Jagamisviis:

Andmete säilitamine ja juhtimine Power Platformis

  • Artikkel

Kõigepealt on oluline eristada isikuandmeid ja kliendiandmeid.

  • Isikuandmed on teave inimeste kohta, mida saab kasutada nende tuvastamiseks.

  • Kliendiandmed sisaldavad isikuandmeid ja muud klienditeavet, sealhulgas URL-e, metaandmeid ja töötaja autentimisteavet (nt DNS-i nimed).

Andmete hoiustamine

Rentnik Microsoft Entra sisaldab teavet, mis on organisatsiooni ja selle turbe jaoks asjakohane. Kui rentnik registreerub Microsoft Entra teenuste kasutajaks Power Platform , vastendatakse rentniku valitud riik või regioon kõige sobivama Azure’i geograafiaga, kus Power Platform juurutus on olemas. Power Platform talletab kliendiandmeid rentnikule määratud Azure’i geograafilises asukohas või kohalikus geotsoonis, välja arvatud juhul, kui organisatsioonid juurutavad teenuseid mitmes piirkonnas.

Mõned organisatsioonid on olemas globaalselt. Näiteks võib ettevõtte peakontor olla USA-s, kuid ärisuhtes Austraalias. Teil võib olla vajalik talletada osasid Power Platformi andmeid Austraalias, et järgida kohalikke eeskirju. Kui Power Platformi teenused on juurutatud rohkem kui ühes Azure’i geograafilises asukohas, viidatakse sellele kui mitme geograafilise asukohaga juurutamiseks . Sel juhul salvestatakse kohalikus geotsoonis ainult keskkonnaga seotud andmed. Kõik selle keskkonna metaandmed ja tooteandmed talletatakse eemal olevas geograafilises asukohas.

Microsoft võib andmete vastupidavuse huvides paljundada andmeid teistesse piirkondadesse. Samas me ei paljunda ega teisalda isikuandmeid geograafilisest asukohast välja. Teistesse piirkondadesse kopeeritud andmed võivad sisaldada mitteisikustatud andmeid, näiteks töötaja autentimisteavet.

Power Platformi teenused on saadaval konkreetsetes Azure’i geograafilistes asukohtades. Lisateavet selle kohta, kus Power Platform teenused on saadaval, kus teie andmeid talletatakse ja kuidas neid kasutatakse, leiate usalduskeskusest Microsoft . Kliendiandmete puhkeolekus asukohaga seotud kohustused on sätestatud võrguteenuste tingimuste Microsoft andmetöötlustingimustes. Microsoft pakub ka andmekeskusi suveräänsetele üksustele.

Andmete käsitsemine

Selles jaotises antakse ülevaade, kuidas Power Platform kliendiandmeid talletab, töötleb ja edastab.

Puhkeolekus andmed

Kui dokumentatsioonis pole teisiti märgitud, jäävad kliendi andmed algsesse allikasse (nt Dataverse või SharePoint). Power Platformi rakendus salvestatakse Azure’i talletuskohas keskkonna osana. Mobiilirakendustes kasutatavad andmed on krüptitud ja talletatakse SQL Expressis. Enamasti kasutavad rakendused Azure’i mäluseadet Power Platformi teenuseandmetele ja Azure’i SQL-i andmebaasi teenuse metaandmete säilitamiseks. Rakenduse kasutajate sisestatud andmeid talletatakse teenuse vastavas andmeallikas, nt Dataverse.

Kõik andmed, mis püsivad, Power Platform krüpteeritakse vaikimisi, kasutades Microsoft hallatavaid võtmeid. Azure’i SQL-andmebaasi salvestatud kliendiandmed on täielikult krüptitud, kasutades Azure’i SQL-i krüptimistehnoloogiat (TDE). Azure’i bloobi hoiukohas talletatud kliendiandmed on krüptitud Azure’i mäluseadme krüptimist kasutades.

Töödeldavad andmed

Andmeid töödeldakse, kui neid kasutatakse interaktiivse stsenaariumi osana või kui taustprotsess (nt värskendus) nendega kokku puutub. Power Platform laadib töötlemiseks andmeid ühe või mitme teenuse töökoormuse mäluruumi. Töökoormuse funktsiooni lihtsustamiseks ei ole mälus salvestatud andmed krüptitud.

Edastamisel olevad andmed

Power Platform nõuab kogu sissetuleva HTTP-liikluse krüptimist, kasutades TLS 1.2 või kõrgemat. TLS 1.1 või madalama kasutamist proovivad taotlused lükatakse tagasi.

Täpsemad turbefunktsioonid

Osadel Power Platformi turbefunktsioonidel on konkreetsed litsentsinõuded.

