Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
A análise e os relatórios do Azure DevOps fornecem insights avançados sobre seus processos de desenvolvimento. Com esse poder vem a responsabilidade de proteger dados confidenciais e controlar o acesso às métricas organizacionais. Este artigo descreve os conceitos de segurança, controles de acesso e práticas recomendadas para proteger sua análise e implementação de relatórios.
Visão geral do modelo de segurança
A análise e a segurança de relatórios usam uma abordagem multicamadas que inclui:
- Controlar a visibilidade de dados: gerenciar quem pode exibir dados de análise e quais projetos eles podem acessar.
- Implementar permissões de painel: controlar o acesso a dashboards e seus dados subjacentes. Para obter mais informações, consulte Definir permissões de painel.
- Configurar o acesso no nível do projeto: restringir o acesso à análise com base na associação ao projeto. Para obter mais informações, consulte Permissões padrão e acesso para relatórios.
- Gerenciar a integração do Power BI: proteger conexões entre o Azure DevOps e o Power BI. Para obter mais informações, consulte Conectar-se ao Conector de Dados do Power BI.
- Habilitar a auditoria e a conformidade: acompanhe o acesso a dados e mantenha os requisitos de conformidade. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.
Gerenciamento de identidade e acesso
Níveis de acesso para relatórios
Os recursos de análise e relatório variam de acordo com o nível de acesso. Para obter informações abrangentes sobre permissões padrão para cada nível de acesso, consulte Permissões padrão e acesso para relatórios.
| Nível de Acesso | Recursos de análise e relatório |
|---|---|
| Interessados | Exibir painéis compartilhados, visões de análise limitadas, widgets de gráfico básicos |
| Basic | Acesso completo às vistas do Analytics, criação e edição de dashboards, todos os widgets de gráficos |
| Básico + Planos de Teste | Inclui acesso básico e análise de planos de teste e relatórios |
| Visual Studio Enterprise | Inclui todos os recursos básicos e recursos de análise avançada |
Saiba mais em Sobre nível de acesso.
Autenticação para ferramentas externas
Quando você conecta ferramentas de relatório externas ao Azure DevOps, a autenticação segura é essencial:
- Usar tokens do Microsoft Entra: use a identidade organizacional para segurança aprimorada e gerenciamento centralizado. Para obter mais informações, consulte Usar tokens do Microsoft Entra.
- Configurar aplicativos OAuth: configurar fluxos OAuth seguros para integrações que não sejam da Microsoft. Para obter mais informações, confira Autorizar o acesso às APIs REST com o OAuth 2.0.
- Use PATs (tokens de acesso pessoal) quando necessário: crie tokens com escopos mínimos necessários somente quando a ID do Microsoft Entra não estiver disponível. Para obter mais informações, confira Usar tokens de acesso pessoal.
- Criar contas de serviço: use contas dedicadas para conexões de ferramenta de relatório.
- Configurar a autenticação do Windows: integre-se ao Active Directory para acesso contínuo. Para obter mais informações, consulte Configurar grupos para uso no Servidor do Azure DevOps.
- Use a autenticação alternativa: habilitar a autenticação baseada em token para ferramentas externas. Para obter mais informações, consulte as diretrizes de autenticação para APIs REST.
Segurança de análise
Permissões de acesso a dados
A segurança da análise baseia-se no princípio da herança de visibilidade de dados de projetos de origem:
- Acesso baseado em projeto: os usuários só podem ver dados de análise para projetos aos quais têm acesso. Para obter mais informações, consulte Alterar permissões de nível de projeto.
- Visibilidade do Item de Trabalho: A análise respeita as permissões do caminho da área do Item de Trabalho. Para obter mais informações, consulte Definir permissões de rastreamento de trabalho.
- Acesso ao repositório: as métricas de código são filtradas com base nas permissões do repositório. Para obter mais informações, consulte Definir permissões de repositório Git.
