مشاركة عبر

تخزين البيانات والحوكمة في Power Platform

يعالج Power Platform كلاًّ من البيانات الشخصية وبيانات العميل. تعرف إلى المزيد حول البيانات الشخصية وبيانات العميل في مركز توثيق Microsoft.

موقع البيانات

يخزن مستأجر Microsoft Entra معلومات ذات صلة بمؤسسة وأمانها. عندما يقوم مستأجر Microsoft Entra بتسجيل الاشتراك في خدمات Power Platform، يتم تعيين البلد أو المنطقة المحددة للمستأجر إلى منطقة Azure الجغرافية الأكثر ملاءمة حيث تم نشر Power Platform. يقوم Power Platform بتخزين بيانات العملاء في منطقة Azure الجغرافية المعينة أو في الموقع الجغرافي الرئيسي، ما لم تنشر المؤسسات الخدمات في مناطق متعددة.

تتميز بعض المؤسسات بحضور عالمي. على سبيل المثال، قد يكون المقر الرئيسي للشركة في الولايات المتحدة ولكنها تمارس أعمالها في أستراليا. وقد تحتاج إلى تخزين بيانات Power Platform معينة في أستراليا للتوافق مع اللوائح المحلية. عندما يتم نشر خدمات Power Platform في أكثر من منطقة Azure جغرافية، يشار إلى هذا بالنشر متعدد المناطق الجغرافية. في هذه الحالة، يتم تخزين فقط بيانات التعريف المتعلقة بالبيئة فقط في الموقع الجغرافي الرئيسي. يتم تخزين كافة بيانات التعريف وبيانات المنتج في هذه البيئة في الموقع الجغرافي البعيد.

تتوفر خدمات Power Platform في مناطق جغرافية معينة في Azure. لمزيد من المعلومات حول أماكن توفر خدمات Power Platform، ومكان تخزين بياناتك وتكرارها لتحقيق المرونة، وكيفية استخدامها، انتقل إلى مركز توثيق Microsoft. الالتزامات المتعلقة بموقع بيانات العميل الثابتة في شروط معالجة البيانات الواردة في بنود الخدمات عبر الإنترنت من Microsoft. كما توفر Microsoft مراكز بيانات للكيانات التابعة لها.

معالجة البيانات

يوضح هذا القسم كيفية قيام Power Platform بتخزين بيانات العملاء ومعالجتها ونقلها.

البيانات في الراحة

ما لم يتم ذكر عكس ذلك في الوثائق، تبقى بيانات العميل في مصدرها الأصلي (على سبيل المثال، Dataverse أو SharePoint). يتم تخزين تطبيقات Power Platform في مساحة تخزين Azure كجزء من البيئة. تتم تشفير بيانات تطبيق الأجهزة المحمولة وتخزينها في SQL Express. في معظم الحالات، تستخدم التطبيقات مساحة تخزين Azure للمحافظة على بيانات خدمة Power Platform وقاعدة بيانات Azure SQL للمحافظة على بيانات تعريف الخدمة. يتم تخزين البيانات التي أدخلها مستخدمو التطبيق في مصدر البيانات المعني للخدمة، مثل Dataverse.

يقوم Power Platform بتشفير جميع البيانات المحفوظة بشكل افتراضي باستخدام مفاتيح تديرها Microsoft. يتم تشفير بيانات العميل المخزنة في قاعدة بيانات Azure SQL بالكامل باستخدام تقنية تشفير البيانات الشفافة (TDE) من Azure SQL. يتم تشفير بيانات العميل المخزنة في تخزين Azure Blob باستخدام تشفير تخزين Azure.

جارٍ معالجة البيانات

تكون البيانات قيد المعالجة عندما يتم استخدامها كجزء من سيناريو تفاعلي، أو عندما تصل إليها عملية خلفية، مثل عملية تحديث. يقوم Power Platform بتحميل البيانات قيد المعالجة إلى مساحة الذاكرة لأحمال عمل خدمة واحدة أو أكثر. لتسهيل وظيفة حمل العمل، لا يتم تشفير البيانات المخزنة في الذاكرة.

