Del via

Datalager og styring i Power Platform

  • Artikel

Det er først og fremmest vigtigt at skelne mellem personlige data og kundedata.

  • Personlige data er oplysninger om personer, der kan bruges til at identificere dem.

  • Kundedata omfatter personlige data og andre kundedata som for eksempel URL-adresser, metadata og oplysninger om medarbejdergodkendelse, for eksempel DNS-navne.

Dataopbevaring

En Microsoft Entra-lejer indeholder oplysninger, der er relevante for en organisation og dens sikkerhed. Når en Microsoft Entra-lejer tilmelder sig Power Platform-servicer, knyttes lejerens valgte land eller område til det mest relevante Azure-geografiske område, hvor en Power Platform-installation findes. Power Platform gemmer kundedata i lejerens tildelte Azure-geografiske område, eller hjemme-geo, undtagen hvor organisationer installerer tjenester i flere områder.

Nogle organisationer har en global tilstedeværelse. En virksomhed har f.eks. hovedkontor i USA, men den gør forretninger i Australien. Det kan være nødvendigt at gemme visse Power Platform-data i Australien for at overholde de lokale regler. Når Power Platform-tjenester installeres i mere end ét Azure-geografisk område, kaldes det en multi-geografisk installation. I så fald er det kun de miljørelaterede metadata, der gemmes i det hjemmegeografiske område. Alle metadata og produktdata i det pågældende miljø lagres i det eksterne geografiske område.

Microsoft replikerer måske data til andre områder for at sikre datarobusthed. Vi replikerer eller flytter dog ikke personlige data uden for det geografiske område. Data, der replikeres til andre områder, kan omfatte ikke-personlige data, f.eks. oplysninger om medarbejdergodkendelse.

Power Platform-tjenester er tilgængelige i bestemte Azure-geografiske områder. Du kan finde flere oplysninger om, hvor Power Platform-tjenester er tilgængelige, hvor dine data gemmes, og hvordan de bruges, i Microsoft Sikkerhedscenter. Forpligtelser i forbindelse med placeringen inaktive kundedata er angivet under Vilkår for databehandling i Servicevilkår for Microsofts onlinetjenester. Microsoft leverer også datacentre til nationale enheder.

Datahåndtering

I dette afsnit beskrives, hvordan Power Platform-kundedata lagres, behandles og overføres.

Inaktive data

Medmindre andet er angivet i dokumentationen, forbliver kundedata i deres oprindelige kilde (f.eks. Dataverse eller SharePoint). En Power Platform-app gemmes i Azure Storage som en del af et miljø. Data, der bruges i mobilapps, krypteres og gemmes i SQL Express. I de fleste tilfælde bruger apps Azure Storage til at opbevare Power Platform-servicedata og Azure SQL Database til at bevare servicemetadataene. De data, som er indtastet af appbrugere, gemmes i de respektive datakilder for tjenesten, for eksempel Dataverse.

Alle data, der gemmes af Power Platform, krypteres som standard ved hjælp af Microsoft-administrerede nøgler. Kundedata, der gemmes i Azure SQL Database, krypteres fuldt ud ved hjælp af teknologien Transparent Data Encryption (TDE) i Azure SQL. Kundedata, der lagres i Azure Blob Storage, krypteres ved hjælp af Azure Storage Encryption.

Data under behandling

Data behandles, når de enten bruges af et interaktivt scenario, eller når en baggrundsproces, for eksempel en opdatering, behandler disse data. Power Platform indlæser data under behandling i hukommelsen for en eller flere tjenestearbejdsbelastninger. For at lette arbejdsbelastningens funktionalitet er data, der lagres i hukommelsen, ikke krypteret.

Data i transit

Power Platform kræver, at al indgående HTTP-trafik krypteres ved hjælp af TLS 1.2 eller nyere. Anmodninger, der forsøger at bruge TLS 1.1 eller lavere, afvises.

Avancerede sikkerhedsfunktioner

Nogle af de avancerede sikkerhedsfunktioner i Power Platform har specifikke licenskrav.

Servicemærker

Et servicemærke repræsenterer en gruppe IP-adressepræfikser fra en angiven Azure-tjeneste. Du kan bruge servicemærker til at definere adgangskontroller for netværk i netværkssikkerhedsgrupper eller Azure Firewall.