- Visibilidade do pipeline: a análise de build e lançamento segue as configurações de segurança do pipeline. Para obter mais informações, consulte Configurar permissões de pipeline.
Visualizações do Analytics
Controlar o acesso a conjuntos de dados específicos por meio de exibições do Analytics. Para obter mais informações sobre como criar e gerenciar exibições do Analytics, consulte Criar uma exibição de Análise.
| Tipo de exibição | Características de segurança |
|---|---|
| Visualizações compartilhadas | Acessível a todos os membros do projeto com permissões apropriadas |
| Visões privadas | Acessível somente ao criador |
| Visualizações de equipe | Restrito a membros específicos da equipe |
Filtragem e privacidade de dados
Implemente a filtragem de dados para proteger informações confidenciais:
- Configurar restrições de caminho de área: limitar dados de análise a áreas específicas do item de trabalho. Para obter mais informações, consulte Definir permissões de rastreamento de trabalho.
- Aplicar segurança em nível de campo: ocultar campos de item de trabalho confidenciais da análise. Para obter mais informações, consulte Adicionar e modificar um campo.
- Gerenciar o acesso entre projetos: controlar a visibilidade em vários projetos.
Segurança do painel
Permissões do painel
Controlar quem pode exibir, editar e gerenciar painéis. Para obter instruções passo a passo sobre como configurar permissões de painel, consulte Definir permissões de painel.
| Nível de permissão | Capabilities |
|---|---|
| View | Exibir o painel e seus widgets |
| Edit | Modificar o layout do painel e a configuração do widget |
| Manage | Controle total, incluindo compartilhamento e gerenciamento de permissões |
| excluir | Remover painéis e configurações associadas |
Considerações sobre segurança do widget
Widgets diferentes têm implicações de segurança variadas:
- Widgets baseados em consultas: herdam a segurança das consultas de item de trabalho subjacentes. Para obter mais informações, confira Definir permissões em consultas.
- Widgets de análise: siga as permissões de exibição de análise e o acesso ao projeto.
- Widgets externos: pode exigir outras considerações de autenticação e compartilhamento de dados. Para obter mais informações, consulte as práticas recomendadas de segurança.
- Widgets personalizados: a segurança depende da implementação e das fontes de dados. Para obter mais informações, consulte Adicionar, renomear e excluir painéis.
Painéis de equipe e projeto
Gerenciar o acesso ao painel em diferentes níveis organizacionais:
- Painéis de equipe: membros da equipe e participantes do projeto podem acessar esses painéis. Para obter mais informações, consulte Adicionar uma equipe, passe de uma equipe padrão para várias equipes.
- Painéis do projeto: todos os colaboradores do projeto podem acessar esses painéis. Para obter mais informações, consulte Alterar permissões de nível de projeto.
- Painéis pessoais: usuários individuais mantêm esses painéis privados.
- Painéis da organização: toda a organização pode ver esses painéis. Para obter mais informações, consulte Alterar permissões no nível da organização ou da coleção.
Para obter mais informações sobre tipos de painel e acesso, consulte Adicionar, renomear e excluir painéis.
Segurança de integração do Power BI
Segurança do conector de dados
Ao usar o Power BI com o Azure DevOps, implemente essas medidas de segurança. Para obter instruções detalhadas de instalação, consulte Conectar-se ao Conector de Dados do Power BI.
- Use entidades de serviço com o Microsoft Entra ID: implemente autenticação baseada em aplicações para atualização automatizada com gerenciamento centralizado de identidade. Para obter mais informações, consulte Usar tokens do Microsoft Entra.
- Configurar a segurança em nível de linha: filtrar dados do Power BI com base na identidade do usuário.
- Gerenciar credenciais de atualização: armazene e faça a rotação segura das credenciais da fonte de dados usando a autenticação do Microsoft Entra ID.
