Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
Power Platform töötleb nii isikuandmeid kui ka kliendiandmeid. Lisateavet isikuandmete ja kliendiandmete kohta leiate Microsofti usalduskeskusest.
Andmete hoiustamine
Rentnik Microsoft Entra talletab organisatsiooni ja selle turvalisusega seotud teavet. Kui Microsoft Entra rentnik registreerub Power Platformi teenuste kasutajaks, vastendatakse rentniku valitud riik või regioon kõige sobivama Azure’i geograafilise piirkonnaga, kus Power Platformi juurutus on olemas. Power Platform talletab kliendiandmed rentnikule määratud Azure’i geograafilises asukohas või kodugeos, välja arvatud juhul, kui organisatsioonid juurutavad teenuseid mitmes piirkonnas.
Mõned organisatsioonid on olemas globaalselt. Näiteks võib ettevõtte peakontor asuda Ameerika Ühendriikides, kuid äritegevus võib toimuda Austraalias. Teil võib olla vajalik talletada osasid Power Platformi andmeid Austraalias, et järgida kohalikke eeskirju. Kui Power Platformi teenused on juurutatud rohkem kui ühes Azure’i geograafilises asukohas, viidatakse sellele kui mitme geograafilise asukohaga juurutamiseks . Sel juhul salvestatakse kohalikus geotsoonis ainult keskkonnaga seotud andmed. Kõik selle keskkonna metaandmed ja tooteandmed talletatakse eemal olevas geograafilises asukohas.
Power Platform teenused on saadaval teatud Azure’i geograafilistes piirkondades. Lisateavet selle kohta, kus Power Platform teenused on saadaval, kus teie andmeid paindlikkuse tagamiseks talletatakse ja paljundatakse ning kuidas neid kasutatakse, leiate Microsofti usalduskeskusest. Jõudeolekus olevate kliendiandmete asukohaga seotud kohustused on toodud Microsofti võrguteenuste tingimuste andmetöötlustingimustes. Microsoft pakub andmekeskusi ka suveräänsete üksuste jaoks.
Andmete käsitsemine
Selles jaotises antakse ülevaade, kuidas Power Platform kliendiandmeid talletab, töötleb ja edastab.
Puhkeolekus andmed
Kui dokumentatsioonis pole teisiti märgitud, jäävad kliendi andmed algsesse allikasse (nt Dataverse või SharePoint). Power Platform rakendused talletatakse Azure’i salvestusruumis keskkonna osana. Mobiilirakenduse andmed krüpteeritakse ja salvestatakse SQL Expressis. Enamasti kasutavad rakendused Azure’i mäluseadet Power Platformi teenuseandmetele ja Azure’i SQL-i andmebaasi teenuse metaandmete säilitamiseks. Rakenduse kasutajate sisestatud andmeid talletatakse teenuse vastavas andmeallikas, nt Dataverse.
Power Platform krüpteerib vaikimisi kõik säilitatavad andmed Microsofti hallatavate võtmete abil. Azure’i SQL-andmebaasi salvestatud kliendiandmed on täielikult krüptitud, kasutades Azure’i SQL-i krüptimistehnoloogiat (TDE). Azure’i bloobi hoiukohas talletatud kliendiandmed on krüptitud Azure’i mäluseadme krüptimist kasutades.
Töödeldavad andmed
Andmeid töödeldakse, kui neid kasutatakse interaktiivse stsenaariumi osana või kui taustprotsess (nt värskendus) nendega kokku puutub. Power Platform laadib töötlemiseks andmeid ühe või mitme teenuse töökoormuse mäluruumi. Töökoormuse funktsiooni lihtsustamiseks ei ole mälus salvestatud andmed krüptitud.
Edastamisel olevad andmed
Power Platform krüpteerib kogu sissetuleva HTTP-liikluse, kasutades TLS 1.2 või uuemat versiooni. TLS 1.1 või madalama kasutamist proovivad taotlused lükatakse tagasi.
Täpsemad turbefunktsioonid
Mõnel Power Platform täiustatud turbefunktsioonil võivad olla spetsiifilised litsentsinõuded.
Teenusesildid
Teenusesilt on konkreetse Azure’i teenuse IP-aadressi eesliidete rühm. Saate kasutada teenusesilte võrgu turberühmade või Azure’i tulemüüri juurdepääsu juhtelementide määratlemiseks.
Teenusesildid aitavad võrgu turbereeglite sagedaste värskenduste keerukust vähendada. Kui loote turbereeglid, mis lubavad või keelavad näiteks vastava teenuse jaoks liikluse, saate teenusesilte kasutada kindlate IP-aadresside asemel.
