Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
A análise e os relatórios do Azure DevOps fornecem informações poderosas sobre seus processos de desenvolvimento, mas com esse poder vem a responsabilidade de proteger dados confidenciais e controlar o acesso às métricas organizacionais. Este artigo descreve os conceitos de segurança, controles de acesso e práticas recomendadas para proteger sua implementação de análises e relatórios.
Visão geral do modelo de segurança
A segurança de análises e relatórios opera em uma abordagem em várias camadas que inclui:
- Controle a visibilidade dos dados: gerencie quem pode visualizar dados analíticos e quais projetos eles podem acessar.
- Implementar permissões de painel: controle o acesso aos painéis e seus dados subjacentes. Para obter mais informações, consulte Definir permissões do painel
- Configurar acesso no nível do projeto: restrinja o acesso à análise com base na associação ao projeto. Para obter mais informações, consulte Permissões e acesso padrão para relatórios
- Gerenciar a integração do Power BI: proteja as conexões entre o Azure DevOps e o Power BI. Para obter mais informações, consulte Conectar-se ao Power BI Data Connector
- Habilite a auditoria e a conformidade: rastreie o acesso aos dados e mantenha os requisitos de conformidade. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria
Gestão de identidades e acessos
Níveis de acesso para relatórios
Os recursos de análise e geração de relatórios variam de acordo com o nível de acesso. Para obter informações abrangentes sobre permissões padrão para cada nível de acesso, consulte Permissões padrão e acesso para relatórios.
| Nível de Acesso | Recursos de análise e relatórios |
|---|---|
| Parte Interessada | Ver painéis partilhados, vistas analíticas limitadas, widgets gráficos básicos |
| Basic | Acesso total a visualizações do Google Analytics, criação e edição de painéis, todos os widgets de gráficos |
| Planos Básicos + Testes | Inclui acesso Básico e Planos de Teste, análises e relatórios |
| Visual Studio Enterprise | Inclui todos os recursos básicos, além de recursos avançados de análise |
Para obter mais informações, consulte Sobre os níveis de acesso.
Autenticação para ferramentas externas
Quando você conecta ferramentas de relatório externas ao Azure DevOps, a autenticação segura é essencial:
- Use tokens Microsoft Entra: use a identidade organizacional para segurança aprimorada e gerenciamento centralizado. Para obter mais informações, consulte Usar tokens do Microsoft Entra
- Configurar aplicativos OAuth: configure fluxos OAuth seguros para integrações que não sejam da Microsoft. Para obter mais informações, consulte Autorizar acesso a APIs REST com OAuth 2.0
- Use tokens de acesso pessoal (PATs) quando necessário: crie tokens com escopos mínimos necessários somente quando o Microsoft Entra ID não estiver disponível. Para obter mais informações, consulte Usar tokens de acesso pessoal
- Criar contas de serviço: use contas dedicadas para conexões de ferramentas de relatório.
- Configurar a autenticação do Windows: integre com o Ative Directory para acesso contínuo. Para obter mais informações, consulte Configurar grupos para uso no Azure DevOps Server
- Usar autenticação alternativa: habilite a autenticação baseada em token para ferramentas externas. Para obter mais informações, consulte Diretrizes de autenticação para APIs REST
Segurança do Analytics
Permissões de acesso a dados
A segurança do Analytics baseia-se no princípio da herança da visibilidade dos dados dos projetos de origem:
- Acesso baseado em projetos: os usuários só podem ver dados analíticos de projetos aos quais têm acesso. Para obter mais informações, consulte Alterar permissões no nível do projeto
- Visibilidade do item de trabalho: o Google Analytics respeita as permissões de caminho da área do item de trabalho. Para obter mais informações, consulte Definir permissões de controle de trabalho
- Acesso ao repositório: as métricas de código são filtradas com base nas permissões do repositório. Para obter mais informações, consulte Definir permissões do repositório Git
- Visibilidade do pipeline: as análises de compilação e liberação seguem as configurações de segurança do pipeline. Para obter mais informações, consulte Definir permissões de pipeline
Visualizações do Analytics
Controle o acesso a conjuntos de dados específicos por meio de visualizações do Google Analytics. Para obter mais informações sobre como criar e gerenciar exibições do Google Analytics, consulte Criar uma exibição do Google Analytics.
| Tipo de visualização | Características de Segurança |
|---|---|
| Vistas partilhadas | Acessível a todos os membros do projeto com as permissões apropriadas |
| Vistas privadas | Acessível apenas ao criador |
| Vistas da equipa | Restrito a membros específicos da equipe |
Filtragem de dados e privacidade
Implemente a filtragem de dados para proteger informações confidenciais:
- Configurar restrições de caminho de área: limite os dados de análise a áreas específicas de item de trabalho. Para obter mais informações, consulte Definir permissões de controle de trabalho
- Aplicar segurança em nível de campo: oculte campos de item de trabalho confidenciais da análise. Para obter mais informações, consulte Adicionar e modificar um campo
- Gerencie o acesso entre projetos: controle a visibilidade em vários projetos.