نقل البيانات

يقوم Power Platform بتشفير كل حركة مرور HTTP الواردة باستخدام TLS 1.2 أو أعلى. يتم رفض الطلبات التي تحاول استخدام TLS 1.1 أو إصدار أدنى.

ميزات الأمان المتقدمة

بعض ميزات الأمان المتقدمة في Power Platform قد يكون لديها متطلبات ترخيص محددة.

علامات الخدمة

علامة الخدمة عبارة عن مجموعة من بادئات عنوان IP من خدمة Azure محددة. يمكنك استخدام علامات الخدمة لتحديد عناصر التحكم في الوصول إلى الشبكة في مجموعات أمان الشبكة أو جدار حماية Azure.

تساعد علامات الخدمة في تقليل تعقيد التحديثات المتكررة لقواعد أمان الشبكة. يمكنك استخدام علامات الخدمة مكان عناوين IP معينة عند إنشاء قواعد الأمان التي، على سبيل المثال، تسمح أو ترفض عملية نقل البيانات للخدمة المقابلة.

تقوم Microsoft بإدارة بادئات العناوين في علامة الخدمة وتحديثها تلقائيًا عند تغيير العناوين. لمزيد من المعلومات، راجع نطاقات Azure IP وعلامات الخدمة - السحابة العامة.

سياسات البيانات

يتضمن Power Platform ميزات نهج بيانات شاملة للمساعدة في إدارة أمان البيانات.

تقييد IP لتوقيع الوصول المشترك للتخزين (SAS)

إشعار

قبل تنشيط أي ميزة من ميزات SAS هذه، يجب على العملاء أولاً السماح بالوصول إلى مجال https://*.api.powerplatformusercontent.com وإلا فلن تعمل معظم وظائف SAS.

مجموعة الميزات هذه هي وظيفة خاصة بالمستأجر تقيد الرموز المميزة للتخزين المشترك للوصول إلى التوقيع (SAS) ويتم التحكم فيها من خلال قائمة في مركز مسؤولي Power Platform. يقيد هذا الإعداد الأشخاص الذين يمكنهم استخدام رموز SAS المميزة للمؤسسة، استنادا إلى عنوان IP ‏(IPv4 وIPv6).

يمكن العثور على هذه الإعدادات في إعدادات الخصوصية + الأمان الخاصة بالبيئة في مركز المسؤولين. يجب عليك تشغيل خيار تمكين قاعدة التوقيع المشترك للوصول إلى التخزين (SAS) المستند إلى عنوان IP.

يمكن للمسؤولين اختيار أحد الخيارات الأربعة التالية لهذا الإعداد:

خيار الإعدادات الوصف
1 ربط IP فقط يؤدي هذا إلى تقييد مفاتيح SAS على عنوان IP الخاص بالطالب.
2 جدار حماية IP فقط ويقيد هذا استخدام مفاتيح SAS للعمل فقط ضمن نطاق محدد من قِبل المسؤول.
3 ربط IP وجدار الحماية يقيد هذا استخدام مفاتيح SAS للعمل ضمن النطاق المحدد من قِبل المسؤول وفقط على عنوان IP الخاص بالطالب.
4 ربط IP أو جدار الحماية السماح باستخدام مفاتيح SAS ضمن النطاق المحدد. إذا جاء الطلب من خارج النطاق، فسيتم تطبيق ربط IP.

إشعار

يجب على المسؤولين الذين يختارون السماح بجدار حماية IP (الخيار 2 و3 و4 المدرجة في الجدول أعلاه) إدخال كلٍّ من نطاقي IPv4 وIPv6 لشبكاتهم لضمان التغطية المناسبة لمستخدميهم.

التحذير

يستخدم الخياران 1 و3 ربط IP، والذي لا يعمل بشكل صحيح إذا كان لدى العملاء بوابات ممكّنة لمجموعات IP أو الوكيل العكسي أو ترجمة عنوان الشبكة (‏NAT) داخل شبكاتهم. ينتج عن هذا تغيير عنوان IP الخاص بالمستخدم بشكل متكرر للغاية بحيث لا يكون لدى مقدم الطلب نفس عنوان IP بشكل موثوق بين عمليات القراءة / الكتابة في SAS.

يعمل الخياران 2 و 4 على النحو المنشود.

