Compartilhar via

Considerações sobre segurança e governança no Power Platform

Muitos clientes se perguntam como o Power Platform pode ser disponibilizado para seus amplos negócios e ter suporte da TI? Governança é a resposta. Ela visa habilitar grupos de negócios para se concentrar na solução de problemas de negócios de maneira eficiente e, ao mesmo tempo, de acordo com os padrões de conformidade de TI e da empresa. O conteúdo a seguir destina-se a estruturar os temas frequentemente associados a software de governança, além de trazer conhecimento sobre os recursos disponíveis para cada tema, conforme estejam relacionados à governança do Power Platform.

Tema Perguntas comuns relacionadas a cada tema respondidas por este conteúdo
Arquitetura
  • Quais são as construções básicas e conceitos de Power Apps, Power Automate e Microsoft Dataverse?

  • Como esses construtores se encaixam em tempo de design e de execução?
Segurança
  • Quais são as melhores práticas para considerações de design de segurança?

  • Como usar nossas soluções de gerenciamento de usuários e grupos existentes para gerenciar funções de acesso e segurança no Power Apps?
Alerta e ação
  • Como posso definir o módulo de governança entre desenvolvedores civis e serviços de TI gerenciados?

  • Como posso definir o módulo de governança entre administradores da TI central e da unidade de negócios?

  • Como devo abordar o suporte para ambientes não padrão em minha organização?
Monitorar
  • Como estamos capturando dados de conformidade/auditoria?

  • Como posso medir a adoção e o uso em minha organização?

Arquitetura

Primeiro, é melhor se familiarizar com os ambientes para construir a história de governança correta para a sua empresa. Ambientes são os contêineres para todos os recursos usados em Power Apps, Power Automate e Dataverse. Environments Overview é uma boa cartilha, que deve ser seguida por O que é o Dataverse?Types of Power Apps, Microsoft Power Automate, Connectors e On-premises Gateways.

Segurança

Esta seção descreve mecanismos que existem para controlar quem pode acessar Power Apps em um ambiente e acessar dados: licenças, ambientes, funções de ambiente, Microsoft Entra ID, políticas de dados e conectores de administrador que podem ser usados com Power Automate.

Licenciamento

O acesso a Power Apps e Power Automate começa com ter uma licença. O tipo de licença que um usuário possui determina os ativos e dados que ele pode acessar. A tabela a seguir descreve as diferenças entre os recursos disponíveis para um usuário com base em seu tipo de plano, partindo de um nível alto. Os detalhes granulares de licenciamento podem ser encontrados em Visão geral de licenciamento.

Plano Descrição
Microsoft 365 Incluído Isso permite que os usuários estendam SharePoint e outros ativos do Office que já têm.
Dynamics 365 Incluso Isso permite que os usuários personalizem e estendam os aplicativos de engajamento do cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) que já possuem.
Power Apps plano Permite:
  • tornar os conectores corporativos e o Dataverse acessíveis para uso.
  • que os usuários usem uma lógica de negócios robusta entre tipos de aplicativos e recursos de administração.
Comunidade Power Apps Isso permite que um usuário use Power Apps, Power Automate, Dataverse e conectores personalizados em um único para uso individual. Não é possível compartilhar aplicativos.
Power Automate Gratuito Isso permite que os usuários criem fluxos ilimitados e façam 750 execuções.
plano Power Automate Consulte Microsoft Power Apps e o Guia de Licenciamento do Microsoft Power Automate.

Ambientes

Depois que os usuários tiverem licenças, os ambientes existirão como contêineres para todos os recursos usados por Power Apps, Power Automate e Dataverse. Os ambientes podem ser usados para visar públicos-alvo diferentes e/ou para fins diferentes, como desenvolvimento, testes e produção. Mais informações podem ser encontradas em Visão geral dos ambientes.

Proteger seus dados e sua rede

  • Power Apps e Power Automate não fornecem aos usuários acesso a quaisquer ativos de dados aos quais eles ainda não tenham acesso. Os usuários devem ter acesso apenas aos dados para os quais realmente necessitam de acesso.
  • As políticas de controle de acesso à rede também podem ser aplicadas a Power Apps e Power Automate. Para ambiente, é possível bloquear o acesso a um site de dentro de uma rede bloqueando a página de logon para impedir que conexões com esse site sejam criadas em Power Apps e Power Automate.
  • Em um ambiente, o acesso é controlado em três níveis: funções do ambiente, permissões de recurso para Power Apps, Power Automate etc. e funções de segurança do Dataverse (se uma base de dados do Dataverse tiver sido provisionada).
  • Quando o Dataverse é criado em um ambiente, as funções do Dataverse assumem o controle da segurança no ambiente (e todos os criadores e administradores de ambiente são migrados).