Servicemærker er med til at minimere kompleksiteten af hyppige opdateringer af regler for netværkssikkerhed. Du kan bruge servicemærker i stedet for bestemte IP-adresser, når du opretter sikkerhedsregler, der f.eks. tillader eller afviser trafik for den tilknyttede tjeneste.

Microsoft administrerer de adressepræfikser, der er omfattet af servicemærket, og opdaterer automatisk servicemærket, efterhånden som adresser ændres. Du kan finde flere oplysninger i Azure IP-områder og servicemærker – offentlig cloud.

Forebyggelse af datatab

Power Platform har en lang række DLP-funktioner (forebyggelse af datatab), som kan hjælpe dig med at administrere sikkerheden af dine data.

IP-begrænsning for delte lageradgangssignaturer (SAS)

Bemærk

Før en af disse SAS-funktioner aktiveres, skal kunderne først give adgang til domænet https://*.api.powerplatformusercontent.com, ellers virker de fleste SAS-funktioner ikke.

Dette funktionssæt er lejerspecifikke funktioner, der begrænser SAS-tokener (Storage Shared Access Signature), og de styres via en menu i Power Platform Administration. Denne indstilling begrænser, hvem der på basis af IP kan bruge SAS-tokener for virksomheder.

Denne funktion er i øjeblikket i personlig prøveversion. Der er planlagt offentlig forhåndsversion senere på foråret med generel tilgængelighed i sommeren 2024. Yderligere oplysninger finder du i Udgivelsesplanlægger.

Du kan finde disse indstillinger i et miljøs Privatliv + Sikkerhed-indstillinger i Administration. Du skal slå indstillingen Aktivér IP-adressebaseret SAS-regel (Storage Shared Access Signature).

Administratorer kan aktivere en af disse fire konfigurationer for denne indstilling:

Indstilling Beskrivelse
Kun IP-binding Derved begrænses SAS-nøglerne til den anmodendes IP-adresse.
Kun IP-firewall Derved begrænses brugen af SAS-nøgler til kun at fungere inden for et angivet interval for administratorer.
IP-binding og firewall Derved begrænses brugen af SAS-nøgler til kun at inden for et angivet interval for administratorer og kun for den anmodendes IP-adresse.
IP-binding eller firewall Gør det muligt at bruge SAS-nøgler inden for det angivne område. Hvis anmodningen kommer uden for området, anvendes IP-binding.

Produkter, der gennemtvinger IP-binding, når de er aktiveret:

  • Dataverse
  • Power Automate
  • Brugerdefinerede forbindelseskomponenter
  • Power Apps

Påvirkning fra brugeroplevelsen

  • Når en bruger, der ikke overholder et miljøs IP-adressebegrænsninger, åbner en app: Brugere får en fejlmeddelelse, der henviser til et generisk IP-problem.

  • Når en bruger, der overholder IP-adressebegrænsningerne, åbner en app: Følgende hændelser indtræffer:

    • Brugerne får muligvis vist et banner, der hurtigt forsvinder, så brugerne ved, at der er angivet en IP-indstilling, og som kan kontakte administratoren for at få flere oplysninger eller opdatere sider, der mister forbindelsen.
    • På grund af den IP-validering, som denne sikkerhedsindstilling bruger, vil nogle af funktionerne muligvis udføre langsommere, end hvis de blev deaktiveret.

Logføring af SAS-kald

Denne indstilling gør det muligt for alle SAS-kald i Power Platform at være logget på Purview. Logføringen viser de relevante metadata for alle oprettelses- og brugshændelser og kan aktiveres uafhængigt af ovenstående IP-begrænsninger for SAS. Power Platform -tjenester onboarder i øjeblikket SAS-kald i 2024.

