Datuak biltegiratzea eta gobernatzea Power Platform-en
Lehenik eta behin, garrantzitsua da bereiztea datu pertsonalak eta bezeroen datuak.
Datu pertsonalak pertsonei buruzko informazioa da, horiek identifikatzeko erabil daitekeena.
Bezeroaren datuek datu pertsonalak eta bezeroaren beste informazio batzuk barne hartzen dituzte, URLak, metadatuak eta langileen autentifikazio-informazioa barne, hala nola DNS izenak.
Datuen egoitza
A Microsoft Entra Maizter batek erakunde bati eta haren segurtasunari dagokion informazioa biltzen du. Microsoft Entra Maizter batek Power Platform zerbitzuetan izena ematen duenean, maizterrak hautatutako herrialdea edo eskualdea inplementazio bat dagoen lekuan Azure geografia egokienarekin mapatzen da. Power Platform Power Platform bezeroen datuak maizterrak esleitutako Azure geografian gordetzen ditu, edo home geo, erakundeek hainbat eskualdetan zerbitzuak zabaltzen dituztenean izan ezik.
Erakunde batzuek presentzia globala dute. Esate baterako, baliteke enpresa batek egoitza nagusia Estatu Batuetan izatea, baina negozioak Australian egitea. Baliteke zenbait datu Power Platform Australian gordetzea behar izatea tokiko araudia betetzeko. Power Platform Zerbitzuak Azure geografia batean baino gehiagotan inplementatzen direnean, geo anitzeko inplementazioa esaten zaio. Kasu honetan, inguruneari lotutako metadatuak soilik gordetzen dira etxeko geo. Ingurune horretako metadatu eta produktuen datu guztiak urruneko geogunean gordetzen dira.
Microsoft datuak beste eskualde batzuetara erreplikatu ditzake datuen erresilientzia lortzeko. Ez ditugu datu pertsonalak geografikotik kanpo errepikatzen edo mugitzen, ordea. Beste eskualde batzuetan errepikatutako datuek datu pertsonalak ez direnak izan ditzakete, hala nola langileen autentifikazio-informazioa.
Power Platform zerbitzuak Azure geografia zehatzetan daude eskuragarri. Power Platform zerbitzuak non dauden eskuragarri, zure datuak non gordetzen diren eta nola erabiltzen diren jakiteko, joan Microsoft Konfiantza zentrorara. Bezeroen datuak atsedenean kokapenari buruzko konpromisoak Microsoft Online Zerbitzuen Baldintzetan Datuak Tratatzeko Baldintzetan zehazten dira. Microsoft datu-zentroak ere eskaintzen ditu entitate subiranoentzat.
Datuak kudeatzea
Atal honek Power Platform bezeroen datuak nola gordetzen, prozesatzen eta transferitzen dituen azaltzen du.
Datuak atsedenaldian
Dokumentazioan bestelakorik adierazi ezean, bezeroaren datuak jatorrizko iturrian geratzen dira (adibidez, Dataverse edo SharePoint). Power Platform aplikazio bat Azure Storage-n gordetzen da ingurune baten zati gisa. Mugikorreko aplikazioetan erabiltzen diren datuak SQL Express-en enkriptatzen eta gordetzen dira. Kasu gehienetan, aplikazioek Azure biltegiratzea erabiltzen dute Power Platform zerbitzu-datuak jarraitzeko eta Azure SQL datu-basea zerbitzu-metadatuak jarraitzeko. Aplikazioaren erabiltzaileek sartzen dituzten datuak zerbitzuari dagokion datu-iturburu-n gordetzen dira, adibidez, Dataverse.
Power Platform k gordetzen dituen datu guztiak lehenespenez enkriptatzen dira Microsoftk kudeatutako gakoak erabiliz. Azure SQL datu-basean gordetako bezeroen datuak guztiz enkriptatuta daude Azure SQL-ren Transparent Data Encryption (TDE) teknologia erabiliz. Azure Blob biltegian gordetako bezeroen datuak Azure Storage Encryption erabiliz enkriptatzen dira.