As entidades de segurança a seguir são suportadas para cada tipo de função.

Tipo de ambiente Função Tipo Principal (Microsoft Entra ID)
Ambiente sem o Dataverse Função de ambiente Usuário, grupo, locatário
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão de recurso: Power Automate, Conector Personalizado, Gateways, Conexões1 Usuário, grupo
Ambiente com o Dataverse Função de ambiente User
Permissão do recurso: aplicativo de tela Usuário, grupo, locatário
Permissão de recurso: Power Automate, Conector Personalizado, Gateways, Conexões1 Usuário, grupo
Função do Dataverse (aplica-se a todos os componentes e aplicativos baseados em modelo) User

1 Somente determinadas conexões (como SQL) podem ser compartilhadas.

Nota

  • No ambiente padrão, todos os usuários em um locatário recebem acesso à função Criador de Ambiente.
  • Os usuários com a função de Administrador do Power Platform têm acesso de administrador a todos os ambientes.

Perguntas frequentes - Quais permissões existem em um tenant Microsoft Entra?

Hoje, Microsoft Power Platform administradores podem fazer o seguinte:

  1. Baixar o relatório de licença do Power Apps e Power Automate
  2. Criar uma política de dados com escopo apenas para 'Todos os Ambientes' ou com escopo para incluir/excluir ambientes específicos
  3. Gerenciar e atribuir licenças pelo centro de administração do Office
  4. Acesse todos os recursos de gerenciamento de ambiente, aplicativo e fluxo para todos os ambientes do locatário disponíveis por meio de:
    • cmdlets do PowerShell do administrador Power Apps
    • conectores de gerenciamento de Power Apps
  5. Acesse a análise de administrador Power Apps e Power Automate para todos os ambientes no locatário:

Considere Microsoft Intune

Os clientes com Microsoft Intune podem definir políticas de proteção de aplicativos móveis para aplicativos Power Apps e Power Automate no Android e no iOS. Este guia destaca a definição de uma política por meio do Intune para o Power Automate.

Considerar acesso condicional com base em localização

Para clientes com Microsoft Entra ID P1 ou P2, as políticas de acesso condicional podem ser definidas em Azure para Power Apps e Power Automate. Isso permite conceder ou bloquear o acesso com base em: usuário/grupo, dispositivo, localização.

Como criar uma política de acesso condicional

  1. Faça login no https://portal.azure.com.
  2. Selecione Acesso Condicional.
  3. Selecione + Nova Política.
  4. Selecione usuários e grupos selecionados.
  5. Selecione Todos os aplicativos em nuvem>Todos os aplicativos em nuvem>Common Data Service para controlar o acesso aos aplicativos do Customer Engagement.
  6. Aplique as condições (risco do usuário, plataformas do dispositivo, locais).
  7. Selecione Criar.

Evitar vazamento de dados com políticas de dados

As políticas de dados impõem regras para as quais os conectores podem ser usados juntos classificando os conectores como somente Dados Corporativos ou Sem Dados Comerciais permitidos. Se você colocar um conector no grupo de somente dados corporativos, ele só poderá ser usado com outros conectores desse grupo no mesmo aplicativo. Os administradores do Power Platform podem definir políticas aplicáveis a todos os ambientes.

perguntas frequentes

P: Posso controlar, no nível do locatário, qual conector está disponível, por exemplo, Não para Dropbox ou Twitter, mas Sim para SharePoint?

R: Isso é possível utilizando os recursos de classificação de conectores e atribuindo o classificador Bloqueado a um ou mais conectores que você deseja impedir de serem usados. Há um conjunto de conectores que não podem ser bloqueados.

P: E o compartilhamento de conectores entre usuários? Por exemplo, o conector para o Teams é geral e pode ser compartilhado?

R: Os conectores estão disponíveis para todos os usuários, com exceção de conectores premium ou personalizados, que precisam de outra licença (conectores premium) ou que tenham de ser compartilhados explicitamente (conectores personalizados)

Alerta e ação

Além do monitoramento, muitos clientes desejam se inscrever para eventos de criação de software, uso ou integridade, de forma que saibam quando executar uma ação. Esta seção descreve alguns meios de observar eventos (de forma manual e programática) e executar as ações disparadas pela ocorrência de um evento.

