مشاركة عبر

تخزين البيانات والحوكمة في Power Platform

  • مقالة

أولًا، من الضروري أن نميز بين البيانات الشخصية وبيانات العميل.

  • البيانات الشخصية هي معلومات عن الأشخاص يمكن استخدامها لتحديد هوياتهم.

  • تتضمن بيانات العميل البيانات الشخصية ومعلومات أخرى تتعلق بالعميل، بما في ذلك عناوين URL وبيانات التعريف ومعلومات مصادقة الموظف مثل أسماء DNS.

موقع البيانات

يتضمن مستأجر Microsoft Entra معلومات ذات صلة بمؤسسة وأمانها. عندما يقوم مستأجر Microsoft Entra بالتسجيل للحصول على خدمات Power Platform يتم تعيين البلد أو المنطقة المحددة للمستأجر إلى منطقة Azure الجغرافية الأكثر ملاءمة حيث تم نشر Power Platform. يقوم Power Platform بتخزين بيانات العملاء في منطقة Azure الجغرافية المعينة أو في الموقع الجغرافي الرئيسي، باستثناء الحالات حيث تنشر المؤسسات الخدمات في مناطق متعددة.

تتميز بعض المؤسسات بحضور عالمي. على سبيل المثال، قد يكون المقر الرئيسي للشركة في الولايات المتحدة ولكنها تمارس أعمالها في أستراليا. وقد تحتاج إلى تخزين بيانات Power Platform معينة في أستراليا للتوافق مع اللوائح المحلية. عندما يتم نشر خدمات Power Platform في أكثر من منطقة Azure جغرافية، يشار إلى هذا بالنشر متعدد المناطق الجغرافية. في هذه الحالة، يتم تخزين فقط بيانات التعريف المتعلقة بالبيئة فقط في الموقع الجغرافي الرئيسي. يتم تخزين كافة بيانات التعريف وبيانات المنتج في هذه البيئة في الموقع الجغرافي البعيد.

قد تقوم Microsoft بنسخ البيانات إلى مناطق أخرى من أجل مرونة البيانات. ومع ذلك، لا نقوم بنسخ البيانات الشخصية أو نقلها خارج الموقع الجغرافي. قد تتضمن البيانات المنسوخة إلى مناطق أخرى بيانات غير شخصية مثل معلومات مصادقة الموظف.

تتوفر خدمات Power Platform في مناطق جغرافية معينة في Azure. لمزيد من المعلومات حول الأماكن التي تتوفر فيها خدمات Power Platform ومكان تخزين بياناتك وكيفية استخدامها، انتقل إلى مركز توثيق Microsoft. الالتزامات المتعلقة بموقع بيانات العميل الثابتة محددة في شروط معالجة البيانات الواردة في بنود الخدمات عبر الإنترنت من Microsoft. كما توفر Microsoft مراكز بيانات للكيانات التابعة لها.

معالجة البيانات

يوضح هذا القسم كيفية قيام Power Platform بتخزين بيانات العملاء ومعالجتها ونقلها.

البيانات في الراحة

ما لم يتم ذكر عكس ذلك في الوثائق، تبقى بيانات العميل في مصدرها الأصلي (على سبيل المثال، Dataverse أو SharePoint). يتم تخزين تطبيق Power Platform في مساحة تخزين Azure كجزء من البيئة. يتم تشفير البيانات المستخدمة في تطبيقات الأجهزة المحمولة ويتم تخزينها في SQL Express. في معظم الحالات، تستخدم التطبيقات مساحة تخزين Azure للمحافظة على بيانات خدمة Power Platform وقاعدة بيانات Azure SQL للمحافظة على بيانات تعريف الخدمة. يتم تخزين البيانات التي أدخلها مستخدمو التطبيق في مصدر البيانات المعني للخدمة، مثل Dataverse.

يتم تشفير جميع البيانات التي يتم الاحتفاظ بها بواسطة Power Platform افتراضيًا باستخدام المفاتيح المُدارة من Microsoft. يتم تشفير بيانات العميل المخزنة في قاعدة بيانات Azure SQL بالكامل باستخدام تقنية تشفير البيانات الشفافة (TDE) من Azure SQL. يتم تشفير بيانات العميل المخزنة في تخزين Azure Blob باستخدام تشفير تخزين Azure.