Datuak prozesatzen
Datuak prozesatzen ari dira eszenatoki interaktibo baten parte gisa erabiltzen ari direnean edo atzeko planoko prozesu batek, esaterako, freskatze batek ukitzen duenean. Power Platform prozesatzen ari diren datuak zerbitzu-lan-karga baten edo gehiagoren memoria-espazioan kargatzen ditu. Lan-kargaren funtzionaltasuna errazteko, memorian gordetzen diren datuak ez dira enkriptatzen.
Datuak trantsizioan
Power Platform sarrerako HTTP trafiko guztia TLS 1.2 edo berriagoa erabiliz enkriptatzea eskatzen du. TLS 1.1 edo berriagoa erabiltzen saiatzen diren eskaerak baztertzen dira.
Segurtasun-eginbide aurreratuak
Power Platform-en segurtasun-eginbide aurreratu batzuek lizentzia-baldintza zehatzak dituzte.
Zerbitzu-etiketak
Zerbitzu-etiketa batek zehaztutako Azure zerbitzu bateko IP helbide-aurrizki multzo bat adierazten du. Zerbitzu-etiketak erabil ditzakezu sareko sarbide-kontrolak definitzeko Sareko Segurtasun Taldeetan edo Azure Firewall-en.
Zerbitzu-etiketek sareko segurtasun-arauen maiz eguneratzearen konplexutasuna murrizten laguntzen dute. Zerbitzu etiketak erabil ditzakezu IP helbide zehatzen ordez, adibidez, dagokion zerbitzurako trafikoa baimendu edo ukatzen duten segurtasun-arauak sortzen dituzunean.
Microsoft zerbitzu-etiketak biltzen dituen helbide-aurrizkiak kudeatzen ditu, eta automatikoki eguneratzen du zerbitzu-etiketa helbideak aldatzen diren heinean. Informazio gehiago lortzeko, ikus Azure IP barrutiak eta zerbitzu-etiketak - Hodei publikoa.
Datuak galtzea saihesteko
Power Platform Zure datuen segurtasuna kudeatzen laguntzeko datuen galera prebenitzeko (DLP) eginbideen multzo zabala du .
Biltegiratze Partekatutako Sarbide Sinadura (SAS) IP murrizketa
Oharra
SAS funtzio hauetakoren bat aktibatu aurretik, bezeroek https://*.api.powerplatformusercontent.com domeinurako sarbidea baimendu behar dute edo SAS funtzionalitate gehienek ez dute funtzionatuko.
Ezaugarri-multzo hau maizterraren funtzionalitate espezifikoa da, biltegiratze partekatutako sarbidea sinadura (SAS) tokenak mugatzen dituena eta Power Platform administrazio zentroko menu baten bidez kontrolatzen da. Ezarpen honek, IP (IPv4 eta IPv6) oinarritutako enpresa SAS tokenak nork erabil ditzakeen mugatzen du.
Ezarpen hauek administrazio-zentroko Pribatutasuna + Segurtasuna ezarpenetan aurki daitezke. Gaitu IP helbidean oinarritutako Biltegiratzeko Sarbide Partekatuaren Sinadura (SAS) araua aukera aktibatu behar duzu.
Administratzaileek lau aukera hauetako bat onar dezakete ezarpen honetarako:
| Aukera | Ezarpena | Deskribapenak |
|---|---|---|
| 1 | IP lotura soilik | Horrek SAS gakoak eskatzailearen IPra mugatzen ditu. |
| 2 | IP Firewall bakarrik | Honek SAS gakoak erabiltzea mugatzen du administratzaileak zehaztutako barruti batean soilik lan egiteko. |
| 3 | IP Lotura eta Firewall | Horrek SAS gakoak erabiltzea mugatzen du administratzaileak zehaztutako barruti batean lan egiteko eta eskatzailearen IPra soilik. |
| 4 | IP lotura edo Firewall | SAS gakoak zehaztutako barrutian erabiltzeko aukera ematen du. Eskaera barrutitik kanpo badator, IP Lotura aplikatzen da. |
Oharra
IP Firewall baimentzea aukeratu duten administratzaileek (goiko taulan zerrendatutako 2., 3. eta 4. aukerak) bi sareen IPv4 eta IPv6 barrutiak sartu behar dituzte estaldura egokia bermatzeko. haien erabiltzaileen artean.