المنتجات التي تفرض ربط IP عند التمكين:

  • Dataverse
  • Power Automate
  • الموصلات المخصصة
  • Power Apps

التأثير على تجربة المستخدم

  • عندما يفتح مستخدم، لا يستوفي قيود عنوان IP الخاصة بالبيئة، تطبيقًا: يتلقى المستخدمون رسالة خطأ تشير إلى مشكلة IP عامة.

  • عندما يفتح المستخدم، الذي يستوفي قيود عنوان IP، تطبيقًا: تحدث الأحداث التالية:

    • قد يحصل المستخدمون على شعار سيختفي بسرعة لإعلام المستخدمين بأنه تم تعيين إعداد IP وللاتصال بالمسؤول للحصول على تفاصيل أو لتحديث أية صفحات تفقد الاتصال.
    • والأهم من ذلك، بسبب التحقق من صحة IP الذي يستخدمه إعداد الأمان هذا، قد يكون أداء بعض الوظائف أبطأ مما لو تم إيقاف تشغيله.

تحديث الإعدادات برمجيًا

يمكن للمسؤولين استخدام التنفيذ التلقائي لتعيين وتحديث كل من ربط IP مقابل إعداد جدار الحماية، ونطاق IP المدرج في القائمة المسموح بها، وتبديل التسجيل. اعرف المزيد في البرنامج التعليمي: إنشاء إعدادات إدارة البيئة وتحديثها وإدراجها.

تسجيل مكالمات SAS

يتيح هذا الإعداد تسجيل جميع مكالمات SAS ضمن Power Platform في Purview. يعرض هذا التسجيل بيانات التعريف ذات الصلة لجميع أحداث الإنشاء والاستخدام ويمكن تمكينه بشكل مستقل عن قيود SAS IP المذكورة أعلاه. تقوم خدمات ‏‎Power Platform حاليًا باستقبال مكالمات SAS في عام 2024.

اسم الحقل وصف الحقل
response.status_message إعلام ما إذا كان الحدث ناجحًا أم لا: SASSuccess أو SASAuthorizationError.
response.status_code إعلام إذا كان الحدث ناجحًا أم لا: 200 أو 401 أو 500.
ip_binding_mode يتم تعيين وضع ربط IP من قبل مسؤول مستأجر، في حالة تشغيله. ينطبق على أحداث إنشاء SAS فقط.
admin_provided_ip_ranges نطاقات IP التي يتم تعيينها بواسطة مسؤول مستأجر، في حالة وجودها. ينطبق على أحداث إنشاء SAS فقط.
computed_ip_filters المجموعة النهائية من عوامل تصفية IP المرتبطة بمعرفات URI لـ SAS استنادًا إلى وضع ربط IP والنطاقات التي يحددها المسؤول المستأجر. ينطبق على كل من أحداث إنشاء واستخدام SAS.
analytics.resource.sas.uri البيانات التي كانت تحاول الوصول إليها أو إنشاؤها.
enduser.ip_address عنوان IP العام للمتصل.
analytics.resource.sas.operation_id المعرف الفريد من حدث الإنشاء. يُظهر البحث بهذا جميع أحداث الاستخدام والإنشاء المتعلقة باستدعاءات SAS من حدث الإنشاء. تم تعيينه إلى رأس الاستجابة "x-ms-sas-operation-id".
request.service_request_id معرف فريد من الطلب أو الاستجابة ويمكن استخدامه للبحث عن سجل واحد. تم تعيينه إلى رأس الاستجابة "x-ms-service-request-id".
الإصدار إصدار مخطط السجل هذا.
النوع الرد العام.
analytics.activity.name نوع نشاط هذا الحدث: الإنشاء أو الاستخدام.
analytics.activity.id المعرف الفريد للسجل في Purview.
analytics.resource.organization.id معرف المؤسسة
analytics.resource.environment.id معرف البيئة
analytics.resource.tenant.id معرِّف المستأجر في
enduser.id معرف GUID من Microsoft Entra ID للمنشئ من حدث الإنشاء.
enduser.principal_name عنوان UPN/البريد الإلكتروني للمنشئ. بالنسبة لأحداث الاستخدام، هذا رد عام: "system@powerplatform".
enduser.role رد عام: منتظم لأحداث الإنشاء والنظام لأحداث الاستخدام.

