שתף באמצעות

אחסון נתונים ופיקוח ב- Power Platform

  • מאמר

ראשית, חשוב להבדיל בין נתונים אישיים ונתוני לקוחות.

  • נתונים אישיים הם מידע על אנשים שניתן להשתמש בו כדי לזהות אותם.

  • נתוני לקוחות כוללים נתונים אישיים ופרטי לקוחות אחרים, לרבות כתובות אתרים, מטא נתונים ופרטי אימות עובדים, כגון שמות DNS.

מרכזי נתונים

דייר Microsoft Entra מכיל מידע שרלוונטי לארגון ולאבטחתו. כאשר דייר Microsoft Entra נרשם לשירותי Power Platform, המדינה או האזור שנבחרו עבור הדייר ממופים לאזור הגיאוגרפי המתאים ביותר של Azure שבו יש פריסה של Power Platform. Power Platform מאחסן נתוני לקוחות באזור הגיאוגרפי של Azure שהוקצה לדייר, או מיקום הבית הגיאוגרפי, למעט כאשר ארגונים פורסים שירותים באזורים מרובים.

לארגונים מסוימים יש נוכחות גלובלית. לדוגמה, יכול להיות שהעסק מבוסס בארצות הברית אבל מנהל עסקים באוסטרליה. ייתכן שיהיה לו צורך באחסון נתוני Power Platform מסוימים באוסטרליה כדי לעמוד בתקנות המקומיות. מצב שבו השירותים של Power Platform פרוסים ביותר מאזור גיאוגרפי אחד של Azure, מכונה פריסה של ריבוי מיקומים גיאוגרפיים. במקרה כזה, רק המטה-נתונים הקשורים לסביבה מאוחסנים במיקום הבית הגיאוגרפי. כל המטה-נתונים ונתוני המוצר בסביבה זו מאוחסנים במיקומים גיאוגרפיים מרוחקים.

Microsoft עשוי לשכפל נתונים לאזורים אחרים לצורך גמישות הנתונים. עם זאת, איננו משכפלים או מעבירים נתונים אישיים מחוץ למיקום הגיאוגרפי. נתונים המשוכפלים לאזורים אחרים עשויים לכלול נתונים לא אישיים כגון מידע אימות עובדים.

השירותים של Power Platform זמינים באזורים גיאוגרפיים ספציפיים של Azure. למידע נוסף על היכן זמינים Power Platform שירותים, היכן מאוחסנים הנתונים שלך וכיצד נעשה בהם שימוש, עבור אל Microsoft מרכז האמון. התחייבויות הנוגעות למיקומם של נתוני לקוחות במצב מנוחה מפורטים בתנאי עיבוד הנתונים של Microsoft תנאי השירותים המקוונים. Microsoft מספקת גם מרכזי נתונים ל ישויות ריבוניות.

טיפול בנתונים

סעיף זה מתאר כיצד Power Platform מאחסן, מעבד ומעביר נתוני לקוחות.

נתונים במנוחה

אלא אם כן צוין אחרת בתיעוד, נתוני הלקוחות נשארים במקור (לדוגמה, Dataverse או SharePoint). היישום Power Platform מאוחסן ב- Azure Storage כחלק מסביבה. נתונים המשמשים באפליקציות למכשירים ניידים מוצפנים ומאוחסנים ב- SQL Express. ברוב המקרים, יישומים משתמשים ב- Azure Storage כדי לשמור נתוני שירות Power Platform וב- Azure SQL Database כדי לשמור מטה-נתונים של שירות. נתונים שהוזנו על-ידי משתמשי היישום מאוחסנים במקור הנתונים המתאים של השירות, כגון Dataverse.

כל הנתונים המוחזקים על ידי Power Platform מוצפנים כברירת מחדל באמצעות מפתחות מנוהלים על ידי Microsoft. נתוני לקוחות המאוחסנים ב- Azure SQL Database מוצפנים במלואם באמצעות טכנולוגיית (TDE)‏ Transparent Data Encryption‏ של Azure SQL. נתוני לקוחות המאוחסנים באחסון Azure Blob מוצפנים באמצעות Azure Storage Encryption.

