Almacenamento e regulación de datos en Power Platform
En primeiro lugar, é importante distinguir entre datos persoais e datos de clientes.
Os datos persoais son información sobre persoas que se poden utilizar para identificalas.
Os datos do cliente inclúen datos persoais e outra información do cliente, incluídos os URL, os metadatos e a información de autenticación dos empregados, como os nomes de DNS.
Residencia de datos
Un Microsoft Entra inquilino alberga información que é relevante para unha organización e a súa seguridade. Cando un Microsoft Entra inquilino se rexistra nos servizos Power Platform , o país ou a rexión seleccionados do inquilino mapea á xeografía de Azure máis adecuada onde existe unha Power Platform implementación. Power Platform almacena os datos do cliente na xeografía de Azure asignada ao arrendatario ou xeografía principal, excepto cando as organizacións despreguen servizos en varias rexións.
Algunhas organizacións teñen presenza global. Por exemplo, unha empresa pode ter a súa sede nos Estados Unidos pero facer negocios en Australia. É posible que necesite almacenar determinados datos de Power Platform en Australia para cumprir coa normativa local. Cando se implantan servizos de Power Platform en máis dunha xeografía de Azure, denomínase implantación multixeográfica. Neste caso, só se almacenan os metadatos relacionados co entorno no lugar de inicio. Todos os metadatos e os datos do produto nese contorno almacénanse no lugar remoto.
Microsoft pode replicar os datos noutras rexións para a súa resistencia. Non obstante, non replicamos nin movemos datos persoais fóra do lugar. Os datos replicados noutras rexións poden incluír datos non persoais, como información de autenticación dos empregados.
Os servizos de Power Platform están dispoñibles en xeografías específicas de Azure. Para obter máis información sobre onde están dispoñibles os servizos de Power Platform, onde se almacenan os seus datos e como se usan, vaia ao Centro de confianza de Microsoft. Os compromisos relativos á localización dos datos do cliente en repouso especifícanse nas Condicións de tratamento de datos das Condicións dos servizos en liña de Microsoft. Microsoft tamén ofrece centros de datos para entidades soberanas.
Control dos datos
Nesta sección descríbese como almacenes de Power Platform, procesos e transferencias dos datos dos clientes.
Datos en repouso
A menos que se indique o contrario na documentación, os datos dos clientes permanecen na súa fonte orixinal (por exemplo, Dataverse ou SharePoint). Unha aplicación Power Platform almacénase en Azure Storage como parte dun ambiente. Os datos utilizados nas aplicacións móbiles están cifrados e almacenados en SQL Express. Na maioría dos casos, as aplicacións usan Azure Storage para conservar datos do servizo de Power Platform e Azure SQL Database para conservar metadatos do servizo. Os datos que introducen os usuarios da aplicación gárdanse no orixe de datos correspondente ao servizo, como Dataverse.
Todos os datos conservados por Power Platform están cifrados por defecto mediante chaves xestionadas por Microsoft. Os datos dos clientes almacenados en Azure SQL Database están totalmente cifrados mediante a tecnoloxía Transparent Data Encryption (TDE) de Azure SQL. Os datos dos clientes almacenados en Azure Blob Storage cífranse mediante o cifrado do almacenamento de Azure.
Datos en procesamento
Os datos están en procesamento cando se usan como parte dun escenario interactivo ou cando un proceso en segundo plano, como unha actualización, os toca. Power Platform carga datos en procesamento no espazo de memoria dunha ou máis cargas de traballo de servizo. Para facilitar a funcionalidade da carga de traballo, os datos almacenados na memoria non están cifrados.
Datos en tránsito
Power Platform require que todo o tráfico HTTP entrante estea cifrado mediante TLS 1.2 ou superior. Rexéitanse as solicitudes que tentan utilizar TLS 1.1 ou inferior.
Funcionalidades de seguranza avanzadas
Algunhas das funcións de seguranza avanzadas de Power Platform teñen requisitos de licenza específicos.
Etiquetas de servizo
Unha etiqueta de servizo representa un grupo de prefixos de enderezos IP dun servizo de Azure especificado. Pode usar etiquetas de servizo para definir controis de acceso á rede en grupos de seguranza de rede ou Firewall de Azure.