Gaituta daudenean IP Lotura ezartzen duten produktuak:
- Dataverse
- Power Automate
- Konektore pertsonalizatuak
- Power Apps
Erabiltzailearen esperientzian eragina
Ingurune bateko IP helbideen mugak betetzen ez dituen erabiltzaile batek aplikazio bat irekitzen duenean: erabiltzaileek errore-mezu bat jasotzen dute IP arazo generiko bat aipatzen duena.
IP helbidearen murrizketak betetzen dituen erabiltzaile batek aplikazio bat irekitzen duenean: Gertaera hauek gertatzen dira:
- Erabiltzaileek azkar desagertuko den banner bat lor dezakete, erabiltzaileei IP ezarpen bat ezarri dela jakinarazteko eta administratzailearekin harremanetan jartzeko xehetasunak lortzeko edo konexioa galtzen duten orrialdeak freskatzeko.
- Are esanguratsuagoa dena, segurtasun ezarpen honek erabiltzen duen IP baliozkotzea dela eta, funtzionalitate batzuk desaktibatuta egongo balira baino motelagoak izan daitezke.
Eguneratu ezarpenak programatikoki
Administratzaileek automatizazioa erabil dezakete IP lotura eta suebaki ezarpenak, baimendutako IP barrutia eta Erregistroa aktibatzeko eta eguneratzeko. Lortu informazio gehiago Tutorialean: sortu, eguneratu eta zerrendatu ingurumena kudeatzeko ezarpenak.
SAS deien erregistroa
Ezarpen honi esker, Power Platform ko SAS dei guztiak Purview-en saioa has daitezke. Erregistro honek sorkuntza- eta erabilera-gertaera guztien metadatu garrantzitsuak erakusten ditu eta goiko SAS IP murrizketetatik kanpo gaitu daiteke. Power Platform zerbitzuak gaur egun SAS deiak sartzen ari dira 2024an.
| Eremu-izena | Eremuaren deskribapena |
|---|---|
| erantzuna.egoera_mezua | Gertaera arrakastatsua izan den edo ez jakinaraztea: SASSuccess edo SASAuthorizationError. |
| erantzuna.egoera_kodea | Ekitaldia arrakastatsua izan den edo ez jakinaraztea: 200, 401 edo 500. |
| ip_binding_mode | IP lotzeko modua maizterreko administratzaileak ezarrita, aktibatuta badago. SAS sortzeko ekitaldiei soilik aplikatzen zaie. |
| admin_hornitutako_ip_barrutiak | Maizterreko administratzaile batek ezarritako IP barrutiak, halakorik badago. SAS sortzeko ekitaldiei soilik aplikatzen zaie. |
| kalkulatutako_ip_iragazkiak | SAS URIetara loturiko IP iragazkien azken multzoa, IP lotze-moduan eta maizterreko administratzaile batek ezarritako barrutietan oinarrituta. SASen sorrera nahiz erabilera-gertaeretan aplikatzen da. |
| analytics.resource.sas.uri | Atzitzen edo sortzen saiatzen ari zen datuak. |
| enduser.ip_helbidea | Deitzailearen IP publikoa. |
| analytics.resource.sas.operation_id | Sortze-gertaeraren identifikatzaile bakarra. Honen bidez bilatuz gero, sorrerako gertaeraren SAS deiekin erlazionatutako erabilera eta sorkuntza gertaera guztiak erakusten dira. "x-ms-sas-operation-id" erantzun goiburuarekin mapatuta. |
| request.service_request_id | Eskaeraren edo erantzun identifikatzaile bakarra eta erregistro bakar bat bilatzeko erabil daiteke. "x-ms-service-request-id" erantzun goiburuarekin mapatuta. |
| bertsioa | Erregistro-eskema honen bertsioa. |
| mota | Erantzun generikoa. |
| analytics.activity.name | Gertaera hau izan zen jarduera mota: Sorkuntza edo Erabilera. |
| analytics.activity.id | Purview-en erregistroaren ID bakarra. |
| analytics.resource.organization.id | Erakundearen IDa |
| analytics.resource.environment.id | Ingurunearen IDa |
| analytics.resource.tenant.id | maizterraren IDa: |
| enduser.id | Sorkuntza-gertaeraren sortzailearen Microsoft Entra IDaren GUID-a. |
| enduser.principal_name | Sortzailearen UPN/helbide elektronikoa. Erabilera-gertaeretarako hau erantzun generikoa da: "system@powerplatform". |
| Azken erabiltzailea.rola | Erantzun generikoa: Ohikoa sorkuntza-gertaeretarako eta Sistema erabilera-gertaeretarako. |
Aktibatu Purview auditoretzaren erregistroa
Erregistroak zure Purview-en instantzian ager daitezen, lehenik eta behin hautatu behar duzu erregistroak nahi dituzun ingurune bakoitzeko. Ezarpen hau Power Platform administrazio zentroan maizterren administratzaile batek egunera dezake.