Feltnavn Feltbeskrivelse
response.status_message Angiver, om hændelsen blev gennemført eller ej: SASSuccess eller SASAuthorizationError.
response.status_code Angiver, om hændelsen blev gennemført eller ej: 200, 401 eller 500.
ip_binding_mode IP-bindingstilstand, der er indstillet af en lejeradministrator, hvis den er slået til. Gælder kun for SAS-oprettelseshændelser.
admin_provided_ip_ranges Eventuelle IP-områder, der er angivet af en lejeradministrator. Gælder kun for SAS-oprettelseshændelser.
computed_ip_filters Det endelige sæt IP-filtre, der er bundet til SAS-URI'er, er baseret på IP-bindingstilstand og de intervaller, der er angivet af en lejeradministrator. Gælder for både oprettelses- og brugshændelser for SAS.
analytics.resource.sas.uri De data, der blev gjort forsøgt på at få adgang til eller blev oprettet.
enduser.ip_address Den offentlige IP på den person, der ringer op.
analytics.resource.sas.operation_id Det entydige id fra oprettelseshændelsen. Når du søger efter dette, vises alle de brugs- og oprettelseshændelser, der er relateret til SAS-opkald fra oprettelseshændelsen. Knyttes til responsheaderen "x-ms-sas-operation-id".
request.service_request_id Entydigt id fra anmodningen eller svaret og kan bruges til at slå en enkelt post op. Knyttes til responsheaderen "x-ms-service-request-id".
version Version af dette logskema.
type Generisk svar.
analytics.activity.name Typen af aktivitet denne hændelse var: Oprettelse eller brug.
analytics.activity.id Entydigt post-id i Purview.
analytics.resource.organization.id Id for organisation
analytics.resource.environment.id Miljø-id
analytics.resource.tenant.id Lejer-id
enduser.id GUID'et fra Microsoft Entra ID for opretteren af oprettelseshændelsen.
enduser.principal_name Opretterens UPN/mailadresse. For brugshændelser er dette et generisk svar: "system@powerplatform".
enduser.role Generisk respons: Regulær for oprettelseshændelser og System for brugshændelser.

Slå Purview-overvågningslogføring til

Hvis logfilerne skal vises i din Purview-forekomst, skal du først tilmelde dig dem for hvert miljø, du vil have logge til. Denne indstilling kan opdateres Power Platform i Administration af en lejeradministrator.

  1. Gå til Administration Power Platform , og log på med legitimationsoplysninger til lejeradministrator.
  2. I venstre navigationsrude skal du vælge Miljøer.
  3. Vælg det miljø, du vil aktivere administratorlogføring for.
  4. Vælg Indstillinger på kommandolinjen.
  5. Vælg Produktbeskyttelse>+ sikkerhed.
  6. Under Sikkerhedsindstillinger for SAS-signatur (Storage Shared Access Signature) (forhåndsversion) skal du aktivere funktionen Aktivér SAS-logføring i Purview .

Søg i overvågningslogge

Lejeradministratorer kan bruge Purview til at få vist overvågningslogge, der udsendes for SAS-handlinger, og kan selv diagnosticere fejl, der kan returneres i IP-valideringsproblemer. Logfiler i Purview er den mest pålidelige løsning.

Brug følgende trin til at diagnosticere problemer eller få en bedre forståelse af SAS-forbrugsmønstre i din lejer.

  1. Sørg for, at overvågningslogføring er slået til for miljøet. Se Slå logføring af Purview-overvågning til.

  2. Gå til Microsoft Purview-compliance-portal , og log på med legitimationsoplysninger for lejeradministratoren.

  3. I venstre navigationsrude skal du vælge Overvåg. Hvis denne indstilling ikke er tilgængelig for dig, betyder det, at den bruger, der er logget på, ikke har administratoradgang til at forespørge på overvågningslogge.

  4. Vælg dato- og klokkeslætsintervallet i UTC, når du forsøger at søge efter logfiler. For eksempel, når en 403 Forbidden-fejl med en unauthorized_caller fejlkode blev returneret.

  5. rullelisten Aktiviteter – brugervenlige navne skal du søge efter Power Platform lagerhandlinger og vælge Oprettet SAS-URI og Brugt SAS-URI.

