Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
A análise e relatórios do Azure DevOps fornecem insights poderosos sobre os seus processos de desenvolvimento. Com esse poder vem a responsabilidade de proteger dados sensíveis e controlar o acesso às métricas organizacionais. Este artigo descreve os conceitos de segurança, controles de acesso e práticas recomendadas para proteger sua implementação de análises e relatórios.
Visão geral do modelo de segurança
A análise e a segurança de relatórios utilizam uma abordagem multicamadas que inclui:
- Controle a visibilidade dos dados: gerencie quem pode visualizar dados analíticos e quais projetos eles podem acessar.
- Implementar permissões de painel: controle o acesso aos painéis e seus dados subjacentes. Para obter mais informações, consulte Definir permissões do painel.
- Configurar acesso no nível do projeto: restrinja o acesso à análise com base na associação ao projeto. Para mais informações, consulte Permissões e acesso padrão para relatórios.
- Gerenciar a integração do Power BI: proteja as conexões entre o Azure DevOps e o Power BI. Para mais informações, consulte Conectar ao Power BI Data Connector.
- Habilite a auditoria e a conformidade: rastreie o acesso aos dados e mantenha os requisitos de conformidade. Para obter mais informações, consulte Acessar, exportar e filtrar registos de auditoria.
Gestão de identidades e acessos
Níveis de acesso para relatórios
Os recursos de análise e geração de relatórios variam de acordo com o nível de acesso. Para obter informações abrangentes sobre permissões padrão para cada nível de acesso, consulte Permissões padrão e acesso para relatórios.
| Nível de Acesso | Recursos de análise e relatórios |
|---|---|
| Parte Interessada | Ver painéis partilhados, visões analíticas limitadas, widgets de gráficos básicos |
| Basic | Acesso total a visualizações do Google Analytics, criação e edição de painéis, todos os widgets de gráficos |
| Planos Básicos + Testes | Inclui acesso Básico e Planos de Teste, análises e relatórios |
| Visual Studio Enterprise | Inclui todos os recursos básicos, além de recursos avançados de análise |
Para obter mais informações, consulte Sobre os níveis de acesso.
Autenticação para ferramentas externas
Quando você conecta ferramentas de relatório externas ao Azure DevOps, a autenticação segura é essencial:
- Use tokens da Microsoft Entra: Use a identidade organizacional para segurança aprimorada e gerenciamento centralizado. Para mais informações, consulte Usar tokens Microsoft Entra.
- Configurar aplicativos OAuth: configure fluxos OAuth seguros para integrações que não sejam da Microsoft. Para obter mais informações, consulte Autorizar acesso a APIs REST com OAuth 2.0.
- Use tokens de acesso pessoal (PATs) quando necessário: Crie tokens com escopos mínimos necessários apenas quando o Microsoft Entra ID não estiver disponível. Para obter mais informações, consulte Usar tokens de acesso pessoal.
- Criar contas de serviço: use contas dedicadas para conexões de ferramentas de relatório.
- Configurar a autenticação do Windows: integre com o Ative Directory para acesso contínuo. Para mais informações, consulte Configurar grupos para uso no Azure DevOps Server.
- Usar autenticação alternativa: habilite a autenticação baseada em token para ferramentas externas. Para mais informações, consulte Orientação de Autenticação para APIs REST.
Segurança do Analytics
Permissões de acesso a dados
A segurança analítica baseia-se no princípio da herança de visibilidade de dados a partir de projetos fonte:
- Acesso baseado em projetos: os usuários só podem ver dados analíticos de projetos aos quais têm acesso. Para obter mais informações, consulte Alterar permissões ao nível do projeto.
- Visibilidade do item de trabalho: o Google Analytics respeita as permissões de caminho da área do item de trabalho. Para mais informações, veja Definir permissões de acompanhamento de trabalho.
- Acesso ao repositório: as métricas de código são filtradas com base nas permissões do repositório. Para obter mais informações, consulte Definir permissões do repositório Git.