As etiquetas de servizo axudan a minimizar a complexidade das actualizacións frecuentes das regras de seguranza da rede. Pode usar etiquetas de servizo en lugar de enderezos IP específicos cando crea regras de seguridade que, por exemplo, permiten ou negan o tráfico para o servizo correspondente.
Microsoft xestiona os prefixos de enderezos incluídos na etiqueta de servizo e actualiza automaticamente a etiqueta de servizo a medida que cambian os enderezos. Para obter máis información, consulte Etiquetas de servizo e intervalos IP de Azure: nube pública.
Prevención de perda de datos
Power Platform ten un amplo conxunto de funcións de prevención de perda de datos (DLP) para axudarlle a xestionar a seguridade dos seus datos.
Restrición de IP de sinatura de acceso compartido de almacenamento (SAS).
Nota
Antes de activar calquera destas funcións de SAS, os clientes deben permitir o acceso ao https://*.api.powerplatformusercontent.com dominio ou a maioría das funcións de SAS non funcionarán.
Este conxunto de funcións é unha función específica do inquilino que restrinxe os tokens de sinatura de acceso compartido de almacenamento (SAS) e contrólase a través dun menú no Power Platform centro de administración. Esta configuración restrinxe quen, en función da IP, pode usar tokens SAS empresariais.
Esta función está actualmente en privado versión preliminar. Versión preliminar pública está previsto para a finais desta primavera, con dispoñibilidade xeral no verán de 2024. Para obter máis información, consulta Planificador de versións.
Esta configuración pódese atopar na configuración de Privacidade + Seguridade dun ambiente no centro de administración. Debes activar a opción Activar a regra de sinatura de acceso compartido de almacenamento (SAS) baseada en enderezos IP .
Os administradores poden activar unha destas catro configuracións para esta configuración:
| Configuración | Descripción |
|---|---|
| Só vinculación IP | Isto restrinxe as claves SAS á IP do solicitante. |
| Só firewall IP | Isto restrinxe o uso de claves SAS para funcionar só dentro dun intervalo especificado do administrador. |
| Vinculación IP e Firewall | Isto restrinxe o uso de claves SAS para traballar dentro dun intervalo especificado polo administrador e só á IP do solicitante. |
| Vinculación IP ou Firewall | Permite que as chaves SAS se utilicen dentro do intervalo especificado. Se a solicitude procede de fóra do intervalo, aplícase a vinculación IP. |
Produtos que aplican a vinculación IP cando están activados:
- Dataverse
- Power Automate
- Conectores personalizados
- Power Apps
Impacto na experiencia do usuario
Cando un usuario, que non cumpre as restricións de enderezo IP dun ambiente, abre unha aplicación: os usuarios reciben unha mensaxe de erro que cita un problema de IP xenérico.
Cando un usuario, que cumpre coas restricións do enderezo IP, abre unha aplicación: ocorren os seguintes eventos:
- Os usuarios poden obter un banner que desaparecerá rapidamente para informar aos usuarios de que se estableceu unha configuración de IP e que se poñan en contacto co administrador para obter máis información ou para actualizar as páxinas que perdan a conexión.
- O que é máis significativo, debido á validación IP que utiliza esta configuración de seguranza, algunhas funcións poden funcionar máis lento que se estivese desactivada.
Rexistro de chamadas SAS
Esta configuración permite que todas as chamadas SAS dentro de Power Platform se inicien sesión en Purview. Este rexistro mostra os metadatos relevantes para todos os eventos de creación e uso e pódese activar independentemente das restricións IP SAS anteriores. Power Platform Actualmente, os servizos están incorporando chamadas de SAS en 2024.