تشغيل تسجيل التدقيق في Purview

لكي تظهر السجلات في مثيل Purview الخاص بك، يجب عليك أولا الاشتراك فيها لكل بيئة تريد سجلات لها. يمكن تحديث هذا الإعداد في مركز مسؤولي Power Platform بواسطة مسؤول مستأجر.

  1. سجل الدخول إلى مركز إدارة Power Platform باستخدام بيانات اعتماد مسؤول المستأجر.
  2. في جزء التنقل، حدد الادارة.
  3. في جزء ادارة حدد البيئات.
  4. حدد البيئة التي تريد تشغيل تسجيل المسؤول لها.
  5. حدد الإعدادات في شريط الأوامر.
  6. حدد المنتج>الخصوصية + الأمان.
  7. ضمن إعدادات أمان توقيع الوصول المشترك للتخزين (SAS) (إصدار أولي)، قم بتشغيل ميزة تمكين تسجيل دخول SAS في Purview.

البحث في سجلات التدقيق

يمكن لمسؤولي المستأجرين استخدام Purview لعرض سجلات التدقيق الصادرة لعمليات SAS، ويمكنهم تشخيص الأخطاء التي قد يتم إرجاعها في مشكلات التحقق من صحة IP. سجلات Purview هي الحل الأكثر موثوقية.

استخدم الخطوات التالية لتشخيص المشكلات أو فهم أنماط استخدام SAS بشكل أفضل داخل المستأجر.

  1. تأكد من تشغيل تسجيل التدقيق للبيئة. راجع تشغيل تسجيل التدقيق في Purview.

  2. انتقل إلى مدخل الامتثال في Microsoft Purview وسجل الدخول باستخدام بيانات اعتماد مسؤول المستأجر.

  3. من جزء التنقل الأيمن، حدد تدقيق. إذا لم يكن هذا الخيار متاحا لك، فهذا يعني أن المستخدم الذي سجل دخوله ليس لديه حق وصول المسؤول إلى سجلات تدقيق الاستعلام.

  4. حدد نطاق التاريخ والوقت بتوقيت UTC للبحث عن السجلات. على سبيل المثال، عند إرجاع خطأ 403 ممنوع مع رمز خطأ unauthorized_caller.

  5. من القائمة المنسدلة الأنشطة - الأسماء المألوفة، ابحث عن عمليات مساحة تخزين Power Platform وحدد إنشاء URI لـ SAS وعنوان URI لـ SAS المستخدم.

  6. حدد كلمة أساسية في البحث عن الكلمة الأساسية. راجع الشروع في العمل مع البحث في وثائق Purview لمعرفة المزيد حول هذا الحقل. يمكنك استخدام قيمة من أي حقل من الحقول الموضحة في الجدول أعلاه بناء على السيناريو الخاص بك، ولكن فيما يلي الحقول الموصى بالبحث عنها (بترتيب الأفضلية):

    • قيمة رأس استجابة x-ms-service-request-id. يؤدي هذا إلى تصفية النتائج لحدث إنشاء عنوان URI لـ SAS واحد أو حدث استخدام عنوان URI لـ SAS واحد، بناء على نوع الطلب الذي يأتي منه الرأس. إنه مفيد عند التحقيق في خطأ 403 ممنوع تم إرجاعه إلى المستخدم. يمكن استخدامه أيضًا للحصول على قيمة powerplatform.analytics.resource.sas.operation_id.
    • قيمة رأس استجابة x-ms-sas-operation-id. يؤدي هذا إلى تصفية النتائج لحدث إنشاء عنوان URI لـ SAS واحد وحدث استخدام واحد أو أكثر لعنوان URI لـ SAS هذا بناء على عدد المرات التي تم الوصول إليها. يتم تعيين هذا إلى حقل powerplatform.analytics.resource.sas.operation_id.
    • عنوان URI لـ SAS كامل أو جزئي، بدون التوقيع. قد يؤدي ذلك إلى إرجاع العديد من إنشاءات عنوان URI لـ SAS والعديد من أحداث استخدام عنوان URI لـ SAS، لأنه من الممكن طلب نفس URI للإنشاء عدة مرات حسب الحاجة.
    • عنوان IP للمتصل. أرجع جميع أحداث الإنشاء والاستخدام لعنوان IP هذا.
    • معرف البيئة. قد يؤدي هذا إلى إرجاع مجموعة كبيرة من البيانات التي يمكن أن تمتد عبر العديد من العروض المختلفة لتطبيق Power Platform، لذا تجنب ذلك إذا كان ذلك ممكنًا أو فكر في تضييق نطاق نافذة البحث.

