Nota
L'accés a aquesta pàgina requereix autorització. Pots provar d'iniciar sessió o canviar de directori.
L'accés a aquesta pàgina requereix autorització. Pots provar de canviar directoris.
Power Platform Tracta tant dades personals comdades de clients. Obteniu més informació sobre les dades personals i les dades dels clients al Centre de confiança deMicrosoft.
Residència de dades
Un Microsoft Entra inquilí emmagatzema informació rellevant per a una organització i la seva seguretat. Quan un Microsoft Entra inquilí es registra als Power Platform serveis, el país o la regió seleccionats de l'inquilí s'assigna a la geografia d'Azure més adequada on hi ha una Power Platform implementació. Power Platform emmagatzema les dades dels clients a la geografia de l'Azure assignada a l'inquilí o a la geografia d'inici, tret que les organitzacions implementin serveis en diverses regions.
Algunes organitzacions tenen una presència global. Per exemple, una empresa pot tenir la seu als Estats Units però fa negocis a Austràlia. Pot ser que necessiti que certes dades del Power Platform s'emmagatzemin a Austràlia per complir amb les normatives locals. Quan els serveis del Power Platform s'implementen a més d'una geografia de l'Azure, s'anomena implementació multigeogràfica. En aquest cas, només les metadades relacionades amb l'entorn s'emmagatzemen a la geografia principal. Totes les metadades i les dades de producte relacionats amb l'entorn s'emmagatzemen en la geografia remota.
Power Platform els serveis estan disponibles en determinades geografies de l'Azure. Per obtenir més informació sobre on Power Platform estan disponibles els serveis, on s'emmagatzemen i es repliquen les dades per a la seva resistència i com s'utilitzen, aneu al Centre de confiança deMicrosoft. Els compromisos sobre la ubicació de les dades del client en repòs es troben a les Condicions de processament de dades de les Condicions del Microsoft Online Services. Microsoft també proporciona centres de dades per a entitats sobiranes.
Gestió de les dades
Aquesta secció descriu com el Power Platform emmagatzema, tracta i transfereix les dades de clients.
Dades en repòs
Sempre que no s'especifiqui el contrari a la documentació, les dades dels clients es conserven a la seva font original (per exemple, Dataverse o SharePoint). Power Platform les aplicacions s'emmagatzemen a l'emmagatzematge de l'Azure com a part d'un entorn. Les dades de l'aplicació mòbil es xifren i s'emmagatzemen a l'SQL Express. En la majoria dels casos, les aplicacions utilitzen l'Azure Storage per conservar les dades de servei del Power Platform i Azure SQL Database per conservar les metadades de servei. Les dades introduïdes pels usuaris d'aplicacions s'emmagatzemen a la respectiva font de dades per al servei, com ara Dataverse.
Power Platform xifra totes les dades persistides per defecte mitjançant claus administrades per Microsoft. Les dades dels clients emmagatzemades a l'Azure SQL Database estan totalment encriptades amb tecnologia Transparent Data Encryption (TDE) de l'Azure SQL. Les dades del client emmagatzemades a l'Azure Blob Storage s'encripten mitjançant Azure Storage Encryption.
Dades en tractament
Les dades estan en procés de tractament quan s'utilitzen com a part d'un escenari interactiu o quan un procés en segon terme, com ara una actualització, la toca aquestes dades. El Power Platform carrega les dades en tractament a l'espai de memòria d'una o més càrregues de treball de servei. Per facilitar la funcionalitat de la càrrega de treball, les dades emmagatzemades a la memòria no s'encripten.
Dades en trànsit
Power Platform xifra tot el trànsit HTTP entrant mitjançant TLS 1.2 o superior. Les sol·licituds que intenten utilitzar TLS 1.1 o inferior es rebutgen.
Característiques de seguretat avançades
Algunes de les funcions de Power Platform seguretat avançades poden tenir requisits de llicència específics.
Etiquetes de servei
Una etiqueta de servei és un grup de prefixos d'adreces IP d'un servei específic de l'Azure. Podeu utilitzar etiquetes de servei per definir controls d'accés a la xarxa en grups de seguretat de xarxa o l'Azure Firewall.
Les etiquetes de servei ajuden a minimitzar la complexitat de les actualitzacions freqüents de les regles de seguretat de la xarxa. Podeu utilitzar les etiquetes de servei en lloc de les adreces IP específiques quan creeu regles de seguretat que, per exemple, permetin o deneguin el trànsit per al servei corresponent.