נתונים בתהליך עיבוד

הנתונים נמצאים בעיבוד כאשר הם נמצאים בשימוש כחלק מתרחיש אינטראקטיבי, או כאשר תהליך רקע, כגון ריענון, נוגע בנתונים אלה. Power Platform טוען נתונים שעוברים עיבוד לתוך שטח הזיכרון של עומס עבודה אחד או יותר של השירות. כדי להקל על הפונקציונליות של עומס העבודה, נתונים המאוחסנים בזיכרון אינם מוצפנים.

נתונים בהעברה

Power Platform מחייב הצפנה של כל תעבורת ה- HTTP הנכנסת באמצעות TLS 1.2 ומעלה. בקשות המנסות להשתמש ב- TLS 1.1 ומטה נדחות.

תכונות אבטחה מתקדמות

לחלק מתכונות האבטחה המתקדמות של Power Platform יש דרישות רישוי ספציפיות.

תגית שירות

תגית שירות מייצגת קבוצת קידומות של כתובות IP משירות Azure מסוים. באפשרותך להשתמש בתגיות שירות כדי להגדיר בקרות גישה לרשת בקבוצות אבטחת רשת או ב- Azure Firewall.

תגיות השירות עוזרות למזער את המורכבות של עדכונים תכופים של כללי אבטחת הרשת. באפשרותך להשתמש בתגי שירות במקום כתובות IP ספציפיות בעת יצירת כללי אבטחה שיכולים למשל לאפשר או למנוע תעבורה עבור השירות המתאים.

Microsoft מנהל את קידומות הכתובות המוקפות בתג השירות, ומעדכן אוטומטית את תג השירות כאשר הכתובות משתנות. לקבלת מידע נוסף, ראה טווחי IP ותגיות שירות של Azure - ענן ציבורי.

מניעת אובדן נתונים

Power Platform כולל ערכה נרחבת של תכונות מניעת אובדן נתונים (DLP) כדי לסייע לך בניהול אבטחת הנתונים.

הגבלת IP של Storage Shared Access Signature (SAS)

הערה

לפני הפעלת אחת מתכונות ה-SAS הללו, על הלקוחות לאפשר תחילה גישה לתחום https://*.api.powerplatformusercontent.com, אחרת רוב הפונקציונליות של SAS לא יפעלו.

ערכת תכונות זו היא פונקציונליות ספציפית לדיירים המגבילה אסימוני Storage Shared Access Signature ‏(SAS) ונשלטת באמצעות תפריט במרכז הניהול של Power Platform. הגדרה זו מגבילה מי, בהתבסס על IP (IPv4 ו-IPv6) יכול להשתמש באסימוני SAS ארגוניים.

ניתן למצוא הגדרות אלה במרכז הניהול של סביבה דרך הגדרות פרטיות + אבטחה. עליך להפעיל את האפשרות הפעלה של כלל לחתימת גישה משותפת לאחסון (SAS) של כתובת IP.

מנהלי מערכת יכולים לאפשר אחת מארבע האפשרויות הבאות עבור הגדרה זו:

אפשרות הגדרה Description
1 איגוד IP בלבד זה מגביל את מפתחות SAS ל-IP של המבקש.
2 חומת אש IP בלבד זה מגביל את השימוש במפתחות SAS לעבוד רק בטווח שצוין על ידי מנהל.
3 איגוד IP וחומת אש זה מגביל את השימוש במפתחות SAS לעבוד רק בטווח שצוין על ידי מנהל ורק ה-IP של המבקש.
4 איגוד IP או חומת אש מאפשר שימוש במפתחות SAS בטווח שצוין. אם הבקשה מגיעה מחוץ לטווח, מופעל IP Binding.