- Visibilidade do pipeline: as análises de compilação e liberação seguem as configurações de segurança do pipeline. Para obter mais informações, consulte Configurar permissões de pipeline.
Visualizações do Analytics
Controle o acesso a conjuntos de dados específicos por meio de visualizações do Google Analytics. Para obter mais informações sobre como criar e gerenciar exibições do Google Analytics, consulte Criar uma exibição do Google Analytics.
| Tipo de visualização | Características de Segurança |
|---|---|
| Vistas partilhadas | Acessível a todos os membros do projeto com as permissões apropriadas |
| Vistas privadas | Acessível apenas ao criador |
| Vistas da equipa | Restrito a membros específicos da equipe |
Filtragem de dados e privacidade
Implemente a filtragem de dados para proteger informações confidenciais:
- Configurar restrições de caminho de área: limite os dados de análise a áreas específicas de item de trabalho. Para mais informações, veja Definir permissões de acompanhamento de trabalho.
- Aplicar segurança ao nível de campo: oculte campos de item de trabalho confidenciais nas análises. Para mais informações, consulte Adicionar e modificar um campo.
- Gerencie o acesso entre projetos: controle a visibilidade em vários projetos.
Segurança do painel
Permissões do painel
Controle quem pode visualizar, editar e gerenciar painéis. Para obter instruções passo a passo sobre como configurar permissões de painel, consulte Definir permissões de painel.
| Nível de permissão | Capabilities |
|---|---|
| View | Ver o painel e os seus widgets |
| Edit | Modificar o layout do painel e a configuração do widget |
| Manage | Controle total, incluindo compartilhamento e gerenciamento de permissões |
| Eliminar | Remover painéis e configurações associadas |
Considerações sobre segurança do widget
Widgets diferentes têm implicações de segurança variadas:
- Widgets baseados em consulta: herdam a segurança das consultas de item de trabalho subjacentes. Para obter mais informações, consulte Definir permissões em consultas.
- Widgets de Analítica: seguir as permissões de visualização analítica e o acesso ao projeto.
- Widgets externos: podem exigir outras considerações de autenticação e compartilhamento de dados. Para obter mais informações, consulte Práticas recomendadas de segurança.
- Widgets personalizados: a segurança depende da implementação e das fontes de dados. Para obter mais informações, consulte Adicionar, renomear e excluir painéis.
Painéis de equipe e projeto
Gerencie o acesso ao painel em diferentes níveis organizacionais:
- Painéis da equipa: Os membros da equipa e os stakeholders do projeto podem aceder a estes painéis. Para obter mais informações, consulte Adicionar uma equipe, mover de uma equipe padrão para várias equipes.
- Painéis de controlo do projeto: Todos os colaboradores do projeto podem aceder a estes painéis. Para obter mais informações, consulte Alterar permissões ao nível do projeto.
- Painéis pessoais: Os utilizadores individuais mantêm estes painéis privados.
- Painéis de controlo da organização: Toda a organização pode ver estes painéis. Para mais informações, consulte Alterar permissões ao nível da organização ou da coleção.
Para obter mais informações sobre tipos de painel e acesso, consulte Adicionar, renomear e excluir painéis.
Segurança de integração do Power BI
Segurança do conector de dados
Ao usar o Power BI com o Azure DevOps, implemente essas medidas de segurança. Para obter instruções detalhadas de configuração, consulte Conectar-se ao Power BI Data Connector.
- Usar entidades de serviço com o Microsoft Entra ID: implemente a autenticação baseada em aplicativos para atualização automatizada com gerenciamento centralizado de identidades. Para mais informações, consulte Usar tokens Microsoft Entra.
- Configurar a segurança ao nível das linhas: Filtrar os dados do Power BI com base na identidade do utilizador.
- Gerir credenciais de atualização: Armazene e rode de forma segura as credenciais da fonte de dados utilizando a autenticação Microsoft Entra ID.
- Aplicar permissões de espaço de trabalho: Controlar o acesso a espaços de trabalho Power BI que contenham dados Azure DevOps.