Teenusesildid

Teenusesilt tähistab määratud Azure’i teenuse IP-aadressi eesliite rühma. Saate kasutada teenusesilte võrgu turberühmade või Azure’i tulemüüri juurdepääsu juhtelementide määratlemiseks.

Teenusesildid aitavad võrgu turbereeglite sagedaste värskenduste keerukust vähendada. Kui loote turbereeglid, mis lubavad või keelavad näiteks vastava teenuse jaoks liikluse, saate teenusesilte kasutada kindlate IP-aadresside asemel.

Microsoft Haldab teenusemärgendiga hõlmatud aadressieesliiteid ja värskendab aadresside muutumisel teenusemärgendit automaatselt. Lisateabe saamiseks vaadake teemat Azure’i IP-vahemikud ja teenuse sildid – avalik pilveteenus.

Andmelekketõkestus

Power Platformil on oma andmete turvalisuse haldamiseks laialdane andmekao ennetamise (DLP) funktsioonide kogum.

Salvestusruumi jagatud juurdepääsu allkirja (SAS) IP-piirang

Märkus.

Enne kummagi SAS-i funktsiooni aktiveerimist peavad kliendid esmalt lubama juurdepääsu domeenile https://*.api.powerplatformusercontent.com , vastasel juhul ei tööta enamik SAS-i funktsioone.

See funktsioonikomplekt on rentnikupõhine funktsioon, mis piirab salvestusruumi jagatud juurdepääsu allkirja (SAS) märke ja mida juhitakse halduskeskuse Power Platform menüükaudu. See säte piirab seda, kes saavad IP (IPv4 ja IPv6) põhjal ettevõtte SAS-i märke kasutada.

Need sätted leiate halduskeskuse keskkonna privaatsuse + turbe sätetest. Peate sisse lülitama reegli Luba IP-aadressipõhine salvestusruumi jagatud juurdepääsuga allkiri (SAS).

Administraatorid saavad selle sätte puhul lubada ühe järgmistest neljast suvandist.

Variant Säte Kirjeldus
1 Ainult IP sidumine See piirab SAS-i võtmed taotleja IP-ga.
2 Ainult IP-tulemüür See piirab SAS-klahvide kasutamist ainult administraatori määratud vahemikus.
3 IP sidumine ja tulemüür See piirab SAS-võtmete kasutamist administraatori määratud vahemikus töötamiseks ja ainult taotleja IP-le.
4 IP sidumine või tulemüür Võimaldab SAS-võtmeid kasutada määratud vahemikus. Kui päring pärineb väljastpoolt vahemikku, rakendatakse IP-sidumist.

Märkus.

Administraatorid, kes otsustasid lubada IP-tulemüüri (ülaltoodud tabelis loetletud valikud 2, 3 ja 4), peavad kasutajate nõuetekohase katvuse tagamiseks sisestama nii oma võrkude IPv4- kui ka IPv6-vahemikud.

Tooted, mis jõustavad IP-sidumise, kui see on lubatud:

  • Dataverse
  • Power Automate
  • Kohandatud konnektorid
  • Power Apps

Mõju kasutajakogemusele

  • Kui kasutaja, kes ei vasta keskkonna IP-aadressi piirangutele, avab rakenduse: kasutajad saavad tõrketeate, mis viitab üldisele IP-probleemile.

  • Kui kasutaja, kes vastab IP-aadressi piirangutele, avab rakenduse: toimuvad järgmised sündmused.

    • Kasutajad võivad saada ribareklaami, mis kaob kiiresti, andes kasutajatele teada, et IP-säte on seatud, ja võtta administraatoriga ühendust üksikasjade saamiseks või ühenduse kaotanud lehtede värskendamiseks.
    • Veelgi olulisem on see, et selle turvasätte kasutatava IP-valideerimise tõttu võivad mõned funktsioonid toimida aeglasemalt kui siis, kui see oleks välja lülitatud.

Värskendage seadeid programmiliselt

Administraatorid saavad automatiseerimise abil määrata ja värskendada nii IP sidumist kui ka tulemüüri sätet, lubatud IP-vahemikku ja logimislülitit. Lisateavet leiate teemast Õpetus: Keskkonnahalduse sätete loomine, värskendamine ja loetlemine.

SAS-kõnede logimine

See säte võimaldab kõik SAS-i kõned Purview’sse Power Platform sisse logida. See logimine näitab kõigi loomis- ja kasutussündmuste asjakohaseid metaandmeid ning seda saab lubada ülaltoodud SAS-i IP-piirangutest sõltumatult. Power Platform teenused on praegu SAS-i kõnede kasutuselevõtuks 2024. aastal.