הערה

מנהלי מערכת שבחרו לאפשר חומת אש של IP (אפשרויות 2, 3 ו-4 המפורטות בטבלה למעלה) חייבים להזין גם טווחי IPv4 וגם IPv6 של הרשתות שלהם כדי להבטיח כיסוי מתאים של המשתמשים שלהם.

מוצרים שאוכפים את איגוד ה-IP כשהם מופעלים:

  • Dataverse
  • Power Automate
  • מחברים מותאמים אישית
  • Power Apps

השפעה על חווית המשתמש

  • כאשר משתמש, שאינו עומד במגבלות כתובת ה-IP של הסביבה, פותח אפליקציה: המשתמשים מקבלים הודעת שגיאה המציינת בעיית IP כללית.

  • כאשר משתמש, שאכן עומד בהגבלות כתובת ה-IP, פותח אפליקציה: האירועים הבאים מתרחשים:

    • המשתמשים עשויים לקבל באנר שייעלם במהירות המאפשר למשתמשים לדעת שהוגדרה הגדרת IP וליצור קשר עם המנהל לפרטים או לרענון כל דף שמאבד את החיבור.
    • באופן משמעותי יותר, בשל אימות ה-IP שבו משתמשת הגדרת אבטחה זו, פונקציונליות מסוימת עשויה לפעול לאט יותר מאשר אם היא הייתה כבויה.

עדכן את ההגדרות באופן פרוגרמטי

מנהלי מערכת יכולים להשתמש באוטומציה כדי להגדיר ולעדכן הן את הגדרת האיגוד של ה-IP לעומת הגדרות חומת האש, את טווח ה-IP המופיע ברשימה ההיתרה, והחלפת ה רישום . למידע נוסף ב מדריך: צור, עדכן ורשום את הגדרות ניהול הסביבה.

רישום שיחות SAS

הגדרה זו מאפשרת לכל שיחות SAS בתוך Power Platform להיכנס ל- Purview. רישום זה מציג את המטה-נתונים הרלוונטיים עבור כל אירועי היצירה והשימוש וניתן להפעיל אותו ללא תלות בהגבלות SAS IP שמתוארות למעלה. שירותי Power Platform משולבים כעת בשיחות SAS ב-2024.

שם השדה תיאור שדה
response.status_message הודעה על אם האירוע הצליח או לא: SASSuccess או SASAuthorizationError.
response.status_code הודעה על אם האירוע הצליח או לא: 200‏, 401 או 500.
ip_binding_mode מצב איגוד IP מוגדר על ידי מנהל דייר, אם הוא מופעל. חל על אירועי יצירה של SAS בלבד.
admin_provided_ip_ranges טווחי IP שנקבעו על ידי מנהל דייר, אם בכלל. חל על אירועי יצירה של SAS בלבד.
computed_ip_filters קבוצה סופית של מסנני IP מאוגדים ל-SAS URI על סמך מצב קשירת IP והטווחים שהוגדרו על ידי מנהל דייר. חל הן על אירועי יצירה והן על שימוש ב-SAS.
analytics.resource.sas.uri הנתונים שניסו לגשת אליהם או ליצור אותם.
enduser.ip_address כתובת ה- IP הציבורית של המתקשר.
analytics.resource.sas.operation_id המזהה הייחודי מאירוע היצירה. חיפוש לפי מזהה זה מציג את כל אירועי השימוש והיצירה הקשורים לשיחות SAS מאירוע היצירה. ממופה לכותרת התגובה "x-ms-sas-operation-id".
request.service_request_id מזהה ייחודי מהבקשה או התגובה שניתן להשתמש בו כדי לחפש רשומה בודדת. ממופה לכותרת התגובה "x-ms-service-request-id".
גירסה גירסה של סכימת יומן זה.
סוג תגובה כללית.
analytics.activity.name סוג הפעילות של האירוע הזה היה: יצירה או שימוש.
analytics.activity.id מזהה הייחודי של הרשומה ב- Purview.
analytics.resource.organization.id מזהה ארגון
analytics.resource.environment.id מזהה סביבה
analytics.resource.tenant.id מזהה דייר של
enduser.id ה- GUID מ- Microsoft Entra IDשל היוצר מאירוע היצירה.
enduser.principal_name ה- UPN/כתובת הדואר האלקטרוני של היוצר. עבור אירועי שימוש זוהי תגובה כללית: "system@powerplatform".
enduser.role תגובה כללית: רגיל לאירועי יצירה ומערכת לאירועי שימוש.

