Sdílet prostřednictvím

Úložiště dat a zásady správného řízení v Power Platform

  • Článek

Za prvé je důležité rozlišovat osobní údaje a údaje o zákaznících.

  • Osobní údaje jsou informace o lidech, které lze použít k jejich identifikaci.

  • Zákaznická data zahrnují osobní údaje a další zákaznické informace, včetně adres URL, metadat a ověřovacích informací zaměstnanců, jako jsou jména DNS.

Umístění dat

Klient Microsoft Entra uchovává informace, které jsou relevantní pro organizaci a její zabezpečení. Když se klient Microsoft Entra zaregistruje ke službám Power Platform, vybraná země nebo oblast klienta je mapována na nejvhodnější geografii Azure, kde existuje nasazení Power Platform. Power Platform ukládá zákaznická data v geografii Azure přidělené klientovi, popřípadě domácí geo s výjimkou případů, kdy organizace nasazují služby ve více oblastech.

Některé organizace mají globální zastoupení. Například firma může mít sídlo ve Spojených státech, ale podnikat v Austrálii. Může to vyžadovat uložení určitých údajů Power Platform v Austrálii v souladu s místními předpisy. Když jsou služby Power Platform nasazeny ve více než jedné geografické oblasti Azure, označuje se to jako nasazení ve více zeměpisných oblastech. V tomto případě jsou v domovské geografii uložena pouze metadata související s prostředím. Všechna metadata a produktová data v tomto prostředí jsou uložena ve vzdálené geografické oblasti.

Microsoft může replikovat data do jiných oblastí pro zajištění odolnosti dat. Osobní údaje však nereplikujeme ani nepřesouváme mimo geografickou oblast. Data replikovaná do jiných oblastí mohou zahrnovat neosobní údaje, jako jsou informace o autentizaci zaměstnanců.

Služby Power Platform jsou dostupné v konkrétních geografických oblastech Azure. Další informace o tom, kde jsou Power Platform služby dostupné, kde jsou vaše data uložena a jak jsou využívána, naleznete v Microsoft Centru důvěryhodnosti. Závazky týkající se umístění zákaznických dat v klidu jsou uvedeny v podmínkách zpracování dat v Microsoft podmínkách online služeb. Microsoft poskytuje také datová centra pro suverénní subjekty.

Manipulace s daty

Tato část popisuje jak Power Platform uchovává, zpracovává a přenáší data zákazníků.

Neaktivní uložená data

Pokud není v dokumentaci uvedeno jinak, data zákazníků zůstávají v původním zdroji (např. Dataverse nebo SharePoint). Aplikace Power Platform je uložena v Azure Storage jako součást prostředí. Data používaná v mobilních aplikacích jsou šifrována a uložena v SQL Express. Ve většině případů aplikace používají Azure Storage k zachování dat služby Power Platform a Azure SQL Database pro zachování metadat služeb. Data zadaná koncovými uživateli aplikace jsou uložena v příslušném zdroj dat pro službu (například Dataverse).

Všechna data uložená Power Platform jsou ve výchozím nastavení šifrována pomocí spravovaných klíčů Microsoft. Zákaznická data uložený v databázích Azure SQL jsou plně šifrovaná technologií transparentního šifrování dat (TDE) služby Azure SQL. Zákaznická data uložená v Azure Blob Storage jsou šifrována pomocí Azure Storage Encryption.

Zpracovávaná data

Ke zpracování dat dochází, když je aktivně používá jeden nebo více uživatelů jako součást interaktivního scénáře, nebo když se těchto dat chopí proces na pozadí, například aktualizace. Power Platform načte zpracovávaná data do paměťového prostoru jedné nebo více úloh služby. Aby se usnadnila funkčnost pracovní zátěže, data uložená v paměti nejsou šifrována.

Přenášená data

Power Platform vyžaduje, aby byl veškerý příchozí provoz HTTP šifrován pomocí protokolu TLS 1.2 nebo vyššího. Požadavky, které se pokoušejí použít TLS 1.1 nebo nižší, jsou odmítnuty.

Pokročilé funkce zabezpečení

Některé funkce pokročilého zabezpečení Power Platform mají specifické licenční požadavky.

Značky služeb

Značka služby představuje skupinu předpon IP adres ze zavedené služby Azure. Pomocí značek služeb můžete definovat řízení přístupu k síti ve skupinách zabezpečení sítě nebo branách Azure Firewall.

