Integração do Microsoft Graph Data Connect com o Privileged Access ManagementMicrosoft Graph data connect integration with Privileged Access Management

Microsoft Graph Data Connect depende do Privileged Access Management (PAM) para permitir que os administradores do Office 365 aprovem solicitações de movimentação de dados.Microsoft Graph data connect relies on Privileged Access Management (PAM) to allow Office 365 administrators to approve data movement requests. Os pipelines do Data Connect devem ser aprovados por um membro aprovador de solicitação de acesso a dados especificado pelo administrador do Office 365 durante a ativação.Data connect pipelines must be approved by a member of the data access request approver specified by the Office 365 administrator during enablement. Para configurar o grupo aprovador, confira Introdução.To set up the approver group, see Get started.

Emails de solicitação de aprovação serão enviados a todos os membros do grupo aprovador para notificá-los quando atividades de cópia solicitam acesso para extrair dados do Office 365.Approval request emails will be sent to each member of the approver group to notify them when copy activities request access to extract Office 365 data. Aprovadores podem aprovar ou negar essas solicitações, especificar um grupo de usuários que deve ser apagado dos dados extraídos ou revogar uma solicitação anteriormente aprovada.Approvers can approve or deny these requests, specify a user group that should be scrubbed out of extracted data, or revoke a previously approved request. As aprovações são válidas por 6 meses, sendo necessária uma aprovação por atividade de cópia no pipeline do Azure Data Factory.Approvals persist for 6 months, and one approval is needed per copy activity in the Azure Data Factory pipeline.

Todas as solicitações sempre incluirão os seguintes detalhes sobre o conjunto de dados e os usuários cujos dados estão sendo extraídos:Every request will always include the following details about the dataset and the users about whom data is being extracted:

  • Solicitante: O usuário que solicitou o pipeline.Requestor: The user who requested the pipeline.
  • Duração: se aprovado, a validade aprovação.Duration: If approved, how long the approval will persist. Sempre 4.320 horas (6 meses).Always 4320 hours (6 months).
  • Motivo: motivo para a solicitação, normalmente "um aplicativo instalado para sua organização exige autorização para obter acesso aos dados do Office 365."Reason: Reason for the request, typically "An app installed for your organization requires approval for access to Office 365 Data."
  • Solicitado em: data e hora da solicitação.Requested at: The DateTime of the request.
  • ID da solicitação: A ID da solicitação, usada para fins de aprovação.Request id: The ID of the request, used for approval purposes.
  • TabelaDados: O conjunto de dados a ser extraído (por exemplo, itens enviados).DataTable: The data set being extracted (for example, Sent Items).
  • Colunas: A lista de colunas a ser extraída a partir da tabela de dados (por exemplo, DataHorárioEnviado).Columns: The list of columns being extracted from the data table (for example, SentDateTime).
  • GruposPermitidos: o grupo ou grupos de usuários em relação a quem o pipeline está extraindo os dados.AllowedGroups: The group or groups of users against whom the pipeline is extracting data. Se a lista de grupos estiver vazia, o pipeline está solicitando o acesso aos dados de todos os usuários no locatário.If the list of groups is empty, the pipeline is requesting access to data from all users in the tenant.
  • Escopo de Pesquisa de Usuário: o predicado usado para filtrar os usuários.User Scope Query: The predicate used to filter out users. Somente se aplica se a solicitação for para todos os usuários no locatário.Only applies if the request is for all users in the tenant. Se esta estiver vazia, nenhum filtro é aplicado.If this is empty, no filter is applied.
  • UriSaída: o caminho de saída no qual os dados extraídos serão armazenados.OutputUri: The output path in which the extracted data will be stored.
  • IdLocatárioOrigem: a ID do locatário cujos dados são extraídos.SourceTenantId: The tenant ID from which data is being extracted.
  • IdentidadeInstalador: a identidade do instalador do aplicativo.InstallerIdentity: The identity of the app installer.

Os seguintes campos na solicitação estarão disponíveis apenas em alguns casos:The following fields in the request will be available only in some cases:

  • Nome do aplicativo e URI do Marketplace (disponível somente para aplicativos instalados pelo Azure Marketplace).Application Name and the Marketplace URI (available only for applications installed from the Azure marketplace).
  • Links para a política de privacidade e termos de serviço do aplicativo (disponível somente se o aplicativo fornecer).Links to the application's privacy policy and terms of service (available only if the application provides it).
  • As políticas de conformidade que o aplicativo impõe, como a criptografia de dados inativos no local de armazenamento de saída (disponível somente se o aplicativo fornecer e se o aplicativo foi instalado pelo Azure Marketplace).The compliance policies that the application enforces, such as data encryption at rest in the output storage location (available only if the application provides it and if the application is installed from the Azure marketplace).
  • Lista de negações – o grupo de usuários que podem ter sido apagados dos dados extraídos.Deny List - The user group that can be scrubbed out of the extracted data. Esse campo está vazio como parte da solicitação de conjuntos de dados compatíveis com a depuração de privacidade de dados extraídos.This field is empty as a part of the request for datasets that support privacy scrubbing of extracted data. Pode ser preenchido por um membro do grupo aprovador que autoriza a solicitação no momento da aprovação.It can be populated by the member of the approver group who approves the request at approval time.

Aprovar solicitaçõesApproving requests

Os pipelines do Data Connect devem ser aprovados por um membro de um grupo aprovador da solicitação de acesso aos dados.Data connect pipelines must be approved by a member of a data access request approver group. Aprovadores podem aprovar, recusar ou revogar pipelines usando a experiência do usuário PAM ou o módulo do PowerShell do Exchange Online.Approvers can approve, deny, or revoke pipelines by using the Exchange Online PowerShell module or the PAM user experience.

Aprovar, negar e revogar solicitações usando o PowerShellApproving, denying, and revoking requests by using PowerShell

Faça o seguinte para interagir com uma solicitação usando o módulo do PowerShell do Exchange Online:Use the following steps to interact with a request using the Exchange Online PowerShell module:

  1. Instalar o módulo do Powershell do Microsoft Exchange Online.Install the Exchange Online Powershell module. Para obter mais informações, confira Conectar-se ao PowerShell do Exchange Online usando a autenticação de multifator.For installation instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.

  2. Conectar-se ao PowerShell do Exchange Online usando a autenticação multifator (MFA).Connect to Exchange Online Powershell using multi-factor authentication (MFA). Para obter mais informações, confira Conectar-se ao PowerShell do Exchange Online usando a autenticação multifator.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.

    Observação: você não precisa habilitar a autenticação multifator para sua organização para usar estas etapas ao se conectar ao PowerShell do Exchange Online.Note: You do not need to enable multi-factor authentication for your organization to use these steps while connecting to Exchange Online PowerShell. Conexão MFA cria um token OAuth usado pelo PAM para assinar suas solicitações.Connecting with MFA creates an OAuth token that is used by PAM for signing your requests.

  3. Entrar com sua conta.Sign in with your account. Observe que você deve fazer parte do grupo aprovador de acesso aos dados definido para aprovar, recusar ou revogar solicitações.Note that you must be part of the configured data access approver group in order to be able to approve, deny, or revoke requests. Os usuários convidados não podem aprovar solicitações, mesmo se estiverem no grupo aprovador.Guest users cannot approve requests, even if they are in the approver group.

    Connect-EXOPSSession
    
  4. Localizar todas as solicitações pendentes.Find all pending requests.

    Observação: o valor nas propriedades de identidade será usada para identificar, aprovar ou negar a solicitação.Note: The value in the Identity property will be used to identify and approve or deny the request. Observe que esse valor será usado no parâmetro -RequestId.Note this value and use it in the -RequestId parameter.

    Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}
    
  5. Veja mais detalhes no campo contexto da solicitação em que você está interessado.Take a closer look at the context field of the request you are interested in.

    Observação: o campo contexto da solicitação de acesso aos dados descreve os parâmetros e as propriedades de atividade de cópia.Note: The context field of the data access request describes the parameters and properties of the copy activity.

    (Get-ElevatedAccessRequest -RequestId $requestId).Context | ConvertFrom-Json
    

    Você recebe uma resposta semelhante ao seguinte exemplo.You'll get a response that looks like the following.

    Key                          Value
    ---                          -----
    ApplicationName
    ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
    ApplicationMarketPlaceUri
    OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
    ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
    ApplicationTermsOfServiceUri http://www.wkw.com/tos
    InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
    SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
    UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
    ApplicationId
    DataTable                    Calendar Events
    DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
    Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...
    
  6. Aprovar/rejeitar a solicitação usando o valor de identidade para o parâmetro -RequestId.Approve/deny the request using the value for Identity for the -RequestId parameter.

    Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
    Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"
    

Você também pode aprovar a solicitação com uma lista de negações para garantir que dados de certos usuários não sejam incluídos.You can also approve the request with a deny list to ensure data from certain users is not included. Para fazer isso, você precisa modificar contexto da solicitação para adicionar o object Id do grupo que você deseja omitir e depois aprovar a solicitação.To do so, you need to modify the context of the request to add the object Id of the group that you want to omit and then approve the request.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

Também é possível revogar as solicitações já aprovadas anteriormente.You can also revoke requests that were previously approved. Semelhante à aprovação de solicitações, o valor de identidade é o requerido no parâmetro -RequestId.Similar to approving requests, the value for Identity is what is required in the -RequestId parameter.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Você receberá uma resposta semelhante ao seguinte exemplo.You'll see a response similar to the following.

AuthorizedBy          : user@tenant.onmicrosoft.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/tenant.onmicrosoft.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Aprovar, negar e revogar solicitações usando a experiência de usuário do PAMApproving, denying, and revoking requests by using the PAM user experience

Faça o seguinte para interagir com uma solicitação usando a experiência Web do PAM:Use the following steps to interact with a request using the PAM web experience:

  1. Entre no portal de administração do Office 365 usando credenciais de administrador e acesse a página experiência do usuário de aprovação do Privileged Access Management.Sign in to the Office 365 admin portal using admin credentials and go to the Privileged Access Managment approval user experience page. Isso mostra todas as solicitações de acesso (pendentes, aprovada, expiradas, negadas).This will show you all the access requests (pending/approved/expired/denied).

Na página resultante, escolha a solicitação que você está interessado.On the resulting page, select the request that you are interested in. Para selecionar a lista de negação para depuração de privacidade, clique na lista suspensa ListaNegações, selecione o grupo que deve ser apagado e selecione Aprovar.To select deny list for privacy scrubbing, click the DenyList dropdown, select the group that needs to be scrubbed, and then select Approve.

Para revogar uma solicitação aprovada anteriormente, escolha a solicitação aprovada a ser revogada e clique em Revogar.To revoke a previously approved request, select the approved request that needs to be revoked, and choose Revoke. Se a próxima tentativa de mover dados usar essa aprovação, ela irá falhar.The next attempt to move data using that approval will fail.

Comportamento de aprovaçãoApproval behavior

Aprovação de solicitações do Data Connect têm características específicas que devem ser consideradas:Data conenct approval requests have particular characteristics that are important to be aware of:

  • Solicitações de aprovação se baseiam no Azure Data Factory, pipelines e nomes de atividades de cópia.Approval requests are based on the Azure Data Factory, pipeline and copy activity names. Toda execução de atividades de cópia verificará se o administrador do Office 365 aprovou a solicitação de atividade de cópia para acessar dados do Office, e também validará parâmetros importantes de atividades de cópia executadas em relação aos parâmetros de aprovação.Every copy activity run will verify that the Office 365 admin has approved the copy activity's request to access Office data, and will validate the important parameters of the copy activity run against the parameters of the approval.
  • Em certas condições, uma nova solicitação de aprovação será acionada automaticamente.Under certain conditions, a new approval request will automatically be triggered. Um aprovador do Data Connect precisará aprovar a nova solicitação antes que a atividade de cópia acesse dados do Office 365.A data connect approver will have to approve the new request before the copy activity can access Office 365 data.
  • Se os parâmetros de execução da atividade de cópia forem alterados, uma nova solicitação de aprovação será acionada.If the parameters of the copy activity run changes, a new approval request will be triggered.
  • Se o Data Factory, pipeline ou nomes de atividades de cópia forem alterados, uma nova solicitação de aprovação será acionada.If the Data Factory, pipeline or copy activity names change, a new approval request will be triggered.
  • Por exemplo: uma nova aprovação será necessária se a tabela de dados ou um conjunto de colunas que a atividade de cópia está acessando for alterado.For example: A new approval will be required if the data table or set of columns that the copy activity is accessing changes.
  • As atividades de cópia precisarão de aprovação a cada seis meses.Copy activities will have to be approved once every 6 months. Se a aprovação original foi aprovada há seis meses, uma nova solicitação de aprovação será acionada automaticamente.If the original approval was approved 6 months ago, a new approval request will automatically be triggered.
  • Se o aprovador de acesso aos dados do Office 365 negou uma solicitação de aprovação ou revogou uma aprovada anteriormente, a atividade de cópia irá falhar continuamente.If an Office 365 Data Access approver has denied an approval request or revoked a previously approved request, the copy activity will fail continually. Você deve trabalhar com o aprovador para entender o motivo da negação ou revogação e corrigir os parâmetros da atividade de cópia de acordo com o caso.You should work with the approver to understand the reason for the denial or revocation and fix the parameters of the copy activity accordingly. Será necessário implantar uma nova atividade de cópia ou alterar o nome da atividade de cópia existente para acionar uma nova solicitação de aprovação.A new copy activity will have to deployed, or the name of the existing copy activity will have to be changed in order to trigger a new approval request for approval.
  • Se o aprovador de acesso aos dados do Office 365 não der seguimento à solicitação de aprovação em até 24 horas, ela irá expirar. An approval request will expire in 24 hours unless an Office 365 data access approver acts on the request. Uma nova solicitação será enviada a cada 24 horas para aprovação.A new request will be submitted once every 24 hours for approval. Se você vir suas atividades de cópia aguardando aprovação (no estágio Consentimento Pendente), então trabalhe com os aprovadores de acesso aos dados do Office 365 para que sua solicitação seja aprovada.If you see your copy activity waiting for approval (in the Consent Pending stage), then work with Office 365 data access approvers to get your request approved.

A depuração de privacidadePrivacy scrubbing

O membro do grupo aprovador que aprova a solicitação pode especificar o nome de um usuário do grupo cujos dados quer que sejam apagados dos dados extraídos.The member of the approver group who approves the request can specify the name of one user group whose data would be scrubbed out of extracted data. As linhas com os endereços de email correspondentes aos membros do grupo recusado serão apagadas dos dados extraídos.The rows containing email addresses corresponding to the members of the denied group will be scrubbed out of extracted data. Grupos aninhados dentro do grupo recusado serão expandidos e somente os usuários serão apagados. Consulte a seção deste tópico para saber como aplicar a lista de negação durante a aprovação, por meio do PowerShell ou experiência de usuários do PAM.Groups nested within the denied group will be expanded and only users will be scrubbed out. Refer to the approving requests section of this topic for details on how to apply the deny list during approval, through either PowerShell or the PAM UX.

A tabela a seguir mostra os nomes dos conjuntos de dados e das colunas cujos conteúdos estão marcados para depuração de privacidade.The following table shows the names of the datasets and the columns for which the contents are checked for privacy scrubbing.

Nome do conjunto de dadosDataset name Colunas usadas para depuração baseada na lista de negaçõesColumns used for deny list-based scrubbing
BasicDataSet_v0.Message_v0BasicDataSet_v0.Message_v0
BasicDataSet_v0.Message_v1BasicDataSet_v0.Message_v1
Remetente, De, ParaDestinatário, DestinatáriosCc, DestinatáriosCcoSender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0BasicDataSet_v0.SentItem_v0
BasicDataSet_v0.SentItem_v1BasicDataSet_v0.SentItem_v1
Remetente, De, ParaDestinatário, DestinatáriosCc, DestinatáriosCcoSender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0BasicDataSet_v0.Event_v0
BasicDataSet_v0.Event_v1BasicDataSet_v0.Event_v1
Organizador, ParticipantesOrganizer, Attendees
BasicDataSet_v0.Contact_v0BasicDataSet_v0.Contact_v0
BasicDataSet_v0.Contact_v1BasicDataSet_v0.Contact_v1
EndereçosEmailEmailAddresses
BasicDataSet_v0.CalendarView_v0BasicDataSet_v0.CalendarView_v0 Organizador, ParticipantesOrganizer, Attendees

Próximos passosNext Steps

Certifique-se que sua organização têm o Privileged Access Management configurado corretamente para uso com dados do Microsoft Graph ao completar as etapas descritas na Introdução.Ensure your organization has Privileged Access Management configured correctly for usage with Microsoft Graph data by completing the steps in Get started.