Criar fluxos de Power Automate para alertar sobre os principais eventos de auditoria

  1. Um exemplo de alerta que pode ser implementado é assinar os Logs de Auditoria de Segurança e Conformidade do Microsoft 365.
  2. Isso pode ser feito por meio da assinatura de um webhook ou de uma abordagem de sondagem. No entanto, anexando Power Automate a esses alertas, podemos fornecer aos administradores mais do que apenas alertas de email.

Criar as políticas necessárias com Power Apps, Power Automate e PowerShell

  1. Os cmdlets PowerShell colocam todo o controle nas mãos dos administradores para automatizar as políticas de governança necessárias.
  2. Os conectores Power Platform for Admins V2 (versão prévia) e Power Automate Management fornecem o mesmo nível de controle, mas com extensibilidade e facilidade de uso adicionais usando Power Apps e Power Automate.
  3. Analise as Melhores práticas de administração e governança do Power Platform e considere a configuração do Kit de Início do Centro de Excelência (CoE).
  4. Use este modelo de aplicativo e blog para acelerar rapidamente os conectores de administração.
  5. Além disso, vale a pena conferir o conteúdo compartilhado na Community Apps Gallery. Aqui está outro exemplo de uma experiência administrativa criada usando Power Apps e conectores administrativos.

perguntas frequentes

Problema Atualmente, todos os usuários com licenças Microsoft E3 podem criar aplicativos no ambiente Padrão. Como podemos habilitar os direitos do Criador de Ambiente para um grupo selecionado, por exemplo. 10 pessoas para criar aplicativos?

Recommendation

Os cmdlets do PowerShell e os Conectores de gerenciamento oferecem flexibilidade e controle completos para que os administradores possam criar as políticas que desejem para a organização.

Monitorar

É bem entendido que o monitoramento é um aspecto crítico do gerenciamento de software em escala. Esta seção destaca alguns meios para obter informações sobre o desenvolvimento e uso do Power Apps e do Power Automate.

Revisar a trilha de auditoria

O registro de atividades do Power Apps é integrado ao Centro de Segurança e Conformidade do Office para registro abrangente de atividades em serviços da Microsoft, como o Dataverse e o Microsoft 365. O Office fornece uma API para consultar esses dados e, atualmente, ela é usada por vários fornecedores de SIEM para obter dados de registro em log de atividades para fins de relatório.

Exibir o relatório de licença Power Apps e Power Automate

  1. Entre no centro de administração do Power Platform.
  2. No painel de navegação, selecione Licenciamento.
  3. No painel Licensing, selecione Power Automate ou Power Apps para examinar as informações.

É possível obter informações sobre:

  • Usuário Ativo e Uso do Aplicativo - quantos usuários estão usando um aplicativo e com que frequência?
  • Local – onde ele é usado?
  • Desempenho do serviço de conectores
  • Relatório de erros – quais são os aplicativos mais sujeitos a erros
  • Fluxos em uso por tipo e data
  • Fluxos criados por tipo e data
  • Auditoria de nível de aplicativo
  • Integridade do Serviço
  • Conectores utilizados

Veja quais usuários são licenciados

Você sempre pode examinar o licenciamento individual de usuários no centro de administração do Microsoft 365 detalhando usuários específicos.

Você também pode usar o seguinte comando do PowerShell para exportar licenças de usuário atribuídas.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporta todas as licenças de usuário atribuídas (Power Apps e Power Automate) no seu tenant em um arquivo .csv de exibição tabular. O arquivo exportado contém planos de avaliação interna de inscrição de autoatendimento e planos provenientes de Microsoft Entra ID. Os planos de avaliação interna não são visíveis para os administradores no centro de administração Microsoft 365.

A exportação pode demorar um pouco para locatários com um grande número de usuários do Power Platform.

Exibir recursos do aplicativo usados em um Ambiente

  1. Entre no centro de administração do Power Platform.
  2. No painel de navegação, selecione Gerenciar.
  3. No painel Gerenciar, selecione Ambientes.
  4. Na página Ambientes , selecione um ambiente.
  5. Na seção Recursos, revise a lista de aplicativos usados no ambiente.

Conteúdo relacionado

  • Last updated on