Considerações de segurança e governação no Power Platform

Muitos clientes perguntam como pode o Power Platform ser disponibilizado para o seu negócio mais amplo e suportados por TI? O governação é a resposta. O objetivo é permitir que os grupos empresariais se foquem na resolução de problemas de negócio de forma eficiente, ao mesmo tempo que cumprem os padrões de conformidade de TI e empresariais. O conteúdo seguinte destina-se a estruturar temas frequentemente associados ao software de gestão e consciencializar sobre as capacidades disponíveis para cada tema no que se refere à governação do Power Platform.

Tema	Perguntas comuns relacionadas com cada tema a que este conteúdo responde
Arquitetura	Quais são as construções e os conceitos básicos do Power Apps, Power Automate e Microsoft Dataverse? Como é que estas construções se encaixam a nível de tempo de design e runtime?
Segurança	Quais são as práticas recomendadas para considerações de design de segurança? Como utilizo as nossas soluções de gestão de utilizadores e grupos existentes para gerir funções de acesso e de segurança no Power Apps?
Alerta e Ação	Como posso definir o modelo de governação entre os programadores do cidadão e os serviços de TI geridos? Como posso definir o modelo de governação entre as TI centrais e os administradores das unidades empresariais? Como devo abordar o suporte para ambientes não predefinidos na minha organização?
Monitorizar	Como estamos a capturar dados de conformidade/auditoria? Como posso medir a adoção e utilização na minha organização?

Arquitetura

É melhor familiarizar-se com ambientes como o primeiro passo para criar a história de governação adequada para a sua empresa. Os ambientes são os contentores para todos os recursos utilizados por um Power Apps, Power Automate e Dataverse. Descrição geral de Ambientes é um bom preparador que deve ser seguido pelo O que é o Dataverse?, Tipos de Power Apps, Microsoft Power Automate, Conectores e Gateways no Local.

Segurança

Esta seção descreve os mecanismos que existem para controlar quem pode acessar o Power Apps em um ambiente e acessar dados: licenças, ambientes, funções de ambiente, ID do Microsoft Entra, políticas de dados e conectores de administrador que podem ser usados com o Power Automate.

Licenciamento

O acesso ao Power Apps e ao Power Automate começa com a obtenção de uma licença. O tipo de licença que um utilizador tem determina os recursos e os dados a que um utilizador pode aceder. A tabela seguinte descreve as diferenças nos recursos disponíveis para um utilizador com base no tipo de plano, a partir de um nível alto. É possível encontrar detalhes de licenciamento granulares na Descrição geral de licenciamento.

Planear	Descrição
Microsoft 365 Incluído	Isto permite que os utilizadores expandam o SharePoint e outros ativos do Office que já tenham.
Dynamics 365 incluído	Isto permite que os utilizadores personalizem e ampliem as aplicações de Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) que já possuem.
Plano Power Apps	Isto permite: Tornar os conectores empresariais e o Dataverse acessíveis para utilização. os utilizadores utilizam uma lógica de negócio robusta nos tipos de aplicação e capacidades de administração.
Comunidade do Power Apps	Isto permite ao utilizador utilizar o Power Apps, o Power Automate, o Dataverse e conectores personalizados num único local para utilização individual. Não há capacidade de partilhar aplicações.
Power Automate gratuito	Isto permite que os utilizadores criem fluxos ilimitados e efetuem 750 execuções.
Plano do Power Automate	Consulte Guia de Licenciamento do Microsoft Power Apps e do Microsoft Power Automate.

Ambientes

Depois de os utilizadores terem licenças, existem ambientes como contentores para todos os recursos utilizados pelo Power Apps, Power Automate e Dataverse. Os ambientes podem ser utilizados para diferentes públicos-alvo e/ou para diferentes finalidades como, por exemplo, desenvolvimento, teste e produção. É possível encontrar mais informações na descrição geral de ambientes.

Proteger os seus dados e a rede

O Power Apps e o Power Automate não fornecem aos utilizadores acesso a quaisquer ativos de dados aos quais não tenham acesso. Os utilizadores só devem ter acesso aos dados a que necessitam realmente de aceder.
As políticas de controlo de acesso à rede também podem ser aplicadas ao Power Apps e Power Automate. No caso de um ambiente, pode bloquear-se o acesso a um local a partir de uma rede bloqueando a página de início de sessão para impedir que as ligações a esse site sejam criadas no Power Apps e no Power Automate.
Num ambiente, o acesso é controlado a três níveis: Funções de ambiente, Permissões de recursos para o Power Apps, Power Automate, etc. e Direitos de acesso do Dataverse (se for aprovisionada uma base de dados do Dataverse).
Quando o Dataverse for criado num ambiente, os direitos de acesso do Dataverse assumem o controlo da segurança no ambiente (e todos os administradores e criadores de ambiente são migrados).

As principais seguintes são suportadas para cada tipo de função.

Tipo de ambiente	Função	Tipo de principal (Microsoft Entra ID)
Ambiente sem Dataverse	Função do ambiente	Utilizador, grupo, inquilino
	Permissão de recurso: aplicação de tela	Utilizador, grupo, inquilino
	Permissão de recurso: Power Automate, Custom Connector, Gateways, Connections¹	Utilizador, grupo
Ambiente com o Dataverse	Função do ambiente	User
	Permissão de recurso: aplicação de tela	Utilizador, grupo, inquilino
	Permissão de recurso: Power Automate, Custom Connector, Gateways, Connections¹	Utilizador, grupo
	Função do Dataverse (aplica-se a todas as aplicações e componentes condicionados por modelo)	User

¹ Apenas determinadas ligações (como SQL) podem ser partilhadas.

Nota

No ambiente predefinido, é concedido acesso a todos os utilizadores de um inquilino à função de criador do ambiente.
Os utilizadores com a função de Administrador do Power Platform têm acesso de administrador a todos os ambientes.

FAQ - Que permissões existem ao nível do inquilino do Microsoft Entra?

Hoje, os admins do Microsoft Power Platform podem fazer o seguinte:

Transferir o relatório de licenças de Power Apps e Power Automate
Criar política de dados com escopo apenas para 'Todos os Ambientes' ou com escopo para incluir/excluir ambientes específicos
Gerir e atribuir licenças através do centro de administração do Office
Aceder a todas as capacidades de gestão de ambiente, aplicação e fluxo para todos os ambientes no inquilino disponíveis através de:
- Cmdlets do PowerShell para Administradores do Power Apps
- Conectores de gestão do Power Apps
Aceda à análise de admin do Power Apps e Power Automate para todos os ambientes no inquilino:
- https://aka.ms/paadminanalytics
- https://aka.ms/flowadminanalytics

Considere o Microsoft Intune

Os clientes com o Microsoft Intune podem definir políticas de proteção de aplicação móvel para as aplicações do Power Apps e do Power Automate no Android e iOS. Esta explicação passo a passo destaca a definição de uma política através do Intune para o Power Automate.

Considerar acesso condicional baseado na localização

Para clientes com Microsoft Entra ID P1 ou P2, as políticas de acesso condicionais podem ser definidas no Azure para Power Apps e Power Automate. Isto permite conceder ou bloquear o acesso com base em: utilizador/grupo, dispositivo, localização.

Criar uma política de acesso condicional

Iniciar sessão no https://portal.azure.com.
Selecione Acesso Condicional.
Selecione + Nova Política.
Selecione utilizadores e grupos selecionados.
Selecione Todas as aplicações de cloud>Todas as aplicações de cloud>Common Data Service para controlar o acesso a aplicações de Customer Engagement.
Aplicar condições (risco de utilizador, plataformas de dispositivos, localizações).
Selecione Criar.

Evite o vazamento de dados com políticas de dados

As Políticas de dados impõem regras para as quais os conectores podem ser utilizados em conjunto, classificando os conectores como Apenas Dados de Negócio ou Sem Dados de Negócio permitidos. Simplesmente, se colocar um conector no grupo apenas de dados de negócio, ele só poderá ser utilizado com outros conectores desse grupo na mesma aplicação. Os administradores do Power Platform podem definir políticas aplicáveis a todos os ambientes.

FAQ

P: Posso controlar, ao nível do inquilino, qual o conector disponível, por exemplo, Não para Dropbox ou Twitter, mas Sim para o SharePoint?

R: Isto é possível utilizando as capacidades dos conectores de classificação e atribuindo o classificador Bloqueado a um ou mais conectores que pretende evitar que sejam utilizados. Há um conjunto de conectores que não podem ser bloqueados.

P: e quanto à partilha de conectores entre utilizadores? Por exemplo, o conector para o Teams é um conector general que pode ser partilhado?

R: Os conectores estão disponíveis para todos os utilizadores, com a exceção de conectores premium ou personalizados, que necessitam de uma outra licença (conectores Premium) ou que têm de ser partilhados explicitamente (conectores personalizados)

Alerta e ação

Para além da monitorização, muitos clientes querem subscrever eventos de criação de software, utilização ou funcionamento, para que saibam quando efetuar uma ação. Esta secção descreve alguns meios para observar eventos (manual e programaticamente) e efetuar ações acionadas pela ocorrência de um evento.

Criar fluxos do Power Automate para alertar sobre eventos chave de auditoria

Um exemplo de alerta que pode ser implementado é subscrever aos Registos de Auditoria de Conformidade e Segurança do Microsoft 365.
Isto pode ser conseguido através de uma subscrição webhook ou abordagem de consulta. No entanto, ao anexar o Power Automate a estes alertas, podemos fornecer aos administradores mais do que apenas alertas de e-mail.

Criar as políticas necessárias com o Power Apps, Power Automate e o PowerShell

Estes cmdlets do PowerShell colocam o controlo total nas mãos dos administradores para automatizar as políticas de governação necessárias.
Os conectores de Power Platform for Admins V2 (Pré-visualização) e Gestão do Power Automate fornecem o mesmo nível de controlo, mas com extensibilidade adicional e facilidade de utilização ao usar o Power Apps e o Power Automate.
Reveja as melhores práticas de administração e governação do Power Platform e considere configurar o Kit de Iniciação do Centro de Excelência (CoE).
Utilize este modelo de blogue e aplicação para ficar a par rapidamente dos conectores de administração.
Além disso, vale a pena verificar o conteúdo partilhado na Galeria de aplicações da Comunidade, eis outro exemplo de uma experiência de administração criada com o Power Apps e os conectores de administração.

FAQ

Problema Atualmente, todos os utilizadores com licenças Microsoft E3 podem criar aplicações no Ambiente predefinido. Como podemos ativar os direitos do Criador de Ambientes para um grupo selecionado, por exemplo. Dez pessoas para criar aplicações?

Recomendação

Os cmdlets do PowerShell e os Conectores de gestão fornecem flexibilidade e controlo completos aos administradores para criarem as políticas pretendidas para a sua organização.

Monitorizar

É bem entendido que a monitorização é um aspeto crítico da gestão de software em escala. Esta secção destaca algumas formas de obter informações no desenvolvimento e utilização do Power Apps e Power Automate.

Rever o registo de auditoria

O registo de atividades do Power Apps está integrado no centro de Segurança e Conformidade do Office para registos abrangentes em serviços da Microsoft como Dataverse e Microsoft 365. O Office fornece uma API para consultar estes dados, que atualmente são utilizados por muitos fornecedores SIEM para utilizar os dados de registo de atividades para relatórios.

Ver o relatório de licenças do Power Apps e Power Automate

Inicie sessão no Centro de administração do Power Platform.
No painel de navegação, selecione Licenciamento.
No painel Licenciamento, selecione Power Automate ou Power Apps para rever as informações.

Pode obter informações sobre o seguinte:

Utilizadores ativos e utilização de aplicações – quantos utilizadores estão a utilizar uma aplicação e com que frequência?
Localização - onde está a utilização?
Desempenho do serviço dos conectores
Relatório de erros – que são as aplicações mais sujeitas a erros
Fluxos em utilização por tipo e data
Fluxos criados por tipo e data
Auditoria a nível da aplicação
Service Health
Conectores usados

Ver que utilizadores estão licenciados

Pode examinar sempre o licenciamento de utilizadores individuais no centro de administração do Microsoft 365, analisando utilizadores específicos.

Também pode utilizar o seguinte comando PowerShell para exportar licenças de utilizador atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de utilizador atribuídas (Power Apps e Power Automate) no seu inquilino para um ficheiro .csv de vista em tabela. O ficheiro exportado contém planos de avaliação internos de inscrição de serviço autónomo e planos com origem no Microsoft Entra ID. Os planos de avaliação internos não são visíveis para administradores no centro de administração do Microsoft 365.

A exportação pode demorar algum tempo para os inquilinos com um grande número de utilizadores do Power Platform.

Ver recursos da aplicação utilizados num ambiente

Inicie sessão no Centro de administração do Power Platform.
No painel de navegação, selecione Gerir.
No painel Gerir, selecione Ambientes.
Na página Ambientes selecione um ambiente.
Na secção Recursos, reveja a lista de aplicações utilizadas no ambiente.

Feedback

Esta página foi útil?

Last updated on 2025-10-29