  6. Angiv et nøgleord i Nøgleordssøgning. Se Kom i gang med søgning i Purview-dokumentationen for at få mere at vide om dette felt. Du kan bruge en værdi fra et hvilket som helst af de felter, der er beskrevet i tabellen ovenfor, afhængigt af dit scenarie, men nedenfor er de anbefalede felter at søge efter (i prioriteret rækkefølge):

    • Værdien af x-ms-service-request-id-svar-headeren . Dette filtrerer resultaterne til én SAS-URI-oprettelseshændelse eller én SAS-URI-brugshændelse, afhængigt af hvilken anmodningstype headeren er fra. Det er nyttigt, når du undersøger en 403 Forbidden-fejl, der returneres til brugeren. Det kan også bruges til at få fat i den powerplatform.analytics.resource.sas.operation_id værdi.
    • Værdien af x-ms-sas-operation-id-svar-headeren . Dette filtrerer resultaterne til én SAS-URI-oprettelseshændelse og en eller flere brugshændelser for den pågældende SAS-URI, afhængigt af hvor mange gange den blev åbnet. Det kortlægges til powerplatform.analytics.resource.sas.operation_id felt.
    • Hel eller delvis SAS URI, minus signaturen. Dette kan returnere mange SAS-URI-kreationer og mange SAS-URI-brugshændelser, fordi det er muligt, at den samme URI kan anmodes om til generering så mange gange som nødvendigt.
    • Opkalderens IP-adresse. Returnerer alle oprettelses- og brugshændelser for den pågældende IP-adresse.
    • Miljø-id. Dette kan returnere et stort sæt data, der kan spænde over mange forskellige tilbud, Power Platform så undgå hvis det er muligt, eller overvej at indsnævre søgevinduet.

    Advarsel!

    Vi anbefaler ikke, at du søger efter brugerens hovednavn eller objekt-id, da de kun overføres til oprettelseshændelser, ikke brugshændelser.

  7. Vælg Søg, og vent på, at resultaterne vises.

    En ny søgning

Advarsel!

Logindtagelse i Purview kan forsinkes i op til en time eller mere, så husk det, når du søger efter de seneste hændelser.

Fejlfinding af 403 Forbidden/unauthorized_caller fejl

Du kan bruge oprettelses- og brugslogge til at bestemme, hvorfor et kald ville resultere i en 403 Forbidden-fejl med en unauthorized_caller fejlkode.

  1. Find logge i Purview som beskrevet i forrige afsnit. Overvej at bruge enten x-ms-service-request-id eller x-ms-sas-operation-id fra svar-headerne som søgeord.
  2. Åbn forbrugshændelsen,Brugt SAS-URI, og søg efter feltet powerplatform.analytics.resource.sas.computed_ip_filters under PropertyCollection. Dette IP-interval er det, SAS-kaldet bruger til at afgøre, om anmodningen er godkendt til at fortsætte eller ej.
  3. Sammenlign denne værdi med feltet IP-adresse i loggen, hvilket burde være tilstrækkeligt til at afgøre, hvorfor anmodningen mislykkedes.
  4. Hvis du mener, at værdien af powerplatform.analytics.resource.sas.computed_ip_filters er forkert, skal du fortsætte med de næste trin.
  5. Åbn oprettelseshændelsen,Oprettet SAS-URI, ved at søge ved hjælp af x-ms-sas-operation-id svar-headerværdien (eller værdien af powerplatform.analytics.resource.sas.operation_id felt fra oprettelsesloggen).
  6. Få værdien af powerplatform.analytics.resource.sas.ip_binding_mode felt. Hvis den mangler eller er tom, betyder det, at IP-binding ikke var slået til for det pågældende miljø på tidspunktet for den pågældende anmodning.
  7. Få værdien af powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Hvis den mangler eller er tom, betyder det, at IP-firewallintervaller ikke blev angivet for det pågældende miljø på tidspunktet for den pågældende anmodning.
  8. Hent værdien af powerplatform.analytics.resource.sas.computed_ip_filters , som skal være identisk med brugshændelsen og er afledt på baggrund afIP-bindingstilstand og IP-firewallintervaller, der er leveret af administratoren. Se afledningslogikken i Datalagring og styring i Power Platform.

Dette bør give lejeradministratorer nok oplysninger til at rette eventuelle fejlkonfigurationer i forhold til miljøet for IP-bindingsindstillinger.

Advarsel!

Det kan tage mindst 30 minutter, før ændringer af miljøindstillingerne for SAS IP-binding træder i kraft. Det kunne være mere, hvis partnerteams har deres egen cache.

Sikkerhed i Microsoft Power Platform
Godkende Power Platform-tjenester
Oprette forbindelse til og godkende datakilder
Ofte stillede spørgsmål om Power Platform-sikkerhed

Se også