جارٍ معالجة البيانات

تكون البيانات قيد المعالجة عندما يتم استخدامها كجزء من سيناريو تفاعلي، أو عندما تصل إليها عملية خلفية، مثل عملية تحديث. يقوم Power Platform بتحميل البيانات قيد المعالجة إلى مساحة الذاكرة لأحمال عمل خدمة واحدة أو أكثر. لتسهيل وظيفة حمل العمل، لا يتم تشفير البيانات المخزنة في الذاكرة.

نقل البيانات

يتطلب Power Platform تشفير كل حركة مرور HTTP الواردة باستخدام TLS 1.2 أو أعلى. يتم رفض الطلبات التي تحاول استخدام TLS 1.1 أو إصدار أدنى.

ميزات الأمان المتقدمة

بعض ميزات الأمان المتقدمة في Power Platform لديها متطلبات ترخيص محددة.

علامات الخدمة

تمثل علامة الخدمة مجموعة من بادئات عناوين IP من خدمة Azure معينة. يمكنك استخدام علامات الخدمة لتحديد عناصر التحكم في الوصول إلى الشبكة في مجموعات أمان الشبكة أو جدار حماية Azure.

تساعد علامات الخدمة في تقليل تعقيد التحديثات المتكررة لقواعد أمان الشبكة. يمكنك استخدام علامات الخدمة مكان عناوين IP معينة عند إنشاء قواعد الأمان التي، على سبيل المثال، تسمح أو ترفض عملية نقل البيانات للخدمة المقابلة.

تدير Microsoft بادئات العناوين التي تتضمنها علامة الخدمة، وتقوم تلقائيًا بتحديث علامة الخدمة عند تغيير العناوين. لمزيد من المعلومات، راجع نطاقات Azure IP وعلامات الخدمة - السحابة العامة.

منع فقدان البيانات

يتضمن Power Platform مجموعة شاملة من ميزات منع فقدان البيانات (DLP) لمساعدتك على إدارة أمان بياناتك.

تقييد IP لتوقيع الوصول المشترك للتخزين (SAS)

‏‫ملاحظة

قبل تنشيط أي ميزة من ميزات SAS هذه، يجب على العملاء أولاً السماح بالوصول إلى مجال https://*.api.powerplatformusercontent.com وإلا فلن تعمل معظم وظائف SAS.

مجموعة الميزات هذه هي وظيفة خاصة بالمستأجر تقيد الرموز المميزة للتخزين المشترك للوصول إلى التوقيع (SAS) ويتم التحكم فيها من خلال قائمة في مركز مسؤولي Power Platform. يقيد هذا الإعداد الأشخاص الذين يمكنهم، بناءً على عنوان IP، استخدام رموز SAS المميزة للمؤسسة.

هذه الميزة حاليًا في الإصدار الأولي الخاص. ومن المقرر إجراء الإصدار الأولي العام في وقت لاحق من هذا الربيع، مع إتاحة عامة في صيف 2024. لمزيد من المعلومات، راجع مخطط الإصدار.

يمكن العثور على هذه الإعدادات في إعدادات الخصوصية + الأمان الخاصة بالبيئة في مركز المسؤولين. يجب عليك تشغيل خيار تمكين قاعدة التوقيع المشترك للوصول إلى التخزين (SAS) المستند إلى عنوان IP.

يمكن للمسؤولين تمكين أحد هذه التكوينات الأربعة لهذا الإعداد:

الإعدادات الوصف
ربط IP فقط يؤدي هذا إلى تقييد مفاتيح SAS على عنوان IP الخاص بالطالب.
جدار حماية IP فقط ويقيد هذا استخدام مفاتيح SAS للعمل فقط ضمن نطاق محدد من قِبل المسؤول.
ربط IP وجدار الحماية يقيد هذا استخدام مفاتيح SAS للعمل ضمن النطاق المحدد من قِبل المسؤول وفقط على عنوان IP الخاص بالطالب.
ربط IP أو جدار الحماية السماح باستخدام مفاتيح SAS ضمن النطاق المحدد. إذا جاء الطلب من خارج النطاق، فسيتم تطبيق ربط IP.