Microsoft administra els prefixos d'adreces de l'etiqueta de servei i l'actualitza automàticament a mesura que canvien les adreces. Per obtenir més informació, vegeu Intervals d'IP i etiquetes de servei de l'Azure: núvol públic.
Normes de les dades
El Power Platform inclou característiques de política de dades àmplies per ajudar a administrar la seguretat de les dades.
Restricció d'IP de la signatura d'accés compartit (SAS) d'emmagatzematge
Nota
Abans d'activar qualsevol d'aquestes característiques de SAS, els clients primer han de permetre l'accés https://*.api.powerplatformusercontent.com al domini o la majoria de les funcionalitats de SAS no funcionaran.
Aquest conjunt de característiques és una funcionalitat específica de l'inquilí que restringeix els testimonis de signatura d'accés compartit (SAS) d'emmagatzematge i es controla mitjançant un menú del centre Power Platform d'administració. Aquesta configuració restringeix qui, en funció de la IP (IPv4 i IPv6), pot utilitzar testimonis SAS empresarials.
Aquesta configuració es pot trobar a la configuració de privadesa + seguretat d'un entorn al centre d'administració . Heu d'activar l'opció Habilita la regla Habilita la signatura d'accés compartit d'emmagatzematge (SAS) basada en l'adreça IP.
Els administradors poden triar una d'aquestes quatre opcions per a aquesta opció de configuració:
| Opció | Configuració | Descripció |
|---|---|---|
| 1 | Només enllaç IP | Això restringeix les claus SAS a la IP del sol·licitant. |
| 2 | Només tallafoc IP | Això restringeix l'ús de claus SAS perquè només funcioni dins d'un interval especificat per l'administrador. |
| 3 | Enllaç IP i tallafoc | Això restringeix l'ús de claus SAS per treballar dins d'un interval especificat per l'administrador i només a la IP del sol·licitant. |
| 4 | Enllaç IP o tallafoc | Permet utilitzar claus SAS dins de l'interval especificat. Si la sol·licitud prové de fora de l'interval, s'aplica l'enllaç d'IP. |
Nota
Els administradors que decideixin permetre el tallafoc IP (opcions 2, 3 i 4 enumerades a la taula anterior) han d'introduir els rangs IPv4 i IPv6 de les seves xarxes per garantir una cobertura adequada dels seus usuaris.
Advertiment
Les opcions 1 i 3 utilitzen l'enllaç d'IP, que no funciona correctament si els clients tenen passarel·les habilitades per a grups d'IP, proxy invers o traducció d'adreces de xarxa (NAT) que s'utilitzen a les seves xarxes. Això fa que l'adreça IP d'un usuari canviï amb massa freqüència perquè un sol·licitant tingui de manera fiable la mateixa IP entre les operacions de lectura/escriptura de la SAS.
Les opcions 2 i 4 funcionen com es pretén.
Productes que apliquen l'enllaç d'IP quan està activat:
- Dataverse
- Power Automate
- Connectors personalitzats
- Power Apps
Impacte en l'experiència d'usuari
Quan un usuari que no compleix les restriccions d'adreça IP d'un entorn obre una aplicació: els usuaris reben un missatge d'error que cita un problema genèric d'IP.
Quan un usuari, que compleix les restriccions d'adreça IP, obre una aplicació: es produeixen els esdeveniments següents:
- Els usuaris poden obtenir un bàner que desapareixerà ràpidament, informant els usuaris que s'ha establert una configuració d'IP i que es posin en contacte amb l'administrador per obtenir més detalls o per actualitzar les pàgines que perdin la connexió.
- Més important encara, a causa de la validació d'IP que utilitza aquesta configuració de seguretat, algunes funcionalitats poden funcionar més lentament que si estigués desactivada.
Actualitzar la configuració mitjançant programació
Els administradors poden utilitzar l'automatització per definir i actualitzar tant l'enllaç IP com la configuració del tallafoc, l'interval d'IP que apareix a la llista de permesos i el commutador Registre . Més informació a Tutorial: Crear, actualitzar i enumerar la configuració de l'administració de l'entorn.