Pomáhají minimalizovat složitost častých aktualizací pravidel zabezpečení sítě. Při vytváření pravidel zabezpečení, která například povolují nebo zakazují provoz pro odpovídající službu, můžete použít značky služeb namísto konkrétních adres IP.

Microsoft spravuje předpony adres obsažené v servisním štítku a automaticky aktualizuje servisní štítek při změně adresy. (Více informací viz Rozsahy IP adres a značky služeb Azure – veřejný cloud).

Ochrana před únikem informací

A konečně, Power Platform má rozsáhlou sadu funkcí ochrany před únikem informací (DLP)., které vám pomohou spravovat zabezpečení dat.

Omezení IP adresy pro sdílený přístup k úložišti (SAS)

Poznámka:

Před aktivací některé z těchto funkcí SAS musí zákazníci nejprve povolit přístup k doméně https://*.api.powerplatformusercontent.com, jinak většina funkcí SAS nebude fungovat.

Tato sada funkcí je funkce specifická pro tenanta, která omezuje tokeny sdíleného přístupového podpisu (SAS) úložiště a ovládá se prostřednictvím nabídky v centru pro správu Power Platform. Toto nastavení omezuje, kdo může na základě IP (IPv4 a IPv6) používat podnikové tokeny SAS.

Tato nastavení lze nalézt v centru pro správu v nastavení prostředí Soukromí + Zabezpečení. Musíte zapnout možnost Povolit pravidlo sdíleného přístupového podpisu (SAS) úložiště na základě adresy IP.

Správci mohou pro toto nastavení povolit jednu z těchto čtyř možností:

Možnost Nastavení Description
01 Pouze vazba IP To omezuje klíče SAS na IP adresu žadatele.
2 Pouze IP firewall To omezuje použití klíčů SAS, aby fungovaly pouze v rozsahu určeném správcem.
3 IP vazba a firewall To omezuje použití klíčů SAS, aby fungovaly v rozsahu určeném správcem a pouze pro IP adresu žadatele.
4 IP vazba nebo firewall Umožňuje použití klíčů SAS v určeném rozsahu. Pokud požadavek pochází mimo rozsah, použije se vazba IP adresy.

Poznámka:

Správci, kteří se rozhodli povolit IP Firewall (Možnosti 2, 3 a 4 uvedené v tabulce výše), musí zadat oba rozsahy IPv4 i IPv6 svých sítí, aby bylo zajištěno správné pokrytí. jejich uživatelů.

Produkty vynucující vazbu IP při zapnutí:

  • Dataverse
  • Power Automate
  • Vlastní konektory
  • Power Apps

Vliv na uživatelské prostředí

  • Když uživatel, který nesplňuje omezení IP adresy daného prostředí, otevře aplikaci: Uživatelům se zobrazí chybová zpráva s odkazem na obecný problém s IP.

  • Když uživatel, který splňuje omezení pro IP adresu, otevře aplikaci: Nastanou následující události:

    • Uživatelé mohou dostat banner, který rychle zmizí, což uživatelům dává vědět, že bylo nastaveno nastavení IP a že by měli kontaktovat administrátora pro podrobnosti nebo obnovit stránky, které ztratí připojení.
    • Ještě důležitější je, že kvůli ověření IP, které toto nastavení zabezpečení používá, mohou některé funkce fungovat pomaleji, než kdyby bylo vypnuto.

Aktualizujte nastavení programově

Správci mohou pomocí automatizace nastavit a aktualizovat nastavení vazby IP a brány firewall, rozsah povolených adres IP a přepínač Logging . Další informace naleznete v Výukový program: Vytváření, aktualizace a seznam nastavení správy prostředí.

Protokolování volání SAS

Toto nastavení umožňuje, aby všechna volání SAS v rámci Power Platform byla přihlášena k Purview. Toto protokolování zobrazuje relevantní metadata pro všechny události vytvoření a použití a lze jej povolit nezávisle na výše uvedených omezeních IP adresy pro SAS. Služby Power Platform v současné době začleňují volání SAS v roce 2024.