- Joan Power Platform administrazio zentrora eta hasi saioa maizterraren administratzaile-kredentzialekin.
- Ezkerreko nabigazio-panelean, hautatu Inguruak.
- Hautatu administratzailearen saioa aktibatu nahi duzun ingurunea.
- Hautatu Ezarpenak komando-barran.
- Hautatu Produktua>Pribatutasuna + Segurtasuna.
- Biltegiratzeko Sarbide Partekatuaren sinadura (SAS) segurtasun-ezarpenetan (aurreargitalpen), aktibatu Gaitu SAS saioa Purview-en Ezaugarri.
Bilatu ikuskaritza erregistroak
Maizter-administratzaileek Purview erabil dezakete SAS eragiketetarako igorritako auditoretza-erregistroak ikusteko, eta IP baliozkotze-arazoetan itzul daitezkeen erroreak autodiagnostikatu ditzakete. Purview-eko erregistroak irtenbide fidagarrienak dira.
Erabili urrats hauek arazoak diagnostikatzeko edo zure maizterren SAS erabilera-ereduak hobeto ulertzeko.
Ziurtatu auditoria-erregistroa aktibatuta dagoela ingurumenerako. Ikus Aktibatu Purview auditoria-erregistroa.
Joan Microsoft Purview betetze-atarira eta hasi saioa maizterraren administratzaile kredentzialekin.
Ezkerreko nabigazio-panelean, hautatu Ikuskaritza. Aukera hau erabilgarri ez baduzu, esan nahi du saioa hasita dagoen erabiltzaileak ez duela administratzaile-sarbiderik kontsulta-ikuskapen-erregistroetarako.
Hautatu UTC-n data eta ordu-tartea erregistroak bilatzen saiatzen ari zarenerako. Adibidez, 403 debekatutako errore bat unauthorized_caller error-kode batekin itzultzen zenean.
Jarduerak - lagunarteko izenak goi goitibeherako zerrendan, bilatu Power Platform biltegiratze-eragiketak eta hautatu SAS URI eta SAS URI erabilia sortu da.
Zehaztu gako-hitz bat Gako-hitzen bilaketan atalean. Eremu honi buruzko informazio gehiago lortzeko, ikusi Hasi bilaketarekin Purview dokumentazioan. Goiko taulan deskribatutako edozein eremutako balio bat erabil dezakezu zure eszenatokiaren arabera, baina behean bilaketa egiteko gomendatutako eremuak daude (hobespenen arabera):
- x-ms-service-request-id erantzun goiburuaren balioa. Honek emaitzak SAS URI Sorkuntza gertaera batera edo SAS URI erabilera gertaera batera iragazten ditu, goiburua zein eskaera motatakoa den kontuan hartuta. Erabiltzaileari itzultzen zaion 403 debekatutako errore bat ikertzerakoan erabilgarria da. powerplatform.analytics.resource.sas.operation_id balioa hartzeko ere erabil daiteke.