Välja nimi Välja kirjeldus
response.status_message Teavitamine, kas sündmus õnnestus või mitte: SASSuccess või SASAuthorizationError.
response.status_code Teavitamine, kas sündmus õnnestus või mitte: 200, 401 või 500.
ip_binding_mode Rentniku administraatori määratud IP-sidumisrežiim, kui see on sisse lülitatud. Kehtib ainult SAS-i loomissündmustele.
admin_provided_ip_ranges Rentniku administraatori määratud IP-vahemikud (kui neid on). Kehtib ainult SAS-i loomissündmustele.
computed_ip_filters SAS-i URI-dega seotud IP-filtrite lõplik komplekt, mis põhineb IP-sidumisrežiimil ja rentniku administraatori määratud vahemikel. Kehtib nii SAS-i loomise kui ka kasutamise sündmuste kohta.
analytics.resource.sas.uri Andmed, millele üritati juurde pääseda või mida loodi.
enduser.ip_address Helistaja avalik IP.
analytics.resource.sas.operation_id Loomissündmuse kordumatu identifikaator. Selle järgi otsimine näitab kõiki kasutus- ja loomissündmusi, mis on seotud SAS-i kõnedega loomissündmusest. Vastendatud päisega "x-ms-sas-operation-id" vastus.
request.service_request_id Taotluse või vastus kordumatu identifikaator, mida saab kasutada ühe kirje otsimiseks. Vastendatud päisega "x-ms-service-request-id" vastus.
versioon Selle logiskeemi versioon.
tüüp Üldine vastus.
analytics.activity.name Selle sündmuse tegevuse tüüp oli: Loomine või kasutamine.
analytics.activity.id Purview’s oleva kirje kordumatu ID.
analytics.resource.organization.id Organisatsiooni ID
analytics.resource.environment.id Keskkonna ID
analytics.resource.tenant.id ’i rentniku ID
enduser.id GUID looja ID-lt Microsoft Entra loomissündmusest.
enduser.principal_name Looja UPN/e-posti aadress. Kasutussündmuste puhul on see üldine vastus: "system@powerplatform".
enduser.role Üldine vastus: regulaarne loomissündmuste jaoks ja süsteem kasutussündmuste jaoks.

Purview auditilogi sisselülitamine

Selleks, et logid kuvataks teie Purview eksemplaris, peate selle kõigepealt valima iga keskkonna jaoks, mille jaoks logisid soovite. Seda sätet saab rentnikuadministraator halduskeskuses Power Platform värskendada .

  1. Avage halduskeskus Power Platform ja logige sisse rentniku administraatori identimisteabega.
  2. Tehke vasakpoolsel navigeerimispaanil valik Keskkonnad.
  3. Valige keskkond, mille jaoks soovite administraatorilogimise sisse lülitada.
  4. Valige käsuribal Sätted .
  5. Valige Toote>privaatsus + turvalisus.
  6. Lülitage jaotises Storage Shared Access Signature (SAS) Security Settings (eelversioon) sisse funktsioon Enable SAS Logging in Purview .

Auditilogidest otsimine

Rentniku administraatorid saavad Purview’d kasutada SAS-i toimingute kohta väljastatud auditilogide vaatamiseks ja ise diagnoosida tõrkeid, mis võidakse tagastada IP-valideerimisprobleemide korral. Purview logid on kõige usaldusväärsem lahendus.

Rentniku probleemide diagnoosimiseks või SAS-i kasutusmustrite paremaks mõistmiseks tehke järgmist.

  1. Veenduge, et auditilogi oleks keskkonna jaoks sisse lülitatud. Vt. Purview auditilogi sisselülitamine.

  2. Avage Microsoft portaal Purview compliance ja logige sisse rentniku administraatori identimisteabega.

  3. Valige vasakpoolsel navigeerimispaanil Auditeeri . Kui see suvand pole teie jaoks saadaval, tähendab see, et sisselogitud kasutajal pole administraatori juurdepääsu päringu auditilogidele.

  4. Valige UTC-s kuupäev ja kellaaeg, millal proovite logisid otsida. Näiteks kui tagastati 403 keelatud tõrge unauthorized_caller tõrkekoodiga .

  5. Otsige ripploendist Tegevused - sõbralikud nimed salvestustoiminguid Power Platform ja valige Loodud SAS-i URI ja Kasutatud SAS-i URI.

  6. Määrake märksõna märksõnaotsingus . Lisateavet selle välja kohta leiate teemast Otsinguga alustamine purview dokumentatsioonist. Sõltuvalt stsenaariumist võite kasutada väärtust ükskõik milliselt ülaltoodud tabelis kirjeldatud väljalt, kuid allpool on toodud soovitatavad väljad, millelt otsida (eelistuste järjekorras).

