Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Todos os colaboradores na organização têm acesso ao ambiente predefinido do Power Platform. Enquanto admin do Power Platform, precisa de considerar formas de proteger esse ambiente, mantendo-o acessível para as utilizações de produtividade pessoal dos criadores.
Atribuir funções de administrador de forma criteriosa
Considere se os administradores precisam de ter a função de administrador do Power Platform. A função de administrador do ambiente ou administrador de sistema seria mais apropriada? Limite a função de administrador mais poderosa do Power Platform a apenas alguns utilizadores. Saiba mais sobre administrar ambientes do Power Platform.
Evite o acesso permanente ou contínuo usando as caraterísticas just-in-time (JIT) do seu fornecedor de identidade. Para situações de emergência, siga um processo de acesso de emergência. Use Privileged Identity Management (PIM), uma funcionalidade do Microsoft Entra ID, para gerir, controlar e monitorizar a utilização destas funções de privilégio elevado.
Consulte Configurar a gestão de identidade e acesso para obter mais recomendações.
Comunicar intenção
Um dos principais desafios para a equipa do Centro de Excelência (CoE) do Power Platform é comunicar as utilizações pretendidas do ambiente predefinido. Eis algumas recomendações.
Mudar o nome do ambiente predefinido
O ambiente predefinido é criado com o nome TenantName (predefinido). Para chamar claramente a atenção para a intenção do ambiente, mude o nome para algo mais descritivo, como Ambiente de Produtividade Pessoal.
Configurar conteúdo de boas-vindas do criador
Configure uma mensagem de boas-vindas personalizada para ajudar os criadores a começarem a utilizar o Power Apps e o Copilot Studio. A mensagem de boas-vindas substitui a experiência predefinida de ajuda pela primeira vez do Power Apps para os criadores. Aproveite a oportunidade para partilhar a intenção do ambiente predefinido com todos os criadores assim que eles chegarem ao ambiente predefinido.
Utilizar o hub do Power Platform
O hub do Microsoft Power Platform é um modelo de site de comunicação do SharePoint. Fornece um ponto de partida para uma origem central de informações para criadores acerca da utilização do Power Platform pela sua organização. O conteúdo inicial e os modelos de página facilitam a oferta de informações dos criadores como:
- Casos de utilização de produtividade pessoal
- Informações em:
- Como construir aplicações e fluxos
- Onde construir aplicações e fluxos
- Como contactar a equipa de suporte do CoE
- Regras sobre a integração com serviços externos
Adicione ligações a quaisquer outros recursos internos que os criadores possam considerar úteis.
Ativar ambientes geridos
Mantenha a segurança e a governação robustas usando caraterísticas de ambiente gerido no ambiente predefinido. As caraterísticas do ambiente gerido fornecem capacidades avançadas, como controlos de segurança, monitorização e conformidade que são importantes para proteger os seus dados. Ao habilitar esse recurso, você pode configurar limites de compartilhamento, obter mais informações de uso, limitar o acesso do usuário ao Microsoft Dataverse a partir de locais IP permitidos apenas e usar a página de ações para obter recomendações personalizadas para otimizar o ambiente. Avalie as caraterísticas atuais dos ambientes geridos e mantenha-se atualizado com o mapa de objetivos do produto para manter um ambiente predefinido seguro, conforme e bem governado.
Evitar a partilha excessiva
O Power Platform foi concebido para ser uma plataforma low-code que permite aos utilizadores criar aplicações e fluxos rapidamente. No entanto, esta facilidade de utilização pode levar à partilha excessiva de aplicações e fluxos, o que pode representar riscos de segurança.
Configurar limites de partilha
Para melhorar a segurança e evitar a partilha excessiva no ambiente predefinido do Power Platform, limite a amplitude com que os utilizadores podem partilhar aplicações de tela, fluxos e agentes. Considere configurar limites de partilha para manter um controlo mais rígido sobre o acesso. Estes limites reduzem o risco de utilização não autorizada, partilha excessiva e utilização excessiva sem os controlos de governação necessários. A implementação de limites de partilha ajuda a salvaguardar informações críticas e, ao mesmo tempo, a promover uma arquitetura de partilha mais segura e gerível dentro do Power Platform.
Limitar a partilha com todos
Os criadores podem partilhar as suas aplicações com outros utilizadores individuais e grupos de segurança. Por predefinição, a partilha com toda a organização ou Todos está desativada. Considere a utilização de um processo fechado à volta de aplicações amplamente usadas para aplicar políticas e requisitos. Por exemplo:
- Política de revisão da segurança
- Política de revisão do negócio
- Requisitos da Gestão do ciclo de vida das aplicações (ALM)
- Requisitos de experiência de utilizador e de imagem corporativa
A funcionalidade Partilhar com Todos está desativada por predefinição no Power Platform. Recomendamos que mantenha esta definição desativada para limitar a sobre-exposição de aplicações de tela com utilizadores indesejados. O grupo Todos da sua organização contém todos os utilizadores que alguma vez iniciaram sessão no seu inquilino, o que inclui convidados e membros internos. Não inclui apenas colaboradores internos dentro do seu inquilino. Além disso, a associação do grupo Todos não pode ser editada nem visualizada. Mais informações sobre grupos de identidade especial.
