Αποθήκευση δεδομένων και διαχείριση στο Power Platform
Αρχικά, είναι σημαντικό να κάνετε διάκριση μεταξύ προσωπικών δεδομένων και δεδομένων πελατών.
Τα Προσωπικά δεδομένα είναι πληροφορίες σχετικά με άτομα που μπορούν να χρησιμοποιηθούν για τον προσδιορισμό τους.
Τα Δεδομένα πελατών περιλαμβάνουν προσωπικά δεδομένα και άλλες πληροφορίες πελατών, όπως διευθύνσεις URL, μετα-δεδομένα και πληροφορίες ελέγχου ταυτότητας υπαλλήλων, όπως ονόματα DNS.
Αποθήκευση δεδομένων
Ένας μισθωτής Microsoft Entra φιλοξενεί πληροφορίες που σχετίζονται με έναν οργανισμό και την ασφάλειά του. Όταν ένας μισθωτής Microsoft Entra εγγράφεται για υπηρεσίες Power Platform, η επιλεγμένη χώρα ή περιοχή του μισθωτή αντιστοιχίζεται στην πλέον κατάλληλη γεωγραφική περιφέρεια του Azure όπου υπάρχει μια ανάπτυξη Power Platform. Το Power Platform αποθηκεύει δεδομένα πελατών στην εκχωρηθείσα γεωγραφία Azure ή στην αρχική γεωγραφική περιφέρεια εκτός από το σημείο όπου οι οργανισμοί αναπτύσσουν υπηρεσίες σε πολλές περιοχές.
Ορισμένοι οργανισμοί έχουν καθολική παρουσία. Για παράδειγμα, μια επιχείρηση μπορεί να έχει την έδρα της στις Ηνωμένες Πολιτείες, αλλά να έχει επιχειρηματικές δραστηριότητες στην Αυστραλία. Ενδέχεται να χρειαστεί να αποθηκευτούν ορισμεα δεδομένα Power Platform στην Αυστραλία για συμμόρφωση με τους τοπικούς κανονισμούς. Όταν οι υπηρεσίες Power Platform αναπτύσσονται σε περισσότερες από μία γεωγραφικές περιοχές του Azure, αναφέρονται ως ανάπτυξη πολλών γεωγραφικών περιοχών. Σε αυτήν την περίπτωση, μόνο τα μεταδεδομένα που σχετίζονται με το περιβάλλον αποθηκεύονται στην αρχική γεωγραφική περιφέρεια. Όλα τα μετα-δεδομένα και τα δεδομένα προϊόντων σε αυτό το περιβάλλον αποθηκεύονται στην απομακρυσμένη γεωγραφική περιφέρεια.
Η Microsoft ενδέχεται να αναπαραγάγει δεδομένα σε άλλες περιοχές για επεξεργασία των δεδομένων. Ωστόσο, δεν αναπαράγουμε ή μετακινούμε προσωπικά δεδομένα εκτός της γεωγραφικής περιφέρειας. Τα δεδομένα που έχουν αναπαραχθεί σε άλλες περιοχές ενδέχεται να περιλαμβάνουν μη προσωπικά δεδομένα, όπως πληροφορίες ελέγχου ταυτότητας υπαλλήλων.
Οι υπηρεσίες Power Platform είναι διαθέσιμες σε συγκεκριμένες γεωγραφικές περιοχές του Azure. Για περισσότερες πληροφορίες σχετικά με τις τοποθεσίες που είναι διαθέσιμες οι υπηρεσίες Power Platform, τα σημεία που είναι αποθηκευμένα τα δεδομένα σας καθώς και για τον τρόπο που χρησιμοποιούνται, δείτε το Κέντρο αξιοπιστίας της Microsoft. Οι δεσμεύσεις που αφορούν τη θέση των αδρανών δεδομένων των πελατών, καθορίζονται στους Όρους επεξεργασίας δεδομένων που περιλαμβάνονται στους Όρους Microsoft Online Services. Η Microsoft παρέχει επίσης κέντρα δεδομένων για εθνικές οντότητες.
Χειρισμός δεδομένων
Αυτή η ενότητα περιγράφει τον τρόπο που το Power Platform αποθηκεύει, επεξεργάζεται και μεταφέρει δεδομένα πελατών.
Αδρανή δεδομένα
Εκτός αν ορίζεται διαφορετικά στην τεκμηρίωση, τα δεδομένα πελατών παραμένουν στην αρχική προέλευση (για παράδειγμα, Dataverse ή SharePoint). Μια εφαρμογή Power Platform αποθηκεύεται στον χώρο αποθήκευσης Azure ως μέρος ενός περιβάλλοντος. Τα δεδομένα που χρησιμοποιούνται σε εφαρμογές για κινητές συσκευές κρυπτογραφούνται και αποθηκεύονται στο SQL Express. Στις περισσότερες περιπτώσεις, οι εφαρμογές χρησιμοποιούν τον χώρο αποθήκευσης Azure για τη διατήρηση δεδομένων υπηρεσίας Power Platform και τη Βάση δεδομένων Azure SQL για διατήρηση μετα-δεδομένων υπηρεσίας. Τα δεδομένα που καταχωρίζονται από χρήστες της εφαρμογής αποθηκεύονται στην αντίστοιχη προέλευση δεδομένων για την υπηρεσία, όπως Dataverse.
Όλα τα δεδομένα που διατηρούνται από το Power Platform είναι κρυπτογραφημένα από προεπιλογή με χρήση κλειδιών που διαχειρίζεται η Microsoft. Τα δεδομένα πελατών σε βάση δεδομένων Azure SQL είναι πλήρως κρυπτογραφημένα με την τεχνολογία Διαφανής κρυπτογράφηση δεδομένων του SQL Azure (TDE). Τα δεδομένα πελατών που είναι αποθηκευμένα στον χώρο αποθήκευσης αντικειμένων blob Azure είναι κρυπτογραφημένα με χρήση της κρυπτογράφησης χώρου αποθήκευσης Azure.
Δεδομένα σε επεξεργασία
Τα δεδομένα είναι υπό επεξεργασία όταν είτε χρησιμοποιούνται ενεργά από έναν ή περισσότερους χρήστες ως μέρος ενός αλληλεπιδραστικού σεναρίου είτε όταν μια διεργασία παρασκηνίου όπως η ανανέωση αγγίζει αυτά τα δεδομένα. Το Power Platform φορτώνει δεδομένα που έχουν υποστεί επεξεργασία στον χώρο μνήμης ενός ή περισσότερων φόρτων εργασίας εξυπηρέτησης. Για να διευκολύνετε τη λειτουργικότητα του φόρτου εργασίας, τα δεδομένα που είναι αποθηκευμένα στη μνήμη δεν κρυπτογραφούνται.
Δεδομένα σε διαμετακόμιση
Το Power Platform απαιτεί να κρυπτογραφηθεί όλη η εισερχόμενη κυκλοφορία HTTP με χρήση TLS 1.2 ή νεότερη. Οι αιτήσεις που προσπαθούν να χρησιμοποιήσουν TLS 1.1 ή παλαιότερο απορρίπτονται.
Δυνατότητες προηγμένης ασφάλειας
Ορισμένες από τις δυνατότητες προηγμένης ασφάλειας του Power Platform έχουν συγκεκριμένες απαιτήσεις άδειας χρήσης.
Ετικέτες υπηρεσίας
Μια ετικέτα υπηρεσίας αντιπροσωπεύει μια ομάδα προθεμάτων διευθύνσεων IP από μια δεδομένη υπηρεσία Azure. Οι πελάτες μπορούν να χρησιμοποιήσουν ετικέτες υπηρεσίας για να ορίσουν στοιχεία ελέγχου πρόσβασης δικτύου στις Ομάδες ασφαλείας δικτύου ή στο Τείχος προστασίας Azure.
Οι ετικέτες υπηρεσίας βοηθούν στην ελαχιστοποίηση της πολυπλοκότητας των συχνών ενημερώσεων στους κανόνες ασφαλείας του δικτύου. Μπορείτε να χρησιμοποιήσετε ετικέτες υπηρεσίας στη θέση συγκεκριμένων διευθύνσεων IP όταν δημιουργείτε κανόνες ασφαλείας που, για παράδειγμα, επιτρέπουν ή στερούν την κυκλοφορία για την αντίστοιχη υπηρεσία.
Η Microsoft διαχειρίζεται τα προθέματα διευθύνσεων που περιλαμβάνονται στην ετικέτα υπηρεσίας και ενημερώνει αυτόματα την ετικέτα υπηρεσίας καθώς οι διευθύνσεις αλλάζουν. Για περισσότερες πληροφορίες δείτε Περιοχές διευθύνσεων IP Azure και ετικέτες υπηρεσίας - Δημόσιο cloud.
Πρόληψη απώλειας δεδομένων
Το Power Platform διαθέτει ένα εκτεταμένο σύνολο δυνατοτήτων Αποτροπής απώλειας δεδομένων (DLP) για να σας βοηθήσει να διαχειριστείτε την ασφάλεια των δεδομένων σας.
Περιορισμός IP υπογραφής κοινόχρηστης πρόσβασης (SAS) χώρου αποθήκευσης
Σημείωμα
Προτού ενεργοποιήσουν οποιαδήποτε από αυτές τις δυνατότητες SAS, οι πελάτες πρέπει πρώτα να επιτρέψουν την πρόσβαση στον τομέα https://*.api.powerplatformusercontent.com ή οι περισσότερες λειτουργίες SAS δεν θα λειτουργούν.
Αυτό το σύνολο δυνατοτήτων είναι λειτουργικότητα που αφορά τον μισθωτή, η οποία περιορίζει τα διακριτικά υπογραφής κοινόχρηστης πρόσβασης (SAS) του Χώρου αποθήκευσης και ελέγχεται από ένα μενού στο Κέντρο διαχείρισης του Power Platform. Αυτή η ρύθμιση περιορίζει τα άτομα, βάσει IP, που μπορούν να χρησιμοποιούν εταιρικά διακριτικά SAS.
Αυτή η δυνατότητα βρίσκεται σε ιδιωτική προεπισκόπηση. Η δημόσια προεπισκόπηση έχει προγραμματιστεί για αργότερα αυτήν την άνοιξη, με γενική διαθεσιμότητα το καλοκαίρι του 2024. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Προγραμματιστής κυκλοφορίας.
Αυτές οι ρυθμίσεις υπάρχουν στις ρυθμίσεις Απόρρητο + Ασφάλεια ενός περιβάλλοντος Dataverse στο κέντρο διαχείρισης. Πρέπει να ενεργοποιήσετε την επιλογή Ενεργοποίηση διεύθυνσης IP βασισμένης σε κανόνα υπογραφής κοινόχρηστης πρόσβασης (SAS) χώρου αποθήκευσης .
Οι διαχειριστές μπορούν να ενεργοποιήσουν μία από τις παρακάτω τέσσερις ρυθμίσεις παραμέτρων για αυτήν τη ρύθμιση:
| Ρύθμιση | Description |
|---|---|
| Μόνο σύνδεση IP | Αυτό περιορίζει τα κλειδιά SAS στη διεύθυνση IP του αιτούντος. |
| Τείχος προστασίας IP μόνο | Αυτό περιορίζει τη χρήση κλειδιών SAS, ώστε να λειτουργεί μόνο εντός μιας καθορισμένης περιοχής διαχείρισης. |
| Σύνδεση IP και Τείχος προστασίας | Αυτό περιορίζει τη χρήση κλειδιών SAS για λειτουργία εντός μιας καθορισμένης περιοχής διαχείρισης και μόνο στο IP του αιτούντος. |
| Σύνδεση IP ή Τείχος προστασίας | Επιτρέπει τη χρήση κλειδιών SAS εντός του καθορισμένου εύρους τιμών. Εάν το αίτημα προέρχεται εκτός της περιοχής, εφαρμόζεται η σύνδεση IP. |
Προϊόντα που εφαρμόζουν Σύνδεση IP όταν ενεργοποιούνται:
- Dataverse
- Power Automate
- Προσαρμοσμένες συνδέσεις
- Power Apps
Αντίκτυπος στις εμπειρίες Power Apps
Σημειώστε τις ακόλουθες επιπτώσεις στους χρήστες:
Όταν ένας χρήστης, ο οποίος δεν πληροί τους περιορισμούς μιας διεύθυνσης IP περιβάλλοντος, ανοίγει μια εφαρμογή: Εμφανίζεται το ακόλουθο μήνυμα: "Αυτή η εφαρμογή σταμάτησε να λειτουργεί. Δοκιμάστε να ανανεώσετε το πρόγραμμα περιήγησης." Υπάρχουν σχέδια για ενημέρωση αυτής της εμπειρίας ώστε να παρέχονται πιο σχετικές πληροφορίες στο χρήστη σχετικά με το λόγο για τον οποίο δεν ήταν δυνατό να γίνει εκκίνηση της εφαρμογής.
Όταν ένας χρήστης, ο οποίος πληροί τους περιορισμούς της διεύθυνσης IP, ανοίγει μια εφαρμογή: Παρουσιάζονται τα ακόλουθα συμβάντα:
- Εμφανίζεται ένα διαφημιστικό πλαίσιο με το ακόλουθο μήνυμα: "Οι περιορισμοί ρυθμισμένων διευθύνσεων IP του οργανισμού σας που περιορίζουν που είναι προσβάσιμο το Power Apps. Αυτή η εφαρμογή ενδεχομένως να μην είναι προσβάσιμη όταν χρησιμοποιείτε άλλο δίκτυο. Επικοινωνήστε με τον διαχειριστή σας για περισσότερες πληροφορίες." Αυτό το διαφημιστικό πλαίσιο εμφανίζεται για μερικά δευτερόλεπτα και, στη συνέχεια, εξαφανίζεται.
- Η εφαρμογή ενδέχεται να φορτώνεται πιο αργά από ό,τι εάν δεν είχαν γίνει περιορισμοί διευθύνσεων IP. Οι περιορισμοί διευθύνσεων IP εμποδίζουν την πλατφόρμα να χρησιμοποιεί ορισμένες δυνατότητες επιδόσεων που επιτρέπουν ταχύτερους χρόνους φόρτωσης.
Εάν ένας χρήστης ανοίξει μια εφαρμογή, ενώ πληροί τις απαιτήσεις της διεύθυνσης IP και, στη συνέχεια, μετακινηθεί σε ένα νέο δίκτυο το οποίο δεν ανταποκρίνεται πλέον στις απαιτήσεις της διεύθυνσης IP, ο χρήστης μπορεί να παρατηρεί ότι τα περιεχόμενα της εφαρμογής, όπως εικόνες, ενσωματωμένα πολυμέσα και συνδέσεις, μπορεί να μην είναι δυνατό να φορτωθούν ή να είναι προσβάσιμα.
Καταγραφή κλήσεων SAS
Αυτή η ρύθμιση επιτρέπει τη σύνδεση στο Purview όλων των κλήσεων SAS εντός του Power Platform. Αυτή η καταγραφή εμφανίζει τα σχετικά μετα-δεδομένα για όλα τα συμβάντα δημιουργίας και χρήσης και μπορεί να ενεργοποιηθεί ανεξάρτητα από τους παραπάνω περιορισμούς SAS IP. Οι υπηρεσίες Power Platform προς το παρόν προσθέτουν κλήσεις SAS το 2024.
Σχετικά άρθρα
Ασφάλεια στο Microsoft Power Platform
Έλεγχος ταυτότητας σε υπηρεσίες Power Platform
Σύνδεση και έλεγχος ταυτότητας σε προελεύσεις δεδομένων
Συνήθεις ερωτήσεις σχετικά με την ασφάλεια του Power Platform