    • Päise x-ms-service-request-id vastus väärtus . See filtreerib tulemused ühele SAS URI loomise sündmusele või ühele SAS URI kasutussündmusele, olenevalt sellest, millisest taotluse tüübist päis pärineb. See on kasulik, kui uurite kasutajale tagastatud 403 keelatud viga. Seda saab kasutada ka powerplatform.analytics.resource.sas.operation_id väärtuse haaramiseks .
    • Päise x-ms-sas-operation-id vastus väärtus . See filtreerib tulemused ühele SAS-i URI loomise sündmusele ja ühele või mitmele selle SAS-i URI kasutussündmusele, sõltuvalt sellest, mitu korda sellele juurde pääseti. See kaardistab powerplatform.analytics.resource.sas.operation_id välja.
    • Täielik või osaline SAS URI, miinus allkiri. See võib tagastada palju SAS URI loomingut ja paljusid SAS URI kasutussündmusi, kuna sama URI-d on võimalik küsida genereerimiseks nii palju kordi kui vaja.
    • Helistaja IP-aadress. Tagastab kõik selle IP-ga seotud loomis- ja kasutussündmused.
    • Keskkonna ID. See võib tagastada suure hulga andmeid, mis võivad hõlmata paljusid erinevaid pakkumisi Power Platform, nii et vältige võimaluse korral või kaaluge otsinguakna kitsendamist.

    Hoiatus

    Me ei soovita otsida kasutaja turvasubjektinime ega objekti ID-d, kuna neid levitatakse ainult loomissündmustele, mitte kasutussündmustele.

  7. Valige Otsi ja oodake, kuni tulemused kuvatakse.

    Uus otsing

Hoiatus

Purview’sse sisselogimist saab edasi lükata kuni tund või kauem, nii et pidage seda viimaste sündmuste otsimisel meeles.

Tõrkeotsing 403 Keelatud/unauthorized_caller tõrge

Saate kasutada loomis- ja kasutuslogisid, et määrata, miks kõne tulemuseks oleks unauthorized_caller tõrkekoodiga tõrge 403 Keelatud.

  1. Leidke purview’st logisid, nagu on kirjeldatud eelmises jaotises. Kaaluge otsingu märksõnana kas x-ms-service-request-id või x-ms-sas-operation-id kasutamist vastus päistest.
  2. Avage kasutussündmus Kasutatud SAS-i URI ja otsige powerplatform.analytics.resource.sas.computed_ip_filters välja jaotisest PropertyCollection. Seda IP-vahemikku kasutab SAS-i kõne, et teha kindlaks, kas taotlus on volitatud jätkama või mitte.
  3. Võrrelge seda väärtust logi IP-aadressi väljaga , mis peaks olema piisav, et teha kindlaks, miks päring ebaõnnestus.
  4. Kui arvate, et powerplatform.analytics.resource.sas.computed_ip_filters väärtus on vale, jätkake järgmiste sammudega.
  5. Avage loomissündmus,Loodud SAS URI-vastus, otsides x-ms-sas-operation-id päise väärtust (või powerplatform.analytics.resource.sas.operation_id välja väärtust loomislogist).
  6. Hankige powerplatform.analytics.resource.sas.ip_binding_mode välja väärtus . Kui see puudub või on tühi, tähendab see, et IP-sidumine ei olnud selle konkreetse taotluse esitamise ajal selles keskkonnas sisse lülitatud.
  7. Hankige powerplatform.analytics.resource.sas.admin_provided_ip_ranges väärtus. Kui see puudub või on tühi, tähendab see, et IP-tulemüüri vahemikud ei olnud selle konkreetse taotluse ajal selle keskkonna jaoks määratud.
  8. Hankige powerplatform.analytics.resource.sas.computed_ip_filters väärtus, mis peaks olema identne kasutussündmusega ja mis tuletatakse IP-sidumisrežiimi ja administraatori pakutavate IP-tulemüürivahemike põhjal. Vaadake tuletamisloogikat jaotises Andmete salvestamine ja haldamine Power Platform.

See peaks andma rentniku administraatoritele piisavalt teavet, et parandada mis tahes valesti konfigureerimist keskkonna suhtes IP sidumissätete jaoks.

Hoiatus

SAS-i IP-sidumise keskkonnasätetes tehtud muudatuste jõustumiseks võib kuluda vähemalt 30 minutit. See võib olla rohkem, kui partnermeeskondadel on oma vahemälu.

Turvalisus Microsoft Power Platform
Teenuste autentimine Power Platform
Andmeallikatega ühenduse loomine ja autentimine
Power Platform Turvalisuse KKK

Vaata ka