הפעל את רישום הביקורת של Purview

כדי שהיומנים יופיעו במופע ה-Purview שלך, תחילה עליך להצטרף אליו עבור כל סביבה שאליה אתה רוצה יומנים. ניתן לעדכן הגדרה זו ב Power Platform מרכז הניהול על ידי מנהל דייר.

  1. עבור אל Power Platform מרכז הניהול והיכנס עם אישורי מנהל דייר.
  2. בחלונית הניווט השמאלית, בחר סביבות.
  3. בחר את הסביבה שעבורה ברצונך להפעיל רישום מנהל מערכת.
  4. בחר הגדרות בשורת הפקודות.
  5. בחר מוצר>פרטיות + אבטחה.
  6. תחת הגדרות אבטחה של חתימת גישה משותפת לאחסון (Preview), הפעל את ה אפשר SAS כניסה Purview תכונה.

חפש ביומני ביקורת

מנהלי דיירים יכולים להשתמש ב-Purview כדי להציג יומני ביקורת שנפלטו עבור פעולות SAS, ויכולים לאבחן בעצמם שגיאות שעשויות להיות מוחזרות בבעיות אימות IP. יומנים ב-Purview הם הפתרון האמין ביותר.

השתמש בשלבים הבאים כדי לאבחן בעיות או להבין טוב יותר את דפוסי השימוש ב-SAS בתוך הדייר שלך.

  1. ודא כי רישום ביקורת מופעל עבור הסביבה. ראה הפעלת רישום ביקורת Purview.

  2. עבור ל Microsoft פורטל תאימות של Purview והיכנס עם אישורי מנהל דייר.

  3. בחלונית הניווט השמאלית, בחר ביקורת. אם אפשרות זו אינה זמינה עבורך, פירוש הדבר שלמשתמש המחובר אין גישת מנהל ליומני ביקורת של שאילתות.

  4. בחר את טווח התאריכים והשעות ב-UTC כאשר אתה מנסה לחפש יומנים. לדוגמה, כאשר הוחזרה שגיאה 403 אסורה עם קוד שגיאה unauthorized_caller .

  5. מתוך הרשימה הנפתחת פעילויות - שמות ידידותיים , חפשו Power Platform פעולות אחסון ובחרו יצר SAS URI ו השתמש ב-SAS URI.

  6. ציין מילת מפתח ב חיפוש מילות מפתח. ראה התחל עם החיפוש בתיעוד Purview כדי ללמוד עוד על תחום זה. אתה יכול להשתמש בערך מכל אחד מהשדות המתוארים בטבלה למעלה בהתאם לתרחיש שלך, אבל להלן השדות המומלצים לחיפוש (לפי סדר העדפה):

    • הערך של x-ms-service-request-id כותרת תגובה‬. זה מסנן את התוצאות לאירוע SAS URI Creation אחד או אירוע שימוש אחד ב-SAS URI, בהתאם לסוג הבקשה שממנו מגיעה הכותרת. זה שימושי בעת חקירת שגיאת 403 אסורה שהוחזרה למשתמש. ניתן להשתמש בו גם כדי לתפוס את הערך powerplatform.analytics.resource.sas.operation_id .
    • הערך של x-ms-sas-operation-id כותרת תגובה‬. זה מסנן את התוצאות לאירוע יצירת SAS URI אחד ואירוע שימוש אחד או יותר עבור SAS URI זה, בהתאם למספר הפעמים שהגישה אליו. הוא ממופה לשדה powerplatform.analytics.resource.sas.operation_id .
    • SAS URI מלא או חלקי, בניכוי החתימה. זה עשוי להחזיר הרבה יצירות SAS URI ואירועי שימוש רבים ב-SAS URI, מכיוון שניתן לבקש את אותו URI ליצירת כמה פעמים, לפי הצורך.
    • כתובת ה-IP של המתקשר. מחזיר את כל אירועי היצירה והשימוש עבור אותו IP.
    • מזהה סביבה. זה עשוי להחזיר קבוצה גדולה של נתונים שיכולים להשתרע על פני הצעות רבות ושונות של Power Platform, אז הימנע אם אפשר או שקול לצמצם את חלון החיפוש.