- x-ms-sas-operation-id erantzun goiburuaren balioa. Honek emaitzak SAS URI sortzeko gertaera batera eta SAS URI horren erabilera-gertaera batera edo gehiagora iragazten ditu, zenbat aldiz atzitu den. powerplatform.analytics.resource.sas.operation_id eremuarekin mapatzen du.
- SAS URI osoa edo partziala, sinadura kenduta. Honek SAS URI sorkuntza asko eta SAS URI erabilera-gertaera asko itzul ditzake, URI bera sor daitekeelako behar adina aldiz eska daitekeelako.
- Deitzailearen IP helbidea. IP horren sorkuntza eta erabilera gertaera guztiak itzultzen ditu.
- Ingurumenaren IDa. Honek Power Platform-ren eskaintza ezberdinetan zabal daitekeen datu-multzo handi bat itzul daiteke; beraz, saihestu ahal izanez gero edo kontuan hartu bilaketa-leihoa murriztea.
Abisua
Ez dugu gomendatzen Erabiltzaile-izena edo Objektuaren IDa bilatzea, horiek sorkuntza-gertaeretara soilik hedatzen baitira, ez erabilera-gertaeretara.
Hautatu Bilatu eta itxaron emaitzak agertu arte.
Abisua
Purview-en erregistroa sartzea ordubete edo gehiagoz atzera daiteke, beraz, kontuan izan hori azken gertaerak bilatzean.
Arazoak konpontzea 403 Debekatuta/deitzailerik gabekoa errorea
Sortze- eta erabilera-erregistroak erabil ditzakezu deiak zergatik eragingo lukeen 403 Debekatuta errore bat unauthorized_caller error-kode batekin.
- Bilatu Purview-en erregistroak, aurreko atalean azaldu bezala. Demagun x-ms-service-request-id edo x-ms-sas-operation-id erabiltzea erantzun goiburuetatik bilaketa-gako gako gisa.
- Ireki erabilera-gertaera, SAS URI erabilia, eta bilatu powerplatform.analytics.resource.sas.computed_ip_filters eremua PropertyCollection. IP barruti hau SAS deiak erabiltzen duena da eskaerak aurrera egiteko baimena duen edo ez zehazteko.
- Konparatu balio hau erregistroko IP helbidea eremuarekin, nahikoa izan beharko luke eskaerak zergatik huts egin duen zehazteko.
- powerplatform.analytics.resource.sas.computed_ip_filters ren balioa okerra dela uste baduzu, jarraitu hurrengo urratsekin.
- Ireki sortze-gertaera, SAS URI-a sortua, x-ms-sas-operation-id erabiliz bilatuz. erantzun goiburuko balioa (edo powerplatform.analytics.resource.sas.operation_id eremuaren balioa sortzearen erregistroko balioa).
- Lortu powerplatform.analytics.resource.sas.ip_binding_mode eremuaren balioa. Falta edo hutsik badago, esan nahi du IP lotzea ez zegoela aktibatuta ingurune horretarako eskaera zehatz horren unean.
- Lortu powerplatform.analytics.resource.sas.admin_provided_ip_ranges-ren balioa. Falta edo hutsik badago, esan nahi du IP suebaki barrutiak ez zirela ingurune horretarako zehaztu eskaera zehatz horren unean.
- Lortu powerplatform.analytics.resource.sas.computed_ip_filters-ren balioa, erabilera-gertaeraren berdina izan behar duena eta IP lotze-moduan eta administratzaileak emandako IP-suebakian oinarrituta eratorria. barrutiak. Ikusi deribazio-logika Datuen biltegiratzea eta gobernantza Power Platform atalean.
Honek maizter-administratzaileei nahikoa informazio eman beharko lieke IP lotze-ezarpenetarako ingurunearen aurkako edozein konfigurazio oker zuzentzeko.
Abisua
SAS IP loturarako ingurune-ezarpenetan egindako aldaketek gutxienez 30 minutu behar izan ditzakete eragina izateko. Gehiago izan liteke bazkide taldeek beren cachea badute.
Erlazionatutako artikuluak
Segurtasuna barruan Microsoft Power Platform
Power Platform zerbitzuetan autentifikatzea
Datu iturrietara konektatzea eta autentifikatzea
Power Platform segurtasun galderak