Název pole Popis pole
response.status_message Informování, zda byla událost úspěšná, nebo ne: SASSuccess, nebo SASAuthorizationError.
response.status_code Informování, zda byla událost úspěšná, nebo ne: 200, 401, nebo 500.
ip_binding_mode Režim vazby IP nastavený správcem klienta, pokud je zapnutý. Platí pouze pro události vytvoření SAS.
admin_provided_ip_ranges Rozsahy IP nastavené správcem klienta, pokud existuje. Platí pouze pro události vytvoření SAS.
vypočítané_ip_filtry Finální sada IP filtrů vázaných na SAS URI na základě režimu vazby IP a rozsahů nastavených správcem klienta. Platí pro události vytvoření i použití SAS.
analytics.resource.sas.uri Data, která se pokoušela být zpřístupněna nebo vytvořena.
enduser.ip_address Veřejná IP adresa volajícího.
analytics.resource.sas.operation_id Jedinečný identifikátor z události vytvoření. Vyhledávání podle tohoto zobrazí všechny události použití a vytvoření související s voláními SAS z události vytvoření. Mapováno na hlavičku odpovědi „x-ms-sas-operation-id“.
request.service_request_id Jedinečný identifikátor z požadavku nebo odpovědi a lze ho použít k vyhledání jednoho záznamu. Mapováno na hlavičku odpovědi „x-ms-service-request-id“.
version Verze tohoto schématu protokolu.
type Obecná odpověď.
analytics.activity.name Typ aktivity této události byl: Vytvoření nebo Použití.
analytics.activity.id Jedinečné ID záznamu v Purview.
analytics.resource.organization.id Kód organizace
analytics.resource.environment.id ID prostředí
analytics.resource.tenant.id ID tenanta
enduser.id GUID z Microsoft Entra ID tvůrce z události vytvoření.
enduser.principal_name UPN / e-mailová adresa autora. Pro události použití je to obecná odpověď: „system@powerplatform“.
enduser.role Obecná odpověď: Normální pro události vytváření a Systém pro události použití.

Zapněte protokolování auditu Purview

Aby se protokoly zobrazily ve vaší instanci Purview, musíte se nejprve přihlásit k jeho odběru pro každé prostředí, pro které chcete protokoly. Toto nastavení může aktualizovat v Power Platform centru pro správu administrátorem nájemce.

  1. Přejděte do Power Platform centra pro správu a přihlaste se pomocí přihlašovacích údajů správce tenanta.
  2. V levém navigačním podokně vyberte Prostředí.
  3. Vyberte prostředí, pro které chcete zapnout protokolování správce.
  4. Na příkazové liště vyberte Nastavení .
  5. Vyberte Produkt>Soukromí + zabezpečení.
  6. V části Nastavení zabezpečení sdíleného přístupu k úložišti (SAS) (Preview) zapněte možnost Povolit přihlášení SAS v Purview vlastnost.

Prohledejte protokoly auditu

Správci tenantů mohou pomocí Purview zobrazit protokoly auditu vydávané pro operace SAS a mohou sami diagnostikovat chyby, které se mohou vrátit při problémech s ověřením IP. Protokoly v Purview jsou nejspolehlivějším řešením.

Pomocí následujících kroků můžete diagnostikovat problémy nebo lépe porozumět vzorcům používání SAS v rámci vašeho tenanta.

  1. Ujistěte se, že je pro prostředí zapnuto protokolování auditu. Viz Zapnutí protokolování auditu Purview.

  2. Přejděte na Microsoft Portál pro dodržování požadavků na služby a přihlaste se pomocí přihlašovacích údajů správce tenanta.

  3. V levém navigačním panelu vyberte Audit. Pokud tato možnost není dostupná, znamená to, že přihlášený uživatel nemá administrátorský přístup k protokolům auditu dotazů.

  4. Vyberte rozsah data a času v UTC, kdy se pokoušíte vyhledat protokoly. Například když byla vrácena chyba 403 Zakázáno s chybovým kódem unauthorized_caller .

  5. V rozevíracím seznamu Aktivity – popisné názvy vyhledejte Power Platform operace úložiště a vyberte Vytvořeno SAS URI a Použité SAS URI.