- Aplicar permissões de workspace: controlar o acesso a workspaces do Power BI que contêm dados do Azure DevOps.
Privacidade de dados no Power BI
Proteja dados confidenciais ao compartilhar relatórios do Power BI:
- Configurar rótulos de confidencialidade de dados: aplique a classificação apropriada a relatórios e conjuntos de dados.
- Implementar restrições de compartilhamento: controlar quem pode acessar e compartilhar conteúdo do Power BI.
- Monitorar o uso de dados: acompanhe os padrões de acesso e identifique possíveis problemas de segurança.
- Aplicar restrições de exportação: limite os recursos de exportação de dados com base em políticas organizacionais.
Para obter mais informações sobre as práticas recomendadas de segurança do Power BI, consulte a linha de base de segurança do Power BI.
Conformidade e auditoria
Log de auditoria
Acompanhe as atividades de análise e relatório por meio de logs de auditoria abrangentes:
- Monitorar o acesso ao painel: acompanhe quem exibe e modifica painéis. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.
- Exportações de dados: Registre quando os usuários exportam dados de análise.
- Acompanhar conexões do Power BI: monitorar conexões de ferramenta externa e acesso a dados.
- Revise as alterações de permissão: mantenha logs de modificações de configuração de segurança.
Retenção e conformidade de dados
Implementar políticas de retenção de dados apropriadas:
- Configurar a retenção de dados de análise: defina os períodos de retenção apropriados para dados históricos.
- Gerenciar o ciclo de vida do painel: estabeleça processos para arquivamento e exclusão do painel.
- Linhagem de dados do documento: manter registros de fontes de dados e transformações.
- Implementar relatórios de conformidade: gerar relatórios para requisitos regulatórios.
Para obter mais informações sobre proteção de dados, consulte a visão geral da proteção de dados.
Práticas recomendadas para segurança do Analytics & Reporting
Gerenciamento de acesso
- Aplicar o princípio de privilégio mínimo: conceder acesso mínimo necessário às necessidades de análise e relatório.
- Realize revisões de acesso regulares: auditando periodicamente as permissões de dashboards e análises.
- Use o gerenciamento baseado em grupo: gerenciar permissões por meio de grupos de segurança em vez de atribuições individuais.
- Implementar o acesso baseado em função: defina funções padrão para diferentes necessidades de relatório.
Proteção de dados
- Classificar a confidencialidade dos dados: identificar e proteger relatórios e métricas confidenciais. Para obter mais informações, veja Descrição geral da proteção de dados.
- Implementar o mascaramento de dados: ocultar ou ofuscar informações confidenciais em relatórios compartilhados. Para obter mais informações, consulte Adicionar e modificar um campo.
- Controlar a exportação de dados: restringir os recursos de exportação de dados em massa com base nas funções de usuário. Para obter mais informações, consulte Alterar níveis de acesso.
- Monitorar o acesso anormal: observe padrões incomuns no acesso a dados e relatórios. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.
Segurança de integração
- Proteger conexões externas: use conexões criptografadas para todas as ferramentas de relatório externas. Para obter mais informações, consulte Usar tokens do Microsoft Entra.
- Validar ferramentas de terceiros: verifique se as ferramentas de análise externa atendem aos requisitos de segurança. Para obter mais informações, consulte as práticas recomendadas de segurança.
- Gerenciar a autenticação do Microsoft Entra: use o gerenciamento de identidade organizacional para integrações externas em vez de tokens individuais. Para obter mais informações, consulte Usar tokens do Microsoft Entra.
- Monitorar o uso da integração: acompanhe o acesso a dados por meio de APIs e conexões externas. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.
Governança organizacional
- Estabelecer padrões de relatório: defina ferramentas e práticas aprovadas para relatórios organizacionais. Para obter mais informações, consulte as práticas recomendadas de segurança.
- Criar políticas de governança de dados: implemente políticas para precisão de dados, privacidade e uso. Para obter mais informações, veja Descrição geral da proteção de dados.
- Treinar usuários sobre segurança: Eduque as equipes sobre práticas de relatórios seguras e possíveis riscos. Para obter mais informações, consulte as práticas recomendadas de segurança.
- Procedimentos de segurança de documentos: Manter a documentação atualizada das configurações e processos de segurança. Para obter mais informações, consulte Sobre permissões e grupos de segurança.
Cenários comuns de segurança
Análise de vários projetos
Ao implementar a análise em vários projetos, estabeleça limites claros de segurança:
Cenário de exemplo: uma organização com várias equipes de produtos precisa de relatórios consolidados, mantendo o isolamento do projeto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
Nesta configuração:
- Os membros da equipe só podem acessar análises para seus projetos atribuídos. Para obter mais informações, consulte Alterar permissões de nível de projeto.
- As métricas de Serviços Compartilhados são visíveis para todas as equipes para acompanhamento de dependência.
- O painel executivo fornece métricas de alto nível sem expor detalhes confidenciais do projeto. Para obter mais informações, consulte Definir permissões de painel.
- As consultas entre projetos são restritas com base nas permissões do usuário. Para obter mais informações, consulte Criar uma exibição de Análise.
Relatórios externos de partes interessadas
Gerencie a segurança ao compartilhar relatórios com stakeholders externos:
- Criar painéis específicos para partes interessadas: Projetar exibições que mostram métricas relevantes sem detalhes confidenciais.
- Use o acesso somente leitura: forneça permissões de visualização apenas para os usuários externos.
- Implementar acesso limitado por tempo: defina datas de expiração para acesso de usuário externo.
- Aplicar filtragem de dados: verifique se os usuários externos veem apenas as informações aprovadas.
Para obter diretrizes sobre como gerenciar usuários externos, consulte Adicionar usuários externos à sua organização.
Relatórios de conformidade regulatória
Para organizações com requisitos de conformidade:
- Implementar trilhas de auditoria: manter logs detalhados de todas as modificações e acesso a dados. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.
- Aplicar políticas de retenção de dados: verifique se os dados de análise atendem aos requisitos de retenção regulatória. Para obter mais informações, veja Descrição geral da proteção de dados.
- Local dos dados de controle: para instâncias de nuvem, entenda onde os dados de análise são armazenados. Para obter mais informações, confira Locais de dados do Azure DevOps.
- Gerar relatórios de conformidade: crie relatórios padronizados para envios regulatórios. Para obter mais informações, consulte Exportar lista de usuários com níveis de acesso.
Lista de verificação de configuração de segurança
Instalação inicial
- [ ] Configurar níveis de acesso apropriados para usuários de análise.
- [ ] Configurar grupos de segurança alinhados às necessidades de relatório.
- [ ] Configurar permissões de projeto para acesso à análise.
- [ ] Defina permissões de painel para painéis de equipe e projeto.
- [ ] Configurar modos de exibição do Analytics com controles de acesso apropriados.
- [ ] Defina permissões de acompanhamento de trabalho para controlar a visibilidade dos dados.
Integrações externas
- [ ] Configurar a autenticação do Microsoft Entra para ferramentas de relatório externas.
- [ ] Configurar conexões do Power BI com autenticação pelo Microsoft Entra ID.
- [ ] Configure a segurança em nível de linha no Power BI para cenários multilocatários.
- [ ] Documente e aprove todas as conexões de ferramenta externa.
Gerenciamento contínuo
- [ ] Realizar auditorias de permissão regulares para análise e acesso ao painel.
- [ ] Monitorar logs de auditoria para atividades de análise incomuns.
- [ ] Examine e atualize as permissões do painel à medida que as equipes mudam.
- [ ] Gerenciar a autenticação do Microsoft Entra e girar credenciais para integrações externas.
- [ ] Valide se a filtragem de dados de análise está funcionando corretamente.