| Nome de campo | Descrición do campo |
|---|---|
| resposta.mensaxe_de estado | Informar se o evento foi exitoso ou non: SASSuccess ou SASAuthorizationError. |
| resposta.código_de_estado | Informar se o evento foi exitoso ou non: 200, 401 ou 500. |
| ip_binding_mode | Modo de vinculación IP definido por un administrador do inquilino, se está activado. Aplícase só aos eventos de creación de SAS. |
| intervalos_ip_proporcionados por administrador | Intervalos de IP definidos por un administrador do inquilino, se os hai. Aplícase só aos eventos de creación de SAS. |
| filtros_ip_calculados | Conxunto final de filtros IP vinculados a URI de SAS en función do modo de vinculación de IP e dos intervalos establecidos por un administrador do inquilino. Aplícase tanto a eventos de creación como de uso de SAS. |
| analytics.resource.sas.uri | Os datos aos que se tentaba acceder ou crear. |
| enderezo_usuario final | A IP pública da persoa que chama. |
| analytics.resource.sas.operation_id | O identificador único do evento de creación. Ao buscar por isto móstranse todos os eventos de uso e creación relacionados coas chamadas SAS do evento de creación. Asignado á cabeceira "x-ms-sas-operation-id" resposta. |
| request.service_request_id | Identificador único da solicitude ou resposta e pódese usar para buscar un único rexistro. Asignado á cabeceira "x-ms-service-request-id" resposta. |
| versión | Versión deste esquema de rexistro. |
| tipo | Resposta xenérico. |
| analytics.activity.name | O tipo de actividade deste evento foi: Creación ou Uso. |
| analytics.activity.id | ID único do rexistro en Purview. |
| analytics.resource.organization.id | ID da organización |
| analytics.resource.environment.id | ID do ambiente |
| analytics.resource.tenant.id | Id. de arrendatario de |
| enduser.id | O GUID de Microsoft Entra ID do creador do evento de creación. |
| Usuario final.nome_principal | O UPN/enderezo de correo electrónico do creador. Para eventos de uso, este é un resposta xenérico: "system@powerplatform". |
| Usuario final.papel | Resposta xenérico: Regular para eventos de creación e Sistema para eventos de uso. |
Activa o rexistro de auditoría de Purview
Para que os rexistros se mostren na túa instancia de Purview, primeiro debes optar por cada ambiente para o que queres rexistros. Esta configuración pódese actualizar no Power Platform centro de administración por un administrador de arrendatarios.
- Vaia ao Power Platform centro de administración e inicie sesión coas credenciais do administrador do inquilino.
- No panel de navegación esquerdo, seleccione Entornos.
- Seleccione o ambiente no que quere activar o rexistro de administrador.
- Seleccione Configuración na barra de comandos.
- Seleccione Produto>Privacidade + Seguridade.
- En Configuración de seguranza da firma de acceso compartido de almacenamento (SAS) (versión preliminar), active Activar o inicio de sesión SAS en Purview característica.
Buscar rexistros de auditoría
Os administradores do inquilino poden usar Purview para ver os rexistros de auditoría emitidos para as operacións de SAS e poden autodiagnosticar os erros que se poden devolver nos problemas de validación de IP. Os rexistros en Purview son a solución máis fiable.
Use os seguintes pasos para diagnosticar problemas ou comprender mellor os patróns de uso de SAS no seu inquilino.
Asegúrate de que o rexistro de auditoría estea activado para o ambiente. Consulta Activar o rexistro de auditoría de Purview.
Vaia ao portal de cumprimento de Microsoft Purview e inicie sesión coas credenciais do administrador do inquilino.
No panel de navegación esquerdo, selecciona Auditoría. Se esta opción non está dispoñible para vostede, significa que o usuario que iniciou sesión non ten acceso de administrador aos rexistros de auditoría de consulta.
Escolle o intervalo de data e hora en UTC para cando intentes buscar rexistros. Por exemplo, cando se devolveu un erro 403 prohibido cun código de erro unauthorized_caller .
Na lista despregable Actividades: nomes sinxelos , busque Power Platform operacións de almacenamento e seleccione Creouse a URI de SAS e Usouse a URI de SAS.