    التحذير

    لا نوصي بالبحث عن اسم المستخدم الرئيسي أو معرف الكائن لأن هذه المعلومات يتم نشرها فقط في أحداث الإنشاء، وليس أحداث الاستخدام.

  7. حدد بحث وانتظر ظهور النتائج.

    بحث جديد

التحذير

قد يتأخر إدخال السجل إلى Purview لمدة تصل إلى ساعة أو أكثر، لذا ضع ذلك في الاعتبار عند البحث عن الأحداث الأخيرة.

استكشاف الخطأ 403 Forbidden/unauthorized_caller وإصلاحه

يمكنك استخدام سجلات الإنشاء والاستخدام لتحديد سبب تسبب المكالمة في حدوث خطأ 403 Forbidden مع رمز الخطأ unauthorized_caller.

  1. ابحث عن السجلات في Purview كما هو موضح في القسم السابق. ضع في الاعتبار استخدام إما x-ms-service-request-id أو x-ms-sas-operation-id من رؤوس الاستجابة ككلمة بحث أساسية.
  2. افتح حدث الاستخدام، عنوان URI لـ SAS المستخدم، وابحث عن حقل powerplatform.analytics.resource.sas.computed_ip_filters ضمن PropertyCollection. نطاق IP هذا هو ما تستخدمه مكالمة SAS لتحديد ما إذا كان الطلب مصرحا له بالمتابعة أم لا.
  3. قارن هذه القيمة بحقل عنوان IP الخاص بالسجل، والذي يجب أن يكون كافيا لتحديد سبب فشل الطلب.
  4. إذا كنت تعتقد أن قيمة powerplatform.analytics.resource.sas.computed_ip_filters غير صحيحة، فتابع الخطوات التالية.
  5. افتح حدث الإنشاء، عنوان URI لـ SAS الذي تم إنشاؤه، من خلال البحث باستخدام قيمة رأس استجابة x-ms-sas-operation-id (أو قيمة حقل powerplatform.analytics.resource.sas.operation_id من سجل الإنشاء).
  6. احصل على قيمة حقل powerplatform.analytics.resource.sas.ip_binding_mode. إذا كان مفقودا أو فارغا ، فهذا يعني أنه لم يتم تشغيل ربط IP لتلك البيئة في وقت هذا الطلب المحدد.
  7. احصل على قيمة powerplatform.analytics.resource.sas.admin_provided_ip_ranges. إذا كان مفقودًا أو فارغًا، فهذا يعني أن نطاقات جدار الحماية IP لم يتم تحديدها لتلك البيئة في وقت هذا الطلب المحدد.
  8. احصل على قيمة powerplatform.analytics.resource.sas.computed_ip_filters، التي يجب أن تكون مطابقة لحدث الاستخدام ويتم اشتقاقها استنادا إلى وضع ربط IP ونطاقات جدار حماية IP التي يوفرها المسؤول. راجع منطق الاشتقاق في تخزين البيانات وحوكمتها في Power Platform.

تساعد هذه المعلومات مسؤولي المستأجرين على تصحيح أي خطأ في التكوين في إعدادات ربط IP الخاصة بالبيئة.

التحذير

قد يستغرق تطبيق التغييرات على إعدادات البيئة الخاصة بربط IP الخاص بـ SAS ما لا يقل عن 30 دقيقة حتى يسري مفعولها. قد يكون الأمر أكثر من ذلك إذا كان لدى الفرق الشريكة ذاكرة تخزين مؤقتة خاصة بها.

نظرة عامة على الأمان
المصادقة مع خدمات Power Platform
الاتصال والمصادقة مع مصادر البيانات
الأسئلة المتداولة حول أمان Power Platform

(راجع أيضًا)

  • Last updated on