    אזהרה

    אנחנו לא ממליצים לחפש שם ראשי משתמש או מזהה אובייקט, מכיוון שהם מופצים רק לאירועי יצירה, לא לאירועי שימוש.

  7. בחר חיפוש והמתן להופעת התוצאות.

    חיפוש חדש

אזהרה

כניסת יומן לתוך Purview יכולה להתעכב עד שעה או יותר, אז זכור זאת כשאתה מחפש את האירועים האחרונים.

פתרון בעיות 403 שגיאה אסורה/לא מורשה_מתקשר

אתה יכול להשתמש ביומני יצירה ושימוש כדי לקבוע מדוע שיחה תגרום לשגיאת 403 אסורה עם קוד שגיאה unauthorized_caller .

  1. מצא יומנים ב-Purview כמתואר בסעיף הקודם. שקול להשתמש ב x-ms-service-request-id או ב x-ms-sas-operation-id מהכותרות תגובה‬ כמילת מפתח לחיפוש.
  2. פתח את אירוע השימוש, Used SAS URI, וחפש את ה powerplatform.analytics.resource.sas.computed_ip_filters שדה תחת PropertyCollection. טווח IP זה הוא מה שקריאת SAS משתמשת בו כדי לקבוע אם הבקשה מורשית להמשיך או לא.
  3. השווה ערך זה מול השדה כתובת IP ביומן, אשר אמור להספיק כדי לקבוע מדוע הבקשה נכשלה.
  4. אם לדעתך הערך של powerplatform.analytics.resource.sas.computed_ip_filters שגוי, המשך לשלבים הבאים.
  5. פתח את אירוע היצירה, Created SAS URI, על ידי חיפוש באמצעות ה x-ms-sas-operation-id ערך הכותרת תגובה‬ (או הערך של השדה powerplatform.analytics.resource.sas.operation_id מיומן היצירה).
  6. קבל את הערך של השדה powerplatform.analytics.resource.sas.ip_binding_mode . אם הוא חסר או ריק, פירוש הדבר שקישור IP לא הופעל עבור אותה סביבה בזמן הבקשה הספציפית הזו.
  7. קבל את הערך של powerplatform.analytics.resource.sas.admin_provided_ip_ranges. אם הוא חסר או ריק, פירוש הדבר שטווחי חומת אש IP לא צוינו עבור אותה סביבה בזמן הבקשה הספציפית הזו.
  8. קבל את הערך של powerplatform.analytics.resource.sas.computed_ip_filters, שאמור להיות זהה לאירוע השימוש ונגזר על סמך מצב איגוד IP וחומת אש IP מסופקת על ידי מנהל מערכת טווחים. ראה את היגיון הגזירה ב אחסון נתונים וממשל ב Power Platform.

זה אמור לתת למנהלי הדיירים מספיק מידע כדי לתקן כל תצורה שגויה מול הסביבה עבור הגדרות קשירת IP.

אזהרה

שינויים שבוצעו בהגדרות הסביבה עבור קישור SAS IP עשויים לקחת לפחות 30 דקות עד שייכנסו לתוקף. זה יכול להיות יותר אם לצוותים שותפים יהיה מטמון משלהם.

אבטחה ב Microsoft Power Platform
אימות לשירותי Power Platform
חיבור ואימות למקורות נתונים
Power Platform שאלות נפוצות בנושא אבטחה

למידע נוסף