Se quiser partilhar com todos os colaboradores internos ou um grande grupo de pessoas, considere usar um grupo de segurança existente ou criar um grupo de segurança para partilhar a sua aplicação.
Quando a opção Partilhar com Todos está desativada, apenas os administradores do Dynamics 365, administradores do Power Platform e administradores globais podem partilhar uma aplicação com todas as pessoas no ambiente. Se for um administrador, pode executar o seguinte comando do PowerShell para permitir a partilha com Todos:
Primeiro, abra o PowerShell como administrador e inicie sessão na sua conta do Power Apps ao executar este comando:
Add-PowerAppsAccountExecute o cmdlet Get-TenantSettings para obter a lista das definições de inquilino da sua organização como um objeto.
O objeto
powerPlatform.PowerAppsinclui três sinalizadores:
Execute os seguintes comandos do PowerShell para obter o objeto das definições e definir a variável
disableShareWithEveryonecomo$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseExecute o cmdlet
Set-TenantSettingscom o objeto definições para permitir que os criadores partilhem as suas aplicações com todos no inquilino.Set-TenantSettings $settingsPara desativar a partilha com Todos, siga os mesmos passos, mas defina
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true.
Estabelecer uma política de dados
Outra maneira de proteger o ambiente padrão é criar uma política de dados para ele. Ter uma política de dados em vigor é especialmente crítico para o ambiente padrão, porque todos os funcionários da sua organização têm acesso a ela. Eis algumas recomendações para o ajudar a impor a política.
Personalizar a mensagem de governança da política de dados
Personalize a mensagem de erro exibida se um criador criar um aplicativo que viole a política de dados da sua organização. Direcione o criador para o Hub do Power Platform da sua organização e forneça o endereço de e-mail da sua equipa do CoE.
À medida que a equipa do CoE refina a política de dados ao longo do tempo, poderá interromper inadvertidamente algumas aplicações. Certifique-se de que a mensagem de violação da política de dados contém detalhes de contato ou um link para mais informações para fornecer um caminho a seguir para os fabricantes.
Utilize os cmdlets do PowerShell seguintes para personalizar a mensagem da política de governação:
| Command | Descrição |
|---|---|
| Set-PowerAppDlpErrorSettings | Definir mensagem de governação |
| Set-PowerAppDlpErrorSettings | Atualizar mensagem de governação |
Bloquear novos conectores no ambiente predefinido
Por padrão, todos os novos conectores são colocados no grupo não comercial da sua política de dados. Pode sempre alterar o grupo predefinido para Negócio ou Bloqueado. Para uma política de dados aplicada ao ambiente padrão, recomendamos que você configure o grupo Bloqueado como padrão para garantir que os novos conectores permaneçam inutilizáveis até que tenham sido revisados por um dos administradores.
Limitar os criadores a conectores pré-criados
Restrinja os criadores a conectores básicos e não bloqueáveis para bloquear o acesso a outros conectores.
- Mova todos os conectores que não podem ser bloqueados para o grupo de dados de negócio.
- Mova todos os conectores que podem ser bloqueados para o grupo de dados bloqueado.
Limitar conectores personalizados
Os conectores personalizados integram uma aplicação ou um fluxo com um serviço interno. Estes serviços destinam-se a utilizadores técnicos, como programadores. É boa ideia reduzir a pegada de APIs, criadas pela sua organização, que podem ser invocadas a partir de aplicações ou fluxos no ambiente predefinido. Para impedir que os criadores criem e utilizem conectores personalizados para APIs no ambiente predefinido, crie uma regra para bloquear todos os padrões de URL.
Para permitir que os criadores acedam a algumas APIs (por exemplo, um serviço que devolve uma lista de feriados da empresa), configure várias regras que classifiquem padrões de URL diferentes para os grupos de dados de negócio e não negócio. Certifique-se de que as ligações utilizam sempre o protocolo HTTPS. Saiba mais sobre políticas de dados para conectores personalizados.
Proteger a integração com o Exchange
O conector do Office 365 Outlook é um dos conectores padrão que não podem ser bloqueados. Permite que os criadores enviem, eliminem e respondam a mensagens de e-mail a que têm acesso. O risco com este conector também é uma das capacidades mais poderosas — a capacidade de enviar um e-mail. Por exemplo, um criador pode criar um fluxo que envia e-mails em massa.
O administrador do Exchange da sua organização pode configurar regras no Exchange Server para impedir que os e-mails sejam enviados a partir de aplicações. Também é possível excluir fluxos ou aplicações específicos das regras configuradas para bloquear e-mails de saída. Pode combinar estas regras com uma lista de permissões de endereços de e-mail para se certificar de que os e-mails de aplicações e fluxos só podem ser enviados a partir de um pequeno grupo de caixas de correio.
Quando uma aplicação ou um fluxo envia um e-mail utilizando o conector do Office 365 Outlook, insere os cabeçalhos SMTP específicos na mensagem. Pode usar frases reservadas nos cabeçalhos para identificar se um e-mail teve origem num fluxo ou numa aplicação.
O cabeçalho SMTP inserido num e-mail enviado a partir de um fluxo é semelhante ao seguinte exemplo:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
Detalhes do cabeçalho
x-ms-mail-application
A tabela que se segue descreve os valores que aparecem no cabeçalho x-ms-mail-application, dependendo do serviço utilizado.
| Serviço | Value |
|---|---|
| Power Automate | Microsoft Power Automate; Agente Utilizador: azure-logic-apps/1.0 (<GUID> do fluxo de trabalho; versão <número da versão>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; Agente Utilizador: PowerApps/ (; AppName= <nome da aplicação>) |
x-ms-mail-operation-type
A tabela que se segue descreve os valores que aparecem no cabeçalho x-ms-mail-operation-type, dependendo da ação a ser efetuada.
| Value | Descrição |
|---|---|
| Resposta | Para operações de resposta de e-mail |
| Seguinte | Para operações de encaminhamento de e-mail |
| Enviar | Para operações de envio de e-mail, incluindo, SendEmailWithOptions e SendApprovalEmail |
x-ms-mail-environment-id
O cabeçalho x-ms-mail-environment-id contém o valor de ID do ambiente. A presença deste cabeçalho depende do produto que está a utilizar.
- No Power Apps, está sempre presente.
- No Power Automate, só está presente em ligações criadas depois de julho de 2020.
- Em Logic Apps, nunca está presente.
Regras Potenciais do Exchange para o ambiente predefinido
Eis algumas ações de e-mail que poderá querer bloquear utilizando regras do Exchange.
Bloquear e-mails de saída para destinatários externos: bloqueie todos os e-mails de saída enviados para destinatários externos do Power Automate e do Power Apps. Esta regra impede que os criadores enviem e-mails para parceiros, fornecedores ou clientes a partir das respetivas aplicações ou fluxos.
Bloquear encaminhamento de saída: bloqueie todos os e-mails encaminhados para destinatários externos a partir do Power Automate e do Power Apps em que o remetente não provém de uma lista de caixas de correio permitidas. Esta regra impede que os criadores criem um fluxo que encaminha automaticamente e-mails de entrada para um destinatário externo.
Exceções a considerar com regras de bloqueio de e-mails
Eis algumas potenciais exceções às regras do Exchange para bloquear e-mail para adicionar flexibilidade:
Isentar aplicações e fluxos específicos: adicione uma lista de isenção às regras sugeridas anteriormente para que as aplicações ou os fluxos aprovados possam enviar e-mails para destinatários externos.
Lista de permissões ao nível da organização: neste cenário, faz sentido mover a solução para um ambiente dedicado. Se vários fluxos no ambiente tiverem de enviar e-mails de saída, pode criar uma regra de exceção de proteção para permitir e-mails de saída desse ambiente. A permissão de criador e de admin nesse ambiente tem de ser bem controlada e limitada.
Obtenha mais informações sobre como configurar as regras de exfiltração apropriadas para o tráfego de e-mail relacionado com o Power Platform.
Aplicar o isolamento entre inquilinos
O Power Platform tem um sistema de conectores baseado no Microsoft Entra que permite que os utilizadores autorizados do Microsoft Entra liguem aplicações e fluxos a arquivos de dados. O isolamento do inquilino governa o movimento de dados de origens de dados do Microsoft Entra autorizadas de e para o respetivo inquilino.
O isolamento de inquilinos é aplicado ao nível do inquilino e afeta todos os ambientes no inquilino, incluindo o ambiente predefinido. Uma vez que todos os colaboradores são criadores no ambiente predefinido, a configuração de uma política de isolamento de inquilinos robusta é essencial para proteger o ambiente. Recomendamos que configure explicitamente os inquilinos aos quais os seus colaboradores se podem ligar. Todos os outros inquilinos deverão estar abrangidos por regras predefinidas que bloqueiam o fluxo de dados de entrada e de saída.
O isolamento do inquilino do Power Platform difere da restrição de inquilino em todo o Microsoft Entra ID. Isto não afeta o acesso baseado no Microsoft Entra ID fora do Power Platform. Aplica-se apenas a conectores que usam a autenticação baseada no Microsoft Entra ID, como conectores do Office 365 Outlook e do SharePoint.
Saber mais:
- Restrições de acesso de entrada e saída entre inquilinos
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
Próximos passos
Consulte os artigos detalhados nesta série para melhorar ainda mais a sua postura de segurança:
- Detetar ameaças à sua organização
- Estabelecer controlos de privacidade e proteção de dados
- Implementar uma estratégia de política de dados
- Configurar gestão de identidade e acesso
- Cumprir requisitos de conformidade
Depois de consultar os artigos, reveja a lista de verificação de segurança para garantir que as implementações do Power Platform são robustas, resilientes e que estão alinhadas com as melhores práticas.