Registre de trucades SAS
Aquesta configuració permet que totes les trucades SAS dins d'ells Power Platform es registrin a Purview. Aquest registre mostra les metadades rellevants per a tots els esdeveniments de creació i ús i es pot habilitar independentment de les restriccions d'IP SAS anteriors. Power Platform els serveis estan incorporant actualment les trucades SAS el 2024.
| Nom del camp | Descripció del camp |
|---|---|
| response.status_message | Informar si l'esdeveniment s'ha realitzat correctament o no: SASSuccess o SASAuthorizationError. |
| response.status_code | Informar si l'esdeveniment va tenir èxit o no: 200, 401 o 500. |
| ip_binding_mode | Mode d'enllaç IP definit per un administrador d'inquilins, si està activat. Només s'aplica als esdeveniments de creació de SAS. |
| admin_provided_ip_ranges | Intervals d'IP establerts per un administrador d'inquilins, si n'hi ha. Només s'aplica als esdeveniments de creació de SAS. |
| computed_ip_filters | Conjunt final de filtres IP vinculats a URI SAS basats en el mode d'enllaç IP i els intervals establerts per un administrador d'inquilins. S'aplica tant a la creació com als esdeveniments d'ús de SAS. |
| analytics.resource.sas.uri | Les dades a les quals s'intentava accedir o crear. |
| enduser.ip_address | La IP pública de la persona que truca. |
| analytics.resource.sas.operation_id | L'identificador únic de l'esdeveniment de creació. La cerca per això mostra tots els esdeveniments d'ús i creació relacionats amb les trucades SAS de l'esdeveniment de creació. Assignat a la capçalera de resposta "x-ms-sas-operation-id". |
| request.service_request_id | Identificador únic de la sol·licitud o resposta i es pot utilitzar per cercar un sol registre. Assignat a la capçalera de resposta "x-ms-service-request-id". |
| versió | Versió d'aquest esquema de registre. |
| tipus | Resposta genèrica. |
| analytics.activity.name | El tipus d'activitat d'aquest esdeveniment va ser: Creació o Ús. |
| analytics.activity.id | Identificador únic del registre a Purview. |
| analytics.resource.organization.id | ID d'org. |
| analytics.resource.environment.id | ID de l'entorn |
| analytics.resource.tenant.id | Identificador d'inquilí de l' |
| enduser.id | El GUID de l'identificador del Microsoft Entra creador de l'esdeveniment de creació. |
| enduser.principal_name | UPN/adreça electrònica del creador. Per als esdeveniments d'ús, aquesta és una resposta genèrica: "system@powerplatform". |
| enduser.role | Resposta genèrica: Regular per a esdeveniments de creació i System per a esdeveniments d'ús. |
Activar el registre d'auditoria de Purview
Per tal que els registres es mostrin a la vostra instància de Purview, primer heu d'activar-lo per a cada entorn per al qual vulgueu registres. Un administrador Power Platform d'inquilins pot actualitzar aquesta configuració al centre d'administració.
- Inicia sessió al centre d'administració de Power Platform amb les credencials d'administrador de llogater.
- A la subfinestra de navegació, seleccioneu Administra.
- A la subfinestra Administra , seleccioneu Entorns.
- Seleccioneu l'entorn per al qual voleu activar el registre d'administrador.
- Seleccioneu Configuració a la barra d'ordres.
- Seleccioneu Privadesa + seguretat> del producte.
- A Configuració de seguretat de la signatura d'accés compartit d'emmagatzematge (SAS) (visualització prèvia), activeu la característica Habilita el registre de SAS a Purview .
Registres d'auditoria de cerca
Els administradors d'inquilins poden utilitzar Purview per veure els registres d'auditoria emesos per a les operacions SAS i poden autodiagnosticar errors que es poden retornar en problemes de validació d'IP. Els registres de Purview són la solució més fiable.
Utilitzeu els passos següents per diagnosticar problemes o entendre millor els patrons d'ús de SAS dins del vostre inquilí.
Assegureu-vos que el registre d'auditoria estigui activat per a l'entorn. Vegeu Activar el registre d'auditoria de Purview.
Aneu al portal de compliment del Microsoft Purview i inicieu la sessió amb les credencials d'administrador de l'inquilí.
A la subfinestra de navegació esquerra, seleccioneu Audita. Si aquesta opció no està disponible, vol dir que l'usuari que ha iniciat la sessió no té accés d'administrador per consultar els registres d'auditoria.
Seleccioneu l'interval de data i hora a UTC per cercar registres. Per exemple, quan es retorna un error 403 Forbidden amb un codi d'error unauthorized_caller .
A la llista desplegable Activitats: noms descriptivs , cerqueu Power Platform operacions d'emmagatzematge i seleccioneu URI SAS creat i URI SAS utilitzat.
Especifiqueu una paraula clau a la cerca de paraules clau. Vegeu Introducció a la cerca a la documentació de Purview per obtenir més informació sobre aquest camp. Podeu utilitzar un valor de qualsevol dels camps descrits a la taula anterior en funció del vostre escenari, però a continuació es mostren els camps recomanats per cercar (per ordre de preferència):
- El valor de la capçalera de resposta x-ms-service-request-id . Això filtra els resultats a un esdeveniment de creació d'URI SAS o un esdeveniment d'ús d'URI SAS, en funció del tipus de sol·licitud del qual prové la capçalera. És útil quan s'investiga un error 403 Forbidden retornat a l'usuari. També es pot utilitzar per agafar el valor powerplatform.analytics.resource.sas.operation_id .
- El valor de la capçalera de resposta x-ms-sas-operation-id . Això filtra els resultats a un esdeveniment de creació d'URI SAS i un o més esdeveniments d'ús per a aquest URI SAS en funció de quantes vegades s'hi hagi accedit. S'assigna al camp powerplatform.analytics.resource.sas.operation_id .
- URI SAS total o parcial, menys la signatura. Això pot retornar moltes creacions d'URI SAS i molts esdeveniments d'ús d'URI SAS, perquè és possible que el mateix URI es sol·liciti per a la generació tantes vegades com sigui necessari.
- Adreça IP de la persona que truca. Retorna tots els esdeveniments de creació i ús d'aquesta IP.
- Identificador d'entorn. Això pot retornar un gran conjunt de dades que poden abastar moltes ofertes diferents Power Platform, així que eviteu-ho si és possible o considereu reduir la finestra de cerca.
Advertiment
No recomanem cercar el nom principal d'usuari o l'identificador d'objecte perquè només es propaguen als esdeveniments de creació, no als esdeveniments d'ús.
Seleccioneu Cerca i espereu que apareguin els resultats.
Advertiment
La ingesta d'inici de sessió a Purview pot retardar-se fins a una hora o més, així que tingueu-ho en compte quan cerqueu esdeveniments recents.
Resolució de problemes de l'error 403 Prohibit/unauthorized_caller
Podeu utilitzar els registres de creació i ús per determinar per què una trucada donaria lloc a un error 403 Forbidden amb un codi d'error unauthorized_caller .
- Cerqueu registres a Purview tal com es descriu a la secció anterior. Penseu en utilitzar x-ms-service-request-id o x-ms-sas-operation-id de les capçaleres de resposta com a paraula clau de cerca.
- Obriu l'esdeveniment d'ús, Used SAS URI, i cerqueu el camp powerplatform.analytics.resource.sas.computed_ip_filters a PropertyCollection. Aquest interval d'IP és el que utilitza la trucada SAS per determinar si la sol·licitud està autoritzada a continuar o no.
- Compareu aquest valor amb el camp Adreça IP del registre, que hauria de ser suficient per determinar per què ha fallat la sol·licitud.
- Si creieu que el valor de powerplatform.analytics.resource.sas.computed_ip_filters és incorrecte, continueu amb els passos següents.
- Obriu l'esdeveniment de creació,URI SAS creat, cercant mitjançant el valor de capçalera de resposta x-ms-sas-operation-id (o el valor de powerplatform.analytics.resource.sas.operation_id camp del registre de creació).
- Obteniu el valor d'powerplatform.analytics.resource.sas.ip_binding_mode camp. Si falta o està buit, vol dir que l'enllaç d'IP no estava activat per a aquest entorn en el moment d'aquesta sol·licitud en particular.
- Obteniu el valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Si falta o està buit, vol dir que els intervals de tallafoc IP no s'han especificat per a aquest entorn en el moment d'aquesta sol·licitud en particular.
- Obteniu el valor de powerplatform.analytics.resource.sas.computed_ip_filters , que ha deser idèntic a l'esdeveniment d'ús i es deriva en funció del mode d'enllaç IP i dels intervals de tallafoc IP proporcionats per l'administrador. Vegeu la lògica de derivació a Emmagatzematge i governança de dades a Power Platform.
Aquesta informació ajuda els administradors d'inquilins a corregir qualsevol configuració incorrecta a la configuració d'enllaç IP de l'entorn.
Advertiment
Els canvis a la configuració de l'entorn per a l'enllaç d'IP SAS poden trigar almenys 30 minuts a tenir efecte. Podria ser més si els equips associats tinguessin la seva pròpia memòria cau.
Articles relacionats
Visió general de la seguretat
Autenticació als Power Platform serveis
Connexió i autenticació a fonts de dades
Power Platform Preguntes freqüents sobre seguretat