Especifique unha palabra clave en Busca de palabras clave. Consulta Comezar coa busca na documentación de Purview para obter máis información sobre este campo. Podes usar un valor de calquera dos campos descritos na táboa anterior dependendo do teu escenario, pero a continuación móstranse os campos recomendados para buscar (por orde de preferencia):
- O valor da cabeceira x-ms-service-request-id resposta. Isto filtra os resultados a un evento de creación de URI SAS ou un evento de uso de URI SAS, dependendo do tipo de solicitude de que proceda a cabeceira. É útil cando se investiga un erro 403 prohibido devolto ao usuario. Tamén se pode usar para coller o valor powerplatform.analytics.resource.sas.operation_id .
- O valor da cabeceira x-ms-sas-operation-id resposta. Isto filtra os resultados a un evento de creación de URI SAS e un ou máis eventos de uso para ese URI SAS dependendo de cantas veces se accedeu. Asigne o campo powerplatform.analytics.resource.sas.operation_id .
- URI SAS completo ou parcial, menos a sinatura. Isto pode devolver moitas creacións de URI SAS e moitos eventos de uso de URI SAS, porque é posible que se solicite o mesmo URI para a súa xeración tantas veces como sexa necesario.
- Enderezo IP da chamada. Devolve todos os eventos de creación e uso para esa IP.
- ID do entorno. Isto pode devolver un gran conxunto de datos que poden abarcar moitas ofertas diferentes de Power Platform, polo que evita se é posible ou considera reducir a xanela de busca.
Aviso
Non recomendamos buscar o nome principal de usuario ou o ID de obxecto, xa que só se propagan aos eventos de creación, non aos eventos de uso.
Seleccione Buscar e agarda a que aparezan os resultados.
Aviso
A inxestión de rexistros en Purview pódese atrasar ata unha hora ou máis, así que téñao en conta cando busques os eventos máis recentes.
Solución de problemas 403 Forbidden/unauthorized_caller erro
Podes utilizar os rexistros de creación e uso para determinar por que unha chamada produciría un erro 403 prohibido cun código de erro unauthorized_caller .
- Busca rexistros en Purview como se describe na sección anterior. Considere usar x-ms-service-request-id ou x-ms-sas-operation-id das cabeceiras resposta como palabra clave de busca.
- Abre o evento de uso, URI de SAS usado e busca powerplatform.analytics.resource.sas.computed_ip_filters campo en PropertyCollection. Este intervalo de IP é o que usa a chamada SAS para determinar se a solicitude está autorizada para continuar ou non.
- Compare este valor co campo Enderezo IP do rexistro, que debería ser suficiente para determinar por que fallou a solicitude.
- Se cres que o valor de powerplatform.analytics.resource.sas.computed_ip_filters é incorrecto, continúa cos pasos seguintes.
- Abra o evento de creación, Creouse o URI de SAS, buscando mediante o x-ms-sas-operation-id Valor da cabeceira resposta (ou o valor do campo powerplatform.analytics.resource.sas.operation_id do rexistro de creación).
- Obtén o valor do campo powerplatform.analytics.resource.sas.ip_binding_mode . Se falta ou está baleiro, significa que a vinculación IP non estaba activada para ese ambiente no momento da solicitude en particular.
- Obtén o valor de powerplatform.analytics.resource.sas.admin_provided_ip_ranges. Se falta ou está baleiro, significa que non se especificaron intervalos de firewall IP para ese ambiente no momento da solicitude en particular.
- Obtén o valor de powerplatform.analytics.resource.sas.computed_ip_filters, que debería ser idéntico ao evento de uso e derívase en función do modo de vinculación IP e do firewall IP proporcionado polo administrador intervalos. Consulta a lóxica de derivación en Almacenamento de datos e goberno en Power Platform.
Isto debería proporcionar aos administradores dos inquilinos información suficiente para corrixir calquera configuración incorrecta do entorno para a configuración de vinculación IP.
Aviso
Os cambios realizados na configuración do contorno para a vinculación IP SAS poden tardar polo menos 30 minutos en entrar en vigor. Podería ser máis se os equipos socios teñen a súa propia caché.
Artigos relacionados
Seguranza en Microsoft Power Platform
Autenticación para servizos de Power Platform
Conexión e autenticación con orixes de datos
Preguntas máis frecuentes sobre seguranza de Power Platform
Consulte tamén
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios