Usar o Flow para governança de dados direcional

  • 12 minutos

Em algumas situações comerciais, você pode ter dados provenientes de fontes externas por meio de conectores, e esses dados vão para serviços que contêm suas informações comerciais importantes. Quando se trata de políticas de Prevenção contra Perdas de Dados (DLP), eles geralmente exigem que ambos os conectores conversem entre si. A parte complicada é garantir que os conectores apenas falem em uma direção e que seus valiosos dados comerciais não acidentalmente saiam para um terceiro. Chamamos isso de gerenciamento do fluxo de dados: verificar se ele só vai para onde deve ir. Isso é chamado de governança de dados direcional.

No momento, as políticas de DLP não tratam automaticamente da governança de dados direcional. Mas não se preocupe, você pode usar o Power Automate para identificar e interromper quaisquer fluxos que tentem enviar seus dados comerciais para lugares externos.

Eis um exemplo: digamos que sua organização queira usar o SharePoint para controlar os dados do Twitter. A preocupação aqui é que informações privadas possam acabar indo do SharePoint para o Twitter.

Para garantir que seus dados só se movam na direção certa, você começa criando uma política DLP no centro de administração do Power Platform. Nessa política, você agrupa os conectores do SharePoint e do Twitter como Dados comerciais. Dessa forma, você permite que as pessoas criem fluxos usando esses dois conectores, mas você também está se certificando de que seus dados permaneçam seguros e não acabem acidentalmente em mãos erradas.

  1. A primeira etapa da governança de dados direcionais é criar uma política DLP, no Centro de administração do Power Platform, que inclui conectores do SharePoint e do Twitter no grupo de dados corporativos. Ao usar essa configuração, você permite aos criadores desenvolver fluxos que incluam esses dois conectores.

    Captura de tela do Centro de administração do Microsoft Power Platform na página Políticas de dados da etapa Atribuir conectores, que mostra as opções Twitter e SharePoint.

  2. A seguir, você fará a transição para o Maker Portal do Power Automate e entrará com uma conta de administrador para criar o fluxo de governança. Seu objetivo é criar um fluxo agendado que será executado a cada hora.

    Captura de tela da criação de um fluxo agendado com o nome do fluxo definido como Detectar Ações do Twitter.

  3. Um gatilho de recorrência será adicionado automaticamente ao fluxo. Adicione uma ação Inicializar variável ao fluxo. Atribua o nome previousTimestamp a essa variável e inclua uma expressão ticks(addMinutes(utcNow(),-60)). Essa expressão calculará o número de tiques nos últimos 60 minutos. Você inclui essa expressão para verificar se algum fluxo foi criado ou modificado desde sua última execução, ou seja, há 60 minutos.

    Captura de tela da página Meus fluxos do Power Automate com a propriedade Valor da ação Inicializar variável com a fórmula de tiques realçada.

  4. Adicione outra variável chamada isFlowAction, que seja do tipo booliano e que tenha um valor padrão falso. Você usará essa variável posteriormente no fluxo, quando detectar que um fluxo inclui uma ação do Twitter.

    A captura de tela de uma segunda ação Inicializar variável denominada O fluxo contém a ação do Twitter.

  5. Use o conector do Power Platform for Admins e a ação Listar Ambientes como Administrador, que fornecerá o fluxo com uma lista completa de ambientes no locatário. Execute um loop em cada ambiente para procurar fluxos que incluam ações do Twitter.

    Captura de tela da nova ação Power Platform for Admins com a opção Listar Ambientes como Administrador realçada.

  6. Depois de listar todos os ambientes, adicione o conector de Flow management e use a ação Listar Fluxos como Administrador, que fornecerá uma listagem de todos os fluxos de determinado ambiente.

    Captura de tela de Escolher uma etapa de ação com Flow management e Listar Fluxos como Administrador realçadas.

  7. A ação Listar Fluxos como Administrador exige o nome de um ambiente como parâmetro de entrada. Use a coluna Nome, que é retornada na chamada Listar Ambientes como Administrador. Depois que você fornecer essa entrada, uma ação Aplicar a cada será adicionada automaticamente, permitindo iterar em todos os ambientes.

    A captura de tela da ação Aplicar a cada com Listar Fluxos como Administrador com conteúdo dinâmico Name.

  8. Como você tem interesse apenas em explorar os fluxos recém-modificados, adicione uma condição ao fluxo e compare os tiques do carimbo de data/hora da última modificação no fluxo com a variável definida no fluxo anteriormente. Para realizar essa tarefa, use uma expressão para calcular os tiques do carimbo de data/hora da última modificação. A instrução completa é ticks(items('Apply_to_each_2')?['properties']?['lastModifiedTime']) is greater than previousTimestamp.

    Captura de tela da condição com o número de tiques maior que o anterior, com as opções Se sim e Se não.

  9. Se detectar que um fluxo foi modificado nos últimos 60 minutos, verifique se ele pertence ao administrador. Essa verificação ajudará a evitar erros quando você tentar adicionar o administrador como coproprietário de um fluxo em uma etapa futura. Para detectar se o fluxo atual pertence ao administrador, use o conector de Usuários do Office 365 e a ação Obter meu perfil (v2). Essa etapa retornará informações sobre o usuário que estabeleceu uma conexão com o conector que, nesse caso, é o administrador. Em seguida, adicione a ação Usuários do Office 365 à ramificação Se sim.

    A captura de tela de usuários do Office 365 na condição Se sim com a ação Obter meu perfil realçada.

  10. Adicione outra condição para verificar se a ID de objeto do Criador (na ação Listar Fluxos como Administrador) não é igual a ID (na ação Obter meu perfil (V2)). Na ramificação Se sim, adicione a ação Editar Função do Proprietário do Fluxo como Administrador que pertence ao conector do Microsoft Flow for Admins. Essa ação adicionará o usuário administrador como coproprietário do fluxo e ajudará a extrair a definição do fluxo, o que exige que você seja um coproprietário do fluxo. Você recuperará a definição do fluxo em uma etapa posterior; por enquanto, preencha o Nome do Ambiente atual, o Nome do Fluxo atual e detalhes sobre o usuário administrador, como endereço de email, nome de exibição e ID. Esses valores ficam acessíveis na ação Obter meu perfil (V2).

    Captura de tela de Editar Função do Proprietário do Fluxo como Administrador com propriedades realçadas.

  11. Depois de adicionar uma conta de administrador como coproprietário do fluxo, você pode chamar a ação Obter Fluxo como Administrador no conector de Flow management.

    Captura de tela do Flow management com Obter Fluxo como Administrador realçado.

  12. As entradas da ação Obter Fluxo como Administrador incluem o Nome do Ambiente e o Nome do Fluxo atuais. A saída dessa ação inclui a definição do fluxo, que permite determinar se existe uma ação do Twitter.

    Captura de tela da condição Se sim com Obter Fluxo como Administrador adicionado com Ambiente definido como Nome e Fluxo definido como Nome do Fluxo.

  13. Para verificar se uma ação do Twitter está em uso, adicione uma condição ao fluxo e verifique se o nome da API de Ações (na ação Obter Fluxo como Administrador) é igual a shared_twitter. Depois que você adicionar essa condição, um loop Aplicar a cada será aplicado porque o atributo de nome da API de Ações faz parte de uma matriz, já que cada fluxo pode ter várias ações.

  14. Na ramificação Se sim, atualize a variável isFlowAction para defini-la como verdadeiro porque agora você encontrou um fluxo que inclui uma ação do Twitter. Você usará essa variável posteriormente no fluxo para determinar se é necessário desabilitar um fluxo e enviar um email para o respectivo proprietário.

    Captura de tela da condição com Se sim com a opção Definir variável – a ação do Twitter existe realçada.

  15. Fora da variável Aplicar a cada, que permite iterar em todas as ações do fluxo, adicione outra condição. Essa condição verificará se o valor da variável isFlowAction é verdadeiro.

    Captura de tela da condição 3 – A ação do Twitter existe realçada.

  16. Na ramificação Se sim, adicione o conector do Microsoft Flow for Admins e selecione a ação Desativar Fluxo como Administrador. Com essa ação, você pode desabilitar o fluxo para que as informações não sejam enviadas ao Twitter. Para chamar essa ação, inclua o Nome do Ambiente e o Nome do Fluxo atuais.

    Captura de tela da condição Se sim contendo Desabilitar Fluxo como Administrador com Nome do Ambiente definido como Nome e Nome do Fluxo como Nome do Fluxo.

  17. Ao desabilitar o fluxo de um usuário, o ideal é enviar um email para que ele saiba que o fluxo não estará mais em execução. Para obter o endereço de email do proprietário do fluxo, use o conector de Usuários do Office 365 e a ação Obter perfil do usuário (V2) para retornar o endereço de email do proprietário. Para obter o endereço de email dele, adicione a ID de objeto do criador, que pode ser recuperada na ação Listar Fluxos como Administrador.

    Captura de tela de Obter perfil do usuário – criador do fluxo com usuário (UPN) definido como a ID de objeto do criador.

  18. Envie um email para o proprietário do fluxo usando o conector do Office 365 Outlook e a ação Enviar um email (V2). Use as informações retornadas da ação Obter perfil do usuário (V2) para enviar esse email, incluindo os atributos Email e Nome Fornecido. Além disso, você pode incluir o nome do fluxo adicionando o atributo Nome de Exibição do Fluxo, encontrado na saída Listar Fluxos como Administrador.

    Captura de tela de Enviar um email com Para definido como Email, texto no Assunto e texto no corpo com os campos Nome Fornecido de Nome de Exibição do Fluxo.

  19. Como você está executando um loop em todos os fluxos do locatário, defina a variável isFlowAction como falso para poder procurar outros fluxos que possam ter uma ação do Twitter. Você já pode salvar o fluxo administrativo.

    Captura de tela de Definir variável – Redefinir Sinalizador do Twitter com Nome definido como isFlowAction e o Valor definido como falso.

  20. Para testar o fluxo, entre no Maker Portal do Power Automate usando uma conta diferente. Crie um fluxo que inclua um gatilho do SharePoint e uma ação do Twitter. Esse cenário não será bloqueado pela política DLP, mas ele deve ser detectado pelo fluxo administrativo que você criou.

    Captura de tela do Power Automate na página Meus Fluxos criando um fluxo com a ação do Twitter com as etapas

  21. Você pode executar o fluxo Detectar Ações do Twitter que você criou anteriormente como administrador. Quando esse fluxo é executado, ele deve detectar se um fluxo foi modificado recentemente e se inclui uma ação do Twitter. Como resultado, um email é enviado para o proprietário do fluxo.

    Captura de tela de email com o assunto Seu fluxo foi desabilitado e a mensagem

  22. Se examinar o fluxo do SharePoint para o Twitter, você notará que ele foi desabilitado, como resultado da desabilitação do fluxo pelo administrador.

    Captura de tela da página Fluxos do Power Automate com o fluxo SharePoint > Twitter desabilitado.

No entanto, a recuperação de informações do Twitter e o envio para o SharePoint não violam as regras de governança. Como resultado, você pode criar outro fluxo usando a conta do criador do fluxo, que inclui um gatilho do Twitter e uma ação do SharePoint. Quando você executa o fluxo de governança Detectar Ações do Twitter, ele permanece funcional e não é desabilitado por se tratar de um caso de uso permitido.

Captura de tela do Power Automate na página Meus Fluxos criando um fluxo com a ação do Twitter com as etapas