Microsoft haldab teenusesildi aadressieesliiteid ja värskendab seda aadresside muutumisel automaatselt. Lisateabe saamiseks vaadake teemat Azure’i IP-vahemikud ja teenuse sildid – avalik pilveteenus.
Andmepoliitikad
Power Platform sisaldab ulatuslikke andmepoliitika funktsioone , mis aitavad hallata andmete turvalisust.
Salvestusruumi jagatud juurdepääsusignatuuri (SAS) IP-piirang
Märkus.
Enne nende SAS-i funktsioonide aktiveerimist peavad kliendid esmalt lubama juurdepääsu domeenile https://*.api.powerplatformusercontent.com , vastasel juhul enamik SAS-i funktsioone ei tööta.
See funktsioonikomplekt on rentnikupõhine funktsioon, mis piirab salvestusruumi ühisjuurdepääsu signatuuri (SAS) lubasid ja mida juhitakse halduskeskuse Power Platform menüükaudu. See säte piirab, kes saavad IP-aadressi (IPv4 ja IPv6) põhjal kasutada ettevõtte SAS-i lubasid.
Need sätted leiate halduskeskuse keskkonna privaatsuse + turvalisuse sätetest. Peate sisse lülitama suvandi Luba IP-aadressipõhine salvestusruumi ühisjuurdepääsu allkirja (SAS) reegel.
Administraatorid saavad selle sätte jaoks valida ühe järgmisest neljast suvandist.
| Variant | Säte | Kirjeldus |
|---|---|---|
| 1 | Ainult IP-sidumine | See piirab SAS-i võtmed taotleja IP-ga. |
| 2 | Ainult IP-tulemüür | See piirab SAS-võtmete kasutamist ainult administraatori määratud vahemikus. |
| 3 | IP-sidumine ja tulemüür | See piirab SAS-võtmete kasutamist töötamiseks administraatori määratud vahemikus ja ainult taotleja IP-ga. |
| 4 | IP-sidumine või tulemüür | Lubab SAS-võtmeid kasutada määratud vahemikus. Kui päring tuleb väljastpoolt vahemikku, rakendatakse IP-sidumist. |
Märkus.
Administraatorid, kes otsustavad lubada IP-tulemüüri (ülaltoodud tabelis loetletud võimalused 2, 3 ja 4), peavad sisestama nii oma võrkude IPv4 kui ka IPv6 vahemiku, et tagada kasutajate nõuetekohane leviala.
Hoiatus
Valikud 1 ja 3 kasutavad IP-sidumist, mis ei tööta õigesti, kui klientide võrkudes kasutatakse IP-kogumeid, pöördpuhverserverit või võrguaadresside tõlkimise (NAT) toega lüüse. Selle tulemuseks on kasutaja IP-aadressi muutumine liiga sageli, et taotlejal oleks SAS-i lugemis-/kirjutamistoimingute vahel usaldusväärselt sama IP.
Valikud 2 ja 4 töötavad ettenähtud viisil.
Tooted, mis jõustavad IP-sidumise, kui see on lubatud:
- Dataverse
- Power Automate
- Kohandatud konnektorid
- Power Apps
Mõju kasutajakogemusele
Kui kasutaja, kes ei vasta keskkonna IP-aadressi piirangutele, avab rakenduse: kasutajad saavad tõrketeate, mis viitab üldisele IP-probleemile.
Kui kasutaja, kes vastab IP-aadressi piirangutele, avab rakenduse: Toimuvad järgmised sündmused.
- Kasutajad võivad saada bänneri, mis kaob kiiresti, andes kasutajatele teada, et IP-seade on määratud, ja võtta ühendust administraatoriga, et saada üksikasju või värskendada ühendust kaotavaid lehti.
- Veelgi olulisem on see, et selle turvasätte kasutatava IP-valideerimise tõttu võivad mõned funktsioonid toimida aeglasemalt kui siis, kui see oleks välja lülitatud.
Värskendage seadeid programmiliselt
Administraatorid saavad automatiseerimise abil määrata ja värskendada nii IP-sidumise kui ka tulemüüri sätet, lubatud IP-vahemikku ja logimise lülitit. Lisateavet leiate teemast Õpetus: keskkonnahalduse sätete loomine, värskendamine ja loetlemine.
SAS-i kõnede logimine
See säte võimaldab kõik SAS-i Power Platform kõned Purview’sse sisse logida. See logimine näitab kõigi loomis- ja kasutussündmuste asjakohaseid metaandmeid ning seda saab lubada ülaltoodud SAS-i IP-piirangutest sõltumatult. Power Platform teenused võtavad praegu SAS-i kõnesid vastu 2024. aastal.
| Välja nimi | Valdkonna kirjeldus |
|---|---|
| response.status_message | Teavitamine, kas sündmus õnnestus või mitte: SASSuccess või SASAuthorizationError. |
| response.status_code | Teavitamine, kas üritus oli edukas või mitte: 200, 401 või 500. |
| ip_binding_mode | Rentniku administraatori määratud IP-sidumisrežiim, kui see on sisse lülitatud. Rakendub ainult SAS-i loomise sündmustele. |
| admin_provided_ip_ranges | Rentniku administraatori määratud IP-vahemikud, kui need on olemas. Rakendub ainult SAS-i loomise sündmustele. |
| computed_ip_filters | Lõplik IP-filtrite komplekt, mis on seotud SAS-i URI-dega, mis põhinevad IP-sidumisrežiimil ja rentnikuadministraatori määratud vahemikel. Rakendub nii SAS-i loomise kui ka kasutamise sündmustele. |
| analüütika.ressurss.sas.uri | Andmed, millele üritati juurde pääseda või mida üritati luua. |
| enduser.ip_address | Helistaja avalik IP. |
| analytics.resource.sas.operation_id | Loomise sündmuse kordumatu identifikaator. Selle järgi otsides kuvatakse kõik kasutus- ja loomissündmused, mis on seotud loomise sündmuse SAS-i kutsetega. Vastendatud vastuse päisega "x-ms-sas-operation-id". |
| request.service_request_id | Taotluse või vastuse kordumatu identifikaator, mida saab kasutada ühe kirje otsimiseks. Vastendatud vastuse päisega "x-ms-service-request-id". |
| versioon | Selle logiskeemi versioon. |
| tüüp | Üldine vastus. |
| analytics.activity.name | Selle sündmuse tegevuse tüüp: loomine või kasutamine. |
| analytics.activity.id | Kirje kordumatu ID Purview’s. |
| analytics.resource.organization.id | Organisatsiooni ID |
| analytics.resource.environment.id | Keskkonna ID |
| analytics.resource.tenant.id | ’i rentniku ID |
| enduser.id | Loomise sündmuse looja ID GUID Microsoft Entra . |
| enduser.principal_name | Looja UPN/meiliaadress. Kasutussündmuste puhul on see üldine vastus: "system@powerplatform". |
| lõppkasutaja.roll | Üldine vastus: Regulaarne loomise sündmuste jaoks ja Süsteem kasutussündmuste jaoks . |
Purview’ auditilogi sisselülitamine
Selleks, et logid kuvataks teie Purview eksemplaris, peate selle esmalt lubama iga keskkonna jaoks, mille logisid soovite kasutada. Seda sätet saab halduskeskuses Power Platform värskendada rentnikuadministraator .
- Logi sisse Power Platformi halduskeskusesse üürniku administraatori volitustega.
- Valige navigeerimispaanil Halda .
- Valige paanil Haldamine Keskkonnad .
- Valige keskkond, mille jaoks soovite administraatori logimise sisse lülitada.
- Valige käsuribal Sätted .
- Valige Toote>privaatsus + turvalisus.
- Lülitage jaotises Storage Shared Access Signature (SAS) turbesätted (eelvaade) sisse funktsioon Luba SAS-i logimine Purview’s .
Auditilogide otsimine
Rentniku administraatorid saavad kasutada Purview’d, et vaadata SAS-i toimingute jaoks väljastatud auditilogisid ja ise diagnoosida vigu, mis võidakse tagastada IP-valideerimise probleemide korral. Purview logid on kõige usaldusväärsem lahendus.
Probleemide diagnoosimiseks või rentniku SAS-i kasutusmustrite paremaks mõistmiseks kasutage järgmisi samme.
Veenduge, et auditilogi oleks keskkonna jaoks sisse lülitatud. Vaadake teemat Purview auditilogi sisselülitamine.
Minge Microsoft Purview vastavusportaali ja logige sisse rentniku administraatori identimisteabega.
Valige vasakpoolsel navigeerimispaanil Audit . Kui see suvand pole teile saadaval, tähendab see, et sisselogitud kasutajal pole auditilogide päringute jaoks administraatoriõigust.
Logide otsimiseks valige kuupäeva ja kellaaja vahemik UTC-s. Näiteks kui tagastati tõrge 403 Keelatud koos unauthorized_caller tõrkekoodiga.
Otsige ripploendist Tegevused – sõbralikud nimed salvestustoiminguid Power Platform ja valige Loodud SAS-i URI ja Kasutatud SAS-i URI.
Määrake märksõna märksõnaotsingus . Selle välja kohta lisateabe saamiseks vaadake Purview dokumentatsiooni jaotist Otsinguga alustamine. Sõltuvalt stsenaariumist võite kasutada ülaltoodud tabelis kirjeldatud väljade väärtust, kuid allpool on toodud otsimiseks soovitatavad väljad (eelistuste järjekorras):
- Vastuse päise väärtus x-ms-service-request-id . See filtreerib tulemused ühele SAS URI loomise sündmusele või ühele SAS URI kasutussündmusele, olenevalt sellest, millisest päringutüübist päis pärineb. See on kasulik kasutajale tagastatud tõrke 403 keelatud uurimisel. Seda saab kasutada ka powerplatform.analytics.resource.sas.operation_id väärtuse haaramiseks .
- Vastuse päise x-ms-sas-operation-id väärtus. See filtreerib tulemused ühele SAS URI loomise sündmusele ja selle SAS URI ühele või mitmele kasutussündmusele olenevalt sellest, mitu korda sellele juurde pääseti. See kaardistub powerplatform.analytics.resource.sas.operation_id väljale.
- Täielik või osaline SAS URI, millest on maha arvatud allkiri. See võib tagastada palju SAS URI loomingut ja palju SAS URI kasutussündmusi, kuna sama URI-d on võimalik genereerimiseks taotleda nii mitu korda kui vaja.
- Helistaja IP-aadress. Tagastab kõik selle IP-aadressi loomis- ja kasutussündmused.
- Keskkonna ID. See võib tagastada suure hulga andmeid, mis võivad hõlmata paljusid erinevaid pakkumisi, seega vältige Power Platform võimalusel või kaaluge otsinguakna kitsendamist.
Hoiatus
Me ei soovita otsida kasutaja turvanime ega objekti ID-d, kuna neid levitatakse ainult loomissündmustele, mitte kasutussündmustele.
Valige Otsing ja oodake, kuni tulemused ilmuvad.
Hoiatus
Sisselogimine Purview’sse võib viibida kuni tund või rohkem, seega pidage seda hiljutiste sündmuste otsimisel meeles.
Tõrkeotsing 403 Keelatud/unauthorized_caller viga
Loomis- ja kasutuslogide abil saate kindlaks teha, miks kõne põhjustab tõrke 403 keelatud koos unauthorized_caller tõrkekoodiga.
- Otsige Purview’s logisid, nagu on kirjeldatud eelmises jaotises. Kaaluge otsingu märksõnana vastuse päiste x-ms-service-request-id või x-ms-sas-operation-id kasutamist.
- Avage kasutussündmus,Kasutatud SAS URI ja otsige välja powerplatform.analytics.resource.sas.computed_ip_filters jaotises PropertyCollection. Seda IP-vahemikku kasutab SAS-i kõne, et teha kindlaks, kas taotlusel on õigus jätkata või mitte.
- Võrrelge seda väärtust logi väljaga IP-aadress , mis peaks olema piisav, et teha kindlaks, miks taotlus nurjus.
- Kui arvate, et powerplatform.analytics.resource.sas.computed_ip_filters väärtus on vale, jätkake järgmiste sammudega.
- Avage loomise sündmus Created SAS URI, kasutades x-ms-sas-operation-id vastuse päise väärtust (või powerplatform.analytics.resource.sas.operation_id välja väärtust loomislogis).
- Hankige powerplatform.analytics.resource.sas.ip_binding_mode välja väärtus . Kui see puudub või on tühi, tähendab see, et IP-sidumine ei olnud selle konkreetse taotluse esitamise ajal selle keskkonna jaoks sisse lülitatud.
- Hankige powerplatform.analytics.resource.sas.admin_provided_ip_ranges väärtus. Kui see puudub või on tühi, tähendab see, et IP-tulemüüri vahemikud ei olnud selle keskkonna jaoks selle konkreetse päringu esitamise ajal määratud.
- Hankige powerplatform.analytics.resource.sas.computed_ip_filters väärtus, mis peaks olema identne kasutussündmusega ja tuletati IP-sidumisrežiimi ja administraatori pakutavate IP-tulemüüri vahemike põhjal. Vaadake tuletamisloogikat teemast Andmete talletamine ja juhtimine Power Platform.
See teave aitab rentniku administraatoritel parandada keskkonna IP-sidumise sätete valesti konfigureerimist.
Hoiatus
SAS-i IP-sidumise keskkonnasätete muudatuste jõustumiseks võib kuluda vähemalt 30 minutit. See võiks olla rohkem, kui partnermeeskondadel oleks oma vahemälu.
Seotud artiklid
Turvalisuse ülevaade
Teenuste autentimine Power Platform
Andmeallikatega ühenduse loomine ja autentimine
Power Platform turvalisuse KKK