Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Power Platform procesa tanto datos persoais como datos de clientes. Obtén máis información sobre os datos persoais e os datos dos clientes no Centro de confianza de Microsoft.
Residencia de datos
Un inquilino almacena información relevante para unha organización e a súa seguridade. Microsoft Entra Cando un arrendatario se rexistra en servizos, o país ou a rexión seleccionados polo arrendatario mapéanse á xeografía de Azure máis axeitada onde existe unha implementación. Microsoft Entra Power Platform Power Platform Power Platform almacena os datos dos clientes na xeografía de Azure asignada ao arrendatario ou na *xeografía doméstica*, a menos que as organizacións implementen servizos en varias rexións.
Algunhas organizacións teñen presenza global. Por exemplo, unha empresa pode ter a súa sede nos Estados Unidos pero operar en Australia. É posible que necesite almacenar determinados datos de Power Platform en Australia para cumprir coa normativa local. Cando se implantan servizos de Power Platform en máis dunha xeografía de Azure, denomínase implantación multixeográfica. Neste caso, só se almacenan os metadatos relacionados co entorno no lugar de inicio. Todos os metadatos e os datos do produto nese contorno almacénanse no lugar remoto.
Power Platform Os servizos están dispoñibles en determinadas zonas xeográficas de Azure. Para obter máis información sobre onde Power Platform están dispoñibles os servizos, onde se almacenan e replican os datos para maior resiliencia e como se usan, visite Centro de confianza de Microsoft. Os compromisos sobre a localización dos datos dos clientes en repouso atópanse nas Condicións de procesamento de datos das *Condicións dos servizos en liña de Microsoft*. ... Microsoft tamén ofrece centros de datos para entidades soberanas.
Control dos datos
Nesta sección descríbese como almacenes de Power Platform, procesos e transferencias dos datos dos clientes.
Datos en repouso
A menos que se indique o contrario na documentación, os datos dos clientes permanecen na súa fonte orixinal (por exemplo, Dataverse ou SharePoint). Power Platform As aplicacións almacénanse en Azure Storage como parte dun ambiente. Os datos das aplicacións móbiles están cifrados e almacenados en SQL Express. Na maioría dos casos, as aplicacións usan Azure Storage para conservar datos do servizo de Power Platform e Azure SQL Database para conservar metadatos do servizo. Os datos que introducen os usuarios da aplicación gárdanse no orixe de datos correspondente ao servizo, como Dataverse.
Power Platform cifra todos os datos persistentes por defecto mediante claves xestionadas por Microsoft. Os datos dos clientes almacenados en Azure SQL Database están totalmente cifrados mediante a tecnoloxía Transparent Data Encryption (TDE) de Azure SQL. Os datos dos clientes almacenados en Azure Blob Storage cífranse mediante o cifrado do almacenamento de Azure.
Datos en procesamento
Os datos están en procesamento cando se usan como parte dun escenario interactivo ou cando un proceso en segundo plano, como unha actualización, os toca. Power Platform carga datos en procesamento no espazo de memoria dunha ou máis cargas de traballo de servizo. Para facilitar a funcionalidade da carga de traballo, os datos almacenados na memoria non están cifrados.
Datos en tránsito
Power Platform cifra todo o tráfico HTTP entrante usando TLS 1.2 ou superior. Rexéitanse as solicitudes que tentan utilizar TLS 1.1 ou inferior.
Funcionalidades de seguranza avanzadas
Algunhas das funcións de seguranza avanzadas de Power Platform poden ter requisitos de licenza específicos.
Etiquetas de servizo
Unha etiqueta de servizo é un grupo de prefixos de enderezos IP dun servizo específico de Azure. Pode usar etiquetas de servizo para definir controis de acceso á rede en grupos de seguranza de rede ou Firewall de Azure.
As etiquetas de servizo axudan a minimizar a complexidade das actualizacións frecuentes das regras de seguranza da rede. Pode usar etiquetas de servizo en lugar de enderezos IP específicos cando crea regras de seguridade que, por exemplo, permiten ou negan o tráfico para o servizo correspondente.
Microsoft xestiona os prefixos de enderezo na etiqueta de servizo e actualízaos automaticamente a medida que cambian os enderezos. Para obter máis información, consulte Etiquetas de servizo e intervalos IP de Azure: nube pública.