  6. Zadejte klíčové slovo v Vyhledávání klíčových slov. Další informace o tomto poli naleznete v části Začínáme s vyhledáváním v dokumentaci Purview. Můžete použít hodnotu z kteréhokoli z polí popsaných v tabulce výše v závislosti na vašem scénáři, ale níže jsou doporučená pole pro vyhledávání (v preferovaném pořadí):

    • Hodnota x-ms-service-request-id odpověď záhlaví. To filtruje výsledky na jednu událost vytvoření SAS URI nebo jednu událost použití SAS URI v závislosti na typu požadavku, ze kterého záhlaví pochází. Je to užitečné při vyšetřování chyby 403 Zakázaná vrácená uživateli. Lze jej také použít k získání hodnoty powerplatform.analytics.resource.sas.operation_id .
    • Hodnota hlavičky x-ms-sas-operation-id odpověď. To filtruje výsledky na jednu událost vytvoření SAS URI a jednu nebo více událostí použití pro tento SAS URI v závislosti na tom, kolikrát byl přístupný. Mapuje se do pole powerplatform.analytics.resource.sas.operation_id .
    • Úplné nebo částečné URI SAS mínus podpis. To může vrátit mnoho vytvořených URI SAS a mnoho událostí použití SAS URI, protože je možné, aby bylo generování stejného URI požadováno tolikrát, kolikrát je potřeba.
    • IP adresa volajícího. Vrátí všechny události vytvoření a použití pro danou IP.
    • ID prostředí. To může vrátit velkou sadu dat, která může zahrnovat mnoho různých nabídek Power Platform, takže pokud je to možné, vyhněte se nebo zvažte zúžení okna vyhledávání.

    Upozorňující

    Nedoporučujeme vyhledávat hlavní název uživatele nebo ID objektu, protože ty se šíří pouze do událostí vytvoření, nikoli do událostí použití.

  7. Vyberte Hledat a počkejte na zobrazení výsledků.

    Nové hledání

Upozorňující

Přijetí protokolu do Purview může být zpožděno až o hodinu nebo více, takže na to pamatujte, když budete hledat nejnovější události.

Odstraňování problémů 403 Chyba Forbidden/unauthorized_caller

Pomocí protokolů vytvoření a použití můžete určit, proč by volání mělo za následek chybu 403 Forbidden s chybovým kódem unauthorized_caller .

  1. Najděte protokoly v Purview, jak je popsáno v předchozí části. Zvažte použití x-ms-service-request-id nebo x-ms-sas-operation-id z odpověď záhlaví jako klíčové slovo pro vyhledávání.
  2. Otevřete událost použití Used SAS URI a vyhledejte powerplatform.analytics.resource.sas.computed_ip_filters pole pod Sbírka nemovitostí. Tento rozsah IP adres používá volání SAS k určení, zda je požadavek oprávněn pokračovat nebo ne.
  3. Porovnejte tuto hodnotu s polem IP adresa v protokolu, což by mělo stačit k určení, proč se požadavek nezdařil.
  4. Pokud si myslíte, že hodnota powerplatform.analytics.resource.sas.computed_ip_filters je nesprávná, pokračujte dalšími kroky.
  5. Otevřete událost vytvoření, Vytvořeno SAS URI, vyhledáním pomocí x-ms-sas-operation-id odpověď hodnotu záhlaví (nebo hodnotu pole powerplatform.analytics.resource.sas.operation_id z protokolu vytvoření).
  6. Získejte hodnotu pole powerplatform.analytics.resource.sas.ip_binding_mode . Pokud chybí nebo je prázdné, znamená to, že vazba IP nebyla pro dané prostředí v době konkrétního požadavku zapnuta.
  7. Získejte hodnotu powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Pokud chybí nebo je prázdné, znamená to, že rozsahy brány firewall IP nebyly pro dané prostředí v době konkrétního požadavku specifikovány.
  8. Získejte hodnotu powerplatform.analytics.resource.sas.computed_ip_filters, která by měla být identická s událostí použití a je odvozena na základě režimu vazby IP a brány firewall IP poskytnuté správcem rozsahy. Viz logiku odvozování v Ukládání dat a správa v Power Platform.

To by mělo poskytnout správcům tenantů dostatek informací k opravě jakékoli nesprávné konfigurace vůči prostředí pro nastavení vazby IP.

Upozorňující

Změny provedené v nastavení prostředí pro vazbu SAS IP mohou trvat nejméně 30 minut, než se projeví. Mohlo by to být více, pokud by partnerské týmy měly vlastní cache.

Bezpečnost v Microsoft Power Platform
Ověřování u Power Platform služeb
Připojování a ověřování zdrojů dat
Power Platform často kladené otázky o zabezpečení

Viz také