vários fluxos no ambiente precisarem enviar emails de saída, você poderá criar uma regra de exceção geral para permitir emails de saída desse ambiente. A permissão do criador e do administrador nesse ambiente deve ser rigidamente controlada e limitada.
Saiba mais sobre como configurar as regras de exfiltração apropriadas para o tráfego de email relacionado ao Power Platform.
Aplicar isolamento do locatário
O Power Platform tem um sistema de conectores baseado no Microsoft Entra que permite aos usuários autorizados do Microsoft Entra conectar aplicativos e fluxos a armazenamentos de dados. O isolamento do locatário controla a movimentação de dados de fontes de dados autorizadas do Microsoft Entra de e para seu locatário.
O isolamento do locatário é aplicado no nível do locatário e afeta todos os ambientes do locatário, incluindo o ambiente padrão. Como todos os funcionários são criadores no ambiente padrão, configurar uma política de isolamento de locatário robusta é essencial para proteger o ambiente. É recomendável configurar explicitamente os locatários àqueles aos quais os funcionários consigam se conectar. Todos os outros locatários devem ser cobertos por regras padrão que bloqueiam o fluxo de entrada e saída de dados.
O isolamento do locatário do Power Platform é diferente da restrição de locatário em todo o Microsoft Entra ID. Isso não afeta o acesso baseado no Microsoft Entra ID fora do Power Platform. Isso só se aplica a conectores que usem a autenticação baseada em Microsoft Entra ID, como os conectores do Office 365 Outlook e do SharePoint.
Saiba mais:
- Restrições de acesso de entrada e saída entre locatários
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Próximas etapas
Analise os artigos detalhados desta série para melhorar ainda mais sua postura de segurança:
- Detectar ameaças à sua organização
- Estabelecer controles de privacidade e proteção de dados
- Implementar uma estratégia de política de dados
- Configurar gerenciamento de identidades e acesso
- Atender aos requisitos de conformidade
Depois de analisar os artigos, leia a lista de verificação de segurança para garantir que as implantações do Power Platform sejam avançadas, resilientes e alinhadas com as melhores práticas.