Políticas de datos
Power Platform inclúe amplas funcións de política de datos para axudar a xestionar a seguridade dos datos.
Restrición de IP de sinatura de acceso compartido de almacenamento (SAS)
Nota
Antes de activar calquera destas funcionalidades de SAS, os clientes deben permitir primeiro o acceso ao dominio ou a maioría das funcionalidades de SAS non funcionarán. https://*.api.powerplatformusercontent.com
Este conxunto de funcionalidades é unha funcionalidade específica do arrendatario que restrinxe os tokens de sinatura de acceso compartido de almacenamento (SAS) e contrólase a través dun menú no Power Platform centro de administración. Esta configuración restrinxe quen, en función do enderezo IP (IPv4 e IPv6), pode usar tokens SAS empresariais.
Esta configuración pódese atopar na configuración de *Privacidade + Seguridade* dun entorno no centro de administración. Debe activar a opción Activar a regra de sinatura de acceso compartido ao almacenamento (SAS) baseada no enderezo IP .
Os administradores poden escoller unha destas catro opcións para esta configuración:
| Opción | Configuración | Descripción |
|---|---|---|
| 1 | Só vinculación IP | Isto restrinxe as claves SAS ao enderezo IP do solicitante. |
| 2 | Só cortafuegos IP | Isto restrinxe o uso de claves SAS para que só funcionen dentro dun rango especificado polo administrador. |
| 3 | Vinculación de IP e cortafuegos | Isto restrinxe o uso de claves SAS para que funcionen dentro dun rango especificado polo administrador e só para o enderezo IP do solicitante. |
| 4 | Vinculación de IP ou Firewall | Permite que as claves SAS se usen dentro do rango especificado. Se a solicitude provén de fóra do rango, aplícase a vinculación IP. |
Nota
Os administradores que decidan activar o Firewall IP (opción 2, 3 e 4 que aparece na táboa anterior) deben introducir os intervalos IPv4 e IPv6 das súas redes para garantir unha cobertura axeitada dos seus usuarios.
Aviso
As opcións 1 e 3 empregan a vinculación de IP, que non funciona correctamente se os clientes teñen pasarelas habilitadas para grupos de IP, proxy inverso ou tradución de enderezos de rede (NAT) dentro das súas redes. Isto fai que o enderezo IP dun usuario cambie con demasiada frecuencia para que un solicitante poida ter de forma fiable o mesmo IP entre as operacións de lectura/escritura do SAS.
As opcións 2 e 4 funcionan segundo o previsto.
Produtos que aplican a vinculación de IP cando están activados:
- Dataverse
- Power Automate
- Conectores personalizados
- Power Apps
Impacto na experiencia do usuario
Cando un usuario que non cumpre as restricións de enderezo IP dun entorno abre unha aplicación: Os usuarios reciben unha mensaxe de erro que indica un problema xenérico de IP.
Cando un usuario que cumpre as restricións de enderezo IP abre unha aplicación: prodúcense os seguintes eventos:
- Os usuarios poden ver un banner que desaparecerá rapidamente para avisarlles de que se estableceu unha configuración de IP e para que se poñan en contacto co administrador para obter máis detalles ou para actualizar as páxinas que perdan a conexión.
- Máis significativamente, debido á validación de IP que usa esta configuración de seguranza, algunhas funcionalidades poden funcionar máis lentamente que se estivesen desactivadas.
Actualizar a configuración mediante programación
Os administradores poden usar a automatización para definir e actualizar tanto a vinculación de IP como a configuración do firewall, o rango de IP que está na lista de permitidos e o botón de activación/desactivación de *Rexistro*. Máis información no *Tutorial: Crear, actualizar e listar a configuración de xestión do entorno* .