Privacidade de dados no Power BI
Proteja dados confidenciais ao compartilhar relatórios do Power BI:
- Configurar etiquetas de sensibilidade dos dados: Aplicar a classificação adequada a relatórios e conjuntos de dados.
- Implemente restrições de partilha: Controle quem pode aceder e partilhar conteúdos do Power BI.
- Monitorizar o uso de dados: Acompanhar padrões de acesso e identificar potenciais problemas de segurança.
- Aplicar restrições de exportação: Limitar as capacidades de exportação de dados com base nas políticas organizacionais.
Para obter mais informações sobre as práticas recomendadas de segurança do Power BI, consulte Linha de base de segurança do Power BI.
Conformidade e auditoria
Registo de auditoria
Acompanhe as atividades de análise e relatórios por meio de logs de auditoria abrangentes:
- Monitorar o acesso ao painel: rastreie quem visualiza e modifica os painéis. Para obter mais informações, consulte Acessar, exportar e filtrar registos de auditoria.
- Exportação de dados de auditoria: Registar quando os utilizadores exportam dados analíticos.
- Monitorizar ligações do Power BI: Monitorizar ligações a ferramentas externas e acesso a dados.
- Rever alterações de permissões: Manter registos de modificações de configuração de segurança.
Retenção de dados e conformidade
Implemente políticas apropriadas de retenção de dados:
- Configurar a retenção de dados analíticos: Defina períodos de retenção apropriados para dados históricos.
- Gerir o ciclo de vida do dashboard: Estabelecer processos para arquivamento e eliminação do dashboard.
- Documentar a linhagem dos dados: Manter registos das fontes e transformações de dados.
- Implementar relatórios de conformidade: Gerar relatórios para os requisitos regulamentares.
Para obter mais informações sobre proteção de dados, consulte Visão geral sobre proteção de dados.
Práticas recomendadas para segurança do Analytics & Reporting
Gestão de acesso
- Aplicar o princípio do privilégio mínimo: Conceder o acesso mínimo necessário para necessidades de análise e relatórios.
- Realizar revisões regulares de acesso: Auditar periodicamente o painel de controlo e as permissões de análise.
- Utilize gestão baseada em grupos: Gere permissões através de grupos de segurança em vez de atribuições individuais.
- Implementar o acesso baseado em funções: Definir papéis padrão para diferentes necessidades de reporte.
Proteção de dados
- Classificar a sensibilidade dos dados: identifique e proteja métricas e relatórios confidenciais. Para obter mais informações, consulte Visão geral da proteção de dados.
- Implementar mascaramento de dados: oculte ou ofusque informações confidenciais em relatórios compartilhados. Para mais informações, consulte Adicionar e modificar um campo.
- Controle a exportação de dados: restrinja os recursos de exportação de dados em massa com base nas funções do usuário. Para obter mais informações, consulte Alterar níveis de acesso.
- Monitore o acesso anômalo: observe padrões incomuns no acesso a dados e relatórios. Para obter mais informações, consulte Acessar, exportar e filtrar registos de auditoria.
Segurança de integração
- Conexões externas seguras: use conexões criptografadas para todas as ferramentas de relatórios externos. Para mais informações, consulte Usar tokens Microsoft Entra.
- Validar ferramentas de terceiros: garanta que as ferramentas de análise externas atendam aos requisitos de segurança. Para obter mais informações, consulte Práticas recomendadas de segurança.
- Gerenciar a autenticação do Microsoft Entra: use o gerenciamento de identidades organizacionais para integrações externas em vez de tokens individuais. Para mais informações, consulte Usar tokens Microsoft Entra.
- Monitore o uso da integração: rastreie o acesso aos dados por meio de APIs e conexões externas. Para obter mais informações, consulte Acessar, exportar e filtrar registos de auditoria.
Governança organizacional
- Estabelecer padrões de relatórios: Definir ferramentas e práticas aprovadas para relatórios organizacionais. Para obter mais informações, consulte Práticas recomendadas de segurança.
- Criar políticas de governança de dados: implemente políticas de precisão, privacidade e uso de dados. Para obter mais informações, consulte Visão geral da proteção de dados.
- Treinar os usuários sobre segurança: instruir as equipes sobre práticas seguras de relatórios e riscos potenciais. Para obter mais informações, consulte Práticas recomendadas de segurança.
- Procedimentos de segurança: Manter a documentação atualizada das configurações e processos de segurança. Para obter mais informações, consulte Sobre permissões e grupos de segurança.
Cenários de segurança comuns
Análise de vários projetos
Quando implementa análises em vários projetos, estabeleça limites claros de segurança:
Cenário de exemplo: uma organização com várias equipes de produto precisa de relatórios consolidados enquanto mantém o isolamento do projeto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
Nesta configuração:
- Os membros da equipe podem acessar análises apenas para seus projetos atribuídos. Para obter mais informações, consulte Alterar permissões ao nível do projeto.
- As métricas dos Serviços Compartilhados são visíveis para todas as equipes para rastreamento de dependência.
- O painel executivo fornece métricas de alto nível sem expor detalhes confidenciais do projeto. Para obter mais informações, consulte Definir permissões do painel.
- As consultas entre projetos são restritas com base nas permissões do usuário. Para obter mais informações, consulte Criar uma visualização do Google Analytics.
Relatórios das partes interessadas externas
Gere a segurança ao partilhar relatórios com partes interessadas externas:
- Crie dashboards específicos para as partes interessadas: Desenhe vistas que mostrem métricas relevantes sem detalhes sensíveis.
- Usar acesso apenas de leitura: Fornecer permissões apenas de visualização para utilizadores externos.
- Implementar acesso limitado no tempo: Defina datas de validade para acesso de utilizadores externos.
- Aplicar filtragem de dados: Garantir que os utilizadores externos veem apenas informação aprovada.
Para obter orientação sobre como gerenciar usuários externos, consulte Adicionar usuários externos à sua organização.
Relatórios de conformidade regulamentar
Para organizações com requisitos de conformidade:
- Implementar trilhas de auditoria: manter registos detalhados de todos os acessos e modificações de dados. Para obter mais informações, consulte Acessar, exportar e filtrar registos de auditoria.
- Aplicar políticas de retenção de dados: certifique-se de que os dados analíticos atendem aos requisitos de retenção regulamentares. Para obter mais informações, consulte Visão geral da proteção de dados.
- Controlar a localização dos dados: para instâncias na nuvem, entenda onde os dados analíticos são armazenados. Para obter mais informações, consulte Locais de dados para o Azure DevOps.
- Gerar relatórios de conformidade: crie relatórios padronizados para envios normativos. Para mais informações, consulte Exportar lista de utilizadores com níveis de acesso.
Lista de verificação de configuração de segurança
Configuração inicial
- [ ] Configurar níveis de acesso adequados para utilizadores de analytics.
- [ ] Criar grupos de segurança alinhados com as necessidades de reporte.
- [ ] Configurar permissões de projeto para acesso à análise de dados.
- [ ] Defina permissões de dashboard para os dashboards da equipa e do projeto.
- [ ] Configurar vistas de Analytics com controlos de acesso adequados.
- [ ] Defina permissões de rastreio de trabalho para controlar a visibilidade dos dados.
Integrações externas
- [ ] Configure a autenticação Microsoft Entra para ferramentas externas de relatórios.
- [ ] Configurar ligações Power BI com autenticação Microsoft Entra ID.
- [ ] Configurar segurança ao nível de linha no Power BI para cenários multi-arrendatário.
- [ ] Documentar e aprovar todas as ligações externas às ferramentas.
Gestão contínua
- [ ] Realizar auditorias regulares de permissões para análises e acesso a dashboards.
- [ ] Monitorizar os registos de auditoria para atividades analíticas invulgares.
- [ ] Revê e atualiza as permissões do dashboard à medida que as equipas mudam.
- [ ] Gerir a autenticação Microsoft Entra e alternar credenciais para integrações externas.
- [ ] Validar que a filtragem de dados analíticos está a funcionar corretamente.