المنتجات التي تفرض ربط IP عند التمكين:

  • Dataverse
  • Power Automate
  • الموصلات المخصصة
  • Power Apps

التأثير على تجربة المستخدم

  • عندما يفتح مستخدم، لا يستوفي قيود عنوان IP الخاصة بالبيئة، تطبيقًا: يتلقى المستخدمون رسالة خطأ تشير إلى مشكلة IP عامة.

  • عندما يفتح المستخدم، الذي يستوفي قيود عنوان IP، تطبيقًا: تحدث الأحداث التالية:

    • قد يحصل المستخدمون على شعار سيختفي بسرعة لإعلام المستخدمين بأنه تم تعيين إعداد IP وللاتصال بالمسؤول للحصول على تفاصيل أو لتحديث أية صفحات تفقد الاتصال.
    • والأهم من ذلك، بسبب التحقق من صحة IP الذي يستخدمه إعداد الأمان هذا، قد يكون أداء بعض الوظائف أبطأ مما لو تم إيقاف تشغيله.

تسجيل مكالمات SAS

يُمكّن هذا الإعداد تسجيل كل مكالمات SAS داخل Power Platform في Purview. يعرض هذا التسجيل بيانات التعريف ذات الصلة لجميع أحداث الإنشاء والاستخدام ويمكن تمكينه بشكل مستقل عن قيود SAS IP المذكورة أعلاه. تقوم خدمات ‏‎Power Platform حاليًا باستقبال مكالمات SAS في عام 2024.

اسم الحقل وصف الحقل
response.status_message إعلام ما إذا كان الحدث ناجحًا أم لا: SASSuccess أو SASAuthorizationError.
response.status_code إعلام إذا كان الحدث ناجحًا أم لا: 200 أو 401 أو 500.
ip_binding_mode يتم تعيين وضع ربط IP من قبل مسؤول مستأجر، في حالة تشغيله. ينطبق على أحداث إنشاء SAS فقط.
admin_provided_ip_ranges نطاقات IP التي يتم تعيينها بواسطة مسؤول مستأجر، في حالة وجودها. ينطبق على أحداث إنشاء SAS فقط.
computed_ip_filters المجموعة النهائية من عوامل تصفية IP المرتبطة بمعرفات URI لـ SAS استنادًا إلى وضع ربط IP والنطاقات التي يحددها المسؤول المستأجر. ينطبق على كل من أحداث إنشاء واستخدام SAS.
analytics.resource.sas.uri البيانات التي كانت تحاول الوصول إليها أو إنشاؤها.
enduser.ip_address عنوان IP العام للمتصل.
analytics.resource.sas.operation_id المعرف الفريد من حدث الإنشاء. يُظهر البحث بهذا جميع أحداث الاستخدام والإنشاء المتعلقة باستدعاءات SAS من حدث الإنشاء. تم تعيينه إلى رأس الاستجابة "x-ms-sas-operation-id".
request.service_request_id معرف فريد من الطلب أو الاستجابة ويمكن استخدامه للبحث عن سجل واحد. تم تعيينه إلى رأس الاستجابة "x-ms-service-request-id".
الإصدار إصدار مخطط السجل هذا.
النوع الرد العام.
analytics.activity.name نوع نشاط هذا الحدث: الإنشاء أو الاستخدام.
analytics.activity.id المعرف الفريد للسجل في Purview.
analytics.resource.organization.id معرف المؤسسة
analytics.resource.environment.id معرف البيئة
analytics.resource.tenant.id معرِّف المستأجر في
enduser.id معرف GUID من Microsoft Entra ID للمنشئ من حدث الإنشاء.
enduser.principal_name عنوان UPN/البريد الإلكتروني للمنشئ. بالنسبة لأحداث الاستخدام، هذا رد عام: "system@powerplatform".
enduser.role رد عام: منتظم لأحداث الإنشاء والنظام لأحداث الاستخدام.

الأمان في Microsoft Power Platform
المصادقة مع خدمات Power Platform
الاتصال بمصادر البيانات ومصادقتها
الأسئلة المتداولة حول أمان Power Platform

(راجع أيضًا)