Rexistro de chamadas SAS
Esta configuración permite que todas as chamadas SAS dentro de Power Platform se rexistren en Purview. Este rexistro mostra os metadatos relevantes para todos os eventos de creación e uso e pódese activar independentemente das restricións IP de SAS anteriores. Power Platform Os servizos están a incorporar chamadas SAS en 2024.
| Nome de campo | Descrición do campo |
|---|---|
| mensaxe_de_estado_de_resposta | Informando se o evento tivo éxito ou non: SASSuccess ou SASAuthorizationError. |
| código_de_estado_da_resposta | Informando se o evento tivo éxito ou non: 200, 401 ou 500. |
| modo_de_vinculación_ip | Modo de vinculación de IP definido por un administrador de arrendatario, se está activado. Aplicase só aos eventos de creación de SAS. |
| intervalos_ip_fornecidos_por_administrador | Rangos de IP definidos por un administrador de arrendatarios, se os houber. Aplicase só aos eventos de creación de SAS. |
| filtros_ip_calculados | Conxunto final de filtros de IP vinculados a URI de SAS segundo o modo de vinculación de IP e os intervalos definidos por un administrador de arrendatarios. Aplícase tanto aos eventos de creación como de uso de SAS. |
| analytics.resource.sas.uri | Os datos aos que se estaba a tentar acceder ou crear. |
| enderezo_ip_do_usuario_final | O enderezo IP público da persoa que chama. |
| analytics.resource.sas.operation_id | O identificador único do evento de creación. A busca por isto mostra todos os eventos de uso e creación relacionados coas chamadas SAS desde o evento de creación. Mapeado á cabeceira de resposta "x-ms-sas-operation-id". |
| solicitude.id_solicitude_de_servizo | Identificador único da solicitude ou resposta e pódese usar para buscar un só rexistro. Mapeado á cabeceira de resposta "x-ms-service-request-id". |
| versión | Versión deste esquema de rexistro. |
| tipo | Resposta xenérica. |
| analytics.activity.name | O tipo de actividade deste evento foi: Creación ou Uso. |
| analytics.activity.id | ID único do rexistro en Purview. |
| analytics.resource.organization.id | ID da organización |
| analytics.resource.environment.id | ID do ambiente |
| analytics.resource.tenant.id | Id. de arrendatario de |
| enduser.id | O GUID from Microsoft Entra ID do creador desde o evento de creación. |
| usuario_final.nome_principal | O UPN/enderezo de correo electrónico do creador. Para os eventos de uso, esta é unha resposta xenérica: "system@powerplatform". |
| Rol de usuario final | Resposta xenérica: Normal para eventos de creación e Sistema para eventos de uso. |
Activar o rexistro de auditoría de Purview
Para que os rexistros se mostren na túa instancia de Purview, primeiro debes activalos para cada ambiente para o que queiras rexistros. Un administrador de inquilinos pode actualizar esta configuración no Power Platform centro de administración.
- Inicia sesión no centro de administración de Power Platform coas credenciais de administrador de inquilino.
- No panel de navegación, seleccione Xestionar.
- No panel Xestionar , seleccione Entornos.
- Seleccione o ambiente para o que desexa activar o rexistro de administrador.
- Seleccione Configuración na barra de comandos.
- Selecciona Produto>Privacidade + Seguridade.
- En Configuración de seguranza da sinatura de acceso compartido (SAS) de almacenamento (vista previa), active a función Activar o rexistro SAS en Purview .
Buscar rexistros de auditoría
Os administradores de arrendatarios poden usar Purview para ver os rexistros de auditoría emitidos para as operacións SAS e poden autodiagnosticar erros que se poidan devolver nos problemas de validación de IP. Os rexistros de Purview son a solución máis fiable.
Siga os seguintes pasos para diagnosticar problemas ou comprender mellor os patróns de uso de SAS dentro do seu arrendatario.
Asegúrate de que o rexistro de auditoría estea activado para o ambiente. Consulta Activar o rexistro de auditoría de Purview.
Vaia ao portal de cumprimento de Microsoft Purview e inicie sesión coas credenciais de administrador de arrendatarios.
No panel de navegación esquerdo, seleccione Auditoría. Se esta opción non está dispoñible, significa que o usuario que iniciou sesión non ten acceso de administrador aos rexistros de auditoría de consultas.
Seleccione o intervalo de datas e horas en UTC para buscar rexistros. Por exemplo, cando se devolveu un erro 403 Prohibido cun código de erro unauthorized_caller .
Na lista despregable Actividades - nomes amigables , busque Power Platform operacións de almacenamento e seleccione URI SAS creado e URI SAS usado.
Especifique unha palabra clave en Busca por palabras clave. Consulta a sección *Comezar coa busca* na documentación de Purview para obter máis información sobre este campo. ... Podes usar un valor de calquera dos campos descritos na táboa anterior dependendo do teu escenario, pero a continuación móstranse os campos recomendados para buscar (por orde de preferencia):
- O valor da cabeceira de resposta x-ms-service-request-id . Isto filtra os resultados a un evento de creación de URI SAS ou a un evento de uso de URI SAS, dependendo do tipo de solicitude do que proceda a cabeceira. É útil ao investigar un erro 403 Prohibido devolto ao usuario. Tamén se pode usar para obter o valor de powerplatform.analytics.resource.sas.operation_id .
- O valor da cabeceira de resposta x-ms-sas-operation-id . Isto filtra os resultados por un evento de creación de URI SAS e un ou máis eventos de uso para ese URI SAS dependendo de cantas veces se accedeu a el. Correspóndese co campo powerplatform.analytics.resource.sas.operation_id .
- URI SAS completo ou parcial, sen a sinatura. Isto podería devolver moitas creacións de URI SAS e moitos eventos de uso de URI SAS, porque é posible solicitar a xeración do mesmo URI tantas veces como sexa necesario.
- Enderezo IP do chamador. Devolve todos os eventos de creación e uso para ese enderezo IP.
- ID do ambiente. Isto podería devolver un gran conxunto de datos que poden abarcar moitas ofertas diferentes de Power Platform, polo que se debe evitar se é posible ou considerar a posibilidade de reducir a xanela de busca.
Aviso
Non recomendamos buscar o nome principal do usuario ou o ID do obxecto porque só se propagan aos eventos de creación, non aos eventos de uso.
Selecciona Buscar e agarda a que aparezan os resultados.
Aviso
A inxestión de rexistros en Purview pode atrasarse ata unha hora ou máis, polo que debes telo en conta ao buscar eventos recentes.
Resolución de problemas do erro 403 de chamada prohibida/non autorizada
Podes usar os rexistros de creación e uso para determinar por que unha chamada podería dar lugar a un erro 403 Prohibido cun código de erro unauthorized_caller .
- Atopa rexistros en Purview como se describe na sección anterior. Considere usar x-ms-service-request-id ou x-ms-sas-operation-id das cabeceiras de resposta como palabra clave de busca.
- Abra o evento de uso, URI SAS usado, e busque o campo powerplatform.analytics.resource.sas.computed_ip_filters en PropertyCollection. Este rango de IP é o que a chamada SAS usa para determinar se a solicitude está autorizada para continuar ou non.
- Compare este valor co campo Enderezo IP do rexistro, que debería ser suficiente para determinar por que fallou a solicitude.
- Se cres que o valor de powerplatform.analytics.resource.sas.computed_ip_filters é incorrecto, continúa cos seguintes pasos.
- Abra o evento de creación, URI SAS creado, buscando usando o valor da cabeceira de resposta x-ms-sas-operation-id (ou o valor do campo powerplatform.analytics.resource.sas.operation_id do rexistro de creación).
- Obtén o valor do campo powerplatform.analytics.resource.sas.ip_binding_mode . Se falta ou está baleiro, significa que a vinculación de IP non estaba activada para ese ambiente no momento desa solicitude en particular.
- Obtén o valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se falta ou está baleiro, significa que non se especificaron intervalos de firewall IP para ese ambiente no momento desa solicitude en particular.
- Obtén o valor de powerplatform.analytics.resource.sas.computed_ip_filters, que debería ser idéntico ao evento de uso e derívase en función do modo de vinculación de IP e dos rangos de firewall de IP proporcionados polo administrador. Consulta a lóxica de derivación en Almacenamento e gobernanza de datos en Power Platform.
Esta información axuda aos administradores de arrendatarios a corrixir calquera configuración incorrecta na configuración de vinculación de IP do ambiente.
Aviso
Os cambios na configuración do ambiente para a vinculación de IP SAS poden tardar polo menos 30 minutos en ter efecto. Podería ser máis se os equipos socios tivesen a súa propia caché.
Artigos relacionados
Visión xeral da seguridade
Autenticación en servizos Power Platform
Conexión e autenticación a fontes de datos
Power Platform preguntas frecuentes sobre seguridade