Segurança do painel
Permissões do painel
Controle quem pode visualizar, editar e gerenciar painéis. Para obter instruções passo a passo sobre como configurar permissões de painel, consulte Definir permissões de painel.
| Nível de permissão | Capabilities |
|---|---|
| View | Ver painel e seus widgets |
| Edit | Modificar o layout do painel e a configuração do widget |
| Manage | Controle total, incluindo compartilhamento e gerenciamento de permissões |
| Eliminar | Remover painéis e configurações associadas |
Considerações sobre segurança do widget
Widgets diferentes têm implicações de segurança variadas:
- Widgets baseados em consulta: herda a segurança de consultas de item de trabalho subjacentes. Para obter mais informações, consulte Definir permissões em consultas
- Widgets do Google Analytics: siga as permissões de visualização de análise e o acesso ao projeto.
- Widgets externos: podem exigir outras considerações de autenticação e compartilhamento de dados. Para obter mais informações, consulte Práticas recomendadas de segurança
- Widgets personalizados: a segurança depende da implementação e das fontes de dados. Para obter mais informações, consulte Adicionar, renomear e excluir painéis
Painéis de equipe e projeto
Gerencie o acesso ao painel em diferentes níveis organizacionais:
- Painéis da equipe: Acessível aos membros da equipe e às partes interessadas do projeto. Para obter mais informações, consulte Adicionar uma equipe, mover de uma equipe padrão para várias equipes
- Painéis do projeto: Disponível para todos os colaboradores do projeto. Para obter mais informações, consulte Alterar permissões no nível do projeto
- Painéis pessoais: privados para usuários individuais
- Painéis da organização: visíveis em toda a organização. Para obter mais informações, consulte Alterar permissões no nível da organização ou da coleção
Para obter mais informações sobre tipos de painel e acesso, consulte Adicionar, renomear e excluir painéis.
Segurança de integração do Power BI
Segurança do conector de dados
Ao usar o Power BI com o Azure DevOps, implemente essas medidas de segurança. Para obter instruções detalhadas de configuração, consulte Conectar-se ao Power BI Data Connector.
- Usar entidades de serviço com o Microsoft Entra ID: implemente a autenticação baseada em aplicativos para atualização automatizada com gerenciamento centralizado de identidades. Para obter mais informações, consulte Usar tokens do Microsoft Entra
- Configurar segurança em nível de linha: filtrar dados do Power BI com base na identidade do usuário
- Gerenciar credenciais de atualização: armazene e gire credenciais de fonte de dados com segurança usando a autenticação do Microsoft Entra ID
- Aplicar permissões de espaço de trabalho: controlar o acesso a espaços de trabalho do Power BI que contêm dados do Azure DevOps
Privacidade de dados no Power BI
Proteja dados confidenciais ao compartilhar relatórios do Power BI:
- Configurar rótulos de sensibilidade de dados: aplique a classificação apropriada a relatórios e conjuntos de dados
- Implementar restrições de compartilhamento: controlar quem pode acessar e compartilhar conteúdo do Power BI
- Monitore o uso de dados: rastreie padrões de acesso e identifique possíveis problemas de segurança
- Aplicar restrições de exportação: limitar os recursos de exportação de dados com base em políticas organizacionais
Para obter mais informações sobre as práticas recomendadas de segurança do Power BI, consulte Linha de base de segurança do Power BI.
Conformidade e auditoria
Registo de auditoria
Acompanhe as atividades de análise e relatórios por meio de logs de auditoria abrangentes:
- Monitorar o acesso ao painel: rastreie quem visualiza e modifica os painéis. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria
- Exportações de dados de auditoria: registre quando os usuários exportam dados analíticos
- Rastrear conexões do Power BI: monitorar conexões de ferramentas externas e acesso a dados
- Revisar alterações de permissão: manter logs de modificações de configuração de segurança
Retenção de dados e conformidade
Implemente políticas apropriadas de retenção de dados:
- Configurar retenção de dados analíticos: defina períodos de retenção apropriados para dados históricos
- Gerenciar o ciclo de vida do painel: estabeleça processos para arquivamento e exclusão do painel
- Linhagem de dados de documentos: mantenha registros de fontes de dados e transformações
- Implementar relatórios de conformidade: gerar relatórios para requisitos normativos
Para obter mais informações sobre proteção de dados, consulte Visão geral sobre proteção de dados.
Práticas recomendadas para segurança do Analytics & Reporting
Gestão de acesso
- Aplicar o princípio do privilégio mínimo: conceder acesso mínimo necessário para as necessidades de análise e relatórios
- Realize revisões regulares de acesso: audite periodicamente o painel e as permissões de análise
- Usar gerenciamento baseado em grupo: gerencie permissões por meio de grupos de segurança em vez de atribuições individuais
- Implementar acesso baseado em função: defina funções padrão para diferentes necessidades de relatórios
Proteção de dados
- Classificar a sensibilidade dos dados: identifique e proteja métricas e relatórios confidenciais. Para obter mais informações, consulte Visão geral da proteção de dados
- Implementar mascaramento de dados: oculte ou ofusque informações confidenciais em relatórios compartilhados. Para obter mais informações, consulte Adicionar e modificar um campo
- Controle a exportação de dados: restrinja os recursos de exportação de dados em massa com base nas funções do usuário. Para obter mais informações, consulte Alterar níveis de acesso
- Monitore o acesso anômalo: observe padrões incomuns no acesso a dados e relatórios. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria
Segurança de integração
- Conexões externas seguras: use conexões criptografadas para todas as ferramentas de relatórios externos. Para obter mais informações, consulte Usar tokens do Microsoft Entra
- Validar ferramentas de terceiros: garanta que as ferramentas de análise externas atendam aos requisitos de segurança. Para obter mais informações, consulte Práticas recomendadas de segurança
- Gerenciar a autenticação do Microsoft Entra: use o gerenciamento de identidades organizacionais para integrações externas em vez de tokens individuais. Para obter mais informações, consulte Usar tokens do Microsoft Entra
- Monitore o uso da integração: rastreie o acesso aos dados por meio de APIs e conexões externas. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria
Governança organizacional
- Estabelecer padrões de relatórios: Definir ferramentas e práticas aprovadas para relatórios organizacionais. Para obter mais informações, consulte Práticas recomendadas de segurança
- Criar políticas de governança de dados: implemente políticas de precisão, privacidade e uso de dados. Para obter mais informações, consulte Visão geral da proteção de dados
- Treinar os usuários sobre segurança: instruir as equipes sobre práticas seguras de relatórios e riscos potenciais. Para obter mais informações, consulte Práticas recomendadas de segurança
- Procedimentos de segurança de documentos: Manter up-todocumentação atualizada de configurações e processos de segurança. Para obter mais informações, consulte Sobre permissões e grupos de segurança
Cenários de segurança comuns
Análise de vários projetos
Ao implementar análises em vários projetos, estabeleça limites de segurança claros:
Cenário de exemplo: uma organização com várias equipes de produto precisa de relatórios consolidados enquanto mantém o isolamento do projeto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
Nesta configuração:
- Os membros da equipe podem acessar análises apenas para seus projetos atribuídos. Para obter mais informações, consulte Alterar permissões no nível do projeto
- As métricas dos Serviços Compartilhados são visíveis para todas as equipes para rastreamento de dependência.
- O painel executivo fornece métricas de alto nível sem expor detalhes confidenciais do projeto. Para obter mais informações, consulte Definir permissões do painel
- As consultas entre projetos são restritas com base nas permissões do usuário. Para obter mais informações, consulte Criar uma visualização do Google Analytics
Relatórios das partes interessadas externas
Gerencie a segurança ao compartilhar relatórios com partes interessadas externas:
- Crie painéis específicos para as partes interessadas: projete visualizações que mostrem métricas relevantes sem detalhes confidenciais
- Usar acesso somente leitura: forneça permissões somente visualização para usuários externos
- Implementar acesso limitado no tempo: definir datas de expiração para acesso de usuário externo
- Aplicar filtragem de dados: garanta que os usuários externos vejam apenas informações aprovadas
Para obter orientação sobre como gerenciar usuários externos, consulte Adicionar usuários externos à sua organização.
Relatórios de conformidade regulamentar
Para organizações com requisitos de conformidade:
- Implementar trilhas de auditoria: mantenha logs detalhados de todos os acessos e modificações de dados. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria
- Aplicar políticas de retenção de dados: certifique-se de que os dados analíticos atendem aos requisitos de retenção regulamentares. Para obter mais informações, consulte Visão geral da proteção de dados
- Controlar a localização dos dados: para instâncias na nuvem, entenda onde os dados analíticos são armazenados. Para obter mais informações, consulte Locais de dados para o Azure DevOps
- Gerar relatórios de conformidade: crie relatórios padronizados para envios normativos. Para obter mais informações, consulte Exportar lista de usuários com níveis de acesso
Lista de verificação de configuração de segurança
Configuração inicial
- [ ] Configurar níveis de acesso apropriados para usuários de análise
- [ ] Configurar grupos de segurança alinhados com as necessidades de relatórios
- [ ] Configurar permissões de projeto para acesso analítico
- [ ] Definir permissões de painel para painéis de equipe e projeto
- [ ] Configurar visualizações do Google Analytics com controles de acesso apropriados
- [ ] Definir permissões de acompanhamento de trabalho para controlar a visibilidade dos dados
Integrações externas
- [ ] Configurar a autenticação do Microsoft Entra para ferramentas de relatórios externos
- [ ] Configurar conexões do Power BI com autenticação de ID do Microsoft Entra
- [ ] Configurar a segurança em nível de linha no Power BI para cenários multilocatários
- [ ] Documentar e aprovar todas as conexões de ferramentas externas
Gestão contínua
- [ ] Realizar auditorias regulares de permissão para análise e acesso ao painel
- [ ] Monitore logs de auditoria para atividades de análise incomuns
- [ ] Revise e atualize as permissões do painel à medida que as equipes mudam
- [ ] Gerencie a autenticação do Microsoft Entra e gire credenciais para integrações externas
- [ ] Validar se a filtragem